RILASCIO DELLE IDENTITÀ DIGITALI1. Le identità digitali sono rilasciate, a domanda dell'interessato, dal gestore dell'identità digitale, previa verifica dell'identità del soggetto richiedente e mediante consegna in modalità sicura delle credenziali di accesso. Nell'ambito della propria struttura organizzativa, i gestori delle identità digitali individuano il responsabile delle attività di verifica dell'identità del soggetto richiedente.
2. La verifica dell'identità del soggetto richiedente e la richiesta di adesione avvengono in uno dei seguenti modi:
a) identificazione del soggetto richiedente che sottoscrive il modulo di adesione allo SPID, tramite esibizione a vista di un valido documento d'identità e, nel caso di persone giuridiche, della procura attestante i poteri di rappresentanza;
b) identificazione informatica tramite documenti digitali di identità, validi ai sensi di legge, che prevedono il riconoscimento a vista del richiedente all'atto dell'attivazione, fra cui la tessera sanitaria-carta nazionale dei servizi (TS-CNS), CNS o carte ad essa conformi;
c) identificazione informatica tramite altra identità digitale SPID di livello di sicurezza pari o superiore a quella oggetto della richiesta;
d) acquisizione del modulo di adesione allo SPID sottoscritto con firma elettronica qualificata o con firma digitale;
e) identificazione informatica fornita da sistemi informatici preesistenti all'introduzione dello SPID che risultino aver adottato, a seguito di apposita istruttoria dell'Agenzia, regole di identificazione informatica caratterizzate da livelli di sicurezza uguali o superiori a quelli definiti nel presente decreto.
3. Con i regolamenti di cui all'art. 4, l'Agenzia definisce le modalità con le quali la verifica dell'identità di cui al comma 2 è effettuata secondo i più alti livelli di controllo disponibili, anche in relazione ai livelli di sicurezza di cui all'art. 6.
4. Nei casi di cui alle lettere b), c) ed e) del comma 2 i dati di adesione vengono forniti direttamente, utilizzando i moduli informatici posti a disposizione in rete dal gestore dell'identità digitale.
5. I gestori dell'identità digitale, al fine di poter documentare la corretta attribuzione della stessa, conservano per il periodo prescritto dal comma 8, in relazione alle modalità di identificazione di cui al comma 2, copia per immagine del documento di identità esibito e del modulo di cui alla lettera a), copia del log della transazione di cui alle lettere b), c) ed e) o il modulo firmato digitalmente di cui alla lettera d), nonché i documenti e i dati utilizzati per l'associazione e la verifica degli attributi.
6. I gestori dell'identità digitale, ricevuta la richiesta di adesione, effettuano la verifica degli attributi identificativi del richiedente utilizzando prioritariamente i servizi convenzionali di cui all'art. 4, comma 1, lettera c).
7. Nei casi in cui le informazioni necessarie per la verifica degli attributi identificativi non siano accessibili tramite i servizi convenzionali di cui al comma 6, i gestori dell'identità digitale effettuano tali verifiche sulla base di documenti, dati o informazioni ottenibili da archivi delle amministrazioni certificanti, ai sensi dell'art. 43, comma 2, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, secondo i criteri e le modalità stabilite dall'Agenzia con i regolamenti di cui all'art. 4, fatto salvo il caso di cui al comma 2, lettera e).
8. I gestori dell'identità digitale conservano la documentazione inerente al processo di adesione per un periodo pari a venti anni decorrenti dalla scadenza o dalla revoca dell'identità digitale. Alla scadenza del predetto termine, i gestori cancellano la suddetta documentazione. Salvo il subentro ai sensi dell'art. 12, il gestore che cessa l'attività prima della scadenza del termine di cui al presente comma trasmette la medesima documentazione all'Agenzia, che la conserva fino alla scadenza del suddetto periodo.
9. I dati personali raccolti ai sensi del presente decreto sono trattati e conservati nel rispetto della normativa in materia di tutela dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196.