La finalità delle identità digitali SPID ad uso lavorativo
Lo SPID per uso lavorativo ha lo scopo di identificare un professionista o provare l’appartenenza di una persona fisica ad un’azienda (persona giuridica) in fase di accesso e fruizione dei servizi in rete. Queste identità digitali sono disciplinate dalle Linee Guida AgID del 20 aprile 2020 per il rilascio delle identità ad uso professionale.
Pertanto, le identità ad uso professionale servono per accedere a quei i servizi destinati ai soggetti che agiscono con finalità riferibili all’attività lavorativa svolta.
Aziende e professionisti possono richiedere lo Spid online attraverso specifici sistemi accreditati dall’AgID, come TeamSystem ID abilitato Spid. In questo modo possono usufruire dei servizi delle PA e dell’imprese private comprovando l’appartenenza a una determinata organizzazione.
Le identità ad uso lavorativo non costituiscono prova dei poteri di rappresentanza di una persona giuridica dei quali una persona fisica sia eventualmente in possesso, né l’appartenenza di un professionista a un determinato ordine professionale o altro elenco qualificato.
Le diverse tipologie di identità digitali SPID
La normativa in materia di SPID prevede la possibilità di rilasciare le seguenti tipologie di identità digitale:
- Identità di tipo 1 “Identità digitale della persona fisica”: veicola solo i dati della persona fisica per l’uso personale da cittadino (ad oggi ne sono state rilasciate oltre 33 milioni);
- Identità di tipo 2 “Identità digitale della persona giuridica”: veicola solo i dati afferenti all’organizzazione persona giuridica (di scarsa utilità e quindi ad oggi scarsamente impiegata);
- Identità di tipo 3 “Identità digitale ad uso professionale della persona fisica”: veicola solo i dati della persona fisica, ma contiene un attributo che ne dichiara l’uso lavorativo in qualità di professionista o in generale di lavoratore autonomo;
- Identità di tipo 4 “Identità digitale ad uso professionale per la persona giuridica”: veicola i dati della persona fisica dipendente-collaboratore dell’azienda e li correla all’organizzazione-persona giuridica in favore dei quali opera per le attività lavorative.
L’identità di tipo 1 costituisce l’identità digitale gratuita del cittadino, che la usa per accedere ai servizi erogati da fornitori pubblici e privati per finalità personali.
L’identità di tipo 2 ha trovato scarsa applicazione, in quanto presenta il forte limite di veicolare solo i dati della persona giuridica. Questa caratteristica rende questo tipo di SPID poco utile ai fornitori di servizi che, invece, hanno quasi sempre bisogno di conoscere anche l’identità della persona fisica che sta accedendo al servizio.
Le identità di tipo 3 e 4 nascono per ovviare al limite dell’identità di tipo 2 e per dare quindi risposta all’esigenza di diversi fornitori pubblici e privati di realizzare servizi destinati a chi agisce per scopi professionali.
Si precisa che la normativa stabilisce che la fornitura da parte dei Gestori di Identità Digitale (Identity Provider – IdP) delle identità ad uso lavorativo non sia gratuita ma oggetto di contrattazione fra le parti.
L’identità digitale professionale di tipo 3 per i professionisti e i lavoratori autonomi
L’identità digitale di tipo 3 può essere adoperata per finalità lavorative da parte di tutti i lavoratori autonomi-professionisti dotati o meno di partita IVA.
Questa identità contiene un attributo che qualifica l’utilizzo professionale e quindi permette l’accesso a quei servizi erogati per i quali è previsto un livello di autorizzazione con SPID per l’uso professionale della persona fisica.
Si tratta quindi di un’identità particolarmente adatta ai lavoratori autonomi che vogliono qualificarsi presso i servizi online in veste professionale e non personale. Con questo tipo di identità in genere ci si può autenticare anche sui servizi che richiedono lo SPID di tipo 1 ad uso personale.
L’identità digitale aziendale di tipo 4 per i dipendenti-collaboratoti
L’identità digitale di tipo 4 rappresenta un caso d’uso operativo di grande interesse per le organizzazioni pubbliche e private in Italia.
Questa identità, infatti, può essere utilizzata per le attività lavorative svolte da dipendenti o collaboratori, a qualunque titolo, a favore della propria organizzazione persona giuridica (impresa, ente pubblico, studio professionale, ente del terzo settore, ecc.).
L’identità di tipo 4 consente, inoltre, di avere la certezza di chi sia la persona fisica che sta agendo nell’ambito di una specifica organizzazione.
Questa identità risolve anche un potenziale problema di utilizzo del servizio. Un datore di lavoro, infatti, può trovare ostacoli da parte dei dipendenti-collaboratori all’utilizzo della propria identità digitale di tipo 1 personale per scopi lavorativi; per ovviare a tale problema, quindi, l’organizzazione può dotare i propri dipendenti dell’identità digitale di tipo 4.
La natura e il ruolo dell’organizzazione nello SPID di tipo 4
Per comprendere la natura e il ruolo dell’organizzazione, è necessario partire dalla definizione di organizzazione persona giuridica fornita dall’Agenzia per l’Italia Digitale (AgID).
Per “organizzazione” si intende la persona giuridica che stipula un accordo con un Gestore dell’identità SPID (IdP) al fine del rilascio delle identità digitali di tipo 4 in favore di persone fisiche che agiscono in qualità dipendenti-collaboratori a nome o per conto dell’organizzazione stessa.
Nell’avviso n. 40 del 8 marzo 2022 l’AgID ha chiarito che per “persone giuridiche” si intendono organizzazioni unitarie, caratterizzate da una pluralità di individui o da un complesso di beni, che perseguono scopi leciti e determinati e sono riconosciute dallo Stato come soggetti di diritto. Secondo l’ordinamento giuridico italiano le persone giuridiche possono essere pubbliche o private, con o senza personalità giuridica.
Nel rilasciare l’identità digitale per uso professionale per la persona giuridica, i Gestori di identità digitale SPID sono tenuti ad acquisire adeguata documentazione che provi la qualità del dipendente o collaboratore del soggetto richiedente, come ad esempio un’attestazione dell’organizzazione persona giuridica.
L’organizzazione, oltre ad autorizzare il rilascio di questa tipologia di identità, acquisisce il diritto di richiederne la revoca per qualunque ragione.
L’organizzazione che richiede il rilascio di un’identità SPID professionale per un dipendente-collaboratore persona fisica che appartiene alla sua organizzazione è sempre tenuta a comunicare tempestivamente al gestore di identità digitale SPID qualsiasi variazione che incida sulla qualità di dipendente/collaboratore della persona giuridica stessa, ovvero ha il dovere di richiedere la revoca dell’identità di tipo 4 nel caso in cui il soggetto lasci l’organizzazione.
Le identità SPID di tipo 4 possono essere richieste mediante un Registration Authority Officer (RAO) e i suoi incaricati alla registrazione (IR) o mediante un accordo tra il Gestore dell’Identità e l’organizzazione a cui vengono delegate le attività di riconoscimento e registrazione dei dati identificativi ai fini dell’emissione dell’identità stessa.
Caso d’uso: l’Identity Provider e l’organizzazione sottoscrivono un accordo di delega
Molto interessante è il caso d’uso in cui il gestore dell’identità digitale (IdP) deleghi all’organizzazione (azienda, ente pubblico, studio professionale, ecc.) l’attività di riconoscimento e registrazione dei dati identificativi per il rilascio dell’identità digitale ad uso professionale per la persona giuridica.
Il gestore dell’identità digitale SPID, che demanda ad una organizzazione la verifica dell’identità dei propri dipendenti-collaboratori cui fornire l’identità digitale ad uso professionale per la persona giuridica, deve formalizzare l’impegno da parte dell’organizzazione al rispetto di tutti gli obblighi di legge
derivanti dal Regolamento UE per la protezione dai dati personali 2016/679 e, per quanto di competenza, degli obblighi afferenti alla verifica dell’identità del soggetto cui si rilascia tale identità digitale e alla registrazione dei suoi dati identificativi.
Al fine di rilasciare le identità SPID di tipo 4, le linee guida AgID hanno previsto che l’organizzazione dichiari al Gestore la creazione di due utenze distinte:
- l’utente di governo, che ha il compito di individuare le persone fisiche correlate all’organizzazione che possono ricevere tale identità digitale. Tale utente deve rendere disponibile al Gestore dell’identità IdP l’elenco dei soggetti eleggibili ad ottenere l’identità digitale ad uso professionale per la persona giuridica, indicando per ciascuno il codice fiscale e l’indirizzo di posta elettronica.
- l’utente di gestione, deputato ad eseguire le operazioni di riconoscimento e l’inserimento dei dati identificativi ai fini del rilascio di tali identità di tipo 4 correlate all’organizzazione.
Per l’emissione di queste identità digitali di tipo 4 vige il divieto assoluto per lo stesso operatore di operare sia in qualità di utente di governo che in qualità di utente di gestione. Inoltre, le credenziali di queste due utenze devono essere utilizzate esclusivamente dai legittimi titolari.
I fornitori di servizi devono dichiarare le finalità ad uso personale e/o lavorativo dei propri servizi
Viste le diverse tipologie di identità disponibili, è necessario che i fornitori definiscano con quali tipologie di identità digitale debba essere effettuato il processo di autenticazione ai propri servizi online.
I servizi erogati dai fornitori pubblici e privati si classificano in:
- servizi non professionali destinati ai cittadini, accessibili mediante lo SPID di tipo 1;
- servizi professionali per i quali è necessario conoscere solo gli attributi della persona giuridica, accessibili mediante lo SPID di tipo 2;
- servizi professionali per i quali è necessario conoscere solo gli attributi della persona fisica (che può essere o non essere dotata di una Partita IVA personale), accessibili mediante lo SPID di tipo 3;
- servizi professionali per i quali è necessario conoscere gli attributi della persona fisica e della persona giuridica per la quale questa opera in qualità di dipendente-collaboratore, accessibili mediante lo SPID di tipo 4.
Per una piena fruibilità dei sevizi in rete, è molto importante che i fornitori prevedano l’accesso ai propri servizi per ragioni di uso lavorativo con le identità digitali di tipo 3 e/o 4. Solo in questo modo si potrà ottenere una reale diffusione delle identità digitali in ambito lavorativo.