Art. 44.
Requisiti per la conservazione dei documenti informatici
1. Il sistema di conservazione dei documenti informatici
garantisce:
a) l'identificazione certa del soggetto che ha formato il
documento e dell'amministrazione o dell'area organizzativa omogenea
di riferimento di cui all'articolo 50, comma 4, del decreto del
Presidente della Repubblica 28 dicembre 2000, n. 445;
b) l'integrita' del documento;
c) la leggibilita' e l'agevole reperibilita' dei documenti e
delle informazioni identificative, inclusi i' dati di registrazione e
di classificazione originari;
d) il rispetto delle misure di sicurezza previste dagli articoli
da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal
disciplinare tecnico pubblicato in allegato B a tale decreto.
Note all'art. 44:
- Si riporta il testo dell'art. 50, comma 4, del citato
decreto del Presidente della Repubblica n. 445 del 2000:
"4. Ciascuna amministrazione individua, nell'ambito del
proprio ordinamento, gli uffici da considerare ai fini
della gestione unica o coordinata dei documenti per grandi
aree organizzative omogenee, assicurando criteri uniformi
di classificazione e archiviazione, nonche' di
comunicazione interna tra le aree stesse.".
- Si riporta il testo degli articoli 31, 32, 33, 34, 35
e 36 del citato decreto legislativo n. 196 del 2003:
"Art. 31 (Obblighi di sicurezza). - 1. I dati personali
oggetto di trattamento sono custoditi e controllati, anche
in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al
minimo, mediante l'adozione di idonee. e preventive misure
di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o
di trattamento non consentito o non conforme alle finalita'
della raccolta.".
"Art. 32 (Particolari titolari). - 1. Il fornitore di
un servizio di comunicazione elettronica accessibile al
pubblico adotta ai sensi dell'art. 31 idonee misure
tecniche e organizzative adeguate al rischio esistente, per
salvaguardare la sicurezza dei suoi servizi, l'integrita'
dei dati relativi al traffico, dei dati relativi
all'ubicazione e delle comunicazioni elettroniche rispetto
ad ogni forma di utilizzazione o cognizione non consentita.
2. Quando la sicurezza del servizio o dei dati
personali richiede anche l'adozione di misure che
riguardano la rete, il fornitore del servizio di
comunicazione elettronica accessibile al pubblico adotta
tali misure congiuntamente con il fornitore della rete
pubblica di comunicazioni. In caso di mancato accordo, su
richiesta di uno dei fornitori, la controversia e' definita
dall'Autorita' per le garanzie nelle comunicazioni secondo
le modalita' previste dalla normativa vigente.
3. Il fornitore di un servizio di comunicazione
elettronica accessibile al pubblico informa gli abbonati e,
ove possibile, gli utenti, se sussiste un particolare
rischio di violazione della sicurezza della rete,
indicando, quando il rischio e' al di fuori dell'ambito di
applicazione delle misure che il fornitore stesso e' tenuto
ad adottare ai sensi dei commi 1 e 2, tutti i possibili
rimedi e i relativi costi presumibili. Analoga informativa
e' resa al Garante e all'Autorita' per le garanzie nelle
comunicazioni.".
"Art. 33 (Misure minime). - 1. Nel quadro dei piu'
generali obblighi di sicurezza di cui all'art. 31, o
previsti da speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad adottare le misure
minime individuate nel presente capo o ai sensi dell'art.
58, comma 3, volte ad assicurare un livello minimo di
protezione dei dati personali.".
"Art. 34 (Trattamenti con strumenti elettronici). - 1.
Il trattamento di dati personali effettuato con strumenti
elettronici e' consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell'allegato
B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle
credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilita' dei dati e
dei sistemi;
g) tenuta di un aggiornato documento programmatico
sulla sicurezza;
h) adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di dati idonei a
rivelare lo stato di salute o la vita sessuale effettuati
da organismi sanitari.".
"Art. 35 (Trattamenti senza l'ausilio di strumenti
elettronici). 1. Il trattamento di dati personali
effettuato senza l'ausilio di strumenti elettronici e'
consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato B), le
seguenti misure minime:
a) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati o alle unita' organizzative;
b) previsione di procedure per un'idonea custodia di
atti e documenti affidati agli incaricati per lo
svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di
determinati atti in archivi ad accesso selezionato e
disciplina delle modalita' di accesso finalizzata
all'identificazione degli incaricati.".
"Art. 36 (Adeguamento). - 1. Il disciplinare tecnico di
cui all'allegato B), relativo alle misure minime di cui al
presente capo, e' aggiornato periodicamente con decreto del
Ministro della giustizia di concerto con il Ministro per le
innovazioni e le tecnologie, in relazione all'evoluzione
tecnica e all'esperienza maturata nel settore.".