MODALITA’ DI IMPIEGO DELLA CARTA DI IDENTITA’ ELETTRONICA. DECRETO 8 settembre 2022
redazione@quotidianolegale.it
MODALITA’ DI IMPIEGO DELLA CARTA DI IDENTITA’ ELETTRONICA.
MINISTERO DELL’INTERNO
DECRETO 8 settembre 2022
Modalita' di impiego della carta di identita' elettronica. (22A05639)
(GU n.233 del 5-10-2022)
IL MINISTRO DELL'INTERNO,
IL MINISTRO
PER L'INNOVAZIONE TECNOLOGICA
E LA TRANSIZIONE DIGITALE
e
IL MINISTRO DELL'ECONOMIA
E DELLE FINANZE
Visto l'art. 3 del regio decreto 18 giugno 1931, n. 773, testo
unico delle leggi di pubblica sicurezza, di seguito TULPS, ed il
relativo regolamento di esecuzione del 6 maggio 1940, n. 635;
Vista la legge 13 luglio 1966, n. 559 e in particolare l'art. 2,
comma 8;
Visto il decreto-legge 31 gennaio 2005, n. 7, convertito con
modificazioni in legge 31 marzo 2005, n. 43;
Visto il decreto legislativo 7 marzo 2005, n. 82, e successive
modificazioni, recante «Codice dell'amministrazione digitale» e, in
particolare, l'art. 66, comma 6 e l'art. 64, comma 2-quater;
Visto il decreto del Ministro dell'interno 23 aprile 2002,
istitutivo del Centro nazionale per i servizi demografici presso il
Dipartimento per gli affari interni e territoriali - Direzione
centrale per i servizi demografici;
Visto il decreto del Presidente del Consiglio dei ministri 10
novembre 2014, n. 194, recante «modalita' di attuazione e di
funzionamento dell'Anagrafe nazionale della popolazione residente
(ANPR) e di definizione del piano per il graduale subentro dell'ANPR
alle anagrafi della popolazione residente»;
Visto l'art. 7-vicies ter del decreto-legge 31 gennaio 2005, n. 7,
convertito con modificazioni dalla legge 31 marzo 2005, n. 43 che
prevede che l'emissione della carta d'identita' elettronica e'
riservata al Ministero dell'interno che vi provvede nel rispetto
delle norme di sicurezza in materia di carte valori, di documenti di
sicurezza della Repubblica e degli standard internazionali di
sicurezza;
Visto l'art. 10, comma 6, del decreto-legge n. 78 del 2015,
convertito con modificazioni, dalla legge del 6 agosto 2015, n. 125
che ha previsto lo stanziamento dei fondi a copertura degli oneri
derivanti dall'attuazione della carta di identita' elettronica;
Vista la direttiva (UE) 2015/1535 del Parlamento europeo e del
Consiglio, del 9 settembre 2015, attuata dal decreto legislativo 15
dicembre 2017, n. 223, recante una procedura d'informazione nel
settore delle regolamentazioni tecniche e delle regole relative ai
servizi della societa' dell'informazione;
Vista la legge 1° aprile 1999, n. 91, recante «Disposizioni in
materia di prelievi e di trapianti di organi e di tessuti»;
Visto il decreto del Ministro della sanita' dell'8 aprile 2000,
recante «Disposizioni in materia di prelievi e di trapianti di organi
e di tessuti, attuativo delle prescrizioni relative alla
dichiarazione di volonta' dei cittadini sulla donazione di organi a
scopo di trapianto», come modificato dal decreto del Ministro della
salute dell'11 marzo 2008;
Visto il decreto del Ministero della salute 20 agosto 2019, n. 130,
recante «disciplina degli obiettivi, delle funzioni e della struttura
del Sistema informativo trapianti (SIT) e del Registro nazionale dei
donatori di cellule riproduttive a scopi di procreazione medicalmente
assistita di tipo eterologo»;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati);
Visto il decreto legislativo 30 giugno 2003, n. 196, recante
«Codice per la protezione dei dati personali», come modificato dal
decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per
l'adeguamento della normativa nazionale alle disposizioni del
regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del
27 aprile 2016, relativo alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati)»;
Visto il decreto del Ministero dell'economia e delle finanze 23
dicembre 2013 recante «Individuazione delle carte valori ai sensi
dell'art. 2, comma 10-bis, lettere a) e b) della legge 13 luglio
1966, n. 559 e successive modificazioni e integrazioni»;
Visto il decreto del Presidente del Consiglio dei ministri del 22
febbraio 2013 recante «Regole tecniche in materia di generazione,
