Art. 7 Trattamento e sicurezza dei dati 1. Gli enti locali, anche in forma associata e, nei casi previsti dalla legge, per il tramite delle Regioni e Province Autonome, gli altri enti erogatori e l'INPS eseguono la raccolta, l'elaborazione e lo scambio dei dati e delle informazioni del Casellario, nel rispetto del principio di pertinenza, indispensabilita' e non eccedenza, con riferimento al proprio ambito territoriale di azione, attivando le procedure di integrazione delle informazioni provenienti da diverse fonti amministrative. 2. L'utilizzo dei dati e delle informazioni avviene nel rispetto dei principi vigenti in materia di trattamento dei dati, di cui al decreto legislativo 30 giugno 2003, n. 196, nel rispetto delle regole tecniche e di sicurezza di cui all'articolo 71, comma 1-bis, del decreto legislativo 7 marzo 2005, n. 82, e nell'ambito della cornice tecnico-normativa del Sistema pubblico di connettivita' di cui agli articoli 72 e seguenti del decreto legislativo 7 marzo 2005, n. 82. 3. L'INPS garantisce la gestione tecnica ed informatica del Casellario ed e', a tale fine, titolare del trattamento dei dati, secondo quanto previsto dal decreto legislativo 30 giugno 2003, n. 196. 4. L'ente erogatore e' titolare del trattamento dei dati relativi agli utenti delle prestazioni da esso erogate, trasmessi all'INPS ai fini della costituzione del Casellario. 5. Al fine dell'applicazione delle disposizioni sulle misure di sicurezza, ai sensi dell'articolo 31 e seguenti del decreto legislativo 30 giugno 2003, n. 196, l'INPS, sentiti il Ministero del lavoro e delle politiche sociali, l'Agenzia delle entrate e il Garante per la protezione dei dati personali, approva con decreto direttoriale il disciplinare tecnico contenente le misure di sicurezza, finalizzate a ridurre al minimo i rischi di distruzione o perdita anche accidentali dei dati stessi, di accesso non autorizzato o di trattamento non consentito ovvero non conforme alle finalita' della raccolta. In particolare, il disciplinare specifica le regole tecniche in conformita' alle quali le procedure di sicurezza relative al software e ai servizi telematici garantiscono la riservatezza dei dati trattati nell'ambito del Casellario.
Note all'art. 7: - Per il testo del citato decreto legislativo n. 196 del 2003, si vedano le note alle premesse. - Si riportano gli articoli da 71 a 84 del decreto legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale): «Art. 71 (Regole tecniche). - 1. Le regole tecniche previste nel presente codice sono dettate, con decreti del Presidente del Consiglio dei Ministri o del Ministro delegato per la pubblica amministrazione e l'innovazione, di concerto con i Ministri competenti, sentita la Conferenza unificata di cui all'art. 8 del decreto legislativo 28 agosto 1997, n. 281, ed il Garante per la protezione dei dati personali nelle materie di competenza, previa acquisizione obbligatoria del parere tecnico di DigitPA. Le amministrazioni competenti, la Conferenza unificata e il Garante per la protezione dei dati personali rispondono entro trenta giorni dalla richiesta di parere. In mancanza di risposta nel termine indicato nel periodo precedente, il parere si intende interamente favorevole. 1-bis. 1-ter. Le regole tecniche di cui al presente codice sono dettate in conformita' ai requisiti tecnici di accessibilita' di cui all'art. 11 della legge 9 gennaio 2004, n. 4, alle discipline risultanti dal processo di standardizzazione tecnologica a livello internazionale ed alle normative dell'Unione europea. 2. Le regole tecniche vigenti nelle materie del presente codice restano in vigore fino all'adozione delle regole tecniche adottate ai sensi del presente articolo. Art. 72 (Definizioni relative al sistema pubblico di connettivita'). - 1. Ai fini del presente decreto si intende per: a) "trasporto di dati": i servizi per la realizzazione, gestione ed evoluzione di reti informatiche per la trasmissione di dati, oggetti multimediali e fonia; b) "interoperabilita' di base": i servizi per la realizzazione, gestione ed evoluzione di strumenti per lo scambio di documenti informatici fra le pubbliche amministrazioni e tra queste e i cittadini; c) "connettivita'": l'insieme dei servizi di trasporto di dati e di