Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere su uno schema di decreto del Presidente del Consiglio dei ministri in materia di sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID) - 19 giugno 2014 [3265492]

[doc. web n. 3265492]

Parere su uno schema di decreto del Presidente del Consiglio dei ministri in materia di sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID) - 19 giugno 2014

Registro dei provvedimenti
n. 311 del 19 giugno 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei ministri;

Visto l'articolo 154, comma 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

La Presidenza del Consiglio dei ministri ha richiesto il parere del Garante su uno schema di decreto del Presidente del Consiglio dei ministri recante la definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema da parte delle pubbliche amministrazioni e delle imprese.

Lo schema di decreto è adottato ai sensi dell'articolo 64 del codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82 (di seguito CAD) come da ultimo modificato dall'articolo 17-ter del decreto-legge 21 giugno 2013, n. 69, convertito, con modificazioni, dalla legge 9 agosto 2013, n. 69, il quale prevede che per favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di cittadini e imprese, anche in mobilità, sia istituito, a cura dell'Agenzia per l'Italia digitale, il "sistema pubblico per la gestione dell'identità digitale di cittadini e imprese" (di seguito SPID), demandando a un decreto del Presidente del Consiglio dei ministri, su proposta del Ministro delegato per l'innovazione tecnologica e del Ministro per la pubblica amministrazione e la semplificazione, di concerto con il Ministro dell'economia e delle finanze, la definizione delle caratteristiche del sistema, nonché dei tempi e delle modalità della sua adozione da parte delle pubbliche amministrazioni e delle modalità attraverso cui le imprese possono avvalersi del sistema per la gestione dell'identità digitale dei propri utenti.

RILEVATO

Lo SPID consente agli "utenti" (persone fisiche o giuridiche che utilizzano i servizi erogati in rete) di avvalersi di specifici soggetti, i "gestori dell'identità digitale", per consentire ai "fornitori di servizi" l'immediata verifica della propria identità e di eventuali "attributi qualificati" che li riguardano (art. 2 dello schema).

I soggetti pubblici o privati che partecipano allo SPID sono: i gestori dell'identità digitale; i "gestori degli attributi qualificati"; i fornitori di servizi (definiti quali fornitori dei servizi della società dell'informazione, ex art. 2, comma 1, lett. a), d. lg. n. n. 70/2003  o dei servizi di un'amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili al pubblico); l'Agenzia per l'Italia digitale (di seguito l'Agenzia) e gli utenti. Tali soggetti, eccettuati gli utenti, costituiscono un sistema aperto e cooperante che consente loro di comunicare utilizzando meccanismi di interazione, standard tecnologici e protocolli indicati nel decreto e dettagliati nelle regole tecniche definite dall'Agenzia con proprio regolamento (art. 3).

Per "identità digitale" si intende la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi  identificativi, verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale (art. 1, comma 1, lett. o)). Premesso che per "attributi" si intendono le informazioni o la qualità di un utente utilizzate per rappresentare la sua identità, il suo stato, la sua forma giuridica o altre caratteristiche peculiari, lo schema distingue fra: "attributi identificativi" (nome, cognome, luogo e data di nascita, sesso, ovvero ragione o denominazione sociale, sede legale, nonché il codice fiscale e gli estremi del documento d'identità utilizzato ai fini dell'identificazione); "attributi non identificativi" (il numero di telefonia mobile, l'indirizzo di posta elettronica, il domicilio fisico e digitale, nonché eventuali altri attributi individuati dall'Agenzia); "attributi qualificati" (le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati) (art. 1, comma 1, lett. a), b), c) e d)).

Le identità digitali rilasciate all'utente contengono obbligatoriamente il "codice identificativo" e gli attributi identificativi e possono contenere gli attributi non identificativi. Gli attributi non identificativi sono inoltre funzionali alle comunicazioni tra il gestore dell'identità digitale e l'utente. Le identità digitali possono altresì contenere gli attributi qualificati e ulteriori attributi registrati su richiesta dell'utente nell'ambito delle categorie individuate dall'Agenzia tramite i regolamenti di cui all'articolo 4. Gli attributi qualificati possono essere anche forniti direttamente dal gestore di attributi qualificati al fornitore di servizi su consenso dell'utente. L'Agenzia stabilisce, con proprio regolamento, le modalità e le regole tecniche con le quali i gestori dell'identità digitale e i gestori degli attributi qualificati curano e rendono disponibili gli attributi ai fornitori di servizi (art. 5).

