Art. 23 Misure di sicurezza e sistema di conservazione 1. Le operazioni sui dati personali, necessarie per l'adempimento alle disposizioni di cui al presente decreto, sono effettuate mediante strumenti elettronici con modalita' e soluzioni necessarie per assicurare confidenzialita', integrita' e disponibilita' dei dati, adottate in coerenza con le misure di sicurezza espressamente previste nel decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, e nel relativo disciplinare tecnico di cui all'Allegato B. 2. Ferme restando le misure di sicurezza di cui al Codice in materia di protezione dei dati personali, l'accesso al FSE e' consentito, per tutte le finalita' di cui al comma 2 dell'articolo 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, esclusivamente utilizzando le modalita' di accesso e gli strumenti di cui all'articolo 64 del CAD. 3. La riservatezza dei dati trattati nell'ambito del FSE, ai sensi del Codice in materia di protezione dei dati personali ed, in particolare, dell'articolo 34, comma 1, lettera h), e' garantita dalle procedure di sicurezza relative al software e ai servizi telematici utilizzati, attuate in conformita' alle previsioni del CAD. 4. Nell'utilizzo di sistemi di memorizzazione o archiviazione dei dati devono essere attuati idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi. 5. Per la consultazione in sicurezza dei dati contenuti nel FSE sono assicurati: a) idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento; b) procedure per la verifica periodica della qualita' e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati; c) protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati tra i diversi titolari coinvolti; d) individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali; e) tracciabilita' degli accessi e delle operazioni effettuate; f) sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie; g) procedure di anonimizzazione degli elementi identificativi diretti, come definito dai decreti attuativi di cui all'articolo 35 del decreto legislativo 23 giugno 2011, n. 118, per il perseguimento delle finalita' di cui ai punti b) e c) del comma 2 dell'articolo 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, fermo restando quanto previsto dall'articolo 15, comma 25-bis, del decreto-legge 6 luglio 2012, n. 95, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 135. 6. La struttura e l'organizzazione dei dati contenuti nel FSE deve garantire, oltre alla corretta e differenziata articolazione dei profili per quanto concerne la classificazione delle tipologie di informazioni sanitarie indispensabili in relazione alle finalita' per cui vengono trattate, anche quella relativa ai diversi livelli autorizzativi dei soggetti abilitati all'accesso. 7. Le disposizioni di cui al comma 5 vengono attuate ai sensi delle specificazioni contenute nel disciplinare tecnico. 8. Ai fini di garantire il corretto impiego del FSE da parte degli utilizzatori e per renderli edotti dei rischi che incombono sui dati, nonche' delle misure di sicurezza adottate, vengono organizzate apposite sessioni di formazione, anche con riferimento agli aspetti di protezione dei dati personali, con particolare riferimento, all'accessibilita' delle informazioni, alle operazioni di trattamento eseguibili e alla sicurezza dei dati. 9. Nel caso in cui dati trattati nell'ambito del FSE subiscano violazioni tali da comportare la perdita, la distruzione o la diffusione indebita di dati personali, il titolare del trattamento effettua una segnalazione al Garante per la protezione dei dati personali, entro una settimana dal verificarsi dell'evento, contenente: a) una descrizione della natura della violazione dei dati personali occorsa, compresi le categorie e il numero di interessati coinvolti; b) l'indicazione dell'identita' e delle coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere piu' informazioni; c) la descrizione delle conseguenze della violazione dei dati personali subita; d) le misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione dei dati personali. 10. La continuita' delle operazioni indispensabili per il servizio e il ritorno alla normale operativita' sono assicurate dall'adozione del piano di continuita' operativa e del piano di disaster recovery, di cui all'articolo 50-bis del CAD. 11. Al FSE e ai documenti di cui all'articolo 2, comma 2, si applicano le disposizioni degli articoli 43 e 44 del CAD. 12. Le disposizioni di cui al comma 1 si applicano anche ai documenti di cui all'articolo 2, comma 3, adottati nell'ambito della singola regione o provincia autonoma. 13. Le disposizioni di cui al comma 1 non si applicano al taccuino dell'assistito, di cui all'articolo 4.
Note all'art. 23: - Per il riferimento al citato decreto legislativo 30 giugno 2003, n. 196, vedasi nelle note all'articolo 1. - Per il riferimento al comma 2 dell'articolo 12 del citato decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, vedasi nelle note all'articolo 1. - Per il riferimento all'articolo 64 del citato decreto legislativo 7 marzo 2005, n. 82, vedasi nelle note all'articolo 9. - Si riporta il testo del comma 1, lettera h), dell'articolo 34 del citato decreto legislativo 30 giugno 2003, n. 196: «Art. 34. (Trattamenti con strumenti elettronici) - 1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.». - Per il riferimento all'articolo 35 del citato decreto legislativo 23 giugno 2011, n. 118, vedasi nelle note alle premesse. - Per il riferimento ai punti b) e c) del comma 2 dell'articolo 12 del citato decreto-legge 18 ottobre 2012, n. 179, vedasi nelle note all'articolo 1. - Per il riferimento al comma 25-bis dell'articolo 15 del decreto-legge 6 luglio 2012, n. 95, vedasi nelle note alle premesse. - Per il riferimento all'articolo 50-bis del citato decreto legislativo 7 marzo 2005, n. 82, vedasi nelle note alle premesse. - Per il riferimento agli articoli 43 e 44 del citato decreto legislativo 7 marzo 2005, n. 82, vedasi nelle note alle premesse.