L’ok è stato dato ad agosto, in piena estate e con gli italiani in vacanza, si piò sperimentare l’identità digitale in italia, non c’è violazione della privacy, “in spirito di collaborazione istituzionale, ha chiesto al Dipartimento per la trasformazione digitale di approntare specifiche garanzie a tutela dei diritti e delle libertà degli interessati”, scrive il Garante.
“Le garanzie introdotte riguardano soprattutto l’individuazione dei ruoli dei soggetti coinvolti nei trattamenti e la definizione di misure volte ad evitare trattamenti ulteriori rispetto a quelli necessari per il funzionamento dell’IT-Wallet.
Il Garante, nel dare parere positivo, ricorda che sarà chiamato a esaminare le misure tecniche e organizzative adottate da un decreto del Dipartimento per la trasformazione digitale per assicurare il rispetto dei principi del GPDR e garantire un livello di sicurezza adeguato ai rischi, all’esito della valutazione d’impatto sulla protezione dei dati.
L’Autorità dovrà anche essere consultata in merito al regolamento sulle procedure amministrative necessarie alla registrazione al Sistema e sul decreto relativo all’utilizzo dei cosiddetti Servizi Remunerativi, quelli forniti – a pagamento – dalle imprese.
Il Garante ha infine chiesto alla Presidenza del Consiglio dei ministri una relazione al termine del periodo di sperimentazione, che segnali, in particolare, le eventuali criticità rilevate e le misure individuate per porvi rimedio.”
Pubblichiamo il documento in cui si dà l’ok all’introduzione dell’identità digitale in italia
Parere sugli schemi di decreti del Presidente del Consiglio dei Ministri di cui all’art. 64-quater del d.lgs. 7 marzo 2005, n. 82, in tema di Sistema di portafoglio digitale italiano–Sistema IT-Wallet – 4 agosto 2025
Registro dei provvedimenti
n. 469 del 4 agosto 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componenti, e il cons. Angelo Fanizza, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);
VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);
VISTO il regolamento (UE) 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (di seguito, regolamento eIDAS), come modificato dal regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio dell’11 aprile 2024 che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale;
VISTE, con riferimento al menzionato regolamento eIDAS, in particolare, le disposizioni concernenti il portafoglio europeo di identità digitale (di seguito, EUDI Wallet): il capo II, sezione 1, in tema di “Portafoglio europeo di identità digitale” (artt. da 5-bis a 5-sexies); il capo III, sezione 9, in tema di “Attestati elettronici di attributi” (artt. da 45-ter a 45-nonies); l’art. 46-bis in tema di “Vigilanza sul quadro relativo al portafoglio europeo di identità digitale”;
VISTI i regolamenti di esecuzione (UE) della Commissione 2024/2977, 2024/2979, 2024/2080, 2024/2081 e 2024/2082 del 28 novembre 2024 e 2025/846, 2025/847, 2025/848 e 2025/849 del 6 maggio 2025, di attuazione del portafoglio europeo di identità digitale ai sensi dell’art. 5-bis, parr. 23 e 24, del regolamento eIDAS;
VISTO il d.lgs. 7 marzo 2005, n. 82 (di seguito, CAD), che, all’art. 64-quater, recante “Sistema di portafoglio digitale italiano – Sistema IT-Wallet”, stabilisce, in particolare, che:
“1. Al fine di valorizzare e rafforzare l’interoperabilità tra le banche dati pubbliche attraverso la Piattaforma Digitale Nazionale Dati (PDND) di cui all’articolo 50-ter, nonché di favorire la diffusione e l’utilizzo di servizi in rete erogati da soggetti pubblici e privati, è istituito il Sistema di portafoglio digitale italiano (Sistema IT-Wallet).
2. Il Sistema IT-Wallet è costituito da una soluzione di portafoglio digitale pubblico (IT-Wallet pubblico), resa disponibile mediante il punto di accesso telematico di cui all’articolo 64-bis, nonché da soluzioni di portafoglio digitale private (IT-Wallet privato), rese disponibili dai soggetti privati interessati, previo accreditamento da parte dell’AgID, secondo le modalità di cui al comma 3.
