Parere su uno schema di decreto del Presidente del Consiglio dei ministri in materia di sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID)

Parere su uno schema di decreto del Presidente delConsiglio dei ministri in materia di sistema pubblico per la gestionedell'identità digitale di cittadini e imprese (SPID)

PROVVEDIMENTO DEL 19 GIUGNO 2014

Registrodei provvedimenti n. 311 del 19 giugno 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale;

Vista larichiesta di parere della Presidenza del Consiglio dei ministri;

Vistol'articolo 154, comma 4, del Codice in materia di protezione dei dati personali(d.lgs. 30 giugno 2003, n. 196);

Vista ladocumentazione in atti;

Viste leosservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000;

Relatoreil dott. Antonello Soro;

PREMESSO

LaPresidenza del Consiglio dei ministri ha richiesto il parere del Garante su unoschema di decreto del Presidente del Consiglio dei ministri recante ladefinizione delle caratteristiche del sistema pubblico per la gestionedell'identità digitale di cittadini e imprese (SPID), nonché dei tempi e dellemodalità di adozione del sistema da parte delle pubbliche amministrazioni edelle imprese.

Loschema di decreto è adottato ai sensi dell'articolo 64 del codicedell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82(di seguito CAD) come da ultimo modificato dall'articolo 17-ter deldecreto-legge 21 giugno 2013, n. 69, convertito, con modificazioni, dalla legge9 agosto 2013, n. 69, il quale prevede che per favorire la diffusione diservizi in rete e agevolare l'accesso agli stessi da parte di cittadini eimprese, anche in mobilità, sia istituito, a cura dell'Agenzia per l'Italiadigitale, il "sistema pubblico per la gestione dell'identità digitale dicittadini e imprese" (di seguito SPID), demandando a un decreto delPresidente del Consiglio dei ministri, su proposta del Ministro delegato perl'innovazione tecnologica e del Ministro per la pubblica amministrazione e lasemplificazione, di concerto con il Ministro dell'economia e delle finanze, ladefinizione delle caratteristiche del sistema, nonché dei tempi e delle modalitàdella sua adozione da parte delle pubbliche amministrazioni e delle modalitàattraverso cui le imprese possono avvalersi del sistema per la gestionedell'identità digitale dei propri utenti.

RILEVATO

Lo SPIDconsente agli "utenti" (persone fisiche o giuridiche che utilizzano iservizi erogati in rete) di avvalersi di specifici soggetti, i "gestoridell'identità digitale", per consentire ai "fornitori diservizi" l'immediata verifica della propria identità e di eventuali"attributi qualificati" che li riguardano (art. 2 dello schema).

Isoggetti pubblici o privati che partecipano allo SPID sono: i gestoridell'identità digitale; i "gestori degli attributi qualificati"; ifornitori di servizi (definiti quali fornitori dei servizi della societàdell'informazione, ex art. 2, comma 1, lett. a), d. lg. n. n. 70/2003 odei servizi di un'amministrazione o di un ente pubblico erogati agli utentiattraverso sistemi informativi accessibili al pubblico); l'Agenzia per l'Italiadigitale (di seguito l'Agenzia) e gli utenti. Tali soggetti, eccettuati gliutenti, costituiscono un sistema aperto e cooperante che consente loro dicomunicare utilizzando meccanismi di interazione, standard tecnologici eprotocolli indicati nel decreto e dettagliati nelle regole tecniche definitedall'Agenzia con proprio regolamento (art. 3).

Per"identità digitale" si intende la rappresentazione informatica dellacorrispondenza biunivoca tra un utente e i suoi attributi identificativi,verificata attraverso l'insieme dei dati raccolti e registrati in formadigitale (art. 1, comma 1, lett. o)). Premesso che per "attributi" siintendono le informazioni o la qualità di un utente utilizzate perrappresentare la sua identità, il suo stato, la sua forma giuridica o altrecaratteristiche peculiari, lo schema distingue fra: "attributiidentificativi" (nome, cognome, luogo e data di nascita, sesso, ovveroragione o denominazione sociale, sede legale, nonché il codice fiscale e gliestremi del documento d'identità utilizzato ai fini dell'identificazione);"attributi non identificativi" (il numero di telefonia mobile,l'indirizzo di posta elettronica, il domicilio fisico e digitale, nonchéeventuali altri attributi individuati dall'Agenzia); "attributiqualificati" (le qualifiche, le abilitazioni professionali e i poteri dirappresentanza e qualsiasi altro tipo di attributo attestato da un gestore diattributi qualificati) (art. 1, comma 1, lett. a), b), c) e d)).

Leidentità digitali rilasciate all'utente contengono obbligatoriamente il"codice identificativo" e gli attributi identificativi e possonocontenere gli attributi non identificativi. Gli attributi non identificativisono inoltre funzionali alle comunicazioni tra il gestore dell'identitàdigitale e l'utente. Le identità digitali possono altresì contenere gliattributi qualificati e ulteriori attributi registrati su richiesta dell'utentenell'ambito delle categorie individuate dall'Agenzia tramite i regolamenti dicui all'articolo 4. Gli attributi qualificati possono essere anche fornitidirettamente dal gestore di attributi qualificati al fornitore di servizi suconsenso dell'utente. L'Agenzia stabilisce, con proprio regolamento, le modalitàe le regole tecniche con le quali i gestori dell'identità digitale e i gestoridegli attributi qualificati curano e rendono disponibili gli attributi aifornitori di servizi (art. 5).

L'articolo6 disciplina i livelli di sicurezza delle identità digitali sancendo che loSPID è basato su tre livelli di sicurezza di "autenticazioneinformatica".

L'Agenziavaluta e autorizza l'uso degli strumenti e delle tecnologie di autenticazioneinformatica consentiti per ciascun livello, nonché i criteri per la valutazionedei sistemi di autenticazione informatica e la loro assegnazione al relativolivello di sicurezza. In tale ambito, i gestori dell'identità digitale rendonopubbliche le decisioni dell'Agenzia con le modalità indicate dalla stessa.

Igestori dell'identità digitale garantiscono che l'autenticazione informaticaavvenga attraverso software e soluzioni tecniche che non richiedono l'uso didispositivi, fissi o mobili, proprietari. Sono consentite soluzioni tecnicheche prevedono il caricamento del software necessario per effettuarel'autenticazione informatica.

L'articolo7 disciplina il rilascio delle identità digitali. Le identità digitali sonorilasciate, a domanda dell'interessato, dal gestore dell'identità digitale,previa verifica dell'identità del soggetto richiedente e mediante consegna inmodalità sicura delle credenziali di accesso.

A talescopo la verifica dell'identità del soggetto richiedente e la richiestadi adesione avvengono nei seguenti modi: identificazione tramite esibizione avista di un valido documento d'identità da parte del richiedente, il qualesottoscrive il modulo di adesione allo SPID; identificazione informaticatramite documenti digitali di identità, validi ai sensi di legge, che prevedonoil riconoscimento a vista del richiedente all'atto dell'attivazione, fra cuiTS-CNS, CNS o carte ad essa conformi; identificazione informatica tramite altraidentità digitale SPID di livello di sicurezza pari o superiore a quellaoggetto della richiesta; acquisizione del modulo di adesione allo SPIDsottoscritto con firma elettronica qualificata o con firma digitale;identificazione informatica fornita da sistemi informatici preesistentiall'introduzione dello SPID che risultino aver adottato, a seguito di appositaistruttoria dell'Agenzia, regole di identificazione informatica caratterizzateda livelli di sicurezza uguali o superiori a quelli definiti nel presentedecreto.

Igestori dell'identità digitale, al fine di fornire successiva evidenza dellacorretta attribuzione della stessa, conservano copia per immagine del modulo diadesione, copia del log della transazione relative all'identificazioneinformatica, o il modulo firmato digitalmente, nonché i documenti o i datiutilizzati per l'associazione e la verifica degli attributi.

Igestori dell'identità digitale, ricevuta la richiesta di adesione, effettuanola verifica degli attributi identificativi del richiedente utilizzandoprioritariamente le convenzioni previste e curate dall'Agenzia, oppure, neicasi in cui le informazioni necessarie per la verifica degli attributiidentificativi non siano accessibili tramite i servizi convenzionali, sullabase di documenti, dati o informazioni ottenibili da altri archivi. Igestori dell'identità digitale conservano le evidenze del processo di adesioneper un periodo non inferiore ai venti anni decorrenti dalla scadenza o dallarevoca dell'identità digitale. Il gestore che cessa l'attività prima dellascadenza del termine di cui al presente comma trasmette la medesimadocumentazione all'Agenzia.

L'articolo7, al comma 7, prevede, poi, che i dati personali raccolti ai sensi delpresente decreto sono trattati e conservati nel rispetto della normativa inmateria di tutela dei dati personali di cui al decreto legislativo 30 giugno2003, n. 196.

