REGOLAMENTO DI ESECUZIONE (UE) 2024/2982 DELLA COMMISSIONE, 28 novembre 2024
G.U.U.E. 4 dicembre 2024, Serie L
Regolamento recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i protocolli e le interfacce che devono essere supportati dal quadro europeo di identità digitale.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 24 dicembre 2024
Applicabile dal: 24 dicembre 2024
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 5 bis, paragrafo 23,
considerando quanto segue:
1) Il quadro europeo relativo a un'identità digitale istituito dal regolamento (UE) n. 910/2014 costituisce un componente essenziale per la creazione di un ecosistema per l'identità digitale sicuro e interoperabile in tutta l'Unione. Con i portafogli europei di identità digitale («portafogli») quali suo elemento fondamentale, il quadro mira a facilitare l'accesso ai servizi in tutti gli Stati membri, da parte di persone fisiche e giuridiche, garantendo nel contempo la protezione dei dati personali e della vita privata.
2) Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (2) e, se del caso, la direttiva 2002/58/CE del Parlamento europeo e del Consiglio (3) si applicano a tutte le attività di trattamento di dati personali ai sensi del presente regolamento.
3) L'articolo 5 bis, paragrafo 23, del regolamento (UE) n. 910/2014 incarica la Commissione, se necessario, di stabilire le specifiche e le procedure pertinenti. Tale obiettivo è conseguito mediante quattro regolamenti di esecuzione riguardanti protocolli e interfacce [regolamento di esecuzione (UE) 2024/2982 della Commissione (4)], integrità e funzionalità di base [regolamento di esecuzione (UE) 2024/2979 della Commissione (5)], dati di identificazione personale e attestati elettronici di attributi [regolamento di esecuzione (UE) 2024/2977 della Commissione (6)], nonché notifiche alla Commissione [regolamento di esecuzione (UE) 2024/2980 della Commissione (7)]. Il presente regolamento stabilisce i requisiti pertinenti per i protocolli e le interfacce.
4) La Commissione valuta periodicamente tecnologie, pratiche, norme o specifiche tecniche nuove. Al fine di garantire il massimo livello di armonizzazione tra gli Stati membri per lo sviluppo e la certificazione dei portafogli, le specifiche tecniche di cui al presente regolamento si fondano sul lavoro svolto sulla base della raccomandazione (UE) 2021/946 della Commissione, del 3 giugno 2021, relativa a un pacchetto di strumenti comuni dell'Unione per un approccio coordinato verso un quadro europeo relativo a un'identità digitale (8), in particolare l'architettura e il quadro di riferimento. Conformemente al considerando 75 del regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio (9), la Commissione dovrebbe riesaminare e aggiornare il presente regolamento di esecuzione, se necessario, per mantenerlo allineato agli sviluppi globali, all'architettura e al quadro di riferimento e per seguire le migliori pratiche nel mercato interno.
5) Al fine di garantire la trasparenza e l'affidabilità delle parti facenti affidamento sul portafoglio nei confronti degli utenti del portafoglio, i protocolli e le interfacce utilizzati dalle soluzioni di portafoglio dovrebbero fornire agli utenti del portafoglio un meccanismo affidabile per autenticare le parti facenti affidamento sul portafoglio e altre unità di portafoglio. Di contro, i fornitori di portafogli dovrebbero fornire un meccanismo per autenticare e convalidare le unità di portafoglio affinché le parti facenti affidamento sulla certificazione possano ricevere garanzie circa l'affidabilità e l'autenticità delle unità di portafoglio. Inoltre l'infrastruttura tecnica dei portafogli dovrebbe essere progettata altresì in modo tale da garantire che soltanto la quantità minima necessaria di dati sia trasferita alle sole parti facenti affidamento sulla certificazione autorizzate, mantenendo nel contempo l'impossibilità di creare collegamenti tra le diverse transazioni. Al fine di agevolare il rilascio di dati di identificazione personale e di attestati elettronici di attributi, tutte le soluzioni di portafoglio dovrebbero supportare una serie minima di protocolli e interfacce.
