Art. 18
Trattamento dati
1. Il Ministero e l'Agenzia delle entrate sono titolari dei
trattamenti di dati personali effettuati, ciascuno per le attivita'
di competenza, svolte ai fini del riconoscimento di credito di
imposta ai sensi del presente decreto.
2. Il Ministero e' titolare dei trattamenti dei dati personali
effettuati mediante la piattaforma di cui all'art. 3, comma 1, e
assicura che tali trattamenti avvengono adottando le misure
necessarie a garantire il rispetto dei principi di liceita',
correttezza e trasparenza nei confronti degli interessati, di
limitazione della finalita', di minimizzazione dei dati, di
limitazione della conservazione e di integrita' e riservatezza e di
protezione dei dati fin dalla progettazione e per impostazione
predefinita in conformita' agli articoli 5 e 25 del regolamento (UE)
n. 2016/679. A tal fine, il Dipartimento per gli affari di giustizia
del Ministero, previa valutazione di impatto sulla protezione dei
dati ai sensi dell'art. 35 del regolamento (UE) n. 2016/679, adotta
un disciplinare tecnico nel quale sono individuate:
a) le misure tecniche e organizzative volte ad assicurare un
adeguato livello di sicurezza con riferimento ai rischi derivanti
dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione
non autorizzata o dall'accesso, in modo accidentale o illegale, a
dati personali, nel rispetto dell'art. 32 del regolamento (UE) n.
2016/679, che comprendono, tra le altre, la registrazione delle
operazioni effettuate sulla piattaforma da parte dei soggetti
autorizzati, ai fini della verifica della liceita' dei trattamenti,
per finalita' di controllo interno e per garantire l'integrita' e la
riservatezza dei dati personali, l'utilizzo della crittografia per la
protezione dei dati oggetto di trasmissione, nonche' il rilevamento e
la gestione di eventuali violazioni dei dati personali che dovessero
verificarsi nell'ambito dei trattamenti effettuati;
b) gli attributi associati alle identita' digitali degli utenti
della piattaforma acquisiti nell'ambito delle procedure di
autenticazione informatica, limitandoli ai dati strettamente
necessari quali il codice fiscale, il nome e il cognome;
c) le misure in relazione al trattamento dei dati personali
necessari ai fini dell'espletamento delle verifiche e dei controlli
da effettuarsi ai sensi del presente decreto;
d) le misure appropriate e specifiche per tutelare i diritti
fondamentali e gli interessi dell'interessato in caso di eventuale
trattamento, a fini statistici, dei dati personali appartenenti alle
categorie di cui agli articoli 9 e 10 del regolamento (UE) n.
2016/679, eventualmente rilevabili dall'indicazione della materia ai
sensi dell'art. 4, comma 1, lettera d), e comma 2, lettera d),
dell'art. 5, comma 1, lettera f), e comma 2, lettera e), e dell'art.
9, comma 1, lettera a) del presente decreto;
e) le misure adottate per garantire un accesso selettivo alle
informazioni da parte dei soggetti autorizzati e le altre misure
poste a tutela dei diritti e delle liberta' degli interessati.
3. I dati trattati ai sensi del presente decreto sono conservati
per un periodo non superiore a dieci anni esclusivamente allo scopo
di consentire lo svolgimento delle attivita' e i controlli previsti
dal presente decreto e fino alla definizione di eventuali
contenziosi.
4. I dati personali raccolti ai sensi dell'art. 3, comma 4, lettera
a), e dell'art. 7, comma 1, lettera b), sono trattati esclusivamente
per la finalita' di cui al comma 1, nonche', da parte di DGSTAT, per
le attivita' svolte ai sensi degli articoli 19 e 20, a soli fini
statistici, in conformita' all'art. 89 del regolamento (UE) n.
2016/679, agli articoli 104 e seguenti del decreto legislativo n. 30
giugno 2003, n. 196, alle «Regole deontologiche per trattamenti a
fini statistici o di ricerca scientifica effettuati nell'ambito del
Sistema Statistico nazionale» di cui alla delibera 19 dicembre 2018,
n. 515 del garante per la protezione dei dati personali e al decreto
legislativo 6 settembre 1989, n. 322.