apposizione e verifica delle firme elettroniche avanzate, qualificate
e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28,
comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71»;
Visto in particolare l'art. 61, comma 2 del decreto del Presidente
del Consiglio dei ministri 22 febbraio 2013 che prescrive che
«l'utilizzo della Carta d'identita' elettronica, [omissis]
sostituisce, nei confronti della pubblica amministrazione, la firma
elettronica avanzata ai sensi delle presenti regole tecniche per i
servizi e le attivita' di cui agli articoli 64 e 65 del CAD»;
Visto il decreto-legge 16 luglio 2020, n. 76 recante «Misure
urgenti per la semplificazione e l'innovazione digitali» (decreto
semplificazioni) convertito con modificazioni in legge 11 settembre
2020, n. 120 e in particolare l'art. 24;
Visto il decreto legislativo 7 marzo 2005, n. 82 «Codice
dell'amministrazione digitale» e in particolare l'art. 64 laddove
prevede che l'accesso ai servizi in rete erogati dalle pubbliche
amministrazioni che richiedono identificazione informatica avviene
tramite la carta di identita' elettronica e che ai fini
dell'erogazione dei propri servizi in rete e' altresi' riconosciuta
ai soggetti privati la facolta' di avvalersi della carta di identita'
elettronica;
Visto l'art. 66, comma 6 del citato decreto legislativo 7 marzo
2005, n. 82 che stabilisce che con decreto del Ministro dell'interno,
del Ministro per l'innovazione e le tecnologie e del Ministro
dell'economia e delle finanze, sentito il Garante per la protezione
dei dati personali e d'intesa con la Conferenza unificata di cui
all'art. 8 del decreto legislativo 28 agosto 1997, n. 281, sono
dettate le regole tecniche e di sicurezza relative alle tecnologie e
ai materiali utilizzati per la produzione della carta di identita'
elettronica, del documento di identita' elettronico e della carta
nazionale dei servizi, nonche' le modalita' di impiego;
Visto il decreto del Ministero dell'interno 23 dicembre 2015
recante «Modalita' tecniche di emissione della Carta d'identita'
elettronica»;
Acquisita l'approvazione della Commissione interministeriale
permanente della CIE di cui all'art. 9, comma 2 del decreto
ministeriale 23 dicembre 2015;
Sentito il Centro nazionale trapianti dell'Istituto superiore di
sanita';
Sentito il Garante per la protezione dei dati personali che si e'
espresso con parere n. 247 del 7 luglio 2022;
Sentita la Conferenza unificata di cui all'art. 8 del decreto
legislativo 28 agosto 1997, n. 281 in data 3 agosto 2022;
Decreta:
Art. 1
Definizioni
1. Ai sensi del presente decreto si intende per:
a) «Aggregato»: soggetto pubblico o privato che rende disponibile
l'accesso a propri servizi tramite un soggetto aggregatore;
b) «Aggregatore»: soggetto pubblico o privato che rende
disponibile l'infrastruttura necessaria a consentire ai soggetti
aggregati l'erogazione dei loro servizi online tramite la CIE;
c) «ANPR»: l'Anagrafe nazionale della popolazione residente, di
cui all'art. 62 del CAD;
d) «Attributi identificativi»: gli attributi personali previsti
dal presente decreto che consentono la piena fruizione dei servizi in
rete;
e) «Autenticazione informatica»: un processo elettronico che
consente di confermare l'identificazione elettronica di una persona
fisica o giuridica tramite la CIEId, ai sensi dell'art. 64 del CAD,
finalizzata all'accesso ai servizi erogati in rete dai soggetti
pubblici e dai soggetti privati, sia in ambito nazionale che europeo,
in conformita' alle prescrizioni del regolamento UE n. 910/2014;
f) «CAD»: il Codice dell'amministrazione digitale di cui al
decreto legislativo 7 marzo 2005, n. 82, e successive modifiche;
g) «CIE»: il documento d'identita' personale rilasciato dal
Ministero dell'interno denominato «Carta d'identita' elettronica»;
h) «CIEId»: l'identita' digitale rilasciata al cittadino e
associata alla CIE;
i) «credenziali»: gli strumenti utilizzati per l'autenticazione
ai servizi in rete che, in conformita' al regolamento eIDAS,
determinano il livello basso (livello 1), significativo (livello 2)
ed elevato (livello 3) delle identita' digitali;
j) «domicilio digitale»: il domicilio digitale definito all'art.
