Schema di decreto del Presidente
della Repubblica
Individuazione delle misure
di sicurezza minime per il trattamento dei dati personali ai sensi dell'art. 15,
della legge 31 dicembre 1996, n. 675
NOTA: il
testo definitivo è quello del
DPR
28 luglio 1999, n. 318,
pubblicato sulla G.U. n. 216 del 14 settembre 1999
Il Presidente della Repubblica
Visto l'articolo 87, comma 5, della Costituzione;
Visto l'articolo 15 della legge 31 dicembre 1996, n. 675, recante "Tutela
delle persone e di altri soggetti rispetto al trattamento dei dati
personali";
Ritenuto che ai sensi dell'articolo 15, comma 2, della legge 31 dicembre 1996,
n. 675, occorre individuare, in via preventiva, le misure minime di sicurezza
per i dati personali oggetto di trattamento, al fine di assicurare il
funzionamento delle misure sanzionatorie penali previste dall'articolo 36 della
medesima legge;
Visto l'articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400;
Sentiti l'Autorità per l'informatica nella pubblica amministrazione e il
Garante per la protezione dei dati personali;
Udito il parere del Consiglio di Stato, espresso dalla sezione consultiva per
gli atti normativi nell'adunanza del 26 aprile 1999;
Ritenuto di dover comunque garantire la possibilità, in caso di più incaricati
del trattamento, di limitare l'accesso a determinati dati personali attraverso
la previsione di una specifica parola chiave per tali dati, senza operare,
quindi, alcuna equiparazione tra tale ipotesi e quella relativa alla previsione
di un'unica parola chiave per l'accesso al sistema, di dover inoltre
circoscrivere la disciplina del trattamento dei dati personali effettuato per
fini esclusivamente personali ai casi di elaboratori non accessibili da altri
elaboratori, senza necessità di introdurre criteri di individuazione diversi da
quelli già previsti dalla legge;
Sulla proposta del Ministro di
grazia e giustizia e previa deliberazione del Consiglio dei Ministri adottata
nella seduta del..........
EMANA
il seguente regolamento:
CAPO I
Principi generali
Art. 1
- Definizioni
1. Ai fini del presente regolamento
si applicano le definizioni elencate nell'articolo 1 della legge 31 dicembre
1996, n. 675, di seguito denominata legge. Ai medesimi fini si intendono per:
a) "misure minime": il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza, previste nel presente
regolamento, che configurano il livello minimo di protezione richiesto in
relazione ai rischi previsti dall'art. 15, comma 1, della legge;
b) "strumenti": i mezzi elettronici o comunque automatizzati con cui
si effettua il trattamento;
c) "amministratori di sistema": i soggetti cui è conferito il compito
di sovrintendere alle risorse del sistema operativo di un elaboratore o di un
sistema di base dati e di consentirne l'utilizzazione.
CAPO II
Trattamento dei dati personali effettuato con strumenti elettronici o comunque
automatizzati
Sezione I
Trattamento dei dati personali effettuato mediante elaboratori non accessibili
da altri elaboratori o terminali
Art. 2
- Individuazione degli incaricati
1. Salvo quanto previsto dall'articolo
8, se il trattamento dei dati personali è effettuato per fini diversi da quelli
di cui all'articolo 3 della legge mediante elaboratori non accessibili da
altri elaboratori o terminali, devono essere adottate, anteriormente all'inizio
del trattamento, le seguenti misure:
a) prevedere una parola chiave per l'accesso ai dati, fornirla agli incaricati
del trattamento e, ove tecnicamente possibile in relazione alle caratteristiche
dell'elaboratore, consentirne l'autonoma sostituzione, previa comunicazione ai
soggetti preposti ai sensi della lettera b);
b) individuare per iscritto, quando vi è più di un incaricato del trattamento
e sono in uso più parole chiave, i soggetti preposti alla loro custodia o che
hanno accesso ad informazioni che concernono le medesime.
Sezione II
Trattamento dei dati personali effettuato mediante elaboratori accessibili in
rete
Art. 3
- Classificazione
1. Ai fini della presente sezione
gli elaboratori accessibili in rete impiegati nel trattamento dei dati personali
sono distinti in:
a) elaboratori accessibili da altri elaboratori solo attraverso reti non
disponibili al pubblico;
b) elaboratori accessibili mediante una rete di telecomunicazioni disponibile al
pubblico.
Art. 4
- Codici identificativi e protezione degli elaboratori
1. Nel caso di trattamenti
effettuati con gli elaboratori di cui all'articolo 3, oltre a quanto previsto
dall'articolo 2 devono essere adottate le seguenti misure:
a) a ciascun utente o incaricato del trattamento deve essere attribuito un
codice identificativo personale per l'utilizzazione dell'elaboratore; uno
stesso codice, fatta eccezione per gli amministratori di sistema relativamente
ai sistemi operativi che prevedono un unico livello di accesso per tale
funzione, non può, neppure in tempi diversi, essere assegnato a persone
diverse;
b) i codici identificativi personali devono essere assegnati e gestiti in modo
che ne sia prevista la disattivazione in caso di perdita della qualità che
consentiva l'accesso all'elaboratore o di mancato utilizzo dei medesimi per
un periodo superiore ai sei mesi;
c) gli elaboratori devono essere protetti contro il rischio di intrusione ad
opera di programmi di cui all'articolo 615 quinquies del codice penale,
mediante idonei programmi, la cui efficacia ed aggiornamento sono verificati con
cadenza almeno semestrale.
2. Le disposizioni di cui al comma 1, lettere a) e b), non si applicano ai
trattamenti dei dati personali di cui è consentita la diffusione.
Art. 5
- Accesso ai dati particolari
1. Per il trattamento dei dati di
cui agli articoli 22 e 24 della legge effettuato ai sensi dell'articolo 3, l'accesso
per effettuare le operazioni di trattamento è determinato sulla base di
autorizzazioni assegnate, singolarmente o per gruppi di lavoro, agli incaricati
del trattamento o della manutenzione. Se il trattamento è effettuato ai sensi
dell'articolo 3, comma 1, lettera b), sono oggetto di autorizzazione anche gli
strumenti che possono essere utilizzati per l'interconnessione mediante reti
disponibili al pubblico.
2. L'autorizzazione, se riferita
agli strumenti, deve individuare i singoli elaboratori attraverso i quali è
possibile accedere per effettuare operazioni di trattamento.
3. Le autorizzazioni all'accesso
sono rilasciate e revocate dal titolare e, se designato, dal responsabile.
Periodicamente, e comunque almeno una volta l'anno, è verificata la
sussistenza delle condizioni per la loro conservazione.
4. L'autorizzazione all'accesso
deve essere limitata ai soli dati la cui conoscenza è necessaria e sufficiente
per lo svolgimento delle operazioni di trattamento o di manutenzione.
5. La validità delle richieste di
accesso ai dati personali è verificata prima di consentire l'accesso stesso.
6. Non è consentita l'utilizzazione
di un medesimo codice identificativo personale per accedere contemporaneamente
alla stessa applicazione da diverse stazioni di lavoro.
7. Le disposizioni di cui ai commi
da 1 a 6 non si applicano al trattamento dei dati personali di cui è consentita
la diffusione.
Art. 6
- Documento programmatico sulla sicurezza
1. Nel caso di trattamento dei dati
di cui agli articoli 22 e 24 della legge effettuato mediante gli elaboratori
indicati nell'articolo 3, comma 1, lettera b), dev'essere predisposto e
aggiornato, con cadenza annuale, un documento programmatico sulla sicurezza dei
dati per definire, sulla base dell'analisi dei rischi, della distribuzione dei
compiti e delle responsabilità nell'ambito delle strutture preposte al
trattamento dei dati stessi:
a) i criteri tecnici e organizzativi per la protezione delle aree e dei locali
interessati dalle misure di sicurezza nonché le procedure per controllare l'accesso
delle persone autorizzate ai locali medesimi;
b) i criteri e le procedure per assicurare l'integrità dei dati;
c) i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi
compresi quelli per le restrizioni di accesso per via telematica;
d) l'elaborazione di un piano di formazione per rendere edotti gli incaricati
del trattamento dei rischi individuati e dei modi per prevenire danni.
2. L'efficacia delle misure di
sicurezza adottate ai sensi del comma 1 dev'essere oggetto di controlli
periodici, da eseguirsi con cadenza almeno annuale.
Art. 7-
Reimpiego dei supporti di memorizzazione
1. Nel caso di trattamento dei dati
di cui agli articoli 22 e 24 della legge effettuato con gli strumenti di cui all'articolo
3, i supporti già utilizzati per il trattamento possono essere riutilizzati
qualora le informazioni precedentemente contenute non siano tecnicamente in
alcun modo recuperabili, altrimenti devono essere distrutti.
Sezione III
Trattamento dei dati personali effettuato per fini esclusivamente personali
Art. 8
- Parola chiave
1. Ai sensi dell'articolo 3 della
legge, il trattamento per fini esclusivamente personali dei dati di cui agli
articoli 22 e 24 della legge, effettuato con elaboratori stabilmente accessibili
da altri elaboratori, è soggetto solo all'obbligo di proteggere l'accesso
ai dati o al sistema mediante l'utilizzo di una parola chiave, qualora i dati
siano organizzati in banche di dati.
CAPO III
Trattamento dei dati personali con strumenti diversi da quelli elettronici o
comunque automatizzati
Art. 9
- Trattamento dei dati personali
1. Nel caso di trattamento di dati
personali per fini diversi da quelli dell'articolo 3 della legge, effettuato con
strumenti diversi da quelli previsti dal capo II, sono osservate le seguenti
modalità:
a) nel designare gli incaricati del trattamento per iscritto e nell'impartire le
istruzioni ai sensi degli articoli 8, comma 5, e 19 della legge, il titolare o,
se designato, il responsabile devono prescrivere che gli incaricati abbiano
accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per
adempiere ai compiti loro assegnati;
b) gli atti e i documenti contenenti i dati devono essere conservati in archivi
ad accesso selezionato e, se affidati agli incaricati del trattamento, devono
essere da questi ultimi conservati e restituiti al termine delle operazioni
affidate.
2. Nel caso di trattamento di dati
di cui agli articoli 22 e 24 della legge, oltre a quanto previsto nel comma 1,
devono essere osservate le seguenti modalità:
a) se affidati agli incaricati del trattamento, gli atti e i documenti
contenenti i dati sono conservati, fino alla restituzione, in contenitori muniti
di serratura;
b) l'accesso agli archivi deve essere controllato e devono essere identificati e
registrati i soggetti che vi vengono ammessi dopo l'orario di chiusura degli
archivi stessi.
Art. 10
- Conservazione della documentazione relativa al trattamento
1. I supporti non informatici
contenenti la riproduzione di informazioni relative al trattamento di dati
personali di cui agli articoli 22 e 24 della legge, devono essere conservati e
custoditi con le modalità di cui all'articolo 9.
Il presente decreto, munito del
sigillo di Stato, sarà inserito nella Raccolta ufficiale degli atti normativi
della Repubblica italiana.
E' fatto obbligo a chiunque spetti
di osservarlo e di farlo osservare.
Dato a Roma, addí
|