Gliarticoli 8 e 9 disciplinano la gestione delle identità digitali e il loroillecito utilizzo.

Inparticolare si prevede l'obbligo per l'utente di informare tempestivamente ilgestore dell'identità digitale di ogni variazione degli attributi previamentecomunicati. Quest'ultimo provvederà tempestivamente ai necessari aggiornamenti,previa verifica delle informazioni ricevute. L'utente può chiedere al gestoredell'identità digitale, in qualsiasi momento e a titolo gratuito, lasospensione o la revoca della propria identità digitale ovvero la modifica deipropri attributi non identificativi e delle proprie credenziali di accesso. Atali richieste il gestore dell'identità digitale provvede tempestivamente. Asua volta, il gestore dell'identità digitale, su richiesta dell'utente, glisegnala ogni avvenuto utilizzo delle credenziali di accesso (art. 8)

Nel casoin cui l'utente ritenga, anche a seguito della segnalazione di cui alprecedente articolo 8, che la propria identità digitale sia stata utilizzataabusivamente o fraudolentemente da un terzo, invia, a mezzo posta elettronica,una dichiarazione di disconoscimento al gestore dell'identità digitale e, seconosciuto, al fornitore di servizi presso il quale essa risulta essere statautilizzata. Il gestore dell'identità digitale sospende immediatamente l'identitàdigitale disconosciuta per un periodo massimo di trenta giorni. Scaduto taleperiodo, l'identità digitale è ripristinata o revocata. Il gestore revocal'identità digitale disconosciuta se riceve dall'interessato copia delladenuncia penale presentata all'Autorità Giudiziaria per gli stessi fatti su cuiè basata la dichiarazione di disconoscimento.

Gliarticoli 10, 11 e 12 disciplinano la procedura di accreditamento dei gestoridell'identità digitale, gli obblighi previsti in capo ad essi in relazione alfunzionamento dello SPID, nonché la cessazione, sospensione e revoca della loroattività.

Gliarticoli 13, 14 e 15 riguardano, invece, l'adesione al sistema dei fornitoridei servizi, privati o pubblici, mentre l'articolo 16 è dedicatoall'accreditamento dei gestori di attributi qualificati.

Infine,lo schema di decreto attribuisce all'Agenzia importanti compiti in relazione alfunzionamento del sistema, alcuni dei quali già enunciati sopra (art. 4).L'Agenzia cura l'attivazione dello SPID, svolgendo, in particolare, le seguentiattività: gestisce l'accreditamento dei gestori dell'identità digitale e deigestori di attributi qualificati, stipulando con essi apposite convenzioni;cura l'aggiornamento del registro SPID e svolge funzioni di vigilanza econtrollo sull'operato dei soggetti che partecipano allo SPID; stipula appositeconvenzioni con i soggetti che, in ambito pubblico, attestano la validità degliattributi identificativi e consentono la verifica dei documenti di identità;adotta regolamenti per definire, fra l'altro, le regole tecniche e le modalitàattuative per la realizzazione dello SPID, nonché le modalità di accreditamentodei soggetti SPID.

RITENUTO

1. Loschema reca le definizioni di "attributi identificativi" e"attributi non identificativi" che fanno riferimento anche a datipersonali. Poiché nella categoria degli attributi non identificativi risultanodati personali che alla stregua della normativa in materia di protezione deidati personali sono identificativi di una persona (seppur indirettamente: art.4, comma 1, lett. b) e c), del Codice in materia di protezione dei datipersonali di cui al decreto legislativo 30 giugno 2013, n. 196, di seguitoCodice), al fine di evitare equivoci interpretativi circa la natura di datipersonali delle informazioni in questione, si prega di considerare l'opportunitàdi ricorrere, per tali definizioni, a locuzioni diverse.

2.L'articolo 4 dello schema, ai commi 2, 3 e 4, prevede che l'Agenzia adottiregolamenti per definire le regole tecniche e le modalità attuative perla realizzazione dello SPID, le modalità di accreditamento dei soggetti SPID,nonché le procedure necessarie a consentire ai gestori dell'identità digitale,tramite l'utilizzo di altri sistemi di identificazione informatica conformi aiorequisiti dello SPI, il rilascio dell'identità digitale. Con tali regolamentidevono essere disciplinati anche altri profili, richiamati in altriarticoli dello schema.