interoperabilita' di base; d) "interoperabilita' evoluta": i servizi idonei a favorire la circolazione, lo scambio di dati e informazioni, e l'erogazione fra le pubbliche amministrazioni e tra queste e i cittadini; e) "cooperazione applicativa": la parte del sistema pubblico di connettivita' finalizzata all'interazione tra i sistemi informatici delle pubbliche amministrazioni per garantire l'integrazione dei metadati, delle informazioni e dei procedimenti amministrativi. Art. 73 (Sistema pubblico di connettivita' (SPC)). - 1. Nel rispetto dell'art. 117, secondo comma, lettera r), della Costituzione, e nel rispetto dell'autonomia dell'organizzazione interna delle funzioni informative delle regioni e delle autonomie locali il presente Capo definisce e disciplina il Sistema pubblico di connettivita' (SPC), al fine di assicurare il coordinamento informativo e informatico dei dati tra le amministrazioni centrali, regionali e locali e promuovere l'omogeneita' nella elaborazione e trasmissione dei dati stessi, finalizzata allo scambio e diffusione delle informazioni tra le pubbliche amministrazioni e alla realizzazione di servizi integrati. 2. Il SPC e' l'insieme di infrastrutture tecnologiche e di regole tecniche, per lo sviluppo, la condivisione, l'integrazione e la diffusione del patrimonio informativo e dei dati della pubblica amministrazione, necessarie per assicurare l'interoperabilita' di base ed evoluta e la cooperazione applicativa dei sistemi informatici e dei flussi informativi, garantendo la sicurezza, la riservatezza delle informazioni, nonche' la salvaguardia e l'autonomia del patrimonio informativo di ciascuna pubblica amministrazione. 3. La realizzazione del SPC avviene nel rispetto dei seguenti principi: a) sviluppo architetturale ed organizzativo atto a garantire la natura federata, policentrica e non gerarchica del sistema; b) economicita' nell'utilizzo dei servizi di rete, di interoperabilita' e di supporto alla cooperazione applicativa; c) sviluppo del mercato e della concorrenza nel settore delle tecnologie dell'informazione e della comunicazione. 3-bis. Le regole tecniche del Sistema pubblico di connettivita' sono dettate ai sensi dell'art. 71. Art. 74 (Rete internazionale delle pubbliche amministrazioni). - 1. Il presente decreto definisce e disciplina la Rete internazionale delle pubbliche amministrazioni, interconnessa al SPC. La Rete costituisce l'infrastruttura di connettivita' che collega, nel rispetto della normativa vigente, le pubbliche amministrazioni con gli uffici italiani all'estero, garantendo adeguati livelli di sicurezza e qualita'. Art. 75 (Partecipazione al Sistema pubblico di connettivita'). - 1. Al SPC partecipano tutte le amministrazioni di cui all'art. 2, comma 2. 2. Il comma 1 non si applica alle amministrazioni di cui al decreto legislativo 30 marzo 2001, n. 165, limitatamente all'esercizio delle sole funzioni di ordine e sicurezza pubblica, difesa nazionale, consultazioni elettorali. 3. Ai sensi dell'art. 3 del decreto del Presidente della Repubblica 11 novembre 1994, n. 680, nonche' dell'art. 25 del decreto legislativo 30 giugno 2003, n. 196, e' comunque garantita la connessione con il SPC dei sistemi informativi degli organismi competenti per l'esercizio delle funzioni di sicurezza e difesa nazionale, nel loro esclusivo interesse e secondo regole tecniche che assicurino riservatezza e sicurezza. E' altresi' garantita la possibilita' di connessione al SPC delle autorita' amministrative indipendenti. 3-bis. Il gestore di servizi pubblici e i soggetti che perseguono finalita' di pubblico interesse possono usufruire della connessione al SPC e dei relativi servizi, adeguandosi alle vigenti regole tecniche, previa delibera della Commissione di cui all'art. 79. Art. 76 (Scambio di documenti informatici nell'ambito del Sistema pubblico di connettivita'). - 1. Gli scambi di documenti informatici tra le pubbliche amministrazioni nell'ambito del SPC, realizzati attraverso la cooperazione applicativa e nel rispetto delle relative procedure e regole tecniche di sicurezza, costituiscono invio documentale valido ad ogni effetto di legge. Art. 77 (Finalita' del Sistema pubblico di connettivita'). - 1. Al SPC sono attribuite le seguenti finalita': a) fornire un insieme di servizi di connettivita' condivisi dalle pubbliche amministrazioni interconnesse, definiti negli aspetti di funzionalita', qualita' e sicurezza, ampiamente graduabili in modo da poter soddisfare le differenti esigenze delle pubbliche amministrazioni aderenti al SPC; b) garantire l'interazione della pubblica amministrazione centrale e locale con tutti gli altri soggetti connessi a Internet, nonche' con le reti di altri enti, promuovendo l'erogazione di servizi di qualita' e la miglior fruibilita' degli stessi da parte dei cittadini e delle imprese; c) fornire un'infrastruttura condivisa di interscambio che consenta l'interoperabilita' tra tutte le reti delle pubbliche amministrazioni esistenti, favorendone lo sviluppo omogeneo su tutto il territorio nella salvaguardia degli investimenti effettuati; d) fornire servizi di connettivita' e cooperazione alle pubbliche amministrazioni che ne facciano richiesta, per permettere l'interconnessione delle proprie sedi e realizzare cosi' anche l'infrastruttura interna di comunicazione; e) realizzare un modello di fornitura dei servizi multifornitore coerente con l'attuale situazione di mercato e le dimensioni del progetto stesso; f) garantire lo sviluppo dei sistemi informatici nell'ambito del SPC salvaguardando la sicurezza dei dati, la riservatezza delle informazioni, nel rispetto dell'autonomia del patrimonio informativo delle singole amministrazioni e delle vigenti disposizioni in materia di protezione dei dati personali. Art. 78 (Compiti delle pubbliche amministrazioni nel Sistema pubblico di connettivita'). - 1. Le pubbliche amministrazioni nell'ambito della loro autonomia funzionale e gestionale adottano nella progettazione e gestione dei propri sistemi informativi, ivi inclusi gli aspetti organizzativi, soluzioni tecniche compatibili con la cooperazione applicativa con le altre pubbliche amministrazioni, secondo le regole tecniche di cui all'art. 73, comma 3-bis. Le stesse pubbliche amministrazioni, ove venga loro attribuito, per norma, il compito di gestire soluzioni infrastrutturali per l'erogazione di servizi comuni a piu' amministrazioni, adottano le medesime regole per garantire la compatibilita' con la cooperazione applicativa potendosi avvalere di modalita' atte a mantenere distinti gli ambiti di competenza. 2. Per le amministrazioni di cui all'art. 1, comma 1, del decreto legislativo 12 febbraio 1993, n. 39, le responsabilita' di cui al comma 1 sono attribuite al dirigente responsabile dei sistemi informativi automatizzati, di cui all'art. 10, comma 1, dello stesso decreto legislativo. 2-bis. Le pubbliche amministrazioni centrali e periferiche di cui all' art. 1, comma 1, lettera z), del presente codice, inclusi gli istituti e le scuole di ogni ordine e grado, le istituzioni educative e le istituzioni universitarie, nei limiti di cui all' art. 1, comma 449, secondo periodo, della legge 27 dicembre 2006, n. 296, sono tenute, a decorrere dal 1° gennaio 2008 e comunque a partire dalla scadenza dei contratti relativi ai servizi di fonia in corso alla data predetta ad utilizzare i servizi "Voce tramite protocollo Internet" (VoIP) previsti dal sistema pubblico di connettivita' o da analoghe convenzioni stipulate da CONSIP. 2-ter. DigitPA effettua azioni di monitoraggio e verifica del rispetto delle disposizioni di cui al comma 2-bis. 2-quater. Il mancato adeguamento alle disposizioni di cui al comma 2-bis comporta la riduzione, nell'esercizio finanziario successivo, del 30 per cento delle risorse stanziate nell'anno in corso per spese di telefonia. Art. 79 (Commissione di coordinamento del Sistema pubblico di connettivita'). - 1. E' istituita la Commissione di coordinamento del SPC, di seguito denominata: "Commissione", preposta agli indirizzi strategici del SPC. 2. La Commissione: a) assicura il raccordo tra le amministrazioni pubbliche, nel rispetto delle funzioni e dei compiti spettanti a ciascuna di esse; b) approva le linee guida, le modalita' operative e di funzionamento dei servizi e delle procedure per realizzare la cooperazione applicativa fra i servizi erogati dalle amministrazioni; c) promuove l'evoluzione del modello organizzativo e dell'architettura tecnologica del SPC in funzione del mutamento delle esigenze delle pubbliche amministrazioni e delle opportunita' derivanti dalla evoluzione delle tecnologie; d) promuove la cooperazione applicativa fra le pubbliche amministrazioni, nel rispetto delle regole tecniche di cui all'art. 71; e) definisce i criteri e ne verifica l'applicazione in merito alla iscrizione, sospensione e cancellazione dagli elenchi dei fornitori qualificati SPC di cui all'art. 82; f) dispone la sospensione e cancellazione dagli elenchi dei fornitori qualificati di cui all'art. 82; g) verifica la qualita' e la sicurezza dei servizi erogati dai fornitori qualificati del SPC; h) promuove il recepimento degli standard necessari a garantire la connettivita', l'interoperabilita' di base e avanzata, la cooperazione applicativa e la sicurezza del Sistema. 3. Le decisioni della Commissione sono assunte a maggioranza semplice o qualificata dei componenti in relazione all'argomento in esame. La Commissione a tale fine elabora, entro tre mesi dal suo insediamento, un regolamento interno da approvare con maggioranza qualificata dei suoi componenti. Art. 80 (Composizione della Commissione di coordinamento del sistema pubblico di connettivita'). - 1. La Commissione e' formata da diciassette componenti incluso il Presidente di cui al comma 2, scelti tra persone di comprovata professionalita' ed esperienza nel settore, nominati con decreto del Presidente del Consiglio dei Ministri: otto componenti sono nominati in rappresentanza delle amministrazioni statali previa deliberazione del Consiglio dei Ministri, sette dei quali su proposta del Ministro per l'innovazione e le tecnologie ed uno su proposta del Ministro per la funzione pubblica; i restanti otto sono nominati su designazione della Conferenza unificata di cui all'art. 8 del decreto legislativo 28 agosto 1997, n. 281. Uno dei sette componenti proposti dal Ministro per l'innovazione e le tecnologie e' nominato in rappresentanza della Presidenza del Consiglio dei ministri. Quando esamina questioni di interesse della rete internazionale della pubblica amministrazione la Commissione e' integrata da un rappresentante del Ministero degli affari esteri, qualora non ne faccia gia' parte. 2. Il Presidente della Commissione e' il Commissario del Governo per l'attuazione dell'agenda digitale o, su sua delega, il Direttore dell'Agenzia digitale. Il Presidente e gli altri componenti della Commissione restano in carica per un triennio e l'incarico e' rinnovabile. 3. La Commissione e' convocata dal Presidente e si riunisce almeno quattro volte l'anno. 4. L'incarico di Presidente o di componente della Commissione e la partecipazione alle riunioni della Commissione non danno luogo alla corresponsione di alcuna indennita', emolumento, compenso e rimborso spese e le amministrazioni interessate provvedono agli oneri di missione nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, senza nuovi o maggiori oneri per la finanza pubblica. 5. Per i necessari compiti istruttori la Commissione si avvale di DigitPA e sulla base di specifiche convenzioni, di organismi interregionali e territoriali. 6. La Commissione puo' avvalersi, nell'ambito delle risorse umane, finanziarie e strumentali disponibili a legislazione vigente, senza nuovi o maggiori oneri per la finanza pubblica, della consulenza di uno o piu' organismi di consultazione e cooperazione istituiti con appositi accordi ai sensi dell'art. 9, comma 2, lettera c), del decreto legislativo 28 agosto 1997, n. 281. 7. Ai fini della definizione degli sviluppi strategici del SPC, in relazione all'evoluzione delle tecnologie dell'informatica e della comunicazione, la Commissione puo' avvalersi, nell'ambito delle risorse finanziarie assegnate a DigitPA a legislazione vigente e senza nuovi o maggiori oneri per la finanza pubblica, di consulenti di chiara fama ed esperienza in numero non superiore a cinque secondo le modalita' definite nei regolamenti di cui all'art. 87. Art. 81 (Ruolo di DigitPA). - 1. DigitPA, nel rispetto delle decisioni e degli indirizzi forniti dalla Commissione, anche avvalendosi di soggetti terzi, gestisce le risorse condivise del SPC e le strutture operative preposte al controllo e supervisione delle stesse, per tutte le pubbliche amministrazioni di cui all'art. 2, comma 2. 2. DigitPA, anche avvalendosi di soggetti terzi, cura la progettazione, la realizzazione, la gestione e l'evoluzione del SPC per le amministrazioni di cui all'art. 1, comma 1, del decreto legislativo 12 febbraio 1993, n. 39. 2-bis. Al fine di dare attuazione a quanto disposto dall'art. 5, DigitPA, mette a disposizione, attraverso il Sistema pubblico di connettivita', una piattaforma tecnologica per l'interconnessione e l'interoperabilita' tra le pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati, al fine di assicurare, attraverso strumenti condivisi di riconoscimento unificati, l'autenticazione certa dei soggetti interessati all'operazione in tutta la gestione del processo di pagamento. Art. 82 (Fornitori del Sistema pubblico di connettivita'). - 1. Sono istituiti uno o piu' elenchi di fornitori a livello nazionale e regionale in attuazione delle finalita' di cui all'art. 77. 2. I fornitori che ottengono la qualificazione SPC ai sensi dei regolamenti previsti dall'art. 87, sono inseriti negli elenchi di competenza nazionale o regionale, consultabili in via telematica, esclusivamente ai fini dell'applicazione della disciplina di cui al presente decreto, e tenuti rispettivamente da DigitPA a livello nazionale e dalla regione di competenza a livello regionale. I fornitori in possesso dei suddetti requisiti sono denominati fornitori qualificati SPC. 3. I servizi per i quali e' istituito un elenco, ai sensi del comma 1, sono erogati, nell'ambito del SPC, esclusivamente dai soggetti che abbiano ottenuto l'iscrizione nell'elenco di competenza nazionale o regionale. 4. Per l'iscrizione negli elenchi dei fornitori qualificati SPC e' necessario che il fornitore soddisfi almeno i seguenti requisiti: a) disponibilita' di adeguate infrastrutture e servizi di comunicazioni elettroniche; b) esperienza comprovata nell'ambito della realizzazione gestione ed evoluzione delle soluzioni di sicurezza informatica; c) possesso di adeguata rete commerciale e di assistenza tecnica; d) possesso di adeguati requisiti finanziari e patrimoniali, anche dimostrabili per il tramite di garanzie rilasciate da terzi qualificati. 5. Limitatamente ai fornitori dei servizi di connettivita' dovranno inoltre essere soddisfatti anche i seguenti requisiti: a) possesso dei necessari titoli abilitativi di cui al decreto legislativo 1° agosto 2003, n. 259, per l'ambito territoriale di esercizio dell'attivita'; b) possesso di comprovate conoscenze ed esperienze tecniche nella gestione delle reti e servizi di comunicazioni elettroniche, anche sotto il profilo della sicurezza e della protezione dei dati. Art. 83 (Contratti quadro). - 1. Al fine della realizzazione del SPC, DigitPA a livello nazionale e le regioni nell'ambito del proprio territorio, per soddisfare esigenze di coordinamento, qualificata competenza e indipendenza di giudizio, nonche' per garantire la fruizione, da parte delle pubbliche amministrazioni, di elevati livelli di disponibilita' dei servizi e delle stesse condizioni contrattuali proposte dal miglior offerente, nonche' una maggiore affidabilita' complessiva del sistema, promuovendo, altresi', lo sviluppo della concorrenza e assicurando la presenza di piu' fornitori qualificati, stipulano, espletando specifiche procedure ad evidenza pubblica per la selezione dei contraenti, nel rispetto delle vigenti norme in materia, uno o piu' contratti-quadro con piu' fornitori per i servizi di cui all'art. 77, con cui i fornitori si impegnano a contrarre con le singole amministrazioni alle condizioni ivi stabilite. 2. Le amministrazioni di cui all'art. 1, comma 1, del decreto legislativo 12 febbraio 1993, n. 39, sono tenute a stipulare gli atti esecutivi dei contratti-quadro con uno o piu' fornitori di cui al comma 1, individuati da DigitPA. Gli atti esecutivi non sono soggetti al parere di DigitPA e, ove previsto, del Consiglio di Stato. Le amministrazioni non ricomprese tra quelle di cui al citato art. 1, comma 1, del decreto legislativo n. 39 del 1993, hanno facolta' di stipulare gli atti esecutivi di cui al presente articolo. Art. 84 (Migrazione della Rete unitaria della pubblica amministrazione). - 1. Le Amministrazioni di cui all'art. 1, comma 1, del decreto legislativo 12 febbraio 1993, n. 39, aderenti alla Rete unitaria della pubblica amministrazione, presentano a DigitPA, secondo le indicazioni da esso fornite, i piani di migrazione verso il SPC, da attuarsi entro diciotto mesi dalla data di approvazione del primo contratto quadro di cui all'art. 83, comma 1, termine di cessazione dell'operativita' della Rete unitaria della pubblica amministrazione. 2. Dalla data di entrata in vigore del presente articolo ogni riferimento normativo alla Rete unitaria della pubblica amministrazione si intende effettuato al SPC.». - Si riportano gli articoli da 31 a 36 del citato decreto legislativo n. 196 del 2003: «Art. 31 (Obblighi di sicurezza). - 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' della raccolta. Art. 32 (Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico). - 1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'art. 31, anche attraverso altri soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'art. 32-bis. 1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati. 1-ter. Le misure di cui al commi 1 e 1-bis garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonche' assicurano l'attuazione di una politica di sicurezza. 2. Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia e' definita dall'Autorita' per le garanzie nelle comunicazioni secondo le modalita' previste dalla normativa vigente. 3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa i contraenti e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio e' al di fuori dell'ambito di applicazione delle misure che il fornitore stesso e' tenuto ad adottare ai sensi dei commi 1, 1-bis e 2, tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa e' resa al Garante e all'Autorita' per le garanzie nelle comunicazioni. Art. 32-bis (Adempimenti conseguenti ad una violazione di dati personali). - 1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante. 2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza di contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione. 3. La comunicazione di cui al comma 2 non e' dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione. 4. Ove il fornitore non vi abbia gia' provveduto, il Garante puo', considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione. 5. La comunicazione al contraente o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione al Garante descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio. 6. Il Garante puo' emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonche' alle relative modalita' di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea ai sensi dell'art. 4, paragrafo 5, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE. 7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Garante di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario figurano unicamente le informazioni necessarie a tal fine. 8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui al presente articolo. Art. 33 (Misure minime). - 1. Nel quadro dei piu' generali obblighi di sicurezza di cui all'art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'art. 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. Art. 34 (Trattamenti con strumenti elettronici). - 1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi; [g) tenuta di un aggiornato documento programmatico sulla sicurezza;] h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'art. 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonche' a trattamenti comunque effettuati per correnti finalita' amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalita' semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1. 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalita' amministrativo-contabili sono quelli connessi allo svolgimento delle attivita' di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalita' le attivita' organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilita' e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici). - 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unita' organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalita' di accesso finalizzata all'identificazione degli incaricati. Art. 36 (Adeguamento). - 1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, e' aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore.».