Art. 7
Trattamento e sicurezza dei dati
1. Gli enti locali, anche in forma associata e, nei casi previsti
dalla legge, per il tramite delle Regioni e Province Autonome, gli
altri enti erogatori e l'INPS eseguono la raccolta, l'elaborazione e
lo scambio dei dati e delle informazioni del Casellario, nel rispetto
del principio di pertinenza, indispensabilita' e non eccedenza, con
riferimento al proprio ambito territoriale di azione, attivando le
procedure di integrazione delle informazioni provenienti da diverse
fonti amministrative.
2. L'utilizzo dei dati e delle informazioni avviene nel rispetto
dei principi vigenti in materia di trattamento dei dati, di cui al
decreto legislativo 30 giugno 2003, n. 196, nel rispetto delle regole
tecniche e di sicurezza di cui all'articolo 71, comma 1-bis, del
decreto legislativo 7 marzo 2005, n. 82, e nell'ambito della cornice
tecnico-normativa del Sistema pubblico di connettivita' di cui agli
articoli 72 e seguenti del decreto legislativo 7 marzo 2005, n. 82.
3. L'INPS garantisce la gestione tecnica ed informatica del
Casellario ed e', a tale fine, titolare del trattamento dei dati,
secondo quanto previsto dal decreto legislativo 30 giugno 2003, n.
196.
4. L'ente erogatore e' titolare del trattamento dei dati relativi
agli utenti delle prestazioni da esso erogate, trasmessi all'INPS ai
fini della costituzione del Casellario.
5. Al fine dell'applicazione delle disposizioni sulle misure di
sicurezza, ai sensi dell'articolo 31 e seguenti del decreto
legislativo 30 giugno 2003, n. 196, l'INPS, sentiti il Ministero del
lavoro e delle politiche sociali, l'Agenzia delle entrate e il
Garante per la protezione dei dati personali, approva con decreto
direttoriale il disciplinare tecnico contenente le misure di
sicurezza, finalizzate a ridurre al minimo i rischi di distruzione o
perdita anche accidentali dei dati stessi, di accesso non autorizzato
o di trattamento non consentito ovvero non conforme alle finalita'
della raccolta. In particolare, il disciplinare specifica le regole
tecniche in conformita' alle quali le procedure di sicurezza relative
al software e ai servizi telematici garantiscono la riservatezza dei
dati trattati nell'ambito del Casellario.
Note all'art. 7:
- Per il testo del citato decreto legislativo n. 196
del 2003, si vedano le note alle premesse.
- Si riportano gli articoli da 71 a 84 del decreto
legislativo 7 marzo 2005, n. 82 (Codice
dell'amministrazione digitale):
«Art. 71 (Regole tecniche). - 1. Le regole tecniche
previste nel presente codice sono dettate, con decreti del
Presidente del Consiglio dei Ministri o del Ministro
delegato per la pubblica amministrazione e l'innovazione,
di concerto con i Ministri competenti, sentita la
Conferenza unificata di cui all'art. 8 del decreto
legislativo 28 agosto 1997, n. 281, ed il Garante per la
protezione dei dati personali nelle materie di competenza,
previa acquisizione obbligatoria del parere tecnico di
DigitPA. Le amministrazioni competenti, la Conferenza
unificata e il Garante per la protezione dei dati personali
rispondono entro trenta giorni dalla richiesta di parere.
In mancanza di risposta nel termine indicato nel periodo
precedente, il parere si intende interamente favorevole.
1-bis.
1-ter. Le regole tecniche di cui al presente codice
sono dettate in conformita' ai requisiti tecnici di
accessibilita' di cui all'art. 11 della legge 9 gennaio
2004, n. 4, alle discipline risultanti dal processo di
standardizzazione tecnologica a livello internazionale ed
alle normative dell'Unione europea.
2. Le regole tecniche vigenti nelle materie del
presente codice restano in vigore fino all'adozione delle
regole tecniche adottate ai sensi del presente articolo.