Poichési tratta di disciplinare importanti aspetti del funzionamento del sistema, chepossono comportare anche il trattamento di dati personali, si richiede diintegrare lo schema prevedendo che l'Agenzia adotti tali regolamenti sentito ilGarante.

3. Tra icompiti assegnati all'Agenzia vi è anche quello di stipulare appositeconvenzioni con i soggetti che, in ambito pubblico, attestano la validità degliattributi identificativi e consentono la verifica dei documenti di identità; atali convenzioni i gestori dell'identità digitale e i gestori di attributiqualificati sono tenuti ad aderire (art. 4, comma 1, lett. c)). Alle medesimeconvenzioni fa riferimento l'articolo 8, comma 1, dello schema in relazionealle esigenze di aggiornamento dei dati.

Appareopportuno che indicazioni tecniche su tali convenzioni e sulle procedure diverifica dei dati e di aggiornamento anche automatico degli stessi sianodefinite dall'Agenzia con uno dei regolamenti previsti all'articolo 4.

4. E'necessario perfezionare l'articolo 5 (che disciplina il "contenuto"dell'identità digitale) rispetto alla definizione stessa di "identitàdigitale" (che fa riferimento ai soli attributi identificativi), al finedi distinguerne il contenuto in senso stretto (codice identificativo eattributi identificativi) da eventuali altri attributi che l'utente puòchiedere che siano registrati dal gestore dell'identità digitale (attributi nonidentificativi, che sono meramente funzionali alle comunicazioni fra il gestoree l'utente, e attributi qualificati).

5.Occorre perfezionare la definizione di "attributi qualificati" allastregua di quanto previsto dalla normativa vigente e dallo stesso schema didecreto in relazione ai soggetti che possono gestire tali attributi (art. 16),al fine di evitare ambiguità interpretative ed applicative. In tal sensoall'articolo 1, comma 1, lett. e), devono essere aggiunte, in fine, le seguentiparole: "in base alla legge"; inoltre, all'articolo 16, comma 1, dopole parole: "hanno il potere", è necessario inserire le seguenti:"in base alla legge".

6. Nellanozione di utente sono comprese sia la persona fisica che la persona giuridica;anche la definizione di identità digitale si riferisce all'utente.Nell'articolo 7 (che disciplina il rilascio dell'identità digitale) si fariferimento, invece, all'"interessato" (non definito nello schema) enon si trovano riferimenti alla persona giuridica. Fra gli attributiqualificati, peraltro, rientrano anche i "poteri di rappresentanza".Al riguardo è necessario esplicitare meglio nell'articolo 7 se l'identitàdigitale è rilasciata solo a persona fisica, e se essa riguarda distintamentela persona quando agisce "in proprio" e quando agisce inrappresentanza di una persona giuridica.

7. L'articolo 7, comma 1, dello schema prevede che l'autorità giudiziaria, ilGarante e, nell'ambito del potere di vigilanza, l'Agenzia possano conoscere,tramite il gestore dell'identità digitale, i dati identificativi dell'utente everificare le modalità con cui le identità digitali sono state rilasciate edutilizzate, "nei casi previsti dalla legge".

Alriguardo si osserva che al Garante sono già attribuiti dal Codice, nell'ambitodelle funzioni istituzionali assegnate, ampi poteri di verifica e controllo sultrattamento dei dati da chiunque effettuati, nei casi e con le modalità ividisciplinati. In ogni caso, ove, al limite, si intenda mantenere laprevisione normativa in esame, si ravvisa la necessità che tale ultimopresupposto ("nei casi previsti dalla legge"), almeno per quantoriguarda questa Autorità, sia perfezionato mediante un riferimento alla cornicenormativa nell'ambito della quale il Garante già svolge le verifiche e icontrolli necessari all'espletamento delle proprie funzioni di vigilanzarispetto al trattamento dei dati personali. In tal senso, l'articolo inquestione dovrebbe essere integrato prevedendo, rispetto all'attività delGarante, il solo presupposto seguente: "in conformità al Codice in materiadi protezione dei dati personali di cui al decreto legislativo 30 giugno 2003,n. 196".

8.All'articolo 7, comma 5, le parole "fonti affidabili e indipendenti"devono essere sostituite dalle seguenti: "archivi delle amministrazionicertificanti di cui all'articolo 43, comma 2, del d.P.R. n. 445 del 2000".

9.L'articolo 7 comma 6, va perfezionato individuando un termine di conservazionedei dati certo (senza cioè ricorrere alla locuzione "non inferiorea") e congruo rispetto alla finalità perseguita e chiarendo cosa siintenda per "scadenza" della identità digitale, che è consideratadalla norma quale dies a quo della decorrenza del termine. Inoltre, deve esseresoppresso il secondo periodo dello stesso comma 6, in quanto alla scadenza deltermine i dati devono essere cancellati dal gestore o, meglio, esso deve esseresostituito dalla previsione espressa dell'obbligo di cancellazione dei datialla scadenza.

10.All'articolo 8, comma 3, le parole: "se viene a conoscenza deldecesso" devono essere sostituite dalle seguenti: "in caso didecesso".

11. Fragli obblighi previsti a carico dei gestori vi è anche quello di informaretempestivamente l'Agenzia e il Garante su eventuali "incidenti disicurezza che hanno messo a rischio la protezione dei dati personali"(art. 11, comma 1, lett. p)). Al riguardo si rileva che la disposizionesembra voler fare riferimento ai casi di "violazione dei datipersonali" (data breach), già definita e disciplinata dal Codice inrelazione ai trattamenti effettuati da fornitori di servizi di comunicazioneelettronica, in attuazione della normativa comunitaria (artt. 4, comma 3, lett.g-bis e 32-bis del Codice, inseriti dal decreto legislativo 28 maggio 2012, n.69). Se così è, è opportuno adeguare la disposizione al dettato normativo delCodice.

Inoltre èopportuno demandare a un regolamento dell'Agenzia la definizione delle modalitàdi "gestione" di tali comunicazioni da parte dell'Agenzia stessa e diquesta Autorità.

12. Unaltro obbligo previsto per i gestori è quello di inviare all'Agenzia i dati daquesta richiesti a fini statistici (art. 11, comma 1, lett. r)). La disposizioneprevede che tali dati potranno essere resi pubblici esclusivamente in formaaggregata.

Ladisposizione va perfezionata prevedendo che i dati siano trasmessi all'Agenziagià in forma aggregata, dovendo essere da questa trattati solo per finalità statistiche.Tale osservazione può essere recepita inserendo dopo "inviano" leparole: "in forma aggregata" e sopprimendo le seguenti:"esclusivamente in forma aggregata".

13. Loschema deve essere perfezionato in relazione ai compiti e agli obblighi dei fornitoridei servizi, in particolare per quanto riguarda le verifiche dell'identitàdigitale e degli attributi qualificati dell'utente che intende accedere aiservizi offerti in rete, da effettuarsi nel rispetto della normativa in materiadi protezione dei dati personali.

A talriguardo, l'articolo 13, comma 5, dello schema deve essere integratoprevendendo che nell'informativa da fornire all'interessato ai sensidell'articolo 13 del Codice sia assicurata specifica informazione sullacircostanza che le informazioni di interesse saranno sottoposte a verificapresso i soggetti che li detengono legittimamente (gestori dell'identitàdigitale e gestori degli attributi qualificati) senza trattenerne copia.Conseguentemente deve essere soppresso il comma 4 del medesimo articolo 13.

Coerentemente,occorre adeguare a tale corretta disciplina anche la definizione di"gestori di attributi qualificati" (possibili destinatari di unarichiesta di verifica dei dati da parte dei fornitori di servizi), sopprimendo,all'articolo 1, comma 1, lett. m), le parole: "e previo consenso degliutenti interessati". Infine all'articolo 5, comma 2, il secondo periododeve essere soppresso.

14.L'articolo 15, comma 1, prevede un trattamento di "dati giudiziari"(la qualità di indagato dell'interessato; cfr. art. 4, comma 1, lett. e), delCodice) volto a precludere l'adesione al sistema SPID da parte di coloro(soggetti privati fornitori di servizi, stando alla rubrica dell'articolo) iquali risultino sottoposti ad indagini per "attività o servizi illeciti oillegali commessi a mezzo di sistemi informatici".

Ai sensidel citato comma 1, tale condizione dovrebbe essere riscontrata, da partedell'Agenzia per l'Italia digitale, in virtù di specifica comunicazionericevuta dalla Procura della Repubblica. Sia pur implicitamente, dunque, lanorma prevede in primo luogo un flusso di dati giudiziari, da parte dellacompetente Procura della Repubblica, all'Agenzia per l'Italia digitale e, insecondo luogo, un trattamento (consistente in operazioni non megliospecificate) dei medesimi dati, da parte dell'Agenzia, funzionale al diniegodell'adesione al sistema da parte del soggetto sottoposto ad indagini.