L'articolo 6 disciplina i livelli di sicurezza delle identità digitali sancendo che lo SPID è basato su tre livelli di sicurezza di "autenticazione informatica".

L'Agenzia valuta e autorizza l'uso degli strumenti e delle tecnologie di autenticazione informatica consentiti per ciascun livello, nonché i criteri per la valutazione dei sistemi di autenticazione informatica e la loro assegnazione al relativo livello di sicurezza. In tale ambito, i gestori dell'identità digitale rendono pubbliche le decisioni dell'Agenzia con le modalità indicate dalla stessa.

I gestori dell'identità digitale garantiscono che l'autenticazione informatica avvenga attraverso software e soluzioni tecniche che non richiedono l'uso di dispositivi, fissi o mobili, proprietari. Sono consentite soluzioni tecniche che prevedono il caricamento del software necessario per effettuare l'autenticazione informatica.

L'articolo 7 disciplina il rilascio delle identità digitali. Le identità digitali sono rilasciate, a domanda dell'interessato, dal gestore dell'identità digitale, previa verifica dell'identità del soggetto richiedente e mediante consegna in modalità sicura delle credenziali di accesso.

A tale scopo  la verifica dell'identità del soggetto richiedente e la richiesta di adesione avvengono nei seguenti modi: identificazione tramite esibizione a vista di un valido documento d'identità da parte del richiedente, il quale sottoscrive il modulo di adesione allo SPID; identificazione informatica tramite documenti digitali di identità, validi ai sensi di legge, che prevedono il riconoscimento a vista del richiedente all'atto dell'attivazione, fra cui TS-CNS, CNS o carte ad essa conformi; identificazione informatica tramite altra identità digitale SPID di livello di sicurezza pari o superiore a quella oggetto della richiesta; acquisizione del modulo di adesione allo SPID sottoscritto con firma elettronica qualificata o con firma digitale; identificazione informatica fornita da sistemi informatici preesistenti all'introduzione dello SPID che risultino aver adottato, a seguito di apposita istruttoria dell'Agenzia, regole di identificazione informatica caratterizzate da livelli di sicurezza uguali o superiori a quelli definiti nel presente decreto.

I gestori dell'identità digitale, al fine di fornire successiva evidenza della corretta attribuzione della stessa, conservano copia per immagine del modulo di adesione, copia del log della transazione relative all'identificazione informatica, o il modulo firmato digitalmente, nonché i documenti o i dati utilizzati per l'associazione e la verifica degli attributi.

I gestori dell'identità digitale, ricevuta la richiesta di adesione, effettuano la verifica degli attributi identificativi del richiedente utilizzando prioritariamente le convenzioni previste e curate dall'Agenzia, oppure, nei casi in cui le informazioni necessarie per la verifica degli attributi identificativi non siano accessibili tramite i servizi convenzionali, sulla base di documenti, dati o informazioni ottenibili da altri archivi.
I gestori dell'identità digitale conservano le evidenze del processo di adesione per un periodo non inferiore ai venti anni decorrenti dalla scadenza o dalla revoca dell'identità digitale. Il gestore che cessa l'attività prima della scadenza del termine di cui al presente comma trasmette la medesima documentazione all'Agenzia.

L'articolo 7, al comma 7, prevede, poi, che i dati personali raccolti ai sensi del presente decreto sono trattati e conservati nel rispetto della normativa in materia di tutela dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196.

Gli articoli 8 e 9 disciplinano la gestione delle identità digitali e il loro illecito utilizzo.