3. Al fine di garantire la necessaria celere evoluzione del Sistema IT-Wallet, con decreto del Presidente del Consiglio dei ministri ovvero dell’Autorità politica delegata in materia di innovazione tecnologica, ove nominata, adottato su proposta dell’AgID e di concerto con il Ministro dell’economia e delle finanze e con il Ministro per la pubblica amministrazione, sentite l’Agenzia per la cybersicurezza nazionale, per i profili di competenza, e la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, sono approvate apposite linee guida. Le linee guida di cui al primo periodo, adottate entro sessanta giorni dalla data di entrata in vigore della presente disposizione e periodicamente aggiornate, definiscono:
a) le caratteristiche tecniche e le modalità di adozione dell’IT-Wallet pubblico e delle soluzioni di IT-Wallet privato da parte di cittadini e imprese, nonché la tipologia di servizi resi disponibili dalle soluzioni IT-Wallet;
b) le modalità di accreditamento presso l’AgID dei soggetti privati fornitori delle soluzioni IT- Wallet privato;
c) i servizi resi disponibili alle pubbliche amministrazioni e ai soggetti privati accreditati, sia in qualità di erogatori di servizi, sia in qualità di erogatori di attestazioni elettroniche relative a prerogative, deleghe, caratteristiche, licenze o qualità di persone fisiche e giuridiche, per il tramite della piattaforma di cui all’articolo-50-ter;
d) gli standard tecnici adottati per garantire l’interoperabilità del Sistema IT-Wallet con le banche dati e i sistemi informativi della pubblica amministrazione e dei soggetti privati accreditati, inclusa la piattaforma di cui all’articolo 50-ter, anche al fine di garantire la compatibilità dell’IT-Wallet pubblico e delle soluzioni di IT-Wallet privato con precedenti sistemi di identità digitale e con i relativi sistemi di autenticazione per l’accesso in rete già predisposti;
e) le misure da adottare sul piano tecnico e organizzativo per assicurare livelli di affidabilità, disponibilità e sicurezza adeguati al Sistema IT-Wallet;
f) le modalità per la messa a disposizione del codice sorgente di tutte le componenti dell’IT- Wallet pubblico e delle soluzioni di IT-Wallet privato, ai sensi dell’articolo 69.
4. La società di cui all’articolo 8, comma 2, del decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, e la società di cui all’articolo 1 del decreto legislativo 21 aprile 1999, n. 116 provvedono, nel rispetto delle linee guida di cui al comma 3 del presente articolo, alla realizzazione e gestione della infrastruttura organizzativa e tecnologica necessaria per l’attuazione del Sistema IT-Wallet, assicurando, in particolare, la disponibilità dell’IT-Wallet pubblico e dei servizi necessari ai soggetti privati interessati a rendere disponibili soluzioni di IT-Wallet privato. Alla società di cui all’articolo 1 del decreto legislativo 21 aprile 1999, n. 116, sono affidate la progettazione, la realizzazione, l’implementazione e la gestione dell’infrastruttura tecnologica dei sistemi di rilascio nonché la certificazione e la verifica delle attestazioni elettroniche di identità digitale, di quelle relative a prerogative, deleghe, caratteristiche, licenze o qualità presenti nelle banche dati della pubblica amministrazione e dei registri fiduciari per l’accreditamento dei soggetti coinvolti nei processi di rilascio, certificazione e verifica nonché per la verifica della validità e la gestione del ciclo di vita delle attestazioni elettroniche. Agli oneri occorrenti per rendere disponibili da parte degli Identity provider pubblici i servizi di verifica di cui al secondo periodo del presente comma si provvede a valere sulle risorse disponibili a legislazione vigente.
5. Con decreto del Presidente del Consiglio dei ministri ovvero dell’Autorità politica delegata in materia di innovazione tecnologica, ove nominata, adottato di concerto con il Ministro dell’economia e delle finanze e con il Ministro per la pubblica amministrazione, sentito il Garante per la protezione dei dati personali per gli aspetti di competenza, sono definiti:
a) i compiti e le funzioni attribuiti a ciascuna delle società di cui al comma 4;
b) la data a decorrere dalla quale l’IT-Wallet pubblico è reso disponibile, nonché il termine entro il quale i soggetti di cui all’articolo 2, comma 2, sono tenuti a rendere disponibili i dati e i documenti relativi a prerogative, deleghe, caratteristiche, licenze o qualità di persone fisiche e giuridiche sotto forma di attestazioni elettroniche ovvero a rendere disponibili i dati e i documenti per la generazione di attestazioni elettroniche, nonché ad avvalersi delle attestazioni elettroniche presenti nelle istanze e nelle dichiarazioni formulate nei loro confronti con esenzione dei controlli di cui al capo V del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