1, comma 1, lettera n-ter) del CAD;
k) «Firma elettronica avanzata»: la firma elettronica avanzata
conforme al regolamento UE 910/2014 e al decreto del Presidente del
Consiglio dei ministri sulle firme;
l) «Fornitori di servizi» (FdS): ai fini del presente decreto,
sono i soggetti pubblici e privati, gli aggregatori e i gestori di
servizi pubblici che consentono direttamente o indirettamente
l'accesso ai servizi online tramite la CIEId a persone fisiche o
giuridiche;
m) «Gestore dell'identita' digitale»: il soggetto che rende
disponibile e gestisce l'identita' digitale CIEId;
n) «Gestori di servizi pubblici»: le societa' quotate, in
relazione ai servizi di pubblico interesse (art. 2, comma 2, lettera
b) del CAD) e le societa' a controllo pubblico, come definite nel
decreto legislativo 19 agosto 2016, n. 175 (art. 2, comma 2, lettera
c) del CAD) che richiedono il riconoscimento dello status di
aggregatore per l'esercizio dei servizi di pubblico interesse alle
stesse affidati;
o) «IdANPR»: l'identificativo univoco del cittadino assegnatogli
dalla ANPR;
p) «Identita' digitale»: la rappresentazione informatica della
corrispondenza biunivoca tra un utente e i suoi attributi
identificativi, verificata attraverso l'insieme dei dati raccolti e
registrati in forma digitale secondo le modalita' di cui al presente
decreto;
q) «IPZS» o «Poligrafico»: il Poligrafico e Zecca dello Stato
S.p.a.;
r) «Ministero»: il Ministero dell'interno;
s) «NIS»: il numero univoco casuale associato alla carta,
memorizzato nel chip e leggibile liberamente;
t) «Numero unico nazionale»: numero di serie del documento avente
il seguente formato: due lettere - cinque numeri - due lettere (es.
CA00000AA);
u) «PIN»: il codice segreto personale, modificabile dal
cittadino, necessario per fruire dei servizi che richiedono
l'autenticazione in rete o per l'apposizione di una firma
elettronica;
v) «Portale dell'identita' del cittadino»: piattaforma
informatica che consente al cittadino la gestione della propria
identita' digitale CIEId;
w) «Portale di federazione»: piattaforma informatica che consente
a un FdS di aderire allo schema di autenticazione CIE mediante
procedura automatizzata e agli aggregatori di inserire nella
federazione i soggetti aggregati;
x) «Portale»: il sito web istituzionale e informativo della CIE;
y) «PUK»: il codice personale non modificabile di sblocco
necessario alla riattivazione del PIN a seguito di relativo blocco;
z) «Regolamento eIDAS»: il regolamento (UE) n. 910/2014 del
Parlamento europeo e del Consiglio del 23 luglio 2014;
aa) «Soggetto privato»: persona giuridica non rientrante nella
definizione di «soggetto pubblico» che utilizza l'identita' digitale
CIEId;
bb) «Soggetto pubblico»: le pubbliche amministrazioni di cui
all'art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165,
nel rispetto del riparto di competenza di cui all'art. 117 della
Costituzione, ivi comprese le autorita' di sistema portuale, nonche'
le autorita' amministrative indipendenti di garanzia, vigilanza e
regolazione» (art. 2, comma 2, lettera a) del CAD), e i gestori di
servizi pubblici;
cc) «Sistema informativo dei trapianti» o «SIT», il sistema
istituito nell'ambito del Sistema informativo sanitario nazionale in
base all'art. 7 della legge 1° aprile 1999, n. 91, che consente la
raccolta, in un'unica banca dati, delle manifestazioni di volonta' in
tema di donazione degli organi e tessuti espresse dai cittadini;
dd) servizio in rete o on-line: qualsiasi servizio della societa'
dell'informazione definiti dall'art. 2, comma 1, lettera a), del
decreto legislativo 9 aprile 2003, n. 70, o dei servizi di
un'amministrazione o di un ente pubblico erogati agli utenti
attraverso sistemi informativi accessibili in rete.
Art. 2
Oggetto
1. Il presente decreto definisce le modalita' di impiego e di
gestione dell'identita' digitale rilasciata al cittadino e associata
alla CIE quale strumento di accesso ai servizi erogati in rete dalle
pubbliche amministrazioni e dai privati che integra un regime di
identificazione elettronica ai sensi del regolamento eIDAS. Il
decreto definisce, inoltre, i dati personali, di contatto o comunque
strumentali alla fruizione dei servizi in rete da parte dei
cittadini.