La normamerita una attenta riflessione per i riflessi sulla riservatezza individuale,in ragione della tutela rafforzata accordata dall'ordinamento a tale categoriadi dati personali (art. 21 del Codice).

In ognicaso, la tipologia di dati giudiziari suscettibile di essere trattata ai finidella verifica delle condizioni ostative all'adesione al sistema SPID èindicata in maniera alquanto generica, con riferimento a non meglio precisate"attività o servizi illeciti o illegali commessi a mezzo di sistemiinformatici". Sul punto, sarebbe quindi opportuno indicare, in manieracomunque più dettagliata, le specifiche fattispecie di reato ostative.

IL GARANTE

esprimeparere favorevole sullo schema di decreto del Presidente del Consiglio deiministri recante la definizione delle caratteristiche del sistema pubblico perla gestione dell'identità digitale di cittadini e imprese (SPID), nonché deitempi e delle modalità di adozione del sistema da parte delle pubblicheamministrazioni e delle imprese, con le seguenti condizioni:

a) lo schema sia integrato prevedendo che l'Agenziaadotti i regolamenti di cui all'articolo 4 sentito il Garante (punto 2);

b) si preveda che in uno dei predetti regolamentisiano fornite indicazioni tecniche sulle previste convenzioni e sulleprocedure di verifica dei dati e di aggiornamento anche automatico degli stessi(punto 3);

c) l'articolo 5 sia perfezionato al fine didistinguere il contenuto dell'identità digitale da altri attributi, nei terminidi cui in motivazione (punto 4);

d) sia perfezionata la disciplina degli"attributi qualificati" alla stregua di quanto previsto dallanormativa vigente apportando allo schema le modifiche di cui al punto 5;

e) all'articolo 7, sia esplicitato se l'identitàdigitale è rilasciata solo a persona fisica, e se essa riguarda distintamentela persona quando agisce "in proprio" e quando agisce inrappresentanza di una persona giuridica, apportando le necessarie modifiche(punto 6);

f) all'articolo 7, comma 1, non si faccia riferimentoai poteri del Garante, già disciplinati dalla legge, o al limite si preveda,rispetto all'attività del Garante, il solo presupposto seguente: "inconformità al Codice in materia di protezione dei dati personali di cui aldecreto legislativo 30 giugno 2003, n. 196" (punto 7);

g) all'articolo 7, comma 5, le parole "fontiaffidabili e indipendenti" devono essere sostituite dalle seguenti:"archivi delle amministrazioni certificanti di cui all'articolo 43, comma2, del d.P.R. n. 445 del 2000" (punto 8);.

h) l'articolo 7 comma 6, sia perfezionato individuandoun termine di conservazione dei dati certo e congruo rispetto alla finalitàperseguita e chiarendo cosa si intenda per "scadenza" della identitàdigitale; inoltre, il secondo periodo dello stesso comma 6 sia sostituito conla previsione espressa dell'obbligo di cancellare i dati alla scadenza deltermine (punto 9);

i) all'articolo 8, comma 3, le parole: "se vienea conoscenza del decesso" siano sostituite dalle seguenti: "in casodi decesso" (punto 10);

j) l'articolo 11, comma 1, lett. p), sia adeguato allepertinenti disposizioni del Codice in materia di "violazione dei datipersonali" nei termini di cui in motivazione; inoltre si demandi aun regolamento dell'Agenzia la definizione delle modalità di"gestione" di tali comunicazioni da parte dell'Agenzia stessa e diquesta Autorità (punto 11);

k) l'articolo 11, comma 1, lett. r), sia perfezionatoinserendo dopo "inviano" le parole: "in forma aggregata" esopprimendo le seguenti: "esclusivamente in forma aggregata" (punto12);

l) sia perfezionata la disciplina dell'attività deifornitori di servizi, apportando le richieste modifiche agli articoli 1, comma1, lett. m), 5, comma 2, e 13 dello schema, nei termini di cui in motivazione(punto 13);

m) all'articolo 15, comma 1, siano apportate lemodifiche di cui in motivazione (punto 14);

e con la seguente osservazione:

n) valuti l'Amministrazione di ricorrere a locuzionidiverse per le definizioni di "attributi identificativi" e"attributi non identificativi", nei termini di cui in motivazione(punto 1).

Roma, 19 giugno 2014

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia