Decreto del Presidente del Consiglio dei Ministri 19 ottobre 2021

Decreto del Presidente del Consiglio dei Ministri 19 ottobre 2021

Modifiche al decreto del Presidente del Consiglio dei ministri 24 ottobre 2014, recante: «Definizione delle caratteristiche del sistema pubblico per la gestione dell’identita’ digitale di cittadini e imprese (SPID), nonche’ dei tempi e delle modalita’ di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese». (21A07264)

(GU Serie Generale n.296 del 14-12-2021)

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Visto il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, recante «Codice dell’amministrazione digitale» e, in particolare, l’art. 64, comma 2-sexies;

Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, di seguito «Regolamento eIDAS» e, in particolare, gli articoli 8, 13 e 24;

Visto il regolamento di esecuzione (UE) 2015/1502 della Commissione dell’8 settembre 2015 relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell’art. 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e, in particolare, l’art. 1, comma 2 e il numero 2.4.1 (Disposizioni generali) del relativo allegato;

Visto il decreto del Presidente del Consiglio dei ministri 24 ottobre 2014 recante «definizione delle caratteristiche del sistema pubblico per la gestione dell’identita’ digitale di cittadini e imprese (SPID), nonche’ dei tempi e delle modalita’ di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese», pubblicato nella Gazzetta Ufficiale n. 285 del 9 dicembre 2014;

Visto, in particolare, l’art. 10 del citato decreto del Presidente del Consiglio dei ministri 24 ottobre 2014 che detta disposizioni in materia di accreditamento dei gestori dell’identita’ digitale;

Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);

Visto il decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni, recante il Codice in materia di protezione dei dati personali;

Viste le sentenze del Consiglio di Stato 24 marzo 2016, n. 01214/2016, del Tribunale amministrativo regionale per il Lazio 21 luglio 2015, n. 09951/2015, nonche’ la sentenza del Tribunale amministrativo regionale per il Lazio 13 ottobre 2016, n. 10214;

Considerata la necessita’ di adeguare la disciplina contenuta nel decreto del Presidente del Consiglio dei ministri 24 ottobre 2014, anche tenendo conto della normativa europea sopravvenuta – relativamente ai requisiti che i gestori dell’identita’ digitale devono possedere ai fini dell’accreditamento – specificamente dettata dall’art. 1, comma 2 e dal numero 2.4.1 (Disposizioni generali) dell’allegato al regolamento di esecuzione (UE) 2015/1502 della Commissione dell’8 settembre 2015, secondo cui i fornitori di un servizio correlato all’identificazione elettronica devono essere «un’autorita’ pubblica o un’entita’ giuridica riconosciuta come tale dall’ordinamento giuridico di uno Stato membro, avente un’organizzazione consolidata e pienamente operativa sotto tutti gli aspetti pertinenti per la fornitura dei servizi» ed essere «in grado di dimostrare il possesso della capacita’ di assumere il rischio della responsabilita’ per danni, nonche’ di risorse finanziarie sufficienti per l’esercizio e la prestazione continuativa dei servizi»;

Ritenuto che, anche considerando i requisiti tecnici e di sicurezza comunque imposti per l’accreditamento e l’esercizio del servizio, deve comunque prevedersi il possesso da parte del gestore dell’identita’ digitale di un’organizzazione consolidata e pienamente operativa e di risorse finanziarie, in termini di capitale o patrimonio minimo, di importo adeguato rispetto all’organizzazione e alle risorse necessarie per lo svolgimento continuativo della sua attivita’, unitamente ad una polizza assicurativa adeguata rispetto ai rischi connessi alla fornitura di un servizio di sempre maggiore diffusione, che consente l’accesso a servizi erogati in rete sul presupposto dell’identificazione personale dell’utente;

Visto il decreto del Presidente della Repubblica in data 12 febbraio 2021 con il quale il dott. Vittorio Colao e’ stata nominato Ministro senza portafoglio;

Visto il decreto del Presidente del Consiglio dei ministri in data 13 febbraio 2021 con il quale al Ministro senza portafoglio dott. Vittorio Colao e’ stato conferito l’incarico per l’innovazione tecnologica e la transizione digitale;

Visto il decreto del Presidente del Consiglio dei ministri in data 15 marzo 2021 con il quale al Ministro senza portafoglio dott. Vittorio Colao e’ stata conferita la delega di funzioni;

Sentito il Garante per la protezione dei dati personali;

Espletata la procedura di notifica alla Commissione ai sensi del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015 e della legge 21 giugno 1986, n. 317 modificata, da ultimo, dal decreto legislativo 15 dicembre 2017, n. 223;

Su proposta del Ministro per l’innovazione tecnologica e la transizione digitale e del Ministro per la pubblica amministrazione, di concerto con il Ministro dell’economia e delle finanze;

Decreta:

Art. 1 Modifica alle premesse del decreto del Presidente del Consiglio dei ministri del 24 ottobre 2014

1. Nelle premesse del decreto del Presidente del Consiglio dei ministri del 24 ottobre 2014, dopo il capoverso: «Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, pubblicato nella Gazzetta Ufficiale dell’Unione europea – serie L 257 del 28 agosto 2014;», e’ inserito il seguente: «Visto il regolamento di esecuzione (UE) 2015/1502 della Commissione dell’8 settembre 2015 relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell’art. 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e, in particolare, l’art. 1, comma 2 e il numero 2.4.1 (Disposizioni generali) del relativo allegato;».

Art. 2 Modifica all’art. 7 del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014

1. All’art. 7, comma 9, del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014, dopo le parole «di cui» sono inserite le seguenti: «al regolamento (UE) 2016/679 e».

Art. 3 Modifiche all’art. 10 del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014

1. All’art. 10, comma 3, del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014, sono apportate le seguenti modificazioni:
a) prima della lettera b) e’ inserita la seguente: «0 b) essere una persona giuridica riconosciuta, con un patrimonio o un capitale sociale non inferiore a trecentomila euro e con un’organizzazione consolidata e pienamente operativa sotto tutti gli aspetti pertinenti per la fornitura dei servizi»;
b) dopo la lettera c) e’ inserita la seguente: «c-bis) disporre, per il risarcimento dei danni causati, con dolo o colpa, a qualsiasi persona fisica o giuridica a causa del mancato adempimento degli obblighi connessi alla gestione del sistema SPID, di una adeguata copertura assicurativa di almeno 1,5 milioni di euro annui e centocinquantamila euro per singolo sinistro;»
b) alla lettera g) dopo le parole «nel rispetto del» sono inserite le seguenti: «regolamento (UE) 2016/679 e del»;
c) al comma 4, le parole: «lettere a) e b)» sono sostituite dalle seguenti: «lettere a), b) e c-bis)».

Art. 4 Modifiche all’art. 12 del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014

1. All’art. 12 del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014 sono apportate le seguenti modificazioni:
a) al comma 1, le parole «trenta giorni» sono sostituite dalle parole «sessanta giorni» e le parole da «gli eventuali» fino alla fine del comma sono sostituite dalle seguenti: «i gestori sostitutivi e le modalita’ tecniche e operative per il trasferimento delle identita’ digitali, nel rispetto delle indicazioni fornite dall’Agenzia ai sensi dell’art. 4.»;
b) al comma 2, dopo le parole «dichiarazione di accettazione» sono aggiunte le seguenti: », recepimento di eventuali prescrizioni dell’Agenzia in ordine alle modalita’ del trasferimento»;
c) il comma 3 e’ soppresso;
d) dopo il comma 5 e’ inserito il seguente: «5-bis. Nel caso in cui, a seguito della cessazione dell’attivita’ da parte di un gestore dell’identita’ digitale o della revoca del suo accreditamento, nessun altro gestore e’ disponibile a subentrare con le modalita’ del comma 2, l’Agenzia, con determinazione del direttore generale recante anche prescrizioni in ordine alle modalita’ del trasferimento, provvede a ridistribuire le identita’ digitali rilasciate dal gestore cessato o revocato tra tutti gli altri gestori che subentreranno nella relativa gestione in misura proporzionale alla ripartizione percentuale, tra gli stessi, di tutte le identita’ SPID rilasciate alla data della cessazione o della revoca. ».

Art. 5 Modifica all’art. 16 del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014

1. All’art. 16, comma 3, lettera d), del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014, le parole «degli indirizzi della pubblica amministrazione e dei gestori dei pubblici servizi di cui all’art. 57-bis» sono sostituite dalle seguenti: «dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi di cui all’art. 6-ter».

Il presente decreto e’ inviato ai competenti organi di controllo ed e’ efficace dalla data della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 19 ottobre 2021

p. Il Presidente del Consiglio dei ministri
Il Ministro per l’innovazione tecnologica e la transizione digitale Colao
Il Ministro per la pubblica amministrazione Brunetta
Il Ministro dell’economia e delle finanze Franco

Registrato alla Corte dei conti il 17 novembre 2021
Ufficio di controllo atti P.C.M. Ministeri della giustizia e degli affari esteri e della cooperazione internazionale, n. 2798