eIDAS 2.0 e Data Privacy: come il nuovo regolamento proteggerà i dati
Serena Donegani, Compliance & Privacy Consultant di Intesa, racconta come il nuovo regolamento eIDAS trasforma la gestione della privacy e della sicurezza
La revisione eIDAS 2.0 certamente rappresenta un passo avanti significativo verso un ecosistema digitale più sicuro e rispettoso della privacy.
In questo articolo scoprirai:
Il panorama normativo europeo in materia di protezione dei dati e identificazione digitale sta attraversando una fase di profonda trasformazione grazie alla revisione del regolamento eIDAS 2.0 (o eIDAS2), approvato nel corso di quest’anno e di cui si attende la pubblicazione della prima tranche degli Implementing Acts.
I punti aperti su come la revisione eIDAS si intreccerà ai numerosi regolamenti europei già esistenti, primo fra tutti il GDPR, sono molti. Ciò che è certo è che eIDAS 2.0, anche grazie all’introduzione dell’identità digitale europea e dell’EUDI Wallet, rafforzerà l’infrastruttura di identificazione elettronica e migliorerà la sicurezza e l’autonomia degli utenti nella gestione delle proprie informazioni personali. Ecco perché.
L’importanza della sicurezza e della “consapevolezza”
Innanzitutto perché l’emissione e la distribuzione dell’EUDI Wallet poggia su due pilastri imprescindibili: le normative rigorose e un’infrastruttura tecnologica sicura, che garantisca non solo l’efficacia e l’efficienza del processo di identificazione ma anche la veridicità delle informazioni stesse.
A ciò si aggiunge un set di regolamentazioni che si appoggiano a sistemi di rendicontazioni informatica e di verifica che prevedono il non ripudio e la non replicabilità delle identificazioni e consentiranno al cittadino di condividere solo le informazioni strettamente necessarie, selezionandole secondo la propria consapevolezza, il proprio interesse e la propria disponibilità alla condivisione.
Uno dei principali punti di forza di eIDAS 2.0 è infatti proprio l’attenzione posta sul concetto di “consapevolezza” del cittadino, intesa come autodeterminazione degli utenti, i quali avranno a tutti gli effetti il controllo esclusivo delle proprie informazioni e potranno decidere in modo consapevole e volontario quali dati condividere e con chi.
Gli identificativi univoci “non parlanti”
Potremmo definire “identificativi univoci” sono tutti quei dati che consentono di identificare un soggetto in modo univoco, come per esempio il Codice Fiscale. Ebbene, con la revisione eIDAS 2.0 è stata ampliata la tipologia di identificativi univoci che possono essere utilizzati.
Sarà infatti possibile utilizzare i cosiddetti “meccanismi di secondo livello” che sostengono la validità dell’identità attraverso informazioni già acquisite e non di nuova conoscenza.
Per esempio, sarà possibile utilizzare il codice identificativo sul retro del cf, oppure nuovi identificativi che verranno gestiti dal wallet che, pur garantendo l’identificazione delle informazioni, non saranno direttamente “identificabili” o “riferibili” in modo diretto a quella persona cui appartengono.
Innovazioni tecnologiche per la privacy: Selective Disclosure e Zero Knowledge Proof
Come si è detto, l’introduzione di nuove tecnologie per la protezione dei dati rappresenta un elemento centrale di eIDAS 2.0. Più nel dettaglio, tra le tecnologie per la protezione dei dati personali spiccano la Selective Disclosure (SD) e la Zero Knowledge Proof (ZKP), che innalzano significativamente il livello di tutela della privacy e consentono una gestione più flessibile e sicura dei dati.
Attraverso la Selective Disclosure, l’utente potrà decidere autonomamente quali informazioni condividere con i fornitori di servizi, aumentando così la consapevolezza della propria posizione e del controllo sui propri dati personali. Questo approccio, imprescindibile per l’European Digital Identity Wallet (EUDIW), permetterà di limitare la quantità di dati trasmessi, condividendo solo ciò che è strettamente necessario. Ciò non solo ridurrà il rischio di esposizione di informazioni sensibili, ma migliora anche la trasparenza del processo di identificazione.
La Zero Knowledge Proof consentirà invece all’utente di autenticarsi e fornire prove della propria identità senza rivelare i dettagli sensibili associati a tale identità. Ad esempio, un sistema potrebbe verificare che un utente è maggiorenne senza bisogno di conoscere la sua esatta data di nascita. Questo tipo di approccio eliminerà la possibilità di correlare le informazioni tra loro, proteggendo ulteriormente la privacy.
Conclusione
La revisione eIDAS 2.0 certamente rappresenta un passo avanti significativo verso un ecosistema digitale più sicuro e rispettoso della privacy. Le nuove regole introdotte, come la possibilità di identificarsi senza essere direttamente riconoscibili e la gestione selettiva delle informazioni, rafforzeranno la protezione dei dati personali e offrono maggiore autonomia agli utenti, mentre le innovazioni tecnologiche come la Selective Disclosure e la Zero Knowledge Proof contribuiranno ad aumentare la fiducia degli utenti nei sistemi di identificazione digitale.
In sintesi, l’evoluzione del quadro normativo europeo promossa da eIDAS 2.0 rende i processi di identificazione e gestione dei dati personali più sicuri, rispettosi della privacy e orientati all’autodeterminazione dell’individuo, consolidando l’equilibrio tra protezione dei dati e innovazione tecnologica nel contesto della data privacy.