c) la data a decorrere dalla quale i soggetti privati accreditati possono rendere disponibili soluzioni di IT-Wallet privato;
d) al fine di concorrere alla sostenibilità economica del Sistema IT-Wallet a regime e ferma restando la gratuità dell’emissione dell’IT-Wallet pubblico per cittadini e imprese, la tipologia di servizi che possono essere oggetto di remunerazione da parte del titolare del Wallet e dei soggetti privati accreditati in qualità di erogatori di servizi, incluse le relative indicazioni di costo […]”;
VISTE le note inviate, da ultimo, il 28 luglio 2025, con cui il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri (di seguito, DTD) ha trasmesso all’Autorità, ai fini dell’acquisizione del parere di competenza, lo schema di decreto del Presidente del Consiglio dei Ministri di cui all’art. 64-quater, comma 5, del CAD, nonché lo schema di decreto del Presidente del Consiglio dei Ministri che approva le “Linee Guida Sistema IT-Wallet” (di seguito, Linee Guida) proposte dall’Agenzia per l’Italia digitale (di seguito, AgID) di cui all’art. 64-quater, comma 3, del CAD, evidenziando altresì che “si tratta di un provvedimento monitorato per l’attuazione del programma di Governo e del PNRR”;
CONSIDERATO, preliminarmente, che il presente parere viene reso su entrambi gli schemi di decreti di cui ai commi 3 e 5 dell’art. 64-quater del CAD, poiché il Garante, ai sensi dell’art. 36, par. 4, e del Regolamento, deve essere consultato in merito a qualsiasi atto normativo o regolatorio che disciplini trattamenti di dati personali; ciò, al fine di garantire che questi siano conformi al Regolamento e che siano attenuati i rischi per gli interessati (cons. 96 del Regolamento), anche laddove una norma di legge non preveda espressamente il parere del Garante in merito a un atto attuativo della medesima;
RILEVATO che lo schema di decreto di cui al comma 3 dell’art. 64-quater del CAD, in particolare:
– adotta le menzionate Linee Guida, che costituiscono parte integrante del decreto, prevedendo che esse siano integrate da Specifiche Tecniche (art. 3, commi 1 e 2). Tali Linee Guida forniscono un quadro di riferimento per l’implementazione del Sistema IT-Wallet nel periodo di sperimentazione, delineando principi generali e indirizzi operativi per la sua adozione da parte dei soggetti pubblici e privati partecipanti alla sperimentazione, e, in tale quadro, definiscono ruoli e responsabilità degli attori primari coinvolti direttamente durante le fasi di interazione con l’Utente e descrivono le funzionalità primarie delle Soluzioni IT-Wallet nel Sistema IT-Wallet, nonché l’architettura tecnologica di alto livello del Sistema IT-Wallet;
– individua i soggetti del Sistema IT-Wallet (art. 4), e cioè:
• AgID, in qualità sia di responsabile del procedimento amministrativo finalizzato alla registrazione e al mantenimento del Registro del Sistema IT-Wallet (ove sono iscritti tutti i soggetti che operano all’interno del menzionato Sistema IT-Wallet), sia di organismo di vigilanza;
• Istituto Poligrafico e Zecca dello Stato S.p.A. (di seguito, IPZS), in qualità di unico Fornitore del Registro IT-Wallet, di unico Fornitore di Attestati Elettronici di Dati di Identificazione Personale (cioè quelli che consentono di stabilire l’identità dell’Utente) e di unico Fornitore di Attestati Elettronici di Interesse Pubblico (cioè quelli che contengono informazioni destinate ad attestare il rilascio, da parte dello Stato o di altre pubbliche amministrazioni, di autorizzazioni, certificazioni, abilitazioni, documenti di identità e riconoscimento, ricevute di introiti, ovvero ad assumere un valore fiduciario e di tutela della fede pubblica in seguito alla loro emissione o alle scritturazioni su di essi effettuate e, in generale, quando sono considerati carte valori);
• PagoPA S.p.A. (di seguito, PagoPA), in qualità di unico fornitore di Soluzione IT-Wallet Pubblica;
• Fornitori di Attestati Elettronici di Attributi (cioè quegli Attestati che consentono di identificare le caratteristiche, le qualità, i diritti o le autorizzazioni di una persona fisica o giuridica o di un oggetto, o anche una sola di queste informazioni);
• Fornitori di Soluzioni di IT-Wallet Private;
• Verificatori di Attestati Elettronici (cioè quei fornitori di servizi digitali, pubblici o privati, che si affidano al Sistema IT-Wallet per verificare l’identità degli Utenti o i loro attributi) o Soggetti Aggregatori degli stessi;
• Titolari di Fonti Autentiche (cioè quegli archivi o sistemi considerati fonte primaria per gli Attributi o per i Dati di Identificazione Personale e la cui autenticità è riconosciuta conformemente al quadro giuridico);
