Gazzetta n. 233 del 5 ottobre 2022 (vai al sommario)
MINISTERO DELL'INTERNO
DECRETO 8 settembre 2022
Modalita' di impiego della carta di identita' elettronica.


IL MINISTRO DELL'INTERNO,

IL MINISTRO
PER L'INNOVAZIONE TECNOLOGICA
E LA TRANSIZIONE DIGITALE

e

IL MINISTRO DELL'ECONOMIA
E DELLE FINANZE

Visto l'art. 3 del regio decreto 18 giugno 1931, n. 773, testo unico delle leggi di pubblica sicurezza, di seguito TULPS, ed il relativo regolamento di esecuzione del 6 maggio 1940, n. 635;
Vista la legge 13 luglio 1966, n. 559 e in particolare l'art. 2, comma 8;
Visto il decreto-legge 31 gennaio 2005, n. 7, convertito con modificazioni in legge 31 marzo 2005, n. 43;
Visto il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, recante «Codice dell'amministrazione digitale» e, in particolare, l'art. 66, comma 6 e l'art. 64, comma 2-quater;
Visto il decreto del Ministro dell'interno 23 aprile 2002, istitutivo del Centro nazionale per i servizi demografici presso il Dipartimento per gli affari interni e territoriali - Direzione centrale per i servizi demografici;
Visto il decreto del Presidente del Consiglio dei ministri 10 novembre 2014, n. 194, recante «modalita' di attuazione e di funzionamento dell'Anagrafe nazionale della popolazione residente (ANPR) e di definizione del piano per il graduale subentro dell'ANPR alle anagrafi della popolazione residente»;
Visto l'art. 7-vicies ter del decreto-legge 31 gennaio 2005, n. 7, convertito con modificazioni dalla legge 31 marzo 2005, n. 43 che prevede che l'emissione della carta d'identita' elettronica e' riservata al Ministero dell'interno che vi provvede nel rispetto delle norme di sicurezza in materia di carte valori, di documenti di sicurezza della Repubblica e degli standard internazionali di sicurezza;
Visto l'art. 10, comma 6, del decreto-legge n. 78 del 2015, convertito con modificazioni, dalla legge del 6 agosto 2015, n. 125 che ha previsto lo stanziamento dei fondi a copertura degli oneri derivanti dall'attuazione della carta di identita' elettronica;
Vista la direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, attuata dal decreto legislativo 15 dicembre 2017, n. 223, recante una procedura d'informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della societa' dell'informazione;
Vista la legge 1° aprile 1999, n. 91, recante «Disposizioni in materia di prelievi e di trapianti di organi e di tessuti»;
Visto il decreto del Ministro della sanita' dell'8 aprile 2000, recante «Disposizioni in materia di prelievi e di trapianti di organi e di tessuti, attuativo delle prescrizioni relative alla dichiarazione di volonta' dei cittadini sulla donazione di organi a scopo di trapianto», come modificato dal decreto del Ministro della salute dell'11 marzo 2008;
Visto il decreto del Ministero della salute 20 agosto 2019, n. 130, recante «disciplina degli obiettivi, delle funzioni e della struttura del Sistema informativo trapianti (SIT) e del Registro nazionale dei donatori di cellule riproduttive a scopi di procreazione medicalmente assistita di tipo eterologo»;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice per la protezione dei dati personali», come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)»;
Visto il decreto del Ministero dell'economia e delle finanze 23 dicembre 2013 recante «Individuazione delle carte valori ai sensi dell'art. 2, comma 10-bis, lettere a) e b) della legge 13 luglio 1966, n. 559 e successive modificazioni e integrazioni»;
Visto il decreto del Presidente del Consiglio dei ministri del 22 febbraio 2013 recante «Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71»;
Visto in particolare l'art. 61, comma 2 del decreto del Presidente del Consiglio dei ministri 22 febbraio 2013 che prescrive che «l'utilizzo della Carta d'identita' elettronica, [omissis] sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attivita' di cui agli articoli 64 e 65 del CAD»;
Visto il decreto-legge 16 luglio 2020, n. 76 recante «Misure urgenti per la semplificazione e l'innovazione digitali» (decreto semplificazioni) convertito con modificazioni in legge 11 settembre 2020, n. 120 e in particolare l'art. 24;
Visto il decreto legislativo 7 marzo 2005, n. 82 «Codice dell'amministrazione digitale» e in particolare l'art. 64 laddove prevede che l'accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite la carta di identita' elettronica e che ai fini dell'erogazione dei propri servizi in rete e' altresi' riconosciuta ai soggetti privati la facolta' di avvalersi della carta di identita' elettronica;
Visto l'art. 66, comma 6 del citato decreto legislativo 7 marzo 2005, n. 82 che stabilisce che con decreto del Ministro dell'interno, del Ministro per l'innovazione e le tecnologie e del Ministro dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali e d'intesa con la Conferenza unificata di cui all'art. 8 del decreto legislativo 28 agosto 1997, n. 281, sono dettate le regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della carta di identita' elettronica, del documento di identita' elettronico e della carta nazionale dei servizi, nonche' le modalita' di impiego;
Visto il decreto del Ministero dell'interno 23 dicembre 2015 recante «Modalita' tecniche di emissione della Carta d'identita' elettronica»;
Acquisita l'approvazione della Commissione interministeriale permanente della CIE di cui all'art. 9, comma 2 del decreto ministeriale 23 dicembre 2015;
Sentito il Centro nazionale trapianti dell'Istituto superiore di sanita';
Sentito il Garante per la protezione dei dati personali che si e' espresso con parere n. 247 del 7 luglio 2022;
Sentita la Conferenza unificata di cui all'art. 8 del decreto legislativo 28 agosto 1997, n. 281 in data 3 agosto 2022;