Art. 3
L'identita' digitale CIE (CIEId)
1. L'identita' digitale CIE (CIEId) consente la rappresentazione
informatica della corrispondenza tra un utente e i suoi attributi
identificativi, ai sensi del CAD, verificata attraverso l'insieme dei
dati raccolti e registrati in forma digitale al momento del rilascio
della CIE o tramite il suo utilizzo, secondo le modalita' previste
nel presente decreto. La CIEId e' comprovata dal cittadino attraverso
l'uso della CIE o delle credenziali rilasciate dal Ministero ai sensi
dell'art. 7, comma 1, lettera l) ed e' costituita da tali strumenti e
dai dati di cui all'art. 6 del presente decreto.
Art. 4
Le credenziali della identita' digitale CIE
1. La CIEId prevede l'utilizzo di tre diversi livelli di sicurezza
di autenticazione informatica per l'accesso ai servizi in rete,
rispettivamente di livello 1, 2 e 3, corrispondenti ai livelli basso,
significativo ed elevato del regolamento eIDAS.
2. Le credenziali di livello 1 sono basate su un singolo fattore di
autenticazione basato su conoscenza, possesso, o inerenza.
3. Le credenziali di livello 2 sono basate su un doppio fattore di
autenticazione scelti fra conoscenza, possesso, inerenza.
4. Le credenziali di livello 3, sono basate sull'uso materiale
della CIE (possesso) e un fattore di autenticazione fra conoscenza e
inerenza.
5. Le caratteristiche e le funzionalita' delle credenziali di cui
ai commi 2, 3, 4 sono descritte in un manuale pubblicato sul portale
ove e' pubblicata anche una guida utente.
6. Il Ministero effettua una valutazione d'impatto sulla protezione
dei dati ai sensi dell'art. 35 del regolamento (UE) 2016/679, da
sottoporre alla consultazione preventiva del Garante per la
protezione dei dati personali, nella quale sono individuate le misure
adeguate a rispettare il regolamento e il codice per la protezione
dei dati personali.
Art. 5
Fornitori di servizi e aggregatori
1. Possono integrare l'accesso ai servizi con CIEId, alle
condizioni e con le modalita' rese note dal Ministero sul portale, i
FdS di cui all'art. 1, comma 1, lettera l).
2. Non possono aderire alla federazione i soggetti privati il cui
rappresentante legale o i soggetti preposti all'amministrazione o i
componenti dell'organo preposto al controllo della societa' risultino
condannati con sentenza passata in giudicato per reati commessi a
mezzo di sistemi informatici.
3. La verifica della sussistenza delle predette cause ostative e'
svolta dal Ministero nel corso di una specifica istruttoria, al
termine della quale, in assenza di cause ostative, il Poligrafico
provvedera' alla verifica dei requisiti tecnici necessari.
4. Nel caso in cui i FdS privati siano gia' stati ammessi dalla
Agenzia per l'Italia digitale alla federazione SPID, le verifiche di
cui al comma 3 sono limitate ai requisiti tecnici.
Art. 6
Acquisizione dei dati personali del cittadino
1. L'attivazione delle credenziali di livello 1, 2 e 3 puo' essere
effettuata con le modalita' descritte nel manuale di cui all'art. 4,
comma 5. In tale fase sono raccolte le seguenti informazioni, oggetto
di trattamento necessario da parte del gestore per l'esecuzione del
compito di interesse pubblico, del richiedente la CIEId e alla stessa
associate:
a. Nome;
b. Cognome;
c. Codice fiscale;
d. Data di nascita;
e. Luogo di nascita;
f. Sesso;
g. Estremi della carta d'identita';
h. IdANPR (prelevato da ANPR se disponibile);
i. Numero di telefonia mobile;
j. Indirizzo di posta elettronica;
k. Residenza anagrafica;
l. Domicilio digitale (facoltativo);
m. Numero di telefonia fissa (facoltativo).
Il domicilio digitale, se disponibile su ANPR, viene proposto al
cittadino, che puo' accettarlo o richiedere che non sia associato
alla propria identita'. Se il cittadino accetta di associare il
domicilio digitale alla propria identita', questo e' mantenuto
allineato con il dato presente sulla ANPR.
Qualora il dato di cui alla lettera k) sia prelevabile dalla ANPR,
non e' richiesto al cittadino.
2. Il sistema provvede a verificare l'effettiva disponibilita' del
numero di telefonia mobile e dell'indirizzo di posta elettronica da
parte del richiedente nei modi descritti nel manuale di cui all'art.
4, comma 5. Tali dati possono essere usati anche per l'invio da parte
del Ministero di informazioni istituzionali afferenti all'identita'
del cittadino, alla sua gestione e per informare il titolare in
merito a nuove funzionalita', salvo che il cittadino abbia richiesto
di non riceverle tramite il portale dell'identita' del cittadino.
3. Gli attributi identificativi richiesti dal FdS, fra quelli di
cui al comma 1, sono forniti al FdS che li richiede durante il
processo di autenticazione con la CIEId.
4. I FdS e i soggetti aggregatori, nel rispetto del principio di
privacy by design e di minimizzazione dei dati, devono limitare la
richiesta di dati al set minimo necessario per l'erogazione di
ciascun servizio.
Art. 7
Funzioni del Ministero dell'interno
1. Il Ministero, Dipartimento per gli affari interni e territoriali
- Direzione centrale per i servizi demografici, assicura il supporto
necessario ai comuni e agli uffici consolari per il corretto
espletamento delle attivita' connesse all'attuazione del presente
decreto. Il Ministero mette a disposizione, avvalendosi del
Poligrafico, quanto segue:
a) l'identita' digitale CIEId;
b) le funzioni di autenticazione con la CIEId;
c) il portale di federazione per i FdS;
d) il portale dell'identita' del cittadino CIEId, per la sua
gestione da parte del cittadino;
e) il sistema di gestione del NIS per l'utilizzo della CIE;
f) i servizi per il recupero del PUK della CIE;
g) un software per generare la firma elettronica avanzata con la
CIE e la sua verifica;
h) un servizio di help desk per il cittadino e per i FdS;
i) un registro contenente lo storico delle transazioni di
utilizzo della propria CIEId e delle funzionalita' di cui alle
lettere a), b), d), f) ed l);
l) le credenziali di autenticazione di livello basso (livello 1)
e significativo (livello 2) conformi a quanto previsto dal
regolamento di esecuzione (UE) 2015/1502 della Commissione dell'8
settembre 2015;
m) un servizio di assistenza tecnica ai comuni e agli uffici
consolari per l'espletamento delle attivita' di cui all'art. 8 del
presente decreto.
Art. 8
Funzioni dei comuni e degli uffici consolari
1. I comuni e gli uffici consolari informano i richiedenti la CIE
che si recano presso i loro uffici in merito alla facolta' di
attivare le credenziali di autenticazione di cui al comma 1, lettera
l) dell'art. 7 e raccolgono i dati personali di cui all'art. 6 del
presente decreto.
Art. 9
Funzioni di IPZS
1. Considerata la natura di carta valori della carta di identita',
Il Ministero si avvale di IPZS per adempiere alle funzioni di cui
all'art. 7 e all'art. 11.
2. IPZS provvede alla realizzazione e all'esercizio delle soluzioni
individuate dal Ministero ed approvate in sede di Commissione
interministeriale permanente della CIE di cui all'art. 9, comma 2 del
decreto ministeriale 23 dicembre 2015, per estendere servizi e
funzionalita' di cui all'art. 7 e all'art. 11.
3. Per lo svolgimento delle attivita' connesse all'attuazione del
presente decreto, IPZS fornisce alla Direzione centrale per i servizi
demografici ed al personale addetto, adeguata documentazione,
formazione del relativo personale e supporto tecnico.
Art. 10
L'uso della CIEId da parte dei FdS
1. L'accesso per il tramite della CIEId ai servizi erogati in rete
dai FdS e' possibile mediante un sistema informatico, denominato
«CieID Server», reso disponibile in rete dal Ministero dell'interno.
2. Al fine di rendere accessibili i propri servizi online, i
soggetti pubblici e privati implementano quanto disposto nei manuali
operativi per le pubbliche amministrazioni e i soggetti privati
pubblicati a cura del Ministero dell'interno sul portale Federazione
erogatori servizi (interno.gov.it) e su Docs Italia.
3. Il Ministero dell'interno ha facolta' di interdire ai FdS e ai
soggetti aggregatori l'accesso al «CieID Server» in caso di
violazione del presente decreto o delle regole tecniche da parte
dell'aderente, per sopravvenute cause ostative di cui all'art. 5,
comma 2, a causa di comportamenti che costituiscono una minaccia alla
protezione dei dati personali o alla sicurezza informatica.
4. «CieID Server» riceve con la richiesta di autenticazione da
parte del FdS l'elenco degli attributi identificativi necessari per
l'accesso al servizio. Effettuata l'autenticazione, fornisce al FdS
gli attributi identificativi richiesti ai sensi dell'art. 6.