• Utenti (cioè le persone che utilizzano il Sistema IT-Wallet e sono quindi dotate di almeno un’Istanza IT-Wallet);
– dispone l’avvio di una sperimentazione, durante la quale sono assicurati prioritariamente, agli Utenti che ne fanno richiesta, i seguenti Attestati Elettronici di Interesse Pubblico, i cui dati per la generazione e per la gestione del ciclo di vita sono resi disponibili dalle rispettive Fonti Autentiche al Fornitore di Attestati Elettronici di Interesse Pubblico (art. 6, comma 4):
• Indicatore della situazione economica equivalente (ISEE), i cui dati sono resi disponibili dall’Istituto nazionale previdenza sociale (di seguito, INPS);
• titolo di studio conseguito e iscrizione scolastica, i cui dati sono resi disponibili dal Ministero dell’istruzione e del merito;
• titolo accademico conseguito e iscrizione all’istituzione di formazione superiore, i cui dati sono resi disponibili dal Ministero dell’università e della ricerca;
• residenza, godimento dei diritti politici, iscrizione alle liste elettorali e soglie di età, i cui dati sono resi disponibili dal Ministero dell’interno;
• Tessera sanitaria – Tessera europea di assicurazione di malattia (TS/TEAM), i cui dati sono resi disponibili dal Ministero dell’economia e delle finanze;
• patente di guida mobile, i cui dati sono resi disponibili dal Ministero delle infrastrutture e trasporti;
• carta europea della disabilità, i cui dati sono resi disponibili dall’INPS;
– stabilisce che, all’esito della sperimentazione, le Linee Guida e le Specifiche Tecniche siano aggiornate dall’AgID con il procedimento di cui all’art. 71 del CAD, anche al fine di assicurare progressivamente il coordinamento con il quadro normativo di cui al regolamento eIDAS (art. 6, comma 2);
– rinvia a un regolamento dell’AgID, sentiti il DTD e l’Autorità per la cybersicurezza nazionale, la definizione, in sede di prima applicazione, delle procedure amministrative necessarie alla registrazione al Sistema IT-Wallet, comprensive altresì dei requisiti di onorabilità, affidabilità, tecnologici e organizzativi compatibili con la disciplina europea (art. 6, comma 3);
– dispone che, fino all’aggiornamento delle Linee Guida, delle Specifiche Tecniche e del Regolamento IT-Wallet, i soggetti pubblici e privati in possesso dei requisiti per l’erogazione di Soluzioni Tecniche possano avviare spazi di sperimentazione utilizzando gli standard tecnologici maggiormente impiegati, all’interno dell’UE, dal mercato di riferimento e in coerenza con le Specifiche Tecniche (art. 8, comma 1);
RILEVATO, inoltre, che lo schema di decreto di cui al comma 5 dell’art. 64-quater del CAD stabilisce, in particolare:
– compiti e funzioni dell’IPZS (art. 3), prevedendo, nello specifico, che:
• IPZS provveda alla progettazione, realizzazione, implementazione e gestione della infrastruttura organizzativa e tecnologica necessaria per l’attuazione del Sistema IT-Wallet;
• IPZS svolga compiti e funzioni derivanti dai ruoli di unico Fornitore del Registro IT-Wallet, unico Fornitore di Attestati Elettronici di Dati di Identificazione Personale e unico Fornitore di Attestati Elettronici di Interesse Pubblico;
• IPZS rilasci gli Attestati Elettronici di Dati di Identificazione Personale a seguito di autenticazione dell’Utente, utilizzando i dati messi a disposizione dall’Anagrafe nazionale della popolazione residente (di seguito, ANPR), incluso il relativo codice identificativo univoco (di seguito, ID ANPR);
• durante la sperimentazione, l’Attestato Elettronico di Dati di Identificazione Personale contenga un set definito di dati riferiti alla persona fisica (nome, cognome, data e luogo di nascita, cittadinanza, codice fiscale), mentre, all’esito della stessa, i dati contenuti nell’Attestato Elettronico di Dati di Identificazione Personale siano determinati dalle Linee Guida, una volta aggiornate;
• IPZS renda disponibili gli Attestati Elettronici di Interesse Pubblico dei documenti di identità e di riconoscimento, muniti di fotografia dell’Utente, che possono essere presentate anche ai fini di riconoscimento dello stesso;
• IPZS possa altresì rilasciare gli Attestati Elettronici di Dati di Identificazione Personale a seguito di accertamento dell’identità dell’Utente mediante il livello di garanzia elevato del sistema CIEId, nonché, per ulteriori diciotto mesi dalla data di pubblicazione del decreto, anche mediante prova del possesso fisico della CIE, accompagnato da autenticazione mediante il livello di garanzia significativo del sistema CIEId oppure del sistema SPID, precisando che i dati contenuti negli Attestati Elettronici di Dati di Identificazione Personale siano selezionati e validati esclusivamente a partire dalle informazioni anagrafiche disponibili in ANPR;
– compiti e funzioni di PagoPA (art. 4), prevedendo, nello specifico, che:
• PagoPA provveda alla realizzazione dell’infrastruttura tecnologica per il rilascio della Soluzione di IT-Wallet Pubblica nonché alla sua gestione e implementazione;
• PagoPA svolga compiti e funzioni derivanti dal ruolo di unico Fornitore di Soluzione IT-Wallet Pubblica;
• con la piena funzionalità del Sistema IT-Wallet, la Soluzione di IT-Wallet Pubblica svolga le funzioni del Punto di accesso telematico di cui all’articolo 64-bis del CAD;
-a partire dalla data di pubblicazione del decreto (art. 5), nello specifico:
• la Soluzione IT-Wallet Pubblica sia resa disponibile ai cittadini con un rilascio graduale delle funzionalità;
• le pubbliche amministrazioni possano registrarsi al Sistema IT-Wallet in qualità di Titolari di Fonti Autentiche e rendere disponibili i dati e i documenti relativi a prerogative, deleghe, caratteristiche, licenze o qualità̀ di persone fisiche e giuridiche sotto forma di Attestati Elettronici di Attributi Pubblici, oppure possano rendere disponibili al Fornitore di Attestati Elettronici di Interesse Pubblico i dati e documenti per la generazione di Attestati Elettronici di Interesse Pubblico;
• le Soluzioni IT-Wallet possano essere utilizzate per l’accesso ai servizi in rete erogati da soggetti pubblici;
• sia riconosciuta ai soggetti privati la facoltà di utilizzo delle Soluzioni IT-Wallet ai fini dell’erogazione dei propri servizi in rete;
– principi di sostenibilità economica del Sistema IT-Wallet (art. 7), rinviando a un successivo decreto del Presidente del Consiglio dei ministri ovvero dell’Autorità politica delegata in materia di innovazione tecnologica, ove nominata, adottato di concerto con il Ministro dell’economia e delle finanze e con il Ministro per la pubblica amministrazione, sentita l’AgID per gli aspetti di competenza, la definizione dei Servizi Essenziali (relativi a funzionalità di base che devono essere gratuite per i cittadini) e Servizi Remunerabili (servizi aggiuntivi che possono essere oggetto di remunerazione);
RILEVATO, infine, che l’art. 8 dello schema di decreto di cui al comma 5 dell’art. 64-quater del CAD regola i profili concernenti il trattamento dei dati personali, stabilendo, in particolare, che:
– IPZS agisca in qualità di titolare del trattamento dei dati personali necessari per la realizzazione dei compiti di: progettazione, realizzazione, implementazione e gestione della infrastruttura organizzativa e tecnologica necessaria per l’attuazione del Sistema IT-Wallet; unico Fornitore del Registro IT-Wallet; unico Fornitore di Attestati Elettronici di Dati di Identificazione Personale (comma 1);
– i soggetti che rivestono il ruolo di Fonte Autentica agiscano in qualità di titolari del trattamento dei dati personali necessari per l’emissione di Attestati Elettronici di Attributi, nonché per la gestione dei servizi di revoca e verifica della loro validità, anche in caso di aggiornamento dei dati presenti nei predetti Attestati (comma 2);
– le pubbliche amministrazioni che rivestono il ruolo di Fonte Autentica ai fini dell’emissione di Attestati Elettronici di Interesse Pubblico, si avvalgano di IPZS, designato, ai sensi dell’articolo 28 del Regolamento, quale responsabile dei trattamenti di dati personali necessari per la realizzazione dei compiti di unico Fornitore di Attestati Elettronici di Interesse Pubblico (comma 3); fuori da tali casi, i soggetti che rivestono il ruolo di Fonte Autentica possono avvalersi di Fornitori di Attestati Elettronici di Attributi, anch’essi designati, ai sensi dell’articolo 28 del Regolamento, quali responsabili dei trattamenti di dati personali (comma 4);
– con decreto del Capo del DTD, sentito il Garante, siano definite, all’esito di una valutazione d’impatto sulla protezione dei dati effettuata da PagoPA e IPZS ai sensi dell’art. 35, par. 10, del Regolamento, le misure tecniche e organizzative da adottarsi con riferimento ai trattamenti di dati personali effettuati, assicurando che, in conformità ai principi di cui al medesimo Regolamento:
• i trattamenti di dati personali siano effettuati esclusivamente per le finalità di cui allo schema di decreto;
• siano trattati solamente i dati personali necessari per il perseguimento delle predette finalità;
• i dati siano conservati per un arco di tempo non superiore al conseguimento delle predette finalità;
• sia assicurato un livello di sicurezza adeguato ai rischi;
• siano adottate misure appropriate e specifiche in caso di trattamento di categorie particolari di dati personali.
