Art. 23
Misure di sicurezza
e sistema di conservazione
1. Le operazioni sui dati personali, necessarie per l'adempimento
alle disposizioni di cui al presente decreto, sono effettuate
mediante strumenti elettronici con modalita' e soluzioni necessarie
per assicurare confidenzialita', integrita' e disponibilita' dei
dati, adottate in coerenza con le misure di sicurezza espressamente
previste nel decreto legislativo 30 giugno 2003, n. 196, e successive
modificazioni, e nel relativo disciplinare tecnico di cui
all'Allegato B.
2. Ferme restando le misure di sicurezza di cui al Codice in
materia di protezione dei dati personali, l'accesso al FSE e'
consentito, per tutte le finalita' di cui al comma 2 dell'articolo 12
del decreto-legge 18 ottobre 2012, n. 179, convertito, con
modificazioni, dalla legge 17 dicembre 2012, n. 221, esclusivamente
utilizzando le modalita' di accesso e gli strumenti di cui
all'articolo 64 del CAD.
3. La riservatezza dei dati trattati nell'ambito del FSE, ai sensi
del Codice in materia di protezione dei dati personali ed, in
particolare, dell'articolo 34, comma 1, lettera h), e' garantita
dalle procedure di sicurezza relative al software e ai servizi
telematici utilizzati, attuate in conformita' alle previsioni del
CAD.
4. Nell'utilizzo di sistemi di memorizzazione o archiviazione dei
dati devono essere attuati idonei accorgimenti per la protezione dei
dati registrati rispetto ai rischi di accesso abusivo, furto o
smarrimento parziali o integrali dei supporti di memorizzazione o dei
sistemi di elaborazione portatili o fissi.
5. Per la consultazione in sicurezza dei dati contenuti nel FSE
sono assicurati:
a) idonei sistemi di autenticazione e di autorizzazione per gli
incaricati in funzione dei ruoli e delle esigenze di accesso e
trattamento;
b) procedure per la verifica periodica della qualita' e coerenza
delle credenziali di autenticazione e dei profili di autorizzazione
assegnati agli incaricati;
c) protocolli di comunicazione sicuri basati sull'utilizzo di
standard crittografici per la comunicazione elettronica dei dati tra
i diversi titolari coinvolti;
d) individuazione di criteri per la cifratura o per la
separazione dei dati idonei a rivelare lo stato di salute e la vita
sessuale dagli altri dati personali;
e) tracciabilita' degli accessi e delle operazioni effettuate;
f) sistemi di audit log per il controllo degli accessi e per il
rilevamento di eventuali anomalie;
g) procedure di anonimizzazione degli elementi identificativi
diretti, come definito dai decreti attuativi di cui all'articolo 35
del decreto legislativo 23 giugno 2011, n. 118, per il perseguimento
delle finalita' di cui ai punti b) e c) del comma 2 dell'articolo 12
del decreto-legge 18 ottobre 2012, n. 179, convertito, con
modificazioni, dalla legge 17 dicembre 2012, n. 221, fermo restando
quanto previsto dall'articolo 15, comma 25-bis, del decreto-legge 6
luglio 2012, n. 95, convertito, con modificazioni, dalla legge 7
agosto 2012, n. 135.
6. La struttura e l'organizzazione dei dati contenuti nel FSE deve
garantire, oltre alla corretta e differenziata articolazione dei
profili per quanto concerne la classificazione delle tipologie di
informazioni sanitarie indispensabili in relazione alle finalita' per
cui vengono trattate, anche quella relativa ai diversi livelli
autorizzativi dei soggetti abilitati all'accesso.
7. Le disposizioni di cui al comma 5 vengono attuate ai sensi delle
specificazioni contenute nel disciplinare tecnico.
8. Ai fini di garantire il corretto impiego del FSE da parte degli
utilizzatori e per renderli edotti dei rischi che incombono sui dati,
nonche' delle misure di sicurezza adottate, vengono organizzate
apposite sessioni di formazione, anche con riferimento agli aspetti
di protezione dei dati personali, con particolare riferimento,
all'accessibilita' delle informazioni, alle operazioni di trattamento
eseguibili e alla sicurezza dei dati.
9. Nel caso in cui dati trattati nell'ambito del FSE subiscano
violazioni tali da comportare la perdita, la distruzione o la
diffusione indebita di dati personali, il titolare del trattamento
effettua una segnalazione al Garante per la protezione dei dati
personali, entro una settimana dal verificarsi dell'evento,
contenente:
a) una descrizione della natura della violazione dei dati
personali occorsa, compresi le categorie e il numero di interessati
coinvolti;
b) l'indicazione dell'identita' e delle coordinate di contatto
del responsabile della protezione dei dati o di altro punto di
contatto presso cui ottenere piu' informazioni;
c) la descrizione delle conseguenze della violazione dei dati
personali subita;
d) le misure proposte o adottate dal responsabile del trattamento
per porre rimedio alla violazione dei dati personali.
10. La continuita' delle operazioni indispensabili per il servizio
e il ritorno alla normale operativita' sono assicurate dall'adozione
del piano di continuita' operativa e del piano di disaster recovery,
di cui all'articolo 50-bis del CAD.
11. Al FSE e ai documenti di cui all'articolo 2, comma 2, si
applicano le disposizioni degli articoli 43 e 44 del CAD.
12. Le disposizioni di cui al comma 1 si applicano anche ai
documenti di cui all'articolo 2, comma 3, adottati nell'ambito della
singola regione o provincia autonoma.
13. Le disposizioni di cui al comma 1 non si applicano al taccuino
dell'assistito, di cui all'articolo 4.
Note all'art. 23:
- Per il riferimento al citato decreto legislativo 30
giugno 2003, n. 196, vedasi nelle note all'articolo 1.
- Per il riferimento al comma 2 dell'articolo 12 del
citato decreto-legge 18 ottobre 2012, n. 179, convertito,
con modificazioni, dalla legge 17 dicembre 2012, n. 221,
vedasi nelle note all'articolo 1.
- Per il riferimento all'articolo 64 del citato decreto
legislativo 7 marzo 2005, n. 82, vedasi nelle note
all'articolo 9.
- Si riporta il testo del comma 1, lettera h),
dell'articolo 34 del citato decreto legislativo 30 giugno
2003, n. 196:
«Art. 34. (Trattamenti con strumenti elettronici) - 1.
Il trattamento di dati personali effettuato con strumenti
elettronici e' consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell'allegato
B), le seguenti misure minime:
h) adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di dati idonei a
rivelare lo stato di salute o la vita sessuale effettuati
da organismi sanitari.».
- Per il riferimento all'articolo 35 del citato decreto
legislativo 23 giugno 2011, n. 118, vedasi nelle note alle
premesse.
- Per il riferimento ai punti b) e c) del comma 2
dell'articolo 12 del citato decreto-legge 18 ottobre 2012,
n. 179, vedasi nelle note all'articolo 1.
- Per il riferimento al comma 25-bis dell'articolo 15
del decreto-legge 6 luglio 2012, n. 95, vedasi nelle note
alle premesse.
- Per il riferimento all'articolo 50-bis del citato
decreto legislativo 7 marzo 2005, n. 82, vedasi nelle note
alle premesse.
- Per il riferimento agli articoli 43 e 44 del citato
decreto legislativo 7 marzo 2005, n. 82, vedasi nelle note
alle premesse.