Decreta:

Art. 1

Definizioni

1. Ai sensi del presente decreto si intende per:
a) «Aggregato»: soggetto pubblico o privato che rende disponibile l'accesso a propri servizi tramite un soggetto aggregatore;
b) «Aggregatore»: soggetto pubblico o privato che rende disponibile l'infrastruttura necessaria a consentire ai soggetti aggregati l'erogazione dei loro servizi online tramite la CIE;
c) «ANPR»: l'Anagrafe nazionale della popolazione residente, di cui all'art. 62 del CAD;
d) «Attributi identificativi»: gli attributi personali previsti dal presente decreto che consentono la piena fruizione dei servizi in rete;
e) «Autenticazione informatica»: un processo elettronico che consente di confermare l'identificazione elettronica di una persona fisica o giuridica tramite la CIEId, ai sensi dell'art. 64 del CAD, finalizzata all'accesso ai servizi erogati in rete dai soggetti pubblici e dai soggetti privati, sia in ambito nazionale che europeo, in conformita' alle prescrizioni del regolamento UE n. 910/2014;
f) «CAD»: il Codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modifiche;
g) «CIE»: il documento d'identita' personale rilasciato dal Ministero dell'interno denominato «Carta d'identita' elettronica»;
h) «CIEId»: l'identita' digitale rilasciata al cittadino e associata alla CIE;
i) «credenziali»: gli strumenti utilizzati per l'autenticazione ai servizi in rete che, in conformita' al regolamento eIDAS, determinano il livello basso (livello 1), significativo (livello 2) ed elevato (livello 3) delle identita' digitali;
j) «domicilio digitale»: il domicilio digitale definito all'art. 1, comma 1, lettera n-ter) del CAD;
k) «Firma elettronica avanzata»: la firma elettronica avanzata conforme al regolamento UE 910/2014 e al decreto del Presidente del Consiglio dei ministri sulle firme;
l) «Fornitori di servizi» (FdS): ai fini del presente decreto, sono i soggetti pubblici e privati, gli aggregatori e i gestori di servizi pubblici che consentono direttamente o indirettamente l'accesso ai servizi online tramite la CIEId a persone fisiche o giuridiche;
m) «Gestore dell'identita' digitale»: il soggetto che rende disponibile e gestisce l'identita' digitale CIEId;
n) «Gestori di servizi pubblici»: le societa' quotate, in relazione ai servizi di pubblico interesse (art. 2, comma 2, lettera b) del CAD) e le societa' a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175 (art. 2, comma 2, lettera c) del CAD) che richiedono il riconoscimento dello status di aggregatore per l'esercizio dei servizi di pubblico interesse alle stesse affidati;
o) «IdANPR»: l'identificativo univoco del cittadino assegnatogli dalla ANPR;
p) «Identita' digitale»: la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi identificativi, verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale secondo le modalita' di cui al presente decreto;
q) «IPZS» o «Poligrafico»: il Poligrafico e Zecca dello Stato S.p.a.;
r) «Ministero»: il Ministero dell'interno;
s) «NIS»: il numero univoco casuale associato alla carta, memorizzato nel chip e leggibile liberamente;
t) «Numero unico nazionale»: numero di serie del documento avente il seguente formato: due lettere - cinque numeri - due lettere (es. CA00000AA);
u) «PIN»: il codice segreto personale, modificabile dal cittadino, necessario per fruire dei servizi che richiedono l'autenticazione in rete o per l'apposizione di una firma elettronica;
v) «Portale dell'identita' del cittadino»: piattaforma informatica che consente al cittadino la gestione della propria identita' digitale CIEId;
w) «Portale di federazione»: piattaforma informatica che consente a un FdS di aderire allo schema di autenticazione CIE mediante procedura automatizzata e agli aggregatori di inserire nella federazione i soggetti aggregati;
x) «Portale»: il sito web istituzionale e informativo della CIE;
y) «PUK»: il codice personale non modificabile di sblocco necessario alla riattivazione del PIN a seguito di relativo blocco;
z) «Regolamento eIDAS»: il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014;
aa) «Soggetto privato»: persona giuridica non rientrante nella definizione di «soggetto pubblico» che utilizza l'identita' digitale CIEId;
bb) «Soggetto pubblico»: le pubbliche amministrazioni di cui all'art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all'art. 117 della Costituzione, ivi comprese le autorita' di sistema portuale, nonche' le autorita' amministrative indipendenti di garanzia, vigilanza e regolazione» (art. 2, comma 2, lettera a) del CAD), e i gestori di servizi pubblici;
cc) «Sistema informativo dei trapianti» o «SIT», il sistema istituito nell'ambito del Sistema informativo sanitario nazionale in base all'art. 7 della legge 1° aprile 1999, n. 91, che consente la raccolta, in un'unica banca dati, delle manifestazioni di volonta' in tema di donazione degli organi e tessuti espresse dai cittadini;
dd) servizio in rete o on-line: qualsiasi servizio della societa' dell'informazione definiti dall'art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un'amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete.
 
Art. 2

Oggetto

1. Il presente decreto definisce le modalita' di impiego e di gestione dell'identita' digitale rilasciata al cittadino e associata alla CIE quale strumento di accesso ai servizi erogati in rete dalle pubbliche amministrazioni e dai privati che integra un regime di identificazione elettronica ai sensi del regolamento eIDAS. Il decreto definisce, inoltre, i dati personali, di contatto o comunque strumentali alla fruizione dei servizi in rete da parte dei cittadini.
 
Art. 3

L'identita' digitale CIE (CIEId)

1. L'identita' digitale CIE (CIEId) consente la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, ai sensi del CAD, verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale al momento del rilascio della CIE o tramite il suo utilizzo, secondo le modalita' previste nel presente decreto. La CIEId e' comprovata dal cittadino attraverso l'uso della CIE o delle credenziali rilasciate dal Ministero ai sensi dell'art. 7, comma 1, lettera l) ed e' costituita da tali strumenti e dai dati di cui all'art. 6 del presente decreto.
 
Art. 4

Le credenziali della identita' digitale CIE

1. La CIEId prevede l'utilizzo di tre diversi livelli di sicurezza di autenticazione informatica per l'accesso ai servizi in rete, rispettivamente di livello 1, 2 e 3, corrispondenti ai livelli basso, significativo ed elevato del regolamento eIDAS.
2. Le credenziali di livello 1 sono basate su un singolo fattore di autenticazione basato su conoscenza, possesso, o inerenza.
3. Le credenziali di livello 2 sono basate su un doppio fattore di autenticazione scelti fra conoscenza, possesso, inerenza.
4. Le credenziali di livello 3, sono basate sull'uso materiale della CIE (possesso) e un fattore di autenticazione fra conoscenza e inerenza.
5. Le caratteristiche e le funzionalita' delle credenziali di cui ai commi 2, 3, 4 sono descritte in un manuale pubblicato sul portale ove e' pubblicata anche una guida utente.
6. Il Ministero effettua una valutazione d'impatto sulla protezione dei dati ai sensi dell'art. 35 del regolamento (UE) 2016/679, da sottoporre alla consultazione preventiva del Garante per la protezione dei dati personali, nella quale sono individuate le misure adeguate a rispettare il regolamento e il codice per la protezione dei dati personali.
 
Art. 5

Fornitori di servizi e aggregatori

1. Possono integrare l'accesso ai servizi con CIEId, alle condizioni e con le modalita' rese note dal Ministero sul portale, i FdS di cui all'art. 1, comma 1, lettera l).
2. Non possono aderire alla federazione i soggetti privati il cui rappresentante legale o i soggetti preposti all'amministrazione o i componenti dell'organo preposto al controllo della societa' risultino condannati con sentenza passata in giudicato per reati commessi a mezzo di sistemi informatici.
3. La verifica della sussistenza delle predette cause ostative e' svolta dal Ministero nel corso di una specifica istruttoria, al termine della quale, in assenza di cause ostative, il Poligrafico provvedera' alla verifica dei requisiti tecnici necessari.
4. Nel caso in cui i FdS privati siano gia' stati ammessi dalla Agenzia per l'Italia digitale alla federazione SPID, le verifiche di cui al comma 3 sono limitate ai requisiti tecnici.
 
Art. 6

Acquisizione dei dati personali del cittadino

1. L'attivazione delle credenziali di livello 1, 2 e 3 puo' essere effettuata con le modalita' descritte nel manuale di cui all'art. 4, comma 5. In tale fase sono raccolte le seguenti informazioni, oggetto di trattamento necessario da parte del gestore per l'esecuzione del compito di interesse pubblico, del richiedente la CIEId e alla stessa associate:
a. Nome;
b. Cognome;
c. Codice fiscale;
d. Data di nascita;
e. Luogo di nascita;
f. Sesso;
g. Estremi della carta d'identita';
h. IdANPR (prelevato da ANPR se disponibile);
i. Numero di telefonia mobile;
j. Indirizzo di posta elettronica;
k. Residenza anagrafica;
l. Domicilio digitale (facoltativo);
m. Numero di telefonia fissa (facoltativo).
Il domicilio digitale, se disponibile su ANPR, viene proposto al cittadino, che puo' accettarlo o richiedere che non sia associato alla propria identita'. Se il cittadino accetta di associare il domicilio digitale alla propria identita', questo e' mantenuto allineato con il dato presente sulla ANPR.
Qualora il dato di cui alla lettera k) sia prelevabile dalla ANPR, non e' richiesto al cittadino.
2. Il sistema provvede a verificare l'effettiva disponibilita' del numero di telefonia mobile e dell'indirizzo di posta elettronica da parte del richiedente nei modi descritti nel manuale di cui all'art. 4, comma 5. Tali dati possono essere usati anche per l'invio da parte del Ministero di informazioni istituzionali afferenti all'identita' del cittadino, alla sua gestione e per informare il titolare in merito a nuove funzionalita', salvo che il cittadino abbia richiesto di non riceverle tramite il portale dell'identita' del cittadino.
3. Gli attributi identificativi richiesti dal FdS, fra quelli di cui al comma 1, sono forniti al FdS che li richiede durante il processo di autenticazione con la CIEId.
4. I FdS e i soggetti aggregatori, nel rispetto del principio di privacy by design e di minimizzazione dei dati, devono limitare la richiesta di dati al set minimo necessario per l'erogazione di ciascun servizio.
 
Art. 7

Funzioni del Ministero dell'interno

1. Il Ministero, Dipartimento per gli affari interni e territoriali - Direzione centrale per i servizi demografici, assicura il supporto necessario ai comuni e agli uffici consolari per il corretto espletamento delle attivita' connesse all'attuazione del presente decreto. Il Ministero mette a disposizione, avvalendosi del Poligrafico, quanto segue:
a) l'identita' digitale CIEId;
b) le funzioni di autenticazione con la CIEId;
c) il portale di federazione per i FdS;
d) il portale dell'identita' del cittadino CIEId, per la sua gestione da parte del cittadino;
e) il sistema di gestione del NIS per l'utilizzo della CIE;
f) i servizi per il recupero del PUK della CIE;
g) un software per generare la firma elettronica avanzata con la CIE e la sua verifica;
h) un servizio di help desk per il cittadino e per i FdS;
i) un registro contenente lo storico delle transazioni di utilizzo della propria CIEId e delle funzionalita' di cui alle lettere a), b), d), f) ed l);
l) le credenziali di autenticazione di livello basso (livello 1) e significativo (livello 2) conformi a quanto previsto dal regolamento di esecuzione (UE) 2015/1502 della Commissione dell'8 settembre 2015;
m) un servizio di assistenza tecnica ai comuni e agli uffici consolari per l'espletamento delle attivita' di cui all'art. 8 del presente decreto.
 
Art. 8

Funzioni dei comuni e degli uffici consolari

1. I comuni e gli uffici consolari informano i richiedenti la CIE che si recano presso i loro uffici in merito alla facolta' di attivare le credenziali di autenticazione di cui al comma 1, lettera l) dell'art. 7 e raccolgono i dati personali di cui all'art. 6 del presente decreto.
 
Art. 9

Funzioni di IPZS

1. Considerata la natura di carta valori della carta di identita', Il Ministero si avvale di IPZS per adempiere alle funzioni di cui all'art. 7 e all'art. 11.
2. IPZS provvede alla realizzazione e all'esercizio delle soluzioni individuate dal Ministero ed approvate in sede di Commissione interministeriale permanente della CIE di cui all'art. 9, comma 2 del decreto ministeriale 23 dicembre 2015, per estendere servizi e funzionalita' di cui all'art. 7 e all'art. 11.
3. Per lo svolgimento delle attivita' connesse all'attuazione del presente decreto, IPZS fornisce alla Direzione centrale per i servizi demografici ed al personale addetto, adeguata documentazione, formazione del relativo personale e supporto tecnico.
 
Art. 10

L'uso della CIEId da parte dei FdS

1. L'accesso per il tramite della CIEId ai servizi erogati in rete dai FdS e' possibile mediante un sistema informatico, denominato «CieID Server», reso disponibile in rete dal Ministero dell'interno.
2. Al fine di rendere accessibili i propri servizi online, i soggetti pubblici e privati implementano quanto disposto nei manuali operativi per le pubbliche amministrazioni e i soggetti privati pubblicati a cura del Ministero dell'interno sul portale Federazione erogatori servizi (interno.gov.it) e su Docs Italia.
3. Il Ministero dell'interno ha facolta' di interdire ai FdS e ai soggetti aggregatori l'accesso al «CieID Server» in caso di violazione del presente decreto o delle regole tecniche da parte dell'aderente, per sopravvenute cause ostative di cui all'art. 5, comma 2, a causa di comportamenti che costituiscono una minaccia alla protezione dei dati personali o alla sicurezza informatica.
4. «CieID Server» riceve con la richiesta di autenticazione da parte del FdS l'elenco degli attributi identificativi necessari per l'accesso al servizio. Effettuata l'autenticazione, fornisce al FdS gli attributi identificativi richiesti ai sensi dell'art. 6.
 
Art. 11

L'uso della CIEId da parte dei minorenni

1. L'accesso ai servizi in rete da parte dei minorenni e' gestito dal CieID Server in modo da agevolare il controllo genitoriale finalizzato a verificare il corretto utilizzo dei servizi in rete da parte dei minorenni sotto la propria tutela. A tal fine, con apposito provvedimento, sentito il Garante per la protezione dei dati personali, il Ministero individua le funzionalita' necessarie e le misure a tutela degli interessati e ne affida lo sviluppo e l'esercizio a IPZS.
 
Art. 12

Integrazione con la ANPR

1. Il sistema e' connesso alla ANPR al fine di ricevere giornalmente i dati afferenti ai soggetti deceduti e procedere al blocco tempestivo della CIEId. Tali dati sono conservati per il tempo strettamente necessario a eseguire la revoca delle CIEId intestate a tali soggetti.
2. La ANPR e' connessa al sistema anche al fine di assicurare l'aggiornamento delle informazioni relative alla residenza anagrafica, all'identificativo univoco del cittadino (IdANPR) e al domicilio digitale del cittadino ove presente.
 
Art. 13

Il registro degli accessi

1. Al fine di consentire ai cittadini di avere evidenza dell'uso della propria CIEId, di tutelarli dall'uso illecito da parte di terzi della propria identita' digitale. Il Ministero conserva le registrazioni degli accessi relativi all'utilizzo della CIEId negli ultimi ventiquattro mesi e, per il medesimo periodo, le evidenze in merito alla gestione della CIEId da parte del cittadino, attraverso il portale dell'identita' del cittadino. Il registro contiene per ogni processo di autenticazione a servizi in rete la richiesta di autenticazione e la relativa risposta.
2. I dati contenuti nel registro, compresi quelli personali, possono essere estratti dal registro esclusivamente su richiesta della autorita' giudiziaria, delle autorita' vigilanti e dei titolari della CIEId, tramite personale espressamente incaricato appositamente dotato di credenziali di accesso personali. L'accesso a tali informazioni e' registrato in appositi log.
3. Al fine di monitorare e migliorare i servizi, IPZS invia periodicamente al Ministero una relazione contenente, in forma aggregata, in modo che non sia possibile identificare, anche indirettamente, l'interessato, informazioni relative agli interessati, eventualmente anche suddivisi per FdS acceduto, fascia giornaliera di accesso, tipologia di credenziali utilizzate, provincia (residenza), fascia di eta' e sesso. Le misure di garanzia adottate sono individuate nella valutazione d'impatto di cui all'art. 4, comma 6 in cui sono indicate le soglie minime per rispettare l'anonimato. Per i medesimi fini, tali dati potranno essere forniti in forma aggregata ai soggetti interessati su richiesta degli stessi al Ministero. Alcuni dati in forma aggregata potranno essere resi pubblici.
4. Al fine di imputare le operazioni effettuate sui propri sistemi tramite la CIEId alle singole identita' digitali, i FdS conservano il registro degli accessi avvenuti negli ultimi ventiquattro mesi.
5. Le registrazioni di cui ai commi 1 e 4 sono conservate nel rispetto della normativa vigente in materia di protezione dei dati personali.
6. Salvo quanto disposto al comma 3, l'accesso ai dati personali tracciati e' consentito esclusivamente a personale espressamente incaricato per le finalita' sopra elencate. Gli accessi sono rilevati, collocati temporalmente e salvati al fine di consentire di accertare quando e quali soggetti hanno acceduto alla specifica informazione e la causale dell'accesso.
7. Nel caso in cui il Ministero sia fornitore di servizi in rete, mantiene separati i registri di tracciatura delle transazioni cosi' come le banche dati relative alla gestione delle identita' digitali. Tale vincolo di separazione deve essere applicato anche nei confronti degli accessi degli operatori di help desk e nella gestione di cruscotti di self-caring.
8. Il Poligrafico predispone un processo di conservazione dei log atto a garantire l'integrita', la disponibilita' e la protezione delle informazioni conservate.
 
Art. 14

Portale dell'identita' del cittadino

1. Il portale dell'identita' del cittadino, realizzato e gestito dal Poligrafico su indicazioni del Ministero, previa autenticazione con la propria CIEId, consente:
a. di visualizzare e stampare la lista delle richieste di autenticazione all'Identity Provider CIE - servite negli ultimi ventiquattro mesi - effettuate dal cittadino mediante la propria identita' CIEId con l'evidenza dei dettagli di ciascuna transazione;
b. di inserire e aggiornare i seguenti dati personali associati alla propria CIEId:
i. numero di telefonia mobile;
ii. numero di telefonia fissa;
iii. indirizzo di posta elettronica;
c. di richiedere l'invio di una e-mail a fronte di ogni processo di autenticazione a servizi online;
d. di gestire la propria CIEId;
e. di visualizzare, esprimere o revocare la propria volonta' in merito alla donazione di organi e tessuti.
2. Il Ministero individua, in base alla criticita' di ogni operazione effettuabile sul portale e nell'ambito della valutazione d'impatto di cui all'art. 4, comma 5, il livello minimo delle credenziali di autenticazione necessarie.
 