In particolare si prevede l'obbligo per l'utente di informare tempestivamente il gestore dell'identità digitale di ogni variazione degli attributi previamente comunicati. Quest'ultimo provvederà tempestivamente ai necessari aggiornamenti, previa verifica delle informazioni ricevute. L'utente può chiedere al gestore dell'identità digitale, in qualsiasi momento e a titolo gratuito, la sospensione o la revoca della propria identità digitale ovvero la modifica dei propri attributi non identificativi e delle proprie credenziali di accesso. A tali richieste il gestore dell'identità digitale provvede tempestivamente. A sua volta, il gestore dell'identità digitale, su richiesta dell'utente, gli segnala ogni avvenuto utilizzo delle credenziali di accesso (art. 8)

Nel caso in cui l'utente ritenga, anche a seguito della segnalazione di cui al precedente articolo 8, che la propria identità digitale sia stata utilizzata abusivamente o fraudolentemente da un terzo, invia, a mezzo posta elettronica, una dichiarazione di disconoscimento al gestore dell'identità digitale e, se conosciuto, al fornitore di servizi presso il quale essa risulta essere stata utilizzata. Il gestore dell'identità digitale sospende immediatamente l'identità digitale disconosciuta per un periodo massimo di trenta giorni. Scaduto tale periodo, l'identità digitale è ripristinata o revocata. Il gestore revoca l'identità digitale disconosciuta se riceve dall'interessato copia della denuncia penale presentata all'Autorità Giudiziaria per gli stessi fatti su cui è basata la dichiarazione di disconoscimento.

Gli articoli 10, 11 e 12 disciplinano la procedura di accreditamento dei gestori dell'identità digitale, gli obblighi previsti in capo ad essi in relazione al funzionamento dello SPID, nonché la cessazione, sospensione e revoca della loro attività.

Gli articoli 13, 14 e 15 riguardano, invece, l'adesione al sistema dei fornitori dei servizi, privati o pubblici, mentre l'articolo 16 è dedicato all'accreditamento dei gestori di attributi qualificati.

Infine, lo schema di decreto attribuisce all'Agenzia importanti compiti in relazione al funzionamento del sistema, alcuni dei quali già enunciati sopra (art. 4). L'Agenzia cura l'attivazione dello SPID, svolgendo, in particolare, le seguenti attività: gestisce l'accreditamento dei gestori dell'identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni; cura l'aggiornamento del registro SPID e svolge funzioni di vigilanza e controllo sull'operato dei soggetti che partecipano allo SPID; stipula apposite convenzioni con i soggetti che, in ambito pubblico, attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità; adotta regolamenti per definire, fra l'altro, le regole tecniche e le modalità attuative per la realizzazione dello SPID, nonché le modalità di accreditamento dei soggetti SPID.

RITENUTO

1. Lo schema reca le definizioni di "attributi identificativi" e "attributi non identificativi" che fanno riferimento anche a dati personali. Poiché nella categoria degli attributi non identificativi risultano dati personali che alla stregua della normativa in materia di protezione dei dati personali sono identificativi di una persona (seppur indirettamente: art. 4, comma 1, lett. b) e c), del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2013, n. 196, di seguito Codice), al fine di evitare equivoci interpretativi circa la natura di dati personali delle informazioni in questione, si prega di considerare l'opportunità di ricorrere, per tali definizioni, a locuzioni diverse.

2. L'articolo 4 dello schema, ai commi 2, 3 e 4, prevede che l'Agenzia adotti regolamenti per  definire le regole tecniche e le modalità attuative per la realizzazione dello SPID, le modalità di accreditamento dei soggetti SPID, nonché le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi aio requisiti dello SPI, il rilascio dell'identità digitale. Con tali regolamenti devono essere  disciplinati anche altri profili, richiamati in altri articoli dello schema.

Poiché si tratta di disciplinare importanti aspetti del funzionamento del sistema, che possono comportare anche il trattamento di dati personali, si richiede di integrare lo schema prevedendo che l'Agenzia adotti tali regolamenti sentito il Garante.

3. Tra i compiti assegnati all'Agenzia vi è anche quello di stipulare apposite convenzioni con i soggetti che, in ambito pubblico, attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità; a tali convenzioni i gestori dell'identità digitale e i gestori di attributi qualificati sono tenuti ad aderire (art. 4, comma 1, lett. c)). Alle medesime convenzioni fa riferimento l'articolo 8, comma 1, dello schema in relazione alle esigenze di aggiornamento dei dati.