Art. 72 (Definizioni relative al sistema pubblico di
connettivita'). - 1. Ai fini del presente decreto si
intende per:
a) "trasporto di dati": i servizi per la realizzazione,
gestione ed evoluzione di reti informatiche per la
trasmissione di dati, oggetti multimediali e fonia;
b) "interoperabilita' di base": i servizi per la
realizzazione, gestione ed evoluzione di strumenti per lo
scambio di documenti informatici fra le pubbliche
amministrazioni e tra queste e i cittadini;
c) "connettivita'": l'insieme dei servizi di trasporto
di dati e di interoperabilita' di base;
d) "interoperabilita' evoluta": i servizi idonei a
favorire la circolazione, lo scambio di dati e
informazioni, e l'erogazione fra le pubbliche
amministrazioni e tra queste e i cittadini;
e) "cooperazione applicativa": la parte del sistema
pubblico di connettivita' finalizzata all'interazione tra i
sistemi informatici delle pubbliche amministrazioni per
garantire l'integrazione dei metadati, delle informazioni e
dei procedimenti amministrativi.
Art. 73 (Sistema pubblico di connettivita' (SPC)). - 1.
Nel rispetto dell'art. 117, secondo comma, lettera r),
della Costituzione, e nel rispetto dell'autonomia
dell'organizzazione interna delle funzioni informative
delle regioni e delle autonomie locali il presente Capo
definisce e disciplina il Sistema pubblico di connettivita'
(SPC), al fine di assicurare il coordinamento informativo e
informatico dei dati tra le amministrazioni centrali,
regionali e locali e promuovere l'omogeneita' nella
elaborazione e trasmissione dei dati stessi, finalizzata
allo scambio e diffusione delle informazioni tra le
pubbliche amministrazioni e alla realizzazione di servizi
integrati.
2. Il SPC e' l'insieme di infrastrutture tecnologiche e
di regole tecniche, per lo sviluppo, la condivisione,
l'integrazione e la diffusione del patrimonio informativo e
dei dati della pubblica amministrazione, necessarie per
assicurare l'interoperabilita' di base ed evoluta e la
cooperazione applicativa dei sistemi informatici e dei
flussi informativi, garantendo la sicurezza, la
riservatezza delle informazioni, nonche' la salvaguardia e
l'autonomia del patrimonio informativo di ciascuna pubblica
amministrazione.
3. La realizzazione del SPC avviene nel rispetto dei
seguenti principi:
a) sviluppo architetturale ed organizzativo atto a
garantire la natura federata, policentrica e non gerarchica
del sistema;
b) economicita' nell'utilizzo dei servizi di rete, di
interoperabilita' e di supporto alla cooperazione
applicativa;
c) sviluppo del mercato e della concorrenza nel settore
delle tecnologie dell'informazione e della comunicazione.
3-bis. Le regole tecniche del Sistema pubblico di
connettivita' sono dettate ai sensi dell'art. 71.
Art. 74 (Rete internazionale delle pubbliche
amministrazioni). - 1. Il presente decreto definisce e
disciplina la Rete internazionale delle pubbliche
amministrazioni, interconnessa al SPC. La Rete costituisce
l'infrastruttura di connettivita' che collega, nel rispetto
della normativa vigente, le pubbliche amministrazioni con
gli uffici italiani all'estero, garantendo adeguati livelli
di sicurezza e qualita'.
Art. 75 (Partecipazione al Sistema pubblico di
connettivita'). - 1. Al SPC partecipano tutte le
amministrazioni di cui all'art. 2, comma 2.
2. Il comma 1 non si applica alle amministrazioni di
cui al decreto legislativo 30 marzo 2001, n. 165,
limitatamente all'esercizio delle sole funzioni di ordine e
sicurezza pubblica, difesa nazionale, consultazioni
elettorali.
3. Ai sensi dell'art. 3 del decreto del Presidente
della Repubblica 11 novembre 1994, n. 680, nonche'
dell'art. 25 del decreto legislativo 30 giugno 2003, n.
196, e' comunque garantita la connessione con il SPC dei
sistemi informativi degli organismi competenti per
l'esercizio delle funzioni di sicurezza e difesa nazionale,
nel loro esclusivo interesse e secondo regole tecniche che
assicurino riservatezza e sicurezza. E' altresi' garantita
la possibilita' di connessione al SPC delle autorita'
amministrative indipendenti.
3-bis. Il gestore di servizi pubblici e i soggetti che
perseguono finalita' di pubblico interesse possono
usufruire della connessione al SPC e dei relativi servizi,
adeguandosi alle vigenti regole tecniche, previa delibera
della Commissione di cui all'art. 79.