Art. 11
L'uso della CIEId da parte dei minorenni
1. L'accesso ai servizi in rete da parte dei minorenni e' gestito
dal CieID Server in modo da agevolare il controllo genitoriale
finalizzato a verificare il corretto utilizzo dei servizi in rete da
parte dei minorenni sotto la propria tutela. A tal fine, con apposito
provvedimento, sentito il Garante per la protezione dei dati
personali, il Ministero individua le funzionalita' necessarie e le
misure a tutela degli interessati e ne affida lo sviluppo e
l'esercizio a IPZS.
Art. 12
Integrazione con la ANPR
1. Il sistema e' connesso alla ANPR al fine di ricevere
giornalmente i dati afferenti ai soggetti deceduti e procedere al
blocco tempestivo della CIEId. Tali dati sono conservati per il tempo
strettamente necessario a eseguire la revoca delle CIEId intestate a
tali soggetti.
2. La ANPR e' connessa al sistema anche al fine di assicurare
l'aggiornamento delle informazioni relative alla residenza
anagrafica, all'identificativo univoco del cittadino (IdANPR) e al
domicilio digitale del cittadino ove presente.
Art. 13
Il registro degli accessi
1. Al fine di consentire ai cittadini di avere evidenza dell'uso
della propria CIEId, di tutelarli dall'uso illecito da parte di terzi
della propria identita' digitale. Il Ministero conserva le
registrazioni degli accessi relativi all'utilizzo della CIEId negli
ultimi ventiquattro mesi e, per il medesimo periodo, le evidenze in
merito alla gestione della CIEId da parte del cittadino, attraverso
il portale dell'identita' del cittadino. Il registro contiene per
ogni processo di autenticazione a servizi in rete la richiesta di
autenticazione e la relativa risposta.
2. I dati contenuti nel registro, compresi quelli personali,
possono essere estratti dal registro esclusivamente su richiesta
della autorita' giudiziaria, delle autorita' vigilanti e dei titolari
della CIEId, tramite personale espressamente incaricato appositamente
dotato di credenziali di accesso personali. L'accesso a tali
informazioni e' registrato in appositi log.
3. Al fine di monitorare e migliorare i servizi, IPZS invia
periodicamente al Ministero una relazione contenente, in forma
aggregata, in modo che non sia possibile identificare, anche
indirettamente, l'interessato, informazioni relative agli
interessati, eventualmente anche suddivisi per FdS acceduto, fascia
giornaliera di accesso, tipologia di credenziali utilizzate,
provincia (residenza), fascia di eta' e sesso. Le misure di garanzia
adottate sono individuate nella valutazione d'impatto di cui all'art.
4, comma 6 in cui sono indicate le soglie minime per rispettare
l'anonimato. Per i medesimi fini, tali dati potranno essere forniti
in forma aggregata ai soggetti interessati su richiesta degli stessi
al Ministero. Alcuni dati in forma aggregata potranno essere resi
pubblici.
4. Al fine di imputare le operazioni effettuate sui propri sistemi
tramite la CIEId alle singole identita' digitali, i FdS conservano il
registro degli accessi avvenuti negli ultimi ventiquattro mesi.
5. Le registrazioni di cui ai commi 1 e 4 sono conservate nel
rispetto della normativa vigente in materia di protezione dei dati
personali.
6. Salvo quanto disposto al comma 3, l'accesso ai dati personali
tracciati e' consentito esclusivamente a personale espressamente
incaricato per le finalita' sopra elencate. Gli accessi sono
rilevati, collocati temporalmente e salvati al fine di consentire di
accertare quando e quali soggetti hanno acceduto alla specifica
informazione e la causale dell'accesso.
7. Nel caso in cui il Ministero sia fornitore di servizi in rete,
mantiene separati i registri di tracciatura delle transazioni cosi'
come le banche dati relative alla gestione delle identita' digitali.
Tale vincolo di separazione deve essere applicato anche nei confronti
degli accessi degli operatori di help desk e nella gestione di
cruscotti di self-caring.
8. Il Poligrafico predispone un processo di conservazione dei log
atto a garantire l'integrita', la disponibilita' e la protezione
delle informazioni conservate.
Art. 14
Portale dell'identita' del cittadino
1. Il portale dell'identita' del cittadino, realizzato e gestito
dal Poligrafico su indicazioni del Ministero, previa autenticazione
con la propria CIEId, consente:
a. di visualizzare e stampare la lista delle richieste di
autenticazione all'Identity Provider CIE - servite negli
ultimi ventiquattro mesi - effettuate dal cittadino mediante la
propria identita' CIEId con l'evidenza dei dettagli di ciascuna
transazione;
b. di inserire e aggiornare i seguenti dati personali associati
alla propria CIEId:
i. numero di telefonia mobile;
ii. numero di telefonia fissa;
iii. indirizzo di posta elettronica;
c. di richiedere l'invio di una e-mail a fronte di ogni processo
di autenticazione a servizi online;
d. di gestire la propria CIEId;
e. di visualizzare, esprimere o revocare la propria volonta' in
merito alla donazione di organi e tessuti.
