Codice in materia di protezione dei dati personali
(Estratto - testo non ufficiale)
Titolo V
SICUREZZA DEI DATI E DEI SISTEMI
CAPO I
MISURE DI SICUREZZA
Art. 31 (Obblighi di sicurezza)
1. I dati personali oggetto di trattamento sono custoditi e controllati,
anche in relazione alle conoscenze acquisite in base al progresso tecnico,
alla natura dei dati e alle specifiche caratteristiche del trattamento, in
modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure
di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta.
Art. 32 (Particolari titolari)
1. Il fornitore di un servizio di comunicazione elettronica accessibile al
pubblico adotta ai sensi dell'articolo 31 idonee misure tecniche e
organizzative adeguate al rischio esistente, per salvaguardare la sicurezza
dei suoi servizi, l'integrità dei dati relativi al traffico, dei dati
relativi all'ubicazione e delle comunicazioni elettroniche rispetto ad ogni
forma di utilizzazione o cognizione non consentita.
2. Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione
di misure che riguardano la rete, il fornitore del servizio di comunicazione
elettronica accessibile al pubblico adotta tali misure congiuntamente con il
fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su
richiesta di uno dei fornitori, la controversia è definita dall'Autorità
per le garanzie nelle comunicazioni secondo le modalità previste dalla
normativa vigente.
3. Il fornitore di un servizio di comunicazione elettronica accessibile al
pubblico informa gli abbonati e, ove possibile, gli utenti, se sussiste un
particolare rischio di violazione della sicurezza della rete, indicando,
quando il rischio è al di fuori dell'ambito di applicazione delle misure
che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1 e 2, tutti
i possibili rimedi e i relativi costi presumibili. Analoga informativa è resa
al Garante e all'Autorità per le garanzie nelle comunicazioni.
CAPO II
MISURE MINIME DI SICUREZZA
Art. 33 (Misure minime)
1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo
31, o previsti da speciali disposizioni, i titolari del trattamento sono
comunque tenuti ad adottare le misure minime individuate nel presente capo o
ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di
protezione dei dati personali.
Art. 34 (Trattamenti con strumenti elettronici)
1. Il trattamento di dati personali effettuato con strumenti elettronici è
consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico
contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi
informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita
sessuale effettuati da organismi sanitari.
Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici)
1. Il trattamento di dati personali effettuato senza l'ausilio di
strumenti elettronici è consentito solo se sono adottate, nei modi previsti
dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure
minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti
affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi
ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione
degli incaricati.
Art. 36 (Adeguamento)
1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure
minime di cui al presente capo, è aggiornato periodicamente con decreto del
Ministro della giustizia di concerto con il Ministro per le innovazioni e le
tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel
settore. |