Appare opportuno che indicazioni tecniche su tali convenzioni e sulle procedure di verifica dei dati e di aggiornamento anche automatico degli stessi siano definite dall'Agenzia con uno dei regolamenti previsti all'articolo 4.

4. E' necessario perfezionare l'articolo 5 (che disciplina il "contenuto" dell'identità digitale) rispetto alla definizione stessa di "identità digitale" (che fa riferimento ai soli attributi identificativi), al fine di distinguerne il contenuto in senso stretto (codice identificativo e attributi identificativi) da eventuali altri attributi che l'utente può chiedere che siano registrati dal gestore dell'identità digitale (attributi non identificativi, che sono meramente funzionali alle comunicazioni fra il gestore e l'utente, e attributi qualificati).

5. Occorre perfezionare la definizione di "attributi qualificati" alla stregua di quanto previsto dalla normativa vigente e dallo stesso schema di decreto in relazione ai soggetti che possono gestire tali attributi (art. 16), al fine di evitare ambiguità interpretative ed applicative. In tal senso all'articolo 1, comma 1, lett. e), devono essere aggiunte, in fine, le seguenti parole: "in base alla legge"; inoltre, all'articolo 16, comma 1, dopo le parole: "hanno il potere", è necessario inserire le seguenti: "in base alla legge".

6. Nella nozione di utente sono comprese sia la persona fisica che la persona giuridica; anche la definizione di identità digitale si riferisce all'utente. Nell'articolo 7 (che disciplina il rilascio dell'identità digitale) si fa riferimento, invece, all'"interessato" (non definito nello schema) e non si trovano riferimenti alla persona giuridica. Fra gli attributi qualificati, peraltro, rientrano anche i "poteri di rappresentanza". Al riguardo è necessario esplicitare meglio nell'articolo 7 se l'identità digitale è rilasciata solo a persona fisica, e se essa riguarda distintamente la persona quando agisce "in proprio" e quando agisce in rappresentanza di una persona giuridica.

7.  L'articolo 7, comma 1, dello schema prevede che l'autorità giudiziaria, il Garante e, nell'ambito del potere di vigilanza, l'Agenzia possano conoscere, tramite il gestore dell'identità digitale, i dati identificativi dell'utente e verificare le modalità con cui le identità digitali sono state rilasciate ed utilizzate, "nei casi previsti dalla legge".

Al riguardo si osserva che al Garante sono già attribuiti dal Codice, nell'ambito delle funzioni istituzionali assegnate, ampi poteri di verifica e controllo sul trattamento dei dati da chiunque effettuati, nei casi e con le modalità ivi disciplinati.
In ogni caso, ove, al limite, si intenda mantenere la previsione normativa in esame, si ravvisa la necessità che tale ultimo presupposto ("nei casi previsti dalla legge"), almeno per quanto riguarda questa Autorità, sia perfezionato mediante un riferimento alla cornice normativa nell'ambito della quale il Garante già svolge le verifiche e i controlli necessari all'espletamento delle proprie funzioni di vigilanza rispetto al trattamento dei dati personali. In tal senso, l'articolo in questione dovrebbe essere integrato prevedendo, rispetto all'attività del Garante, il solo presupposto seguente: "in conformità al Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196".

8. All'articolo 7, comma 5, le parole "fonti affidabili e indipendenti" devono essere sostituite dalle seguenti: "archivi delle amministrazioni certificanti di cui all'articolo 43, comma 2, del d.P.R. n. 445 del 2000".

9. L'articolo 7 comma 6, va perfezionato individuando un termine di conservazione dei dati certo (senza cioè ricorrere alla locuzione "non inferiore a") e congruo rispetto alla finalità perseguita e chiarendo cosa si intenda per "scadenza" della identità digitale, che è considerata dalla norma quale dies a quo della decorrenza del termine. Inoltre, deve essere soppresso il secondo periodo dello stesso comma 6, in quanto alla scadenza del termine i dati devono essere cancellati dal gestore o, meglio, esso deve essere sostituito dalla previsione espressa dell'obbligo di cancellazione dei dati alla scadenza.