Art. 76 (Scambio di documenti informatici nell'ambito
del Sistema pubblico di connettivita'). - 1. Gli scambi di
documenti informatici tra le pubbliche amministrazioni
nell'ambito del SPC, realizzati attraverso la cooperazione
applicativa e nel rispetto delle relative procedure e
regole tecniche di sicurezza, costituiscono invio
documentale valido ad ogni effetto di legge.
Art. 77 (Finalita' del Sistema pubblico di
connettivita'). - 1. Al SPC sono attribuite le seguenti
finalita':
a) fornire un insieme di servizi di connettivita'
condivisi dalle pubbliche amministrazioni interconnesse,
definiti negli aspetti di funzionalita', qualita' e
sicurezza, ampiamente graduabili in modo da poter
soddisfare le differenti esigenze delle pubbliche
amministrazioni aderenti al SPC;
b) garantire l'interazione della pubblica
amministrazione centrale e locale con tutti gli altri
soggetti connessi a Internet, nonche' con le reti di altri
enti, promuovendo l'erogazione di servizi di qualita' e la
miglior fruibilita' degli stessi da parte dei cittadini e
delle imprese;
c) fornire un'infrastruttura condivisa di interscambio
che consenta l'interoperabilita' tra tutte le reti delle
pubbliche amministrazioni esistenti, favorendone lo
sviluppo omogeneo su tutto il territorio nella salvaguardia
degli investimenti effettuati;
d) fornire servizi di connettivita' e cooperazione alle
pubbliche amministrazioni che ne facciano richiesta, per
permettere l'interconnessione delle proprie sedi e
realizzare cosi' anche l'infrastruttura interna di
comunicazione;
e) realizzare un modello di fornitura dei servizi
multifornitore coerente con l'attuale situazione di mercato
e le dimensioni del progetto stesso;
f) garantire lo sviluppo dei sistemi informatici
nell'ambito del SPC salvaguardando la sicurezza dei dati,
la riservatezza delle informazioni, nel rispetto
dell'autonomia del patrimonio informativo delle singole
amministrazioni e delle vigenti disposizioni in materia di
protezione dei dati personali.
Art. 78 (Compiti delle pubbliche amministrazioni nel
Sistema pubblico di connettivita'). - 1. Le pubbliche
amministrazioni nell'ambito della loro autonomia funzionale
e gestionale adottano nella progettazione e gestione dei
propri sistemi informativi, ivi inclusi gli aspetti
organizzativi, soluzioni tecniche compatibili con la
cooperazione applicativa con le altre pubbliche
amministrazioni, secondo le regole tecniche di cui all'art.
73, comma 3-bis. Le stesse pubbliche amministrazioni, ove
venga loro attribuito, per norma, il compito di gestire
soluzioni infrastrutturali per l'erogazione di servizi
comuni a piu' amministrazioni, adottano le medesime regole
per garantire la compatibilita' con la cooperazione
applicativa potendosi avvalere di modalita' atte a
mantenere distinti gli ambiti di competenza.
2. Per le amministrazioni di cui all'art. 1, comma 1,
del decreto legislativo 12 febbraio 1993, n. 39, le
responsabilita' di cui al comma 1 sono attribuite al
dirigente responsabile dei sistemi informativi
automatizzati, di cui all'art. 10, comma 1, dello stesso
decreto legislativo.
2-bis. Le pubbliche amministrazioni centrali e
periferiche di cui all' art. 1, comma 1, lettera z), del
presente codice, inclusi gli istituti e le scuole di ogni
ordine e grado, le istituzioni educative e le istituzioni
universitarie, nei limiti di cui all' art. 1, comma 449,
secondo periodo, della legge 27 dicembre 2006, n. 296, sono
tenute, a decorrere dal 1° gennaio 2008 e comunque a
partire dalla scadenza dei contratti relativi ai servizi di
fonia in corso alla data predetta ad utilizzare i servizi
"Voce tramite protocollo Internet" (VoIP) previsti dal
sistema pubblico di connettivita' o da analoghe convenzioni
stipulate da CONSIP.
2-ter. DigitPA effettua azioni di monitoraggio e
verifica del rispetto delle disposizioni di cui al comma
2-bis.
2-quater. Il mancato adeguamento alle disposizioni di
cui al comma 2-bis comporta la riduzione, nell'esercizio
finanziario successivo, del 30 per cento delle risorse
stