Art. 7 Misure di sicurezza e responsabilita' 1. La riservatezza, l'integrita' e la disponibilita' dei dati trattati nell'ambito del SINP, ai sensi degli articoli 31, 33 e 34 del decreto legislativo n. 196 del 2003 e relativo disciplinare tecnico, viene garantita da INAIL tramite le procedure di sicurezza relative al software e ai servizi telematici in conformita' alle regole tecniche e di sicurezza nell'ambito del SPC. 2. Gli enti di cui all'articolo 1, comma 1, lettera b) garantiscono la conformita' delle proprie infrastrutture alle regole tecniche dettate dal SPC e la conformita' dei servizi ai requisiti di sicurezza per la cooperazione applicativa definiti negli appositi accordi di servizio. Tali accordi devono individuare idonee garanzie per il trattamento dei dati personali, prevedendo, in particolare, la registrazione e tracciatura dei dati relativi alle operazioni compiute sulle porte di dominio. 3. La trasmissione dei dati in cooperazione applicativa e' garantita mediante l'utilizzo di un protocollo sicuro e dal ricorso alla autenticazione bilaterale fra sistemi, basata su certificati digitali emessi da un'autorita' di certificazione ufficiale. La trasmissione dei dati tramite servizi di fornitura massiva e' garantita altresi' mediante l'utilizzo di un canale sicuro e il ricorso alla autenticazione. 4. Al fine di non consentire l'identificabilita' diretta delle persone fisiche interessate, viene assegnato a ciascun soggetto, subito dopo l'acquisizione dei dati e attraverso una struttura organizzativa distinta da quella che operativamente gestisce il SINP, un codice univoco diverso dal codice fiscale. I dati inviati dagli enti, privi degli elementi identificativi diretti, sono archiviati previa separazione dei dati sensibili e giudiziari dagli altri dati. I dati sensibili e giudiziari sono trattati mediante l'utilizzazione del codice univoco. 5. E' previsto che la struttura organizzativa di cui al comma 4 adotti un sistema informatico che garantisca l'anonimizzazione dei dati personali archiviati, prima che questi confluiscano nel SINP, in modo da renderli consultabili solo in tale forma da parte degli enti fruitori legittimati ad accedere unicamente a tale tipologia di informazioni, segnatamente nel rispetto di quanto sancito dai commi 6 e 7 dell'articolo 22 del decreto legislativo n. 196 del 2003. 6. I dati di tracciatura sono conservati per il periodo non superiore a sei mesi e possono essere trattati solo da appositi incaricati al trattamento esclusivamente in forma anonima mediante loro opportuna aggregazione. Tali dati possono essere trattati in forma non anonima unicamente laddove cio' risulti indispensabile al fine di verificare la correttezza e la legittimita' delle singole interrogazioni effettuate. 7. Il processo di identificazione e autenticazione on line degli utenti e' assicurato dal sistema di Identity Management dell'INAIL che avviene tramite carta nazionale dei servizi, carta di identita' elettronica o tramite credenziali di autenticazione, in conformita' all'articolo 64 del Codice dell'amministrazione digitale e all'articolo 34 del decreto legislativo n. 196 del 2003. L'accesso e' garantito tramite l'utilizzo di un protocollo sicuro. I soggetti legittimati all'accesso ai dati contenuti nel SINP sono unicamente gli enti fruitori elencati nell'allegato E). 8. Nel caso di utilizzo del modello di «identita' federata», sia nell'ambito delle modalita' di cooperazione applicativa che di fruizione di servizi on line, in conformita' al codice dell'amministrazione digitale, l'INAIL esercita il ruolo di erogatore di servizi e gli enti federati assumono il ruolo di fruitori dei servizi, dotandosi di sistemi standard in grado di garantire la condivisione delle identita' digitali e dei relativi attributi, mentre compete all'INAIL la tracciatura delle operazioni. 9. Ciascun ente individua il responsabile preposto alla definizione dei profili di autorizzazione, in relazione al ruolo istituzionale, alle funzioni svolte e all'ambito territoriale delle azioni di competenza, alla designazione dei soggetti (utenti e amministratori) e dei rispettivi privilegi nonche' alla gestione delle modalita' di conferimento, sospensione e revoca dei profili di accesso. Le richieste di accesso al SINP devono indicare espressamente la specifica attivita' al cui svolgimento e' preordinata la consultazione nell'ambito delle competenze istituzionali del soggetto richiedente. 10. L'INAIL garantisce mediante il proprio sistema di autorizzazione l'accesso selettivo ai servizi del SINP in relazione ai profili del soggetto richiedente. 11. L'accesso ai servizi del SINP richiede la stipula di una convenzione, redatta in conformita' alle prescrizioni contenute nelle linee guida emanate dall'Agenzia per l'Italia digitale ai sensi dell'articolo 58, comma 2, del Codice dell'amministrazione digitale, che stabilisce: a) i profili di cui agli accordi di servizio per la cooperazione applicativa abilitati con la convenzione; b) le modalita' di scambio e di condivisione delle informazioni sulle identita' e sui ruoli; c) le procedure per l'individuazione e configurazione dei profili di autorizzazione; d) le figure di responsabilita' individuate all'interno di ogni ente per la gestione delle regole tecniche organizzative previste nel presente decreto.
Note all'art. 7: - Si riporta gli articoli 31, 33 e 34 del citato decreto legislativo n. 196 del 2003: «Art. 31. (Obblighi di sicurezza). - 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' della raccolta.». «Art. 33. (Misure minime). - 1. Nel quadro dei piu' generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.». «Art. 34. (Trattamenti con strumenti elettronici). - 1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi; g); h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. 1-bis. 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalita' amministrativo-contabili sono quelli connessi allo svolgimento delle attivita' di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalita' le attivita' organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilita' e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.». - Si riporta l'articolo 64 del citato decreto legislativo n. 82 del 2005: «Art. 64. (Modalita' di accesso ai servizi erogati in rete dalle pubbliche amministrazioni). - 1. La carta d'identita' elettronica e la carta nazionale dei servizi costituiscono strumenti per l'accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria l'identificazione informatica. 2. Le pubbliche amministrazioni possono consentire l'accesso ai servizi in rete da esse erogati che richiedono l'identificazione informatica anche con strumenti diversi dalla carta d'identita' elettronica e dalla carta nazionale dei servizi, purche' tali strumenti consentano l'individuazione del soggetto che richiede il servizio. Con l'istituzione del sistema SPID di cui al comma 2-bis, le pubbliche amministrazioni possono consentire l'accesso in rete ai propri servizi solo mediante gli strumenti di cui al comma 1, ovvero mediante servizi offerti dal medesimo sistema SPID. L'accesso con carta d'identita' elettronica e carta nazionale dei servizi e' comunque consentito indipendentemente dalle modalita' di accesso predisposte dalle singole amministrazioni. 2-bis. Per favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di cittadini e imprese, anche in mobilita', e' istituito, a cura dell'Agenzia per l'Italia digitale, il sistema pubblico per la gestione dell'identita' digitale di cittadini e imprese (SPID). 2-ter. Il sistema SPID e' costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'Agenzia per l'Italia digitale, secondo modalita' definite con il decreto di cui al comma 2-sexies, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, in qualita' di erogatori di servizi in rete, ovvero, direttamente, su richiesta degli interessati. 2-quater. Il sistema SPID e' adottato dalle pubbliche amministrazioni nei tempi e secondo le modalita' definiti con il decreto di cui al comma 2-sexies. 2-quinquies. Ai fini dell'erogazione dei propri servizi in rete, e' altresi' riconosciuta alle imprese, secondo le modalita' definite con il decreto di cui al comma 2-sexies, la facolta' di avvalersi del sistema SPID per la gestione dell'identita' digitale dei propri utenti. L'adesione al sistema SPID per la verifica dell'accesso ai propri servizi erogati in rete per i quali e' richiesto il riconoscimento dell'utente esonera l'impresa da un obbligo generale di sorveglianza delle attivita' sui propri siti, ai sensi dell'articolo 17 del decreto legislativo 9 aprile 2003, n. 70. 2-sexies. Con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro delegato per l'innovazione tecnologica e del Ministro per la pubblica amministrazione e la semplificazione, di concerto con il Ministro dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali, sono definite le caratteristiche del sistema SPID, anche con riferimento: a) al modello architetturale e organizzativo del sistema; b) alle modalita' e ai requisiti necessari per l'accreditamento dei gestori dell'identita' digitale; c) agli standard tecnologici e alle soluzioni tecniche e organizzative da adottare anche al fine di garantire l'interoperabilita' delle credenziali e degli strumenti di accesso resi disponibili dai gestori dell'identita' digitale nei riguardi di cittadini e imprese, compresi gli strumenti di cui al comma 1; d) alle modalita' di adesione da parte di cittadini e imprese in qualita' di utenti di servizi in rete; e) ai tempi e alle modalita' di adozione da parte delle pubbliche amministrazioni in qualita' di erogatori di servizi in rete; f) alle modalita' di adesione da parte delle imprese interessate in qualita' di erogatori di servizi in rete. [3. Ferma restando la disciplina riguardante le trasmissioni telematiche gestite dal Ministero dell'economia e delle finanze e dalle agenzie fiscali, con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per l'innovazione e le tecnologie, di concerto con il Ministro per la funzione pubblica e d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, e' fissata la data, comunque non successiva al 31 dicembre 2007, a decorrere dalla quale non e' piu' consentito l'accesso ai servizi erogati in rete dalle pubbliche amministrazioni, con strumenti diversi dalla carta d'identita' elettronica e dalla carta nazionale dei servizi.». - Si riporta l'articolo 58, del citato decreto legislativo n. 82 del 2005: «Art. 58. (Modalita' della fruibilita' del dato). - 1. Il trasferimento di un dato da un sistema informativo ad un altro non modifica la titolarita' del dato. 2. Le pubbliche amministrazioni comunicano tra loro attraverso la messa a disposizione a titolo gratuito degli accessi alle proprie basi di dati alle altre amministrazioni mediante la cooperazione applicativa di cui all'articolo 72, comma 1, lettera e). L'Agenzia per l'Italia digitale, sentiti il Garante per la protezione dei dati personali e le amministrazioni interessate alla comunicazione telematica, ivi incluso il Ministero della giustizia, definisce entro novanta giorni gli standard di comunicazione e le regole tecniche a cui le pubbliche amministrazioni devono conformarsi. 3. L'Agenzia per l'Italia digitale provvede al monitoraggio dell'attuazione del presente articolo, riferendo annualmente con apposita relazione al Presidente del Consiglio dei ministri e al Ministro delegato. 3-bis. 3-ter. Resta ferma la speciale disciplina dettata in materia di dati territoriali.».