10. All'articolo 8, comma 3, le parole: "se viene a conoscenza del decesso" devono essere sostituite dalle seguenti: "in caso di decesso".

11. Fra gli obblighi previsti a carico dei gestori vi è anche quello di informare tempestivamente l'Agenzia e il Garante su eventuali "incidenti di sicurezza che hanno messo a rischio la protezione dei dati personali" (art. 11, comma 1, lett. p)).
Al riguardo si rileva che la disposizione sembra voler fare riferimento ai casi di "violazione dei dati personali" (data breach), già definita e disciplinata dal Codice in relazione ai trattamenti effettuati da fornitori di servizi di comunicazione elettronica, in attuazione della normativa comunitaria (artt. 4, comma 3, lett. g-bis e 32-bis del Codice, inseriti dal decreto legislativo 28 maggio 2012, n. 69). Se così è, è opportuno adeguare la disposizione al dettato normativo del Codice.

Inoltre è opportuno demandare a un regolamento dell'Agenzia la definizione delle modalità di "gestione" di tali comunicazioni da parte dell'Agenzia stessa e di questa Autorità.

12. Un altro obbligo previsto per i gestori è quello di inviare all'Agenzia i dati da questa richiesti a fini statistici (art. 11, comma 1, lett. r)). La disposizione prevede che tali dati potranno essere resi pubblici esclusivamente in forma aggregata.

La disposizione va perfezionata prevedendo che i dati siano trasmessi all'Agenzia già in forma aggregata, dovendo essere da questa trattati solo per finalità statistiche. Tale osservazione può essere recepita inserendo dopo "inviano" le parole: "in forma aggregata" e sopprimendo le seguenti: "esclusivamente in forma aggregata".

13. Lo schema deve essere perfezionato in relazione ai compiti e agli obblighi dei fornitori dei servizi, in particolare per quanto riguarda le verifiche dell'identità digitale e degli attributi qualificati dell'utente che intende accedere ai servizi offerti in rete, da effettuarsi nel rispetto della normativa in materia di protezione dei dati personali.

A tal riguardo, l'articolo 13, comma 5, dello schema deve essere integrato prevendendo che nell'informativa da fornire all'interessato ai sensi dell'articolo 13 del Codice sia assicurata specifica informazione sulla circostanza che le informazioni di interesse saranno sottoposte a verifica presso i soggetti che li detengono legittimamente (gestori dell'identità digitale e gestori degli attributi qualificati) senza trattenerne copia. Conseguentemente deve essere soppresso il comma 4 del medesimo articolo 13.

Coerentemente, occorre adeguare a tale corretta disciplina anche la definizione di "gestori di attributi qualificati" (possibili destinatari di una richiesta di verifica dei dati da parte dei fornitori di servizi), sopprimendo, all'articolo 1, comma 1, lett. m), le parole: "e previo consenso degli utenti interessati". Infine all'articolo 5, comma 2, il secondo periodo deve essere soppresso.

14. L'articolo 15, comma 1, prevede un trattamento di "dati giudiziari" (la qualità di indagato dell'interessato; cfr. art. 4, comma 1, lett. e), del Codice) volto a precludere l'adesione al sistema SPID da parte di coloro (soggetti privati fornitori di servizi, stando alla rubrica dell'articolo) i quali risultino sottoposti ad indagini per "attività o servizi illeciti o illegali commessi a mezzo di sistemi informatici".

Ai sensi del citato comma 1, tale condizione dovrebbe essere riscontrata, da parte dell'Agenzia per l'Italia digitale, in virtù di specifica comunicazione ricevuta dalla Procura della Repubblica. Sia pur implicitamente, dunque, la norma prevede in primo luogo un flusso di dati giudiziari, da parte della competente Procura della Repubblica, all'Agenzia per l'Italia digitale e, in secondo luogo, un trattamento (consistente in operazioni non meglio specificate) dei medesimi dati, da parte dell'Agenzia, funzionale al diniego dell'adesione al sistema da parte del soggetto sottoposto ad indagini.