2. Il Ministero individua, in base alla criticita' di ogni
operazione effettuabile sul portale e nell'ambito della valutazione
d'impatto di cui all'art. 4, comma 5, il livello minimo delle
credenziali di autenticazione necessarie.
Art. 15
Recupero del PUK
1. Il cittadino in possesso della CIE, che ha associato alla
propria identita' digitale un indirizzo di posta elettronica o un
numero di telefonia mobile, puo' recuperare online il PUK della CIE.
2. Sul portale di cui all'art. 14, senza necessita' di
autenticazione, sono accessibili le istruzioni necessarie per il
recupero del PUK.
Art. 16
Firma elettronica avanzata
1. Al fine di creare le condizioni necessarie per semplificare la
verifica delle firme elettroniche avanzate generate tramite la CIE,
il Ministero dell'interno fornisce all'Agenzia per l'Italia digitale
i certificati delle autorita' di certificazione che emettono
certificati utili alla generazione delle firme elettroniche avanzate
tramite la CIE, al fine della loro pubblicazione nell'elenco di
fiducia di cui all'art. 22, paragrafo 5, del regolamento eIDAS.
2. Il Ministero, avvalendosi del Poligrafico, rende disponibile un
applicativo per la verifica e la generazione delle firme elettroniche
avanzate tramite la CIE.
Art. 17
Servizi correlati al NIS
1. La CIE e' dotata di un Numero identificativo servizi (NIS),
numero casuale e univoco di sedici cifre associato ad ogni carta di
identita' elettronica, leggibile liberamente dal chip.
2. Le caratteristiche di sicurezza del chip consentono di
verificare l'autenticita' del NIS.
3. Il NIS non consente di risalire ai dati personali del titolare
della CIE mediante semplice lettura.
4. Il Ministero, sentito il Garante per la protezione dei dati
personali, disciplina con separato atto le modalita' e i requisiti di
accesso al servizio di cui all'art. 7, comma 1, lettera e), nel
rispetto dei principi di liceita', correttezza e trasparenza,
limitazione della finalita' e minimizzazione dei dati che puo'
consentire:
a) inviando il NIS e leggendo il chip della CIE, di ottenere
conferma della autenticita' e originalita' della CIE;
b) inviando il NIS, di ottenere lo stato della CIE
(valida/scaduta/revocata e l'eventuale data di invalidita');
c) inviando il NIS e il numero seriale della CIE corrispondente,
di ottenere il codice fiscale e lo stato della CIE
(valida/scaduta/revocata e l'eventuale data di invalidita';
d) inviando il codice fiscale e il numero seriale della CIE
corrispondente, di ottenere il NIS e lo stato della CIE
(valida/scaduta/revocata e l'eventuale data di invalidita').
Art. 18
Monitoraggio del Ministero sulle attivita' del Poligrafico e
collaborazione con il Garante
1. Il Ministero svolge funzioni di monitoraggio, anche sulla base
delle segnalazioni fatte dai cittadini, allo scopo di valutare e
garantire la disponibilita' dell'identita' digitale CieID. Ai fini
dell'attivita' di monitoraggio, il Poligrafico rende tempestivamente
disponibili al Ministero:
a) gli incidenti di sicurezza e privacy rilevati;
b) le informazioni relative a disservizi.
2. Nell'ambito dell'attivita' di monitoraggio il Ministero ove
riscontri casi in cui sussistano elementi per ritenere sia avvenuta
una violazione dei dati personali, provvede alla notifica al Garante,
con le modalita' e i contenuti di cui all'art. 33 del regolamento
(UE) 2016/679, fermi restando gli obblighi previsti dall'art. 34 del
medesimo regolamento.
Art. 19
Donazione di organi e tessuti
1. Fermo restando quanto previsto dal decreto del 23 dicembre 2015
recante «Modalita' tecniche di emissione della Carta d'identita'
elettronica» pubblicato nella Gazzetta Ufficiale n. 302 del 30
dicembre 2015 e successive modificazioni, il cittadino maggiorenne ha
la facolta' di indicare il proprio consenso, ovvero diniego, alla
donazione di organi e tessuti in caso di morte anche attraverso il
portale dell'identita' del cittadino reso disponibile dal Ministero
dell'interno che, in tal caso, provvede all'invio del dato relativo
alla donazione di organi e tessuti al SIT nel rispetto delle
disposizioni del decreto del Ministero della salute, di cui alla
legge 24 dicembre 2012, n. 228, art. 1, comma 340, senza conservarlo.
2. Tale dato e' criptato in modo da essere accessibile solo al SIT
per l'aggiornamento della banca dati dei donatori.
3. Il portale dell'identita' del cittadino, interagendo con il SIT,
consente al cittadino di visualizzare, cancellare e modificare la
propria volonta'.
4. La funzionalita' che consente l'espressione o la modifica della
propria volonta' in merito alla donazione di organi e tessuti e'
disponibile esclusivamente previo accesso sul portale con credenziali
di livello 3. La visualizzazione della propria volonta', previa
autenticazione con credenziali di livello 2 o 3.
5. Nei log del portale dell'identita' del cittadino non viene
registrata la scelta del cittadino, ma solamente l'utilizzo delle
funzionalita' di visualizzazione, cancellazione e modifica della
volonta'.
6. Al fine di consentire ai cittadini di effettuare una scelta
consapevole in ordine alla donazione di organi e di tessuti del
proprio corpo successivamente alla morte, l'esercizio della facolta'
di cui al comma 1 del presente articolo e' consentito previo
accertamento della presa visione del materiale informativo reso
disponibile dal Centro nazionale trapianti.
7. Prima di rendere disponibili le funzionalita' previste dal
presente articolo, il Ministero condivide con il Ministero della
salute le modalita' di trattamento al fine di assicurare il pieno
coordinamento con la specifica normativa in materia di prelievi e di
trapianti di organi e tessuti, dandone comunicazione al Garante per
la protezione dei dati personali.
Art. 20
Trattamento dei dati
1. Ai fini del rilascio della CIEId e della sua gestione, il
trattamento dei dati personali e' effettuato nel rispetto delle
disposizioni del regolamento UE 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati, che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati), e nel rispetto
delle disposizioni del decreto legislativo 30 giugno 2003, n. 196,
recante «Codice per la protezione dei dati personali», come
modificato dal decreto legislativo 10 agosto 2018, n. 101, recante
«Disposizioni per l'adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) 2016/679».
2. Il Ministero dell'interno e' titolare del trattamento dei dati
di cui all'art. 6, per l'emissione dell'identita' digitale CieId e
l'esercizio delle funzioni di cui all'art. 7 che si avvale dei comuni
e del Ministero degli affari esteri nominati, ai sensi dell'art. 28
del regolamento UE 2016/679, responsabili del trattamento per la
raccolta dei dati di cui all'art. 6 per l'emissione dell'identita'
digitale CieId.
3. Il Centro nazionale trapianti (CNT) e' titolare del trattamento
dei dati effettuato nell'ambito del Sistema informativo trapianti
(SIT) relativi alla volonta' della donazione di organi e tessuti. Il
CNT si avvale del Ministero dell'interno nominato, ai sensi dell'art.
28 del regolamento UE 2016/679, Responsabile del trattamento per la
gestione dell'espressione della volonta' alla donazione di organi e
tessuti.
4. Sono individuati meccanismi di informazione tempestiva reciproca
in caso di violazioni di sicurezza o di qualsiasi minaccia che
comportino un rischio per la sicurezza e per i diritti e le liberta'
degli interessati, anche al fine di agevolare l'adempimento degli
obblighi di cui agli articoli 33 e 34 del regolamento.
5. Il Poligrafico e Zecca dello Stato e' nominato dal Ministero
dell'interno, ai sensi dell'art. 28 del regolamento UE 2016/679,
Responsabile per il trattamento dei dati personali necessari per lo
svolgimento delle funzioni di cui al presente decreto.
Art. 21
Clausola di invarianza finanziaria
1. Le attivita' del presente decreto sono realizzate con le risorse
umane, strumentali e finanziarie disponibili a legislazione vigente,
senza nuovi o maggiori oneri a carico della finanza pubblica.
2. Il presente decreto, che sara' trasmesso ai competenti organi di
controllo, entra in vigore il giorno della pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana.
Roma, 8 settembre 2022
Il Ministro dell'interno
Lamorgese
Il Ministro
per l'innovazione tecnologica
e la transizione digitale
Colao
Il Ministro dell'economia
e delle finanze
Franco
Registrato alla Corte dei conti il 23 settembre 2022
Ufficio di controllo sugli atti del Ministero dell'interno e del
Ministero della difesa, n. 2433