Art. 15

Recupero del PUK

1. Il cittadino in possesso della CIE, che ha associato alla propria identita' digitale un indirizzo di posta elettronica o un numero di telefonia mobile, puo' recuperare online il PUK della CIE.
2. Sul portale di cui all'art. 14, senza necessita' di autenticazione, sono accessibili le istruzioni necessarie per il recupero del PUK.
 
Art. 16

Firma elettronica avanzata

1. Al fine di creare le condizioni necessarie per semplificare la verifica delle firme elettroniche avanzate generate tramite la CIE, il Ministero dell'interno fornisce all'Agenzia per l'Italia digitale i certificati delle autorita' di certificazione che emettono certificati utili alla generazione delle firme elettroniche avanzate tramite la CIE, al fine della loro pubblicazione nell'elenco di fiducia di cui all'art. 22, paragrafo 5, del regolamento eIDAS.
2. Il Ministero, avvalendosi del Poligrafico, rende disponibile un applicativo per la verifica e la generazione delle firme elettroniche avanzate tramite la CIE.
 
Art. 17

Servizi correlati al NIS

1. La CIE e' dotata di un Numero identificativo servizi (NIS), numero casuale e univoco di sedici cifre associato ad ogni carta di identita' elettronica, leggibile liberamente dal chip.
2. Le caratteristiche di sicurezza del chip consentono di verificare l'autenticita' del NIS.
3. Il NIS non consente di risalire ai dati personali del titolare della CIE mediante semplice lettura.
4. Il Ministero, sentito il Garante per la protezione dei dati personali, disciplina con separato atto le modalita' e i requisiti di accesso al servizio di cui all'art. 7, comma 1, lettera e), nel rispetto dei principi di liceita', correttezza e trasparenza, limitazione della finalita' e minimizzazione dei dati che puo' consentire:
a) inviando il NIS e leggendo il chip della CIE, di ottenere conferma della autenticita' e originalita' della CIE;
b) inviando il NIS, di ottenere lo stato della CIE (valida/scaduta/revocata e l'eventuale data di invalidita');
c) inviando il NIS e il numero seriale della CIE corrispondente, di ottenere il codice fiscale e lo stato della CIE (valida/scaduta/revocata e l'eventuale data di invalidita';
d) inviando il codice fiscale e il numero seriale della CIE corrispondente, di ottenere il NIS e lo stato della CIE (valida/scaduta/revocata e l'eventuale data di invalidita').
 
Art. 18
Monitoraggio del Ministero sulle attivita' del Poligrafico e
collaborazione con il Garante

1. Il Ministero svolge funzioni di monitoraggio, anche sulla base delle segnalazioni fatte dai cittadini, allo scopo di valutare e garantire la disponibilita' dell'identita' digitale CieID. Ai fini dell'attivita' di monitoraggio, il Poligrafico rende tempestivamente disponibili al Ministero:
a) gli incidenti di sicurezza e privacy rilevati;
b) le informazioni relative a disservizi.
2. Nell'ambito dell'attivita' di monitoraggio il Ministero ove riscontri casi in cui sussistano elementi per ritenere sia avvenuta una violazione dei dati personali, provvede alla notifica al Garante, con le modalita' e i contenuti di cui all'art. 33 del regolamento (UE) 2016/679, fermi restando gli obblighi previsti dall'art. 34 del medesimo regolamento.
 
