Art. 3 Garanzie e misure di sicurezza nel trattamento dei dati personali 1. I dati contenuti nell'ANPR sono trattati secondo le modalita' e le misure di sicurezza per la protezione dei dati descritte nell'Allegato C, che costituisce parte integrante del presente regolamento, adottate nel quadro delle piu' ampie misure di cui agli articoli da 31 a 36 e all'allegato B del decreto legislativo 30 giugno 2003, n. 196. 2. Titolare del trattamento dei dati contenuti nell'ANPR, ai sensi dell'articolo 4, comma 1, lettera a), del citato decreto legislativo n. 196 del 2003, e' il Ministero dell'interno, il quale provvede alla conservazione, alla comunicazione dei dati, nonche' all'adozione delle misure di sicurezza di cui al comma 1. 3. Il sindaco, nell'esercizio delle attribuzioni di cui all'articolo 54 del decreto legislativo 18 agosto 2000, n. 267, e successive modificazioni, e' titolare del trattamento dei dati di propria competenza, limitatamente alla registrazione dei dati stessi. 4. La societa' di cui all'articolo 1, comma 306, della legge 24 dicembre 2012, n. 228, e' designata responsabile del trattamento dei dati dal Ministero dell'Interno ai sensi dell'articolo 29 del decreto legislativo n. 196, del 2003.
Note all'art. 3: - Si riporta il testo degli articoli 4, comma 1, lett. a), 31, 32, 33, 34, 35 e 36, nonche' dell'allegato B del gia' citato decreto legislativo 30 giugno 2003, n. 196: «Art. 4 (Definizioni). - 1. Ai fini del presente codice si intende per: a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;. Art. 31 (Obblighi di sicurezza). - 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' della raccolta. Art. 32 (Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico). - 1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 31, anche attraverso altri soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis. 1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati. 1-ter. Le misure di cui al commi 1 e 1-bis garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonche' assicurano l'attuazione di una politica di sicurezza. 2. Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia e' definita dall'Autorita' per le garanzie nelle comunicazioni secondo le modalita' previste dalla normativa vigente. 3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa i contraenti e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio e' al di fuori dell'ambito di applicazione delle misure che il fornitore stesso e' tenuto ad adottare ai sensi dei commi 1, 1-bis e 2, tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa e' resa al Garante e all'Autorita' per le garanzie nelle comunicazioni. Art. 33 (Misure minime). - 1. Nel quadro dei piu' generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. Art. 34 (Trattamenti con strumenti elettronici). - 1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi; g) abrogato; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. 1-bis. Abrogato. 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalita' amministrativo-contabili sono quelli connessi allo svolgimento delle attivita' di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalita' le attivita' organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilita' e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. (49) Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici). - 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unita' organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalita' di accesso finalizzata all'identificazione degli incaricati. Art. 36 (Adeguamento). - 1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, e' aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore. Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza (artt. da 33 a 36 del codice). Trattamenti con strumenti elettronici. Modalita' tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica. 1. Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi. 6. Il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualita' che consente all'incaricato l'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione. 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Altre misure di sicurezza 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita' di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari. 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalita' di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identita' genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico e' cifrato. Misure di tutela e garanzia. 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformita' alle disposizioni del presente disciplinare tecnico. Trattamenti senza l'ausilio di strumenti elettronici. Modalita' tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. L'accesso agli archivi contenenti dati sensibili o giudiziari e' controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.». - Si riporta il testo dell'art. 54 del decreto legislativo 18 agosto 2000, n. 267 (Testo unico delle leggi sull'ordinamento degli enti locali): Art. 54 (Attribuzioni del sindaco nelle funzioni di competenza statale). - 1. Il sindaco, quale ufficiale del Governo, sovrintende: a) all'emanazione degli atti che gli sono attribuiti dalla legge e dai regolamenti in materia di ordine e sicurezza pubblica; b) allo svolgimento delle funzioni affidategli dalla legge in materia di pubblica sicurezza e di polizia giudiziaria; c) alla vigilanza su tutto quanto possa interessare la sicurezza e l'ordine pubblico, informandone preventivamente il prefetto. 2. Il sindaco, nell'esercizio delle funzioni di cui al comma 1, concorre ad assicurare anche la cooperazione della polizia locale con le Forze di polizia statali, nell'ambito delle direttive di coordinamento impartite dal Ministro dell'interno - Autorita' nazionale di pubblica sicurezza. 3. Il sindaco, quale ufficiale del Governo, sovrintende, altresi', alla tenuta dei registri di stato civile e di popolazione e agli adempimenti demandatigli dalle leggi in materia elettorale, di leva militare e di statistica. 4. Il sindaco, quale ufficiale del Governo, adotta con atto motivato provvedimenti, anche contingibili e urgenti nel rispetto dei principi generali dell'ordinamento, al fine di prevenire e di eliminare gravi pericoli che minacciano l'incolumita' pubblica e la sicurezza urbana. I provvedimenti di cui al presente comma sono preventivamente comunicati al prefetto anche ai fini della predisposizione degli strumenti ritenuti necessari alla loro attuazione. 4-bis. Con decreto del Ministro dell'interno e' disciplinato l'ambito di applicazione delle disposizioni di cui ai commi 1 e 4 anche con riferimento alle definizioni relative alla incolumita' pubblica e alla sicurezza urbana. 5. Qualora i provvedimenti adottati dai sindaci ai sensi dei commi 1 e 4 comportino conseguenze sull'ordinata convivenza delle popolazioni dei comuni contigui o limitrofi, il prefetto indice un'apposita conferenza alla quale prendono parte i sindaci interessati, il presidente della provincia e, qualora ritenuto opportuno, soggetti pubblici e privati dell'ambito territoriale interessato dall'intervento. 5-bis. Il sindaco segnala alle competenti autorita', giudiziaria o di pubblica sicurezza, la condizione irregolare dello straniero o del cittadino appartenente ad uno Stato membro dell'Unione europea, per la eventuale adozione di provvedimenti di espulsione o di allontanamento dal territorio dello Stato. 6. In casi di emergenza, connessi con il traffico o con l'inquinamento atmosferico o acustico, ovvero quando a causa di circostanze straordinarie si verifichino particolari necessita' dell'utenza o per motivi di sicurezza urbana, il sindaco puo' modificare gli orari degli esercizi commerciali, dei pubblici esercizi e dei servizi pubblici, nonche', d'intesa con i responsabili territorialmente competenti delle amministrazioni interessate, gli orari di apertura al pubblico degli uffici pubblici localizzati nel territorio, adottando i provvedimenti di cui al comma 4. 7. Se l'ordinanza adottata ai sensi del comma 4 e' rivolta a persone determinate e queste non ottemperano all'ordine impartito, il sindaco puo' provvedere d'ufficio a spese degli interessati, senza pregiudizio dell'azione penale per i reati in cui siano incorsi. 8. Chi sostituisce il sindaco esercita anche le funzioni di cui al presente articolo. 9. Al fine di assicurare l'attuazione dei provvedimenti adottati dai sindaci ai sensi del presente articolo, il prefetto, ove le ritenga necessarie, dispone, fermo restando quanto previsto dal secondo periodo del comma 4, le misure adeguate per assicurare il concorso delle Forze di polizia. Nell'ambito delle funzioni di cui al presente articolo, il prefetto puo' altresi' disporre ispezioni per accertare il regolare svolgimento dei compiti affidati, nonche' per l'acquisizione di dati e notizie interessanti altri servizi di carattere generale. 10. Nelle materie previste dai commi 1 e 3, nonche' dall'articolo 14, il sindaco, previa comunicazione al prefetto, puo' delegare l'esercizio delle funzioni ivi indicate al presidente del consiglio circoscrizionale; ove non siano costituiti gli organi di decentramento comunale, il sindaco puo' conferire la delega a un consigliere comunale per l'esercizio delle funzioni nei quartieri e nelle frazioni. 11. Nelle fattispecie di cui ai commi 1, 3 e 4, nel caso di inerzia del sindaco o del suo delegato nell'esercizio delle funzioni previste dal comma 10, il prefetto puo' intervenire con proprio provvedimento. 12. Il Ministro dell'interno puo' adottare atti di indirizzo per l'esercizio delle funzioni previste dal presente articolo da parte del sindaco.". - Per il riferimento al comma 306 dell'art. 1 della legge 24 dicembre 2012, n. 228, vedasi nelle note alle premesse. - Si riporta il testo dell'art. 29 del gia' citato decreto legislativo 30 giugno 2003, n. 196: «Art. 29 (Responsabile del trattamento). - 1. Il responsabile e' designato dal titolare facoltativamente. 2. Se designato, il responsabile e' individuato tra soggetti che per esperienza, capacita' ed affidabilita' forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 3. Ove necessario per esigenze organizzative, possono essere designati responsabili piu' soggetti, anche mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. 5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.».