6) Al fine di garantire l'utilizzabilità delle soluzioni di portafoglio in tutti gli Stati membri, tutte le soluzioni di portafoglio dovrebbero supportare specifiche tecniche comuni quando i dati di identificazione personale e gli attestati elettronici di attributi sono presentati attraverso i portafogli alle parti facenti affidamento sulla certificazione, tanto in scenari remoti quanto in quelli di prossimità. Inoltre le unità di portafoglio possono supportare altri protocolli e altre interfacce per casi d'uso specifici.
7) Per garantire la protezione dei dati fin dalla progettazione e per impostazione predefinita, i portafogli dovrebbero essere dotati di diverse caratteristiche di rafforzamento della tutela della vita privata al fine di impedire ai fornitori di mezzi di identificazione elettronica e di attestati elettronici di attributi di combinare dati personali ottenuti quando forniscono altri servizi con i dati personali trattati per fornire i servizi che rientrano nell'ambito di applicazione del regolamento (UE) n. 910/2014. Come stabilito nel regolamento (UE) n. 910/2014, le parti facenti affidamento sulla certificazione non devono chiedere agli utenti di fornire dati diversi da quelli indicati per l'uso previsto dei portafogli durante il processo di registrazione. Gli utenti del portafoglio dovrebbero poter verificare i dati di registrazione delle parti facenti affidamento sulla certificazione in qualsiasi momento. Inoltre le unità di portafoglio dovrebbero essere in grado di far visualizzare agli utenti i certificati di registrazione delle parti facenti affidamento sul portafoglio, se disponibili, nell'ambito di una richiesta di attributi. Ciò dovrebbe consentire agli utenti del portafoglio di verificare che gli attributi richiesti dalla parte facente affidamento sul portafoglio rientrino nell'ambito di applicazione dei loro attributi registrati, a garanzia del fatto che la richiesta sia legittima e affidabile.
8) Al fine di proteggere i dati degli utenti del portafoglio, i fornitori di portafogli dovrebbero garantire che le unità di portafoglio convalidino le richieste delle parti facenti affidamento sul portafoglio o di altre unità di portafoglio prima di mettere a disposizione qualsiasi dato. Per lo stesso motivo e conformemente all'articolo 5 bis, paragrafo 4, lettera d), punto ii), del regolamento (UE) n. 910/2014, i fornitori di portafogli dovrebbero garantire che le unità di portafoglio consentano agli utenti del portafoglio di presentare richieste di cancellazione dei dati alle parti facenti affidamento sul portafoglio.
9) Al fine di consentire reazioni rapide in caso di preoccupazioni in materia di protezione dei dati relative all'articolo 5 bis, paragrafo 4, lettera d), punto iii), del regolamento (UE) n. 910/2014, i fornitori di portafogli dovrebbero garantire che le soluzioni di portafoglio forniscano meccanismi per la segnalazione di una parte facente affidamento sulla certificazione all'autorità nazionale di protezione dei dati competente. E' opportuno lasciare ai fornitori di portafogli e alle autorità di protezione dei dati un'adeguata flessibilità nell'istituzione di meccanismi adeguati per l'interazione con le autorità di protezione dei dati degli Stati membri.
10) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (10), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 30 settembre 2024.
11) Le misure di cui al presente regolamento sono conformi al parere del comitato di cui all'articolo 48 del regolamento (UE) n. 910/2014,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 257 del 28.8.2014, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
Regolamento di esecuzione (UE) 2024/2982 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i protocolli e le interfacce che devono essere supportati dal quadro europeo di identità digitale (GU L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).
Regolamento di esecuzione (UE) 2024/2979 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda l'integrità e le funzionalità di base dei portafogli europei di identità digitale (GU L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
Regolamento di esecuzione (UE) 2024/2977 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i dati di identificazione personale e gli attestati elettronici di attributi rilasciati ai portafogli europei di identità digitale (GU L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).
Regolamento di esecuzione (UE) 2024/2980 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le notifiche alla Commissione in relazione all'ecosistema dei portafogli europei di identità digitale (GU L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).