Art. 19

Donazione di organi e tessuti

1. Fermo restando quanto previsto dal decreto del 23 dicembre 2015 recante «Modalita' tecniche di emissione della Carta d'identita' elettronica» pubblicato nella Gazzetta Ufficiale n. 302 del 30 dicembre 2015 e successive modificazioni, il cittadino maggiorenne ha la facolta' di indicare il proprio consenso, ovvero diniego, alla donazione di organi e tessuti in caso di morte anche attraverso il portale dell'identita' del cittadino reso disponibile dal Ministero dell'interno che, in tal caso, provvede all'invio del dato relativo alla donazione di organi e tessuti al SIT nel rispetto delle disposizioni del decreto del Ministero della salute, di cui alla legge 24 dicembre 2012, n. 228, art. 1, comma 340, senza conservarlo.
2. Tale dato e' criptato in modo da essere accessibile solo al SIT per l'aggiornamento della banca dati dei donatori.
3. Il portale dell'identita' del cittadino, interagendo con il SIT, consente al cittadino di visualizzare, cancellare e modificare la propria volonta'.
4. La funzionalita' che consente l'espressione o la modifica della propria volonta' in merito alla donazione di organi e tessuti e' disponibile esclusivamente previo accesso sul portale con credenziali di livello 3. La visualizzazione della propria volonta', previa autenticazione con credenziali di livello 2 o 3.
5. Nei log del portale dell'identita' del cittadino non viene registrata la scelta del cittadino, ma solamente l'utilizzo delle funzionalita' di visualizzazione, cancellazione e modifica della volonta'.
6. Al fine di consentire ai cittadini di effettuare una scelta consapevole in ordine alla donazione di organi e di tessuti del proprio corpo successivamente alla morte, l'esercizio della facolta' di cui al comma 1 del presente articolo e' consentito previo accertamento della presa visione del materiale informativo reso disponibile dal Centro nazionale trapianti.
7. Prima di rendere disponibili le funzionalita' previste dal presente articolo, il Ministero condivide con il Ministero della salute le modalita' di trattamento al fine di assicurare il pieno coordinamento con la specifica normativa in materia di prelievi e di trapianti di organi e tessuti, dandone comunicazione al Garante per la protezione dei dati personali.
 
Art. 20

Trattamento dei dati

1. Ai fini del rilascio della CIEId e della sua gestione, il trattamento dei dati personali e' effettuato nel rispetto delle disposizioni del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), e nel rispetto delle disposizioni del decreto legislativo 30 giugno 2003, n. 196, recante «Codice per la protezione dei dati personali», come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679».
2. Il Ministero dell'interno e' titolare del trattamento dei dati di cui all'art. 6, per l'emissione dell'identita' digitale CieId e l'esercizio delle funzioni di cui all'art. 7 che si avvale dei comuni e del Ministero degli affari esteri nominati, ai sensi dell'art. 28 del regolamento UE 2016/679, responsabili del trattamento per la raccolta dei dati di cui all'art. 6 per l'emissione dell'identita' digitale CieId.
3. Il Centro nazionale trapianti (CNT) e' titolare del trattamento dei dati effettuato nell'ambito del Sistema informativo trapianti (SIT) relativi alla volonta' della donazione di organi e tessuti. Il CNT si avvale del Ministero dell'interno nominato, ai sensi dell'art. 28 del regolamento UE 2016/679, Responsabile del trattamento per la gestione dell'espressione della volonta' alla donazione di organi e tessuti.
4. Sono individuati meccanismi di informazione tempestiva reciproca in caso di violazioni di sicurezza o di qualsiasi minaccia che comportino un rischio per la sicurezza e per i diritti e le liberta' degli interessati, anche al fine di agevolare l'adempimento degli obblighi di cui agli articoli 33 e 34 del regolamento.
5. Il Poligrafico e Zecca dello Stato e' nominato dal Ministero dell'interno, ai sensi dell'art. 28 del regolamento UE 2016/679, Responsabile per il trattamento dei dati personali necessari per lo svolgimento delle funzioni di cui al presente decreto.
 
Art. 21

Clausola di invarianza finanziaria

1. Le attivita' del presente decreto sono realizzate con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente, senza nuovi o maggiori oneri a carico della finanza pubblica.
2. Il presente decreto, che sara' trasmesso ai competenti organi di controllo, entra in vigore il giorno della pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 8 settembre 2022

Il Ministro dell'interno
Lamorgese

Il Ministro
per l'innovazione tecnologica
e la transizione digitale
Colao

Il Ministro dell'economia
e delle finanze
Franco
Registrato alla Corte dei conti il 23 settembre 2022 Ufficio di controllo sugli atti del Ministero dell'interno e del Ministero della difesa, n. 2433