– i soggetti coinvolti nei trattamenti di dati personali effettuati adottino le misure tecniche e organizzative volte ad assicurare gli obblighi di sicurezza di cui al Regolamento, incluse quelle individuate con il menzionato decreto del Capo del DTD (comma 6);
– PagoPA agisca in qualità di titolare del trattamento dei dati necessari per la realizzazione delle attività necessarie alla progettazione, allo sviluppo, alla gestione e all’implementazione della Soluzione di IT-Wallet Pubblica, ivi incluse le attività volte a permetterne l’interoperabilità con le Soluzioni di IT-Wallet Private, le relative attività di assistenza, risoluzione delle problematiche e diagnostica, monitoraggio del funzionamento, nonché le attività effettuate con riguardo alle funzionalità o servizi direttamente resi dalla stessa al cittadino su sua richiesta, ivi incluse quelle che permettano al cittadino di gestire in modo agevole e dinamico la propria relazione con i Verificatori di Attestati Elettronici (comma 7);
– i gestori dell’infrastruttura del Sistema IT-Wallet implementino misure di sicurezza appropriate e specifiche per tutelare i diritti fondamentali e gli interessi delle persone fisiche (comma 8), assicurando, in particolare, che il quadro tecnico dell’IT-Wallet:
• non consenta ai Fornitori di Attestati Elettronici di Attributi o a qualsiasi altra parte, dopo il rilascio dell’Attestato Elettronico di Attributi, di ottenere dati che consentano di tracciare, collegare o correlare le transazioni o il comportamento dell’utente o di venirne in altro modo a conoscenza, salvo esplicita autorizzazione dell’utente;
• renda possibili tecniche di tutela della vita privata che impediscono i collegamenti, laddove l’Attestato Elettronico di Attributi non richieda l’identificazione dell’utente;
– il Fornitore di Soluzione IT-Wallet non raccolga informazioni relative all’uso della Soluzione IT-Wallet che non sono necessarie per la prestazione della Soluzione IT-Wallet stessa, né combini i Dati di Identificazione Personale o gli Attributi conservati nella Soluzione IT-Wallet o relativi al suo uso con i dati personali provenienti da altri servizi offerti da tale fornitore o da servizi di terzi che non sono necessari per la prestazione della Soluzione IT-Wallet, a meno che l’utente non l’abbia richiesto espressamente. I dati personali relativi alla fornitura della Soluzione IT-Wallet sono tenuti logicamente separati dagli altri dati detenuti dal Fornitore della Soluzione IT-Wallet (comma 9);
– i Fornitori di Attestati Elettronici di Attributi non combinano i dati personali relativi alla prestazione di tali servizi con i dati personali provenienti da qualsiasi altro servizio prestato da loro o dai loro partner commerciali. Tali dati sono mantenuti logicamente separati dagli altri trattamenti effettuati dal medesimo fornitore, anche quando il Fornitore di Attestati Elettronici di Attributi svolga ulteriori servizi fiduciari (comma 10);
– IPZS e PagoPA, previa anonimizzazione dei dati personali, possano utilizzare i dati acquisiti per finalità di miglioramento dei servizi erogati, nonché per lo sviluppo dell’infrastruttura, e in particolare della Soluzione IT-Wallet Pubblica, nonché per la valorizzazione del patrimonio aziendale (comma 11);
CONSIDERATO che gli schemi di decreti in esame tengono conto delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali, intercorse con rappresentanti del DTD, dell’IPZS e di PagoPA, attesa l’urgenza rappresentata, al fine di rendere conformi alla normativa in materia di protezione dei dati personali, in ossequio ai principi di privacy by design e privacy by default (art. 25 del Regolamento), i trattamenti disciplinati nell’ambito del Sistema IT-Wallet, che hanno riguardato, in particolare:
– il ruolo di responsabile del trattamento assunto dai Fornitori di Attestati Elettronici di Attributi quando emettono Attestati Elettronici di Attributi in relazione a informazioni per le quali non sono Titolari di Fonti Autentiche, anche con riferimento a quello assunto dall’IPZS nelle attività di rilascio e gestione degli Attestati Elettronici di Attributi di Interesse Pubblico, nel rispetto dei principi di liceità, correttezza e trasparenza e di esattezza (art. 5, par. 1, lett. a) e d), e art. 28 del Regolamento); ciò anche in considerazione delle responsabilità dei Titolari di Fonti Autentiche rispetto ai dati contenuti negli Attestati Elettronici;
– le misure che i Fornitori di Soluzioni IT-Wallet e i Fornitori di Attestati Elettronici di Attributi devono adottare a tutela dei diritti e delle libertà fondamentali degli interessati, impedendo trattamenti ulteriori (compresi quelli che comportano l’associazione con dati personali acquisiti mediante altri servizi), nonché attività di monitoraggio delle operazioni svolte dagli interessati medesimi con le proprie Istanze IT-Wallet, nel rispetto dei principi di liceità, correttezza e trasparenza e di limitazione della finalità (art. 5, par. 1, lett. a) e b), del Regolamento), in conformità anche a quanto previsto dall’art. 5-bis, parr. 14 e 16, del regolamento eIDAS con riferimento all’EUDI Wallet;
– la puntuale individuazione dei dati personali contenuti all’interno dell’Attestato Elettronico di Dati di Identificazione Personale, nel rispetto dei principi di liceità, correttezza e trasparenza e di minimizzazione dei dati (art. 5, par. 1, lett. a) e c), del Regolamento), tenuto conto di quanto previsto per l’EUDI Wallet dal regolamento di esecuzione (UE) 2024/2977 della Commissione del 28 novembre 2024, nonché per l’utilizzo dell’ID ANPR in relazione alle finalità previste dal quadro normativo vigente (cfr. art. 87 del Regolamento, art. 62, commi 3 e 5, del CAD, e decreto del Ministro dell’interno 3 marzo 2023, recante “Modalità di attribuzione, da parte dell’Anagrafe nazionale della popolazione residente, di un codice identificativo univoco per garantire la circolarità dei dati anagrafici e l’interoperabilità con le altre banche dati delle pubbliche amministrazioni e dei gestori di servizi pubblici”, su cui il Garante ha reso parere con provv. n. 414 del 15 dicembre 2022, disponibile su www.garanteprivacy.it, doc. web n. 9852231);
RILEVATO che l’art. 8, comma 5, dello schema di decreto di cui al comma 5 dell’art. 64-quater del CAD, in conformità a quanto previsto dall’art. 6, par. 3, del Regolamento, rinvia a un decreto del Capo del DTD, da adottarsi previo parere del Garante, la definizione di misure tecniche e organizzative adeguate al fine di assicurare il rispetto dei principi del Regolamento e garantire un livello di sicurezza adeguato ai rischi, all’esito della valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, par. 10, del Regolamento;
CONSIDERATO che la predetta valutazione d’impatto sulla protezione dei dati deve essere effettuata, nel rispetto di quanto previsto dall’art. 35, par. 10, del Regolamento, dal soggetto preposto alla definizione della base giuridica, con l’ausilio di IPZS e PagoPA, anche sentendo gli altri soggetti coinvolti nei trattamenti, prestando anche particolare attenzione ai criteri utilizzati per l’anonimizzazione dei dati prevista dall’art. 8, comma 11, dello schema;
RITENUTA, pertanto, l’esigenza di specificare la tipologia di dati personali che, sebbene previamente anonimizzati, si intende utilizzare per gli scopi di valorizzazione del patrimonio aziendale di cui all’art. 8, comma 11, tenuto conto delle finalità di interesse pubblico connesse alla realizzazione e allo sviluppo del Sistema IT-Wallet, e dei principi di liceità, correttezza e trasparenza e di limitazione della finalità (art. 5, par. 1, lett. a) e b), del Regolamento);
CONSIDERATO, inoltre, che, posta la finalità ricognitiva dell’art. 8 dello schema di decreto di cui al comma 5 dell’art. 64-quater del CAD con riferimento ai ruoli assunti dai vari soggetti coinvolti nei trattamenti in esame, tale disposizione andrebbe integrata con l’indicazione di AgID quale titolare dei trattamenti di dati personali effettuati nell’ambito dei procedimenti amministrativi di cui è responsabile per la registrazione e il mantenimento dei soggetti nel Registro del Sistema IT-Wallet, in coordinamento con quanto previsto dall’art. 4, comma 1, lett. a), e dall’art. 6, comma 3, del decreto di cui al comma 3 dell’art. 64-quater del CAD;
RILEVATO il carattere di urgenza del parere in esame, trattandosi di schemi di decreto che, come rappresentato dal DTD, rientrano nel programma di attuazione del PNRR, tenendo altresì conto di quanto previsto nell’art. 9, comma 3, del d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205;
RITENUTO, su tali basi, che sugli schemi di decreti in esame non vi siano rilievi da formulare, fermo restando l’esame, da parte del Garante, delle misure tecniche e organizzative che si intenderà adottare con il decreto del Capo del DTD, al fine di assicurare il rispetto dei principi del Regolamento e garantire un livello di sicurezza adeguato ai rischi;
RITENUTO, in ogni caso, che il regolamento in merito alle procedure amministrative necessarie alla registrazione al Sistema IT-Wallet che l’AgID è chiamata a redigere ai sensi dell’art. 6, comma 3, del decreto di cui al comma 3 dell’art. 64-quater del CAD, debba essere previamente sottoposto alla consultazione anche del Garante, stante la circostanza che esso andrà a disciplinare anche i requisiti di onorabilità delle persone fisiche di riferimento dei soggetti che intendono aderire al Sistema IT-Wallet, nel rispetto di quanto previsto dall’art. 10 del Regolamento e dagli artt. 2-sexies e 2-octies del Codice;
RITENUTO, parimenti, necessario che il Garante venga consultato anche sul decreto da adottarsi ai sensi dell’art. 7, comma 8, dello schema in esame, al fine assicurare il rispetto dei principi di liceità, correttezza e trasparenza e di limitazione della finalità di cui art. 5, par. 1, lett. a) e b), del Regolamento, in relazione ai trattamenti di dati personali connessi all’utilizzo dei Servizi Remunerabili (spec. l’emissione e la gestione di Attestati Elettronici non essenziali e le tariffe applicabili agli utenti di cui all’art. 7, comma 4, lett. a) e b), dello schema) che potranno essere erogati attraverso il Sistema IT-Wallet, in aggiunta ai Servizi Essenziali in quali dovranno, in ogni caso, essere gratuiti e liberamente accessibili, in conformità a quanto disposto al riguardo dall’art. 5-bis, par. 13, del regolamento eIDAS e dall’art. 64-quater, comma 5, lett. d), del CAD;
RILEVATA, tuttavia, la complessità dei trattamenti posti in essere nel contesto del Sistema IT-Wallet – che vedono il coinvolgimento di numerosi soggetti, con vari ruoli, e che riguardano aspetti delicati della vita delle persone, quali le attestazioni concernenti dati, prerogative, deleghe, caratteristiche, licenze o qualità degli interessati necessarie ai fini della fruizione di servizi online, anche in ambito pubblico – e, dunque, gli elevati rischi per i diritti e le libertà fondamentali degli interessati, gli schemi di decreti in esame prevedono comunque una prima fase di sperimentazione, nella quale sono sicuramente messi a disposizione, tramite la Soluzione IT-Wallet Pubblica, Attestati Elettronici di Dati di Identificazione Personale e Attestati Elettronici di Interesse Pubblico;
RILEVATO, altresì, che il Sistema IT-Wallet, così come configurato dagli schemi di decreto in esame, dovrà essere progressivamente coordinato con l’impianto giuridico e tecnologico di funzionamento dell’EUDI Wallet, ancora in corso di definizione;
RITENUTO, pertanto, necessario che, al fine di valutare l’adeguatezza delle garanzie adottate ed eventualmente l’introduzione di ulteriori cautele al termine del periodo di sperimentazione – anche in vista dell’aggiornamento delle Linee guida previsto dall’art. 6, comma 2, del decreto di cui al comma 3 dell’art. 64-quater del CAD, su cui il Garante sarà chiamato a fornire il proprio parere ai sensi dell’art. 71 del CAD – il DTD predisponga, anche avvalendosi dei contributi di IPZS, PagoPA e AgID, e trasmetta a questa Autorità, alla conclusione della sperimentazione, e comunque non oltre il 31 marzo 2026, una relazione che indichi:
a) ciascuna Soluzione IT-Wallet offerta, unitamente al relativo Fornitore;
b) il numero di Istanze IT-Wallet rilasciate, divise per Soluzione IT-Wallet offerta;
c) ciascuna tipologia di Attestato Elettronico di Attributi disponibile, unitamente alla Fonte Autentica da cui sono tratti gli Attributi, il relativo Fornitore e il ruolo da quest’ultimo assunto;
d) ciascun Verificatore di Attestati Elettronici e ciascun Soggetto Aggregatore degli stessi, unitamente al servizio online in relazione al quale l’Attestato Elettronico di Attributi viene utilizzato;
e) le eventuali criticità rilevate e le misure individuate al fine di porvi rimedio;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Agostino Ghiglia;
TUTTO CIÒ PREMESSO, IL GARANTE
1) ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole, nei termini di cui in motivazione, sugli schemi di decreti del Presidente del Consiglio dei Ministri di cui all’art. 64-quater del d.lgs. 7 marzo 2005, n. 82, in tema di Sistema di portafoglio digitale italiano – Sistema IT-Wallet;
2) ai sensi dell’art. 157 del Codice, richiede al Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri, tenuto conto, altresì, della ripartizione dei compiti e delle funzioni di IPZS, PagoPA e AgID, di predisporre e di trasmettere a questa Autorità, alla conclusione della sperimentazione, e comunque non oltre il 31 marzo 2026, una relazione che indichi:
a) ciascuna Soluzione IT-Wallet offerta, unitamente al relativo Fornitore;
b) il numero di Istanze IT-Wallet rilasciate, divise per Soluzione IT-Wallet offerta;
c) ciascuna tipologia di Attestato Elettronico di Attributi disponibile, unitamente alla Fonte Autentica da cui sono tratti gli Attributi, il relativo Fornitore e il ruolo da quest’ultimo assunto;
d) ciascun Verificatore di Attestati Elettronici e ciascun Soggetto Aggregatore degli stessi, unitamente al servizio online in relazione al quale l’Attestato Elettronico di Attributi viene utilizzato;
e) le eventuali criticità rilevate e le misure individuate al fine di porvi rimedio.
Roma, 4 agosto 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Fanizza
Le opinioni espresse in questo articolo sono dell’autore.
Leggi le ultime news su: https://w3b.today
Può interessarti anche: L’app di verifica dell’età UE funziona solo con i cellulari dei Big Tech: servono Google Play Integrity API e Apple App Attestation… con grandissimi problemi di sicurezza e di privacy
Può interessarti anche: I nuovi strumenti di OpenAI “o3” e “o4-mini” possono individuare dove sei dalle foto che pubblichi, scavalcando senza sforzo la privacy e vendendo i tuoi dati al marketing e non solo. Ed ora è un gioco: GeoGuessr
Seguici su Telegram https://t.me/presskit
Seguici su Facebook https://www.facebook.com/presskit.it
Seguici su X: https://x.com/Presskit_
Copiate l’articolo, se volete, vi chiediamo solo di mettere un link al pezzo originale.