GU L 210 del 14.6.2021, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell'11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione del quadro europeo relativo a un'identità digitale (GU L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Oggetto e ambito di applicazione
Il presente regolamento stabilisce norme relative ai protocolli e alle interfacce delle soluzioni di portafoglio per:
1) il rilascio di dati di identificazione personale e di attestati elettronici di attributi alle unità di portafoglio;
2) la presentazione degli attributi dei dati di identificazione personale e degli attestati elettronici di attributi alle parti facenti affidamento sul portafoglio e ad altre unità di portafoglio;
3) la comunicazione delle richieste di cancellazione dei dati alle parti facenti affidamento sul portafoglio;
4) le segnalazioni delle parti facenti affidamento sul portafoglio alle autorità di controllo istituite a norma dell'articolo 51 del regolamento (UE) 2016/679;
da aggiornare periodicamente per tenere conto degli sviluppi tecnologici, della normazione e del lavoro svolto sulla base della raccomandazione (UE) 2021/946 della Commissione, in particolare dell'architettura e del quadro di riferimento.
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) «parte facente affidamento sul portafoglio»: una parte facente affidamento che intende fare affidamento sulle unità di portafoglio per la prestazione di servizi pubblici o privati mediante interazione digitale;
2) «utente del portafoglio»: un utente che ha il controllo dell'unità di portafoglio;
3) «soluzione di portafoglio»: una combinazione di software, hardware, servizi, impostazioni e configurazioni, comprese le istanze di portafoglio, una o più applicazioni crittografiche sicure per il portafoglio e uno o più dispositivi crittografici sicuri per il portafoglio;
4) «unità di portafoglio»: una configurazione unica di una soluzione di portafoglio che comprende istanze di portafoglio, applicazioni crittografiche sicure per il portafoglio e dispositivi crittografici sicuri per il portafoglio forniti da un fornitore del portafoglio a un singolo utente del portafoglio;
5) «fornitore del portafoglio»: una persona fisica o giuridica che fornisce soluzioni di portafoglio;
6) «istanza di portafoglio»: l'applicazione installata e configurata su un dispositivo o su un ambiente di un utente del portafoglio, che fa parte di un'unità di portafoglio, e che l'utente del portafoglio utilizza per interagire con l'unità di portafoglio;
7) «applicazione crittografica sicura per il portafoglio»: un'applicazione che gestisce risorse critiche tramite un collegamento alle funzioni crittografiche e non crittografiche fornite dal dispositivo crittografico sicuro per il portafoglio e l'uso di tali funzioni;
8) «dispositivo crittografico sicuro per il portafoglio»: un dispositivo resistente alle manomissioni che fornisce un ambiente collegato all'applicazione crittografica sicura per il portafoglio e da essa utilizzato per proteggere le risorse critiche e fornire funzioni crittografiche per l'esecuzione sicura di operazioni critiche;
9) «risorse critiche»: risorse all'interno di un'unità di portafoglio o ad essa relative, di importanza tale che un'eventuale compromissione della loro disponibilità, riservatezza o integrità avrebbe un effetto estremamente grave e debilitante sulla possibilità di fare affidamento sull'unità di portafoglio;
10) «certificato di accesso della parte facente affidamento sul portafoglio»: un certificato per sigilli elettronici o firme elettroniche che autenticano e convalidano la parte facente affidamento sul portafoglio, rilasciato da un fornitore di certificati di accesso della parte facente affidamento sul portafoglio;
11) «fornitore di certificati di accesso della parte facente affidamento sul portafoglio»: una persona fisica o giuridica incaricata da uno Stato membro di rilasciare certificati di accesso delle parti facenti affidamento alle parti facenti affidamento sul portafoglio registrate in tale Stato membro;
12) «attestato di unità di portafoglio»: un oggetto di dati che descrive i componenti dell'unità di portafoglio o consente la loro autenticazione e convalida;
13) «politica di divulgazione incorporata»: un insieme di norme, incorporato in un attestato elettronico di attributi dal suo fornitore, che indica le condizioni che una parte facente affidamento sul portafoglio deve soddisfare per accedere all'attestato elettronico di attributi;
14) «certificato di registrazione della parte facente affidamento sul portafoglio»: un oggetto di dati che indica gli attributi che la parte facente affidamento sulla certificazione ha registrato per richiederli agli utenti;
15) «fornitore di dati di identificazione personale»: la persona fisica o giuridica responsabile del rilascio e della revoca dei dati di identificazione personale e che garantisce che i dati di identificazione personale di un utente siano associati crittograficamente a un'unità di portafoglio;
16) «associazione crittografica»: il metodo per collegare i dati di identificazione personale o gli attestati elettronici di attributi alle unità di portafoglio mediante mezzi crittografici.
Disposizioni generali
Per quanto riguarda i protocolli e le interfacce di cui agli articoli 4 e 5, i fornitori di portafogli garantiscono che le unità di portafoglio:
1) autentichino e convalidino i certificati di accesso della parte facente affidamento sul portafoglio quando interagiscono con parti facenti affidamento sul portafoglio;
2) autentichino e convalidino gli attestati di unità di portafoglio di altre unità di portafoglio quando interagiscono con altre unità di portafoglio;
3) autentichino e convalidino le richieste presentate utilizzando certificati di accesso delle parti facenti affidamento sul portafoglio o attestati di unità di portafoglio provenienti da altre unità di portafoglio, se del caso;
4) autentichino e convalidino il certificato di registrazione della parte facente affidamento sul portafoglio, se del caso;
5) consentano agli utenti del portafoglio di visualizzare le informazioni contenute nei certificati di accesso della parte facente affidamento sul portafoglio o negli attestati di unità di portafoglio;
6) consentano agli utenti del portafoglio di visualizzare, se del caso, gli attributi che gli utenti del portafoglio sono invitati a presentare;
7) consentano agli utenti del portafoglio di visualizzare, se del caso, le informazioni contenute nel certificato di registrazione della parte facente affidamento sul portafoglio;
8) presentino gli attestati di unità di portafoglio dell'unità di portafoglio a parti facenti affidamento sul portafoglio o unità di portafoglio che ne fanno richiesta;
9) non presentino gli attributi richiesti alle parti facenti affidamento sul portafoglio o alle unità di portafoglio fino a quando non sono soddisfatti i requisiti seguenti:
a) verifica del fatto che l'applicazione crittografica sicura per il portafoglio abbia autenticato l'identità dell'utente del portafoglio;
b) verifica del fatto che le politiche di divulgazione incorporate siano state elaborate all'interno dell'unità di portafoglio conformemente all'articolo 11 del regolamento di esecuzione (UE) 2024/2979, se del caso;
c) verifica del fatto che gli utenti del portafoglio abbiano approvato parzialmente o integralmente la presentazione;
10) consentano tecniche di tutela della vita privata che garantiscano l'impossibilità di creare collegamenti nei casi in cui gli attestati elettronici di attributi non richiedono l'identificazione dell'utente del portafoglio al momento della presentazione degli attestati o dei dati di identificazione personale tra diverse parti facenti affidamento sul portafoglio.
Rilascio di dati di identificazione personale e attestati elettronici di attributi a unità di portafoglio
1. I fornitori di portafogli garantiscono che le soluzioni di portafoglio supportino protocolli e interfacce per il rilascio di dati di identificazione personale e attestati elettronici di attributi a unità di portafoglio.
2. I fornitori di portafogli garantiscono che le unità di portafoglio richiedano il rilascio di dati di identificazione personale e attestati elettronici di attributi soltanto da parti che dispongono di un certificato autentico e valido di accesso della parte facente affidamento sul portafoglio attestante che esse sono:
a) un fornitore di dati di identificazione personale;
b) un fornitore di attestati elettronici di attributi qualificati;
c) un fornitore di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto; o d) un fornitore di attestati elettronici di attributi non qualificati.
3. In relazione al rilascio di dati di identificazione personale e attestati elettronici di attributi a un'unità di portafoglio, i fornitori di portafogli garantiscono il soddisfacimento dei requisiti seguenti:
a) qualora gli utenti del portafoglio utilizzino la loro unità di portafoglio per richiedere il rilascio di dati di identificazione personale o di attestati elettronici di attributi da fornitori di dati di identificazione personale o da fornitori di attestati elettronici di attributi che consentono il rilascio di dati di identificazione personale o di attestati elettronici in più formati, l'unità di portafoglio richiede tale rilascio in tutti i formati di cui all'articolo 8 del regolamento di esecuzione (UE) 2024/2979 recante modalità di applicazione del regolamento (UE) n. 910/2014 per quanto riguarda l'integrità e le funzionalità di base dei portafogli europei di identità digitale;
b) qualora gli utenti del portafoglio utilizzino la loro unità di portafoglio per interagire con i fornitori di dati di identificazione personale o di attestati elettronici di attributi, le unità di portafoglio consentono l'autenticazione e la convalida dei componenti dell'unità di portafoglio presentando gli attestati di unità di portafoglio a tali fornitori su richiesta di questi ultimi;
c) le soluzioni di portafoglio supportano meccanismi che consentono ai fornitori di dati di identificazione personale di verificare il rilascio, la consegna e l'attivazione in conformità con i requisiti del livello di garanzia elevato di cui al regolamento di esecuzione (UE) 2015/1502 della Commissione (1);
d) le unità di portafoglio verificano l'autenticità e la validità dei dati di identificazione personale e degli attestati elettronici di attributi.
Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell'8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (GU L 235 del 9.9.2015, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).
Presentazione di attributi a parti facenti affidamento sul portafoglio
1. I fornitori di portafogli garantiscono che le soluzioni di portafoglio supportino protocolli e interfacce per la presentazione di attributi a parti facenti affidamento sul portafoglio, a distanza, e se opportuno in prossimità, conformemente alle norme di cui all'allegato.
2. I fornitori di portafogli garantiscono che, su richiesta degli utenti, le unità di portafoglio rispondano alle richieste autenticate e convalidate con successo delle parti facenti affidamento sul portafoglio di cui all'articolo 3, conformemente alle norme di cui all'allegato.
3. I fornitori di portafogli garantiscono che le unità di portafoglio supportino la dimostrazione del possesso di chiavi private corrispondenti alle chiavi pubbliche utilizzate nelle associazioni crittografiche.
4. I fornitori di portafogli garantiscono che le soluzioni di portafoglio supportino la divulgazione selettiva di attributi dei dati di identificazione personale e degli attestati elettronici di attributi.
5. I paragrafi da 1 a 4 si applicano mutatis mutandis alle interazioni tra due unità di portafoglio in prossimità.
Comunicazione di richieste di cancellazione di dati
1. I fornitori di portafogli garantiscono che le unità di portafoglio supportino protocolli e interfacce che consentano agli utenti del portafoglio di chiedere alle parti facenti affidamento sul portafoglio, con le quali hanno interagito attraverso tali unità di portafoglio, la cancellazione dei loro dati personali forniti attraverso tali unità di portafoglio, conformemente all'articolo 17 del regolamento (UE) 2016/679.
2. I protocolli e le interfacce di cui al paragrafo 1 consentono agli utenti del portafoglio di selezionare le parti facenti affidamento sul portafoglio a cui devono essere presentate le richieste di cancellazione di dati.
3. Le unità di portafoglio consentono all'utente del portafoglio di visualizzare le richieste di cancellazione di dati precedentemente presentate formulate attraverso tali unità di portafoglio.
Segnalazione di parti facenti affidamento sul portafoglio alle autorità di controllo istituite a norma dell'articolo 51 del regolamento (UE) 2016/679
1. I fornitori di portafogli garantiscono che le unità di portafoglio consentano agli utenti del portafoglio di segnalare facilmente le parti facenti affidamento sul portafoglio alle autorità di controllo istituite a norma dell'articolo 51 del regolamento (UE) 2016/679.
2. I fornitori di portafogli attuano i protocolli e le interfacce per la segnalazione di parti facenti affidamento sul portafoglio conformemente alle norme procedurali nazionali degli Stati membri.
3. I fornitori di portafogli garantiscono che le unità di portafoglio consentano agli utenti del portafoglio di motivare le segnalazioni, anche allegando informazioni pertinenti ai fini dell'identificazione delle parti facenti affidamento sul portafoglio e le dichiarazioni degli utenti di portafoglio in un formato leggibile meccanicamente.
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 28 novembre 2024
Per la Commissione
La presidente
URSULA VON DER LEYEN