La norma merita una attenta riflessione per i riflessi sulla riservatezza individuale, in ragione della tutela rafforzata accordata dall'ordinamento a tale categoria di dati personali (art. 21 del Codice).

In ogni caso, la tipologia di dati giudiziari suscettibile di essere trattata ai fini della verifica delle condizioni ostative all'adesione al sistema SPID è indicata in maniera alquanto generica, con riferimento a non meglio precisate "attività o servizi illeciti o illegali commessi a mezzo di sistemi informatici". Sul punto, sarebbe quindi opportuno indicare, in maniera comunque più dettagliata, le specifiche fattispecie di reato ostative.

IL GARANTE

esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri recante la definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema da parte delle pubbliche amministrazioni e delle imprese, con le seguenti condizioni:

a) lo schema sia integrato prevedendo che l'Agenzia adotti i regolamenti di cui all'articolo 4 sentito il Garante (punto 2);

b) si preveda che in uno dei predetti regolamenti siano fornite indicazioni  tecniche sulle previste convenzioni e sulle procedure di verifica dei dati e di aggiornamento anche automatico degli stessi (punto 3);

c) l'articolo 5 sia perfezionato al fine di distinguere il contenuto dell'identità digitale da altri attributi, nei termini di cui in motivazione (punto 4);

d) sia perfezionata la disciplina degli "attributi qualificati" alla stregua di quanto previsto dalla normativa vigente apportando allo schema le modifiche di cui al punto 5;

e) all'articolo 7, sia esplicitato se l'identità digitale è rilasciata solo a persona fisica, e se essa riguarda distintamente la persona quando agisce "in proprio" e quando agisce in rappresentanza di una persona giuridica, apportando le necessarie modifiche (punto 6);

f) all'articolo 7, comma 1, non si faccia riferimento ai poteri del Garante, già disciplinati dalla legge, o al limite si preveda, rispetto all'attività del Garante, il solo presupposto seguente: "in conformità al Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196" (punto 7);

g) all'articolo 7, comma 5, le parole "fonti affidabili e indipendenti" devono essere sostituite dalle seguenti: "archivi delle amministrazioni certificanti di cui all'articolo 43, comma 2, del d.P.R. n. 445 del 2000" (punto 8);.

h) l'articolo 7 comma 6, sia perfezionato individuando un termine di conservazione dei dati certo e congruo rispetto alla finalità perseguita e chiarendo cosa si intenda per "scadenza" della identità digitale; inoltre, il secondo periodo dello stesso comma 6 sia sostituito con la previsione espressa dell'obbligo di cancellare i dati alla scadenza del termine (punto 9);

i) all'articolo 8, comma 3, le parole: "se viene a conoscenza del decesso" siano sostituite dalle seguenti: "in caso di decesso" (punto 10);

j) l'articolo 11, comma 1, lett. p), sia adeguato alle pertinenti disposizioni del Codice in materia di "violazione dei dati personali" nei termini di cui in motivazione;  inoltre si demandi a un regolamento dell'Agenzia la definizione delle modalità di "gestione" di tali comunicazioni da parte dell'Agenzia stessa e di questa Autorità (punto 11);

k) l'articolo 11, comma 1, lett. r), sia perfezionato inserendo dopo "inviano" le parole: "in forma aggregata" e sopprimendo le seguenti: "esclusivamente in forma aggregata" (punto 12);

l) sia perfezionata la disciplina dell'attività dei fornitori di servizi, apportando le richieste modifiche agli articoli 1, comma 1, lett. m), 5, comma 2, e 13 dello schema, nei termini di cui in motivazione (punto 13);

m) all'articolo 15, comma 1, siano apportate le modifiche di cui in motivazione (punto 14);

e con la seguente osservazione:

n) valuti l'Amministrazione di ricorrere a locuzioni diverse per le definizioni di "attributi identificativi" e "attributi non identificativi", nei termini di cui in motivazione (punto 1).

Roma, 19 giugno 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia