REGOLAMENTO DI ESECUZIONE (UE) 2024/2977 DELLA COMMISSIONE, 28 novembre 2024
G.U.U.E. 4 dicembre 2024, Serie L
Regolamento recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i dati di identificazione personale e gli attestati elettronici di attributi rilasciati ai portafogli europei di identità digitale.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 24 dicembre 2024
Applicabile dal: 24 dicembre 2024
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 5 bis, paragrafo 23,
considerando quanto segue:
1) Il quadro europeo relativo a un'identità digitale istituito dal regolamento (UE) n. 910/2014 costituisce un componente essenziale per la creazione di un ecosistema per l'identità digitale sicuro e interoperabile in tutta l'Unione. Con i portafogli europei di identità digitale («portafogli») quali suo elemento fondamentale, il quadro mira a facilitare l'accesso ai servizi in tutti gli Stati membri, garantendo nel contempo la protezione dei dati personali e della vita privata.
2) Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (2) e, se del caso, la direttiva 2002/58/CE del Parlamento europeo e del Consiglio (3) si applicano a tutte le attività di trattamento di dati personali ai sensi del presente regolamento.
3) L'articolo 5 bis, paragrafo 23, del regolamento (UE) n. 910/2014 incarica la Commissione, se necessario, di stabilire le specifiche e le procedure pertinenti. Tale obiettivo è conseguito mediante quattro regolamenti di esecuzione riguardanti protocolli e interfacce: regolamento di esecuzione (UE) 2024/2982 della Commissione (4), integrità e funzionalità di base: regolamento di esecuzione (UE) 2024/2979 della Commissione (5), dati di identificazione personale e attestati elettronici di attributi: regolamento di esecuzione (UE) 2024/2977 della Commissione (6), nonché notifiche alla Commissione: regolamento di esecuzione (UE) 2024/2980 della Commissione (7). Il presente regolamento stabilisce i requisiti pertinenti per i dati di identificazione personale e gli attestati elettronici di attributi da rilasciare ai portafogli europei di identità digitale.
4) La Commissione valuta periodicamente tecnologie, pratiche, norme o specifiche tecniche nuove. Al fine di garantire il massimo livello di armonizzazione tra gli Stati membri per lo sviluppo e la certificazione dei portafogli, le specifiche tecniche di cui al presente regolamento di esecuzione si fondano sul lavoro svolto sulla base della raccomandazione (UE) 2021/946 della Commissione, del 3 giugno 2021, relativa a un pacchetto di strumenti comuni dell'Unione per un approccio coordinato verso un quadro europeo relativo a un'identità digitale (8), in particolare l'architettura e il quadro di riferimento che ne fanno parte. Conformemente al considerando 75 del regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio (9), la Commissione dovrebbe riesaminare e aggiornare il presente regolamento di esecuzione, se necessario, per mantenerlo allineato agli sviluppi globali, all'architettura e al quadro di riferimento e per seguire le migliori pratiche nel mercato interno.
5) Per garantire la protezione dei dati fin dalla progettazione e per impostazione predefinita, i portafogli dovrebbero essere dotati di diverse caratteristiche di rafforzamento della tutela della vita privata al fine di impedire ai fornitori di mezzi di identificazione elettronica e di attestati elettronici di attributi di combinare dati personali ottenuti quando forniscono altri servizi con i dati personali trattati per fornire i servizi che rientrano nell'ambito di applicazione del regolamento (UE) n. 910/2014.
6) Per garantire l'armonizzazione, talune funzionalità comuni dovrebbero essere disponibili in tutti i portafogli, compresa la capacità di richiedere, ottenere, selezionare, combinare, conservare, cancellare, condividere e presentare in modo sicuro, sotto il controllo esclusivo dell'utente del portafoglio, dati di identificazione personale e attestati elettronici di attributi. Per garantire che i dati di identificazione personale e gli attestati elettronici di attributi possano essere trattati tramite ogni unità di portafoglio, le specifiche tecniche relative agli attributi dei dati di identificazione personale, al formato dei dati e all'infrastruttura necessaria per garantire l'adeguata affidabilità dei dati di identificazione personale devono essere supportate da tutte le soluzioni di portafoglio. Inoltre, specifiche comuni in relazione agli attributi dei dati di identificazione personale mirano a garantire che tali dati possano essere utilizzati per la corrispondenza dell'identità come richiesto.
7) Gli Stati membri sono tenuti a garantire che i portafogli siano in grado di autenticare parti facenti affidamento sulla certificazione, fornitori di dati di identificazione personale e fornitori di attestati elettronici di attributi indipendentemente dal luogo in cui sono stabiliti nell'Unione. Per conseguire tale obiettivo le suddette entità, quando si identificano nei confronti delle unità di portafoglio, dovrebbero utilizzare certificati di accesso della parte facente affidamento sul portafoglio. Per garantire l'interoperabilità di detti certificati su tutti i portafogli forniti all'interno dell'Unione, i certificati di accesso della parte facente affidamento sul portafoglio dovrebbero rispettare norme comuni. La Commissione, collaborando con gli Stati membri, dovrebbe monitorare attentamente lo sviluppo di norme nuove o alternative in base alle quali potrebbero essere strutturati i certificati di accesso della parte facente affidamento sul portafoglio. In particolare dovrebbero essere valutati i modelli di fiducia che hanno dimostrato la loro efficacia e sicurezza negli Stati membri.
8) Al fine di garantire la trasparenza nei confronti degli utenti del portafoglio, gli Stati membri dovrebbero pubblicare informazioni indicanti quali soluzioni di portafoglio sono supportate dai fornitori di dati di identificazione personale stabiliti nei loro territori. Poiché l'identità dell'utente dev'essere il più possibile affidabile, è opportuno imporre un livello di garanzia elevato comune per il controllo dell'identità degli utenti del portafoglio prima del rilascio di dati di identificazione personale, conformemente al livello di garanzia elevato come stabilito per i mezzi di identificazione elettronica ai sensi del regolamento (UE) n. 910/2014. In tal modo le unità di portafoglio garantiscono il livello massimo di affidabilità disponibile per i mezzi di identificazione in tutta l'Unione. Diversi processi sicuri sono possibili durante la registrazione degli utenti del portafoglio al livello di garanzia elevato, ad esempio, se è stato verificato che l'utente del portafoglio è in possesso di elementi di prova fotografici o biometrici riconosciuti ma non rilasciati dallo Stato membro nel quale è presentata la domanda del mezzo di identificazione elettronica e tali elementi di prova rappresentano l'identità dichiarata, detti elementi di prova dovrebbero essere controllati affinché una fonte autorevole pertinente ne stabilisca la validità.
9) Al fine di supportare l'interoperabilità, gli attestati elettronici di attributi dovrebbero essere conformi ai requisiti armonizzati in materia di formato.
10) Per proteggere i dati degli utenti del portafoglio e garantire l'autenticità degli attestati elettronici di attributi, i meccanismi per l'autenticazione dei fornitori di attestati elettronici di attributi e per la verifica dell'autenticità e della validità delle unità di portafoglio da parte di tali fornitori dovrebbero applicarsi prima del rilascio degli attestati alle unità di portafoglio.
11) Al fine di evitare l'uso dei dati di identificazione personale e degli attestati elettronici di attributi che hanno perso la loro validità giuridica dopo essere stati rilasciati a un'unità di portafoglio, e di evitare che si faccia affidamento su tali dati e attestati, i fornitori di dati di identificazione personale e di attestati elettronici di attributi dovrebbero pubblicare una politica che illustri le circostanze e le procedure per la revoca.
12) Per garantire che i dati di identificazione personale rappresentino in modo univoco l'utente del portafoglio, oltre agli attributi obbligatori nei dati di identificazione personale di cui al presente regolamento, gli Stati membri dovrebbero fornire gli attributi facoltativi necessari per garantire che l'insieme di dati di identificazione personale sia univoco.
13) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (10), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 30 settembre 2024.
14) Le misure di cui al presente regolamento sono conformi al parere del comitato di cui all'articolo 48 del regolamento (UE) n. 910/2014,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 257 del 28.8.2014, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
Regolamento di esecuzione (UE) 2024/2982 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i protocolli e le interfacce che devono essere supportati dal quadro europeo di identità digitale (GU L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).
Regolamento di esecuzione (UE) 2024/2979 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda l'integrità e le funzionalità di base dei portafogli europei di identità digitale (GU L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
Regolamento di esecuzione (UE) 2024/2977 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i dati di identificazione personale e gli attestati elettronici di attributi rilasciati ai portafogli europei di identità digitale (GU L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).
Regolamento di esecuzione (UE) 2024/2980 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le notifiche alla Commissione in relazione all'ecosistema dei portafogli europei di identità digitale (GU L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).
GU L 210 del 14.6.2021, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell'11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione del quadro europeo relativo a un'identità digitale (GU L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Oggetto e ambito di applicazione
Il presente regolamento stabilisce le norme per il rilascio di dati di identificazione personale e di attestati elettronici di attributi alle unità di portafoglio, da aggiornare periodicamente per tenere conto degli sviluppi tecnologici, della normazione e del lavoro svolto sulla base della raccomandazione (UE) 2021/946 della Commissione, in particolare dell'architettura e del quadro di riferimento.
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) «utente del portafoglio»: un utente che ha il controllo dell'unità di portafoglio;
2) «unità di portafoglio»: una configurazione unica di una soluzione di portafoglio che comprende istanze di portafoglio, applicazioni crittografiche sicure per il portafoglio e dispositivi crittografici sicuri per il portafoglio forniti da un fornitore del portafoglio a un singolo utente del portafoglio;
3) «soluzione di portafoglio»: una combinazione di software, hardware, servizi, impostazioni e configurazioni, comprese le istanze di portafoglio, una o più applicazioni crittografiche sicure per il portafoglio e uno o più dispositivi crittografici sicuri per il portafoglio;
4) «fornitore di dati di identificazione personale»: la persona fisica o giuridica responsabile del rilascio e della revoca dei dati di identificazione personale e che garantisce che i dati di identificazione personale di un utente siano associati crittograficamente a un'unità di portafoglio;
5) «attestato di unità di portafoglio»: un oggetto di dati che descrive i componenti dell'unità di portafoglio o consente la loro autenticazione e convalida;
6) «istanza di portafoglio»: l'applicazione installata e configurata su un dispositivo o su un ambiente di un utente del portafoglio, che fa parte di un'unità di portafoglio, e che l'utente del portafoglio utilizza per interagire con l'unità di portafoglio;
7) «applicazione crittografica sicura per il portafoglio»: un'applicazione che gestisce risorse critiche tramite un collegamento alle funzioni crittografiche e non crittografiche fornite dal dispositivo crittografico sicuro per il portafoglio e l'uso di tali funzioni;
8) «dispositivo crittografico sicuro per il portafoglio»: un dispositivo resistente alle manomissioni che fornisce un ambiente collegato all'applicazione crittografica sicura per il portafoglio e da essa utilizzato per proteggere le risorse critiche e fornire funzioni crittografiche per l'esecuzione sicura di operazioni critiche;
9) «fornitore del portafoglio»: una persona fisica o giuridica che fornisce soluzioni di portafoglio;
10) «risorse critiche»: risorse all'interno di un'unità di portafoglio o ad essa relative, di importanza tale che un'eventuale compromissione della loro disponibilità, riservatezza o integrità avrebbe un effetto estremamente grave e debilitante sulla possibilità di fare affidamento sull'unità di portafoglio;
11) «parte facente affidamento sul portafoglio»: una parte facente affidamento che intende fare affidamento sulle unità di portafoglio per la prestazione di servizi pubblici o privati mediante interazione digitale;
12) «certificato di accesso della parte facente affidamento sul portafoglio»: un certificato per sigilli elettronici o firme elettroniche che autenticano e convalidano la parte facente affidamento sul portafoglio, rilasciato da un fornitore di certificati di accesso della parte facente affidamento sul portafoglio;
13) «fornitore di certificati di accesso della parte facente affidamento sul portafoglio»: una persona fisica o giuridica incaricata da uno Stato membro di rilasciare certificati di accesso delle parti facenti affidamento alle parti facenti affidamento sul portafoglio registrate in tale Stato membro.
Rilascio di dati di identificazione personale a unità di portafoglio
1. I fornitori di dati di identificazione personale rilasciano dati di identificazione personale alle unità di portafoglio conformemente ai regimi di identificazione elettronica nel contesto dei quali le soluzioni di portafoglio sono fornite.
2. I fornitori di dati di identificazione personale garantiscono che i dati di identificazione personale rilasciati alle unità di portafoglio contengano le informazioni necessarie per l'autenticazione e la convalida dei dati di identificazione personale.
3. I fornitori di dati di identificazione personale garantiscono che i dati di identificazione personale rilasciati alle unità di portafoglio siano conformi alle specifiche tecniche di cui all'allegato.
4. Gli Stati membri provvedono affinché i dati di identificazione personale rilasciati a un determinato utente del portafoglio siano univoci per lo Stato membro.
5. I fornitori di dati di identificazione personale garantiscono che i dati di identificazione personale da essi rilasciati siano associati crittograficamente all'unità di portafoglio a cui sono rilasciati.
6. Gli Stati membri rendono pubblicamente disponibile un elenco delle soluzioni di portafoglio supportate da fornitori di dati di identificazione personale che fanno parte dei regimi di identificazione elettronica dello Stato membro in questione.
7. Gli Stati membri registrano gli utenti del portafoglio conformemente ai requisiti relativi alla registrazione al livello di garanzia elevato di cui al regolamento di esecuzione (UE) 2015/1502 della Commissione (1). Nel contesto del processo di registrazione, i fornitori di dati di identificazione personale effettuano la verifica dell'identità dell'utente del portafoglio conformemente ai requisiti relativi al controllo dell'identità e alla verifica prima di rilasciare i dati di identificazione personale all'unità di portafoglio dell'utente del portafoglio corrispondente.
8. Quando rilasciano dati di identificazione personale a unità di portafoglio, i fornitori di dati di identificazione personale si identificano nei confronti delle unità di portafoglio utilizzando il loro certificato di accesso della parte facente affidamento sul portafoglio oppure utilizzando un altro meccanismo di autenticazione conformemente ad un regime di identificazione elettronica notificato al livello di garanzia elevato.
9. Prima di rilasciare dati di identificazione personale a un'unità di portafoglio, i fornitori di dati di identificazione personale autenticano e convalidano l'attestato di unità di portafoglio dell'unità di portafoglio e verificano che l'unità di portafoglio appartenga a una soluzione di portafoglio accettata dal fornitore di dati di identificazione personale oppure utilizzano un altro meccanismo di autenticazione conformemente ad un regime di identificazione elettronica notificato al livello di garanzia elevato.
Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell'8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (GU L 235 del 9.9.2015, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).
Rilascio di attestati elettronici di attributi a unità di portafoglio
1. Gli attestati elettronici di attributi rilasciati a unità di portafoglio sono conformi ad almeno una delle norme dell'elenco di cui all'allegato I del regolamento di esecuzione (UE) 2024/2979 della Commissione.
2. I fornitori di attestati elettronici di attributi si identificano nei confronti delle unità di portafoglio utilizzando il loro certificato di accesso della parte facente affidamento sul portafoglio.
3. I fornitori di attestati elettronici di attributi garantiscono che gli attestati elettronici di attributi rilasciati a unità di portafoglio contengano le informazioni necessarie per l'autenticazione e la convalida di tali attestati elettronici di attributi.
Revoca dei dati di identificazione personale
1. I fornitori di dati di identificazione personale rilasciati a un'unità di portafoglio dispongono di politiche scritte e accessibili al pubblico relative alla gestione dello stato della validità, comprese, se del caso, le condizioni alle quali tali dati di identificazione personale possono essere revocati senza indugio.
2. Soltanto i fornitori di dati di identificazione personale o di attestati elettronici di attributi possono revocare i dati di identificazione personale o gli attestati elettronici di attributi da essi rilasciati.
3. Qualora abbiano revocato i dati di identificazione personale, i fornitori di dati di identificazione personale, entro 24 ore dalla revoca, informano attraverso canali dedicati e sicuri gli utenti del portafoglio interessati da tali dati di identificazione personale, indicando altresì i motivi della revoca. Ciò avviene in maniera concisa, facilmente accessibile e utilizzando un linguaggio semplice e chiaro.
4. Qualora revochino dati di identificazione personale rilasciati a unità di portafoglio, i fornitori di dati di identificazione personale procedono in tal senso in ciascuna delle circostanze seguenti:
a) su richiesta esplicita dell'utente del portafoglio alla cui unità di portafoglio sono stati rilasciati i dati di identificazione personale o l'attestato elettronico di attributi;
b) qualora l'attestato di unità di portafoglio a cui sono stati rilasciati i dati di identificazione personale sia stato revocato;
c) in altre situazioni determinate dai fornitori di dati di identificazione personale o di attestati elettronici di attributi nelle loro politiche di cui al paragrafo 1.
5. I fornitori di dati di identificazione personale rilasciati a un'unità di portafoglio garantiscono che le revoche non possano essere annullate.
6. I dati di identificazione personale revocati rimangono accessibili per il tempo previsto dal diritto dell'Unione o dal diritto nazionale.
7. Qualora revochino dati di identificazione personale rilasciati a unità di portafoglio, i fornitori di dati di identificazione personale rendono pubblicamente disponibili lo stato di validità dei dati di identificazione personale da essi rilasciati, secondo modalità tali da tutelare la vita privata, e indicano l'ubicazione di tali informazioni nei dati di identificazione personale.
8. I fornitori di dati di identificazione personale rendono possibili tecniche di tutela della vita privata che impediscono i collegamenti laddove gli attestati elettronici di attributi non richiedano l'identificazione dell'utente.
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 28 novembre 2024
Per la Commissione
La presidente
URSULA VON DER LEYEN