Art. 18 Trattamento dati 1. Il Ministero e l'Agenzia delle entrate sono titolari dei trattamenti di dati personali effettuati, ciascuno per le attivita' di competenza, svolte ai fini del riconoscimento di credito di imposta ai sensi del presente decreto. 2. Il Ministero e' titolare dei trattamenti dei dati personali effettuati mediante la piattaforma di cui all'art. 3, comma 1, e assicura che tali trattamenti avvengono adottando le misure necessarie a garantire il rispetto dei principi di liceita', correttezza e trasparenza nei confronti degli interessati, di limitazione della finalita', di minimizzazione dei dati, di limitazione della conservazione e di integrita' e riservatezza e di protezione dei dati fin dalla progettazione e per impostazione predefinita in conformita' agli articoli 5 e 25 del regolamento (UE) n. 2016/679. A tal fine, il Dipartimento per gli affari di giustizia del Ministero, previa valutazione di impatto sulla protezione dei dati ai sensi dell'art. 35 del regolamento (UE) n. 2016/679, adotta un disciplinare tecnico nel quale sono individuate: a) le misure tecniche e organizzative volte ad assicurare un adeguato livello di sicurezza con riferimento ai rischi derivanti dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali, nel rispetto dell'art. 32 del regolamento (UE) n. 2016/679, che comprendono, tra le altre, la registrazione delle operazioni effettuate sulla piattaforma da parte dei soggetti autorizzati, ai fini della verifica della liceita' dei trattamenti, per finalita' di controllo interno e per garantire l'integrita' e la riservatezza dei dati personali, l'utilizzo della crittografia per la protezione dei dati oggetto di trasmissione, nonche' il rilevamento e la gestione di eventuali violazioni dei dati personali che dovessero verificarsi nell'ambito dei trattamenti effettuati; b) gli attributi associati alle identita' digitali degli utenti della piattaforma acquisiti nell'ambito delle procedure di autenticazione informatica, limitandoli ai dati strettamente necessari quali il codice fiscale, il nome e il cognome; c) le misure in relazione al trattamento dei dati personali necessari ai fini dell'espletamento delle verifiche e dei controlli da effettuarsi ai sensi del presente decreto; d) le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato in caso di eventuale trattamento, a fini statistici, dei dati personali appartenenti alle categorie di cui agli articoli 9 e 10 del regolamento (UE) n. 2016/679, eventualmente rilevabili dall'indicazione della materia ai sensi dell'art. 4, comma 1, lettera d), e comma 2, lettera d), dell'art. 5, comma 1, lettera f), e comma 2, lettera e), e dell'art. 9, comma 1, lettera a) del presente decreto; e) le misure adottate per garantire un accesso selettivo alle informazioni da parte dei soggetti autorizzati e le altre misure poste a tutela dei diritti e delle liberta' degli interessati. 3. I dati trattati ai sensi del presente decreto sono conservati per un periodo non superiore a dieci anni esclusivamente allo scopo di consentire lo svolgimento delle attivita' e i controlli previsti dal presente decreto e fino alla definizione di eventuali contenziosi. 4. I dati personali raccolti ai sensi dell'art. 3, comma 4, lettera a), e dell'art. 7, comma 1, lettera b), sono trattati esclusivamente per la finalita' di cui al comma 1, nonche', da parte di DGSTAT, per le attivita' svolte ai sensi degli articoli 19 e 20, a soli fini statistici, in conformita' all'art. 89 del regolamento (UE) n. 2016/679, agli articoli 104 e seguenti del decreto legislativo n. 30 giugno 2003, n. 196, alle «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico nazionale» di cui alla delibera 19 dicembre 2018, n. 515 del garante per la protezione dei dati personali e al decreto legislativo 6 settembre 1989, n. 322.