A seguito di un’articolata attività ispettiva, il Garante privacy ha accertato numerose violazioni del GDPR nella configurazione del servizio LepidaID (servizio di identità digitale SPID erogato da Lepida S.c.p.A., utilizzato per l’autenticazione ai servizi digitali della pubblica amministrazione e dei soggetti privati aderenti al sistema SPID), contestando in particolare un modello di gestione degli accessi ritenuto eccessivamente permissivo, l’assenza di adeguate misure di privacy by design e privacy by default, modalità non conformi di conservazione dei documenti e dei log, controlli insufficientemente automatizzati sulle banche dati autoritative e criticità nelle informazioni rese agli interessati.Le contestazioni hanno portato all’irrogazione di una sanzione amministrativa di 100.000 euro, pur in presenza di un quadro fattuale che coinvolgeva oltre 1,5 milioni di identità digitali e circa 7.000 operatori abilitati.Al di là dell’importo della sanzione, il provvedimento assume particolare rilievo perché afferma con forza che la conformità al GDPR non può essere affidata esclusivamente a procedure organizzative o istruzioni agli operatori, poiché deve essere necessariamente incorporata nella progettazione tecnica dei sistemi fin dalla loro origine.Ma pone, al tempo stesso, un interrogativo sul ruolo che il potere sanzionatorio è chiamato a svolgere nel dare concreta attuazione ai principi del GDPR.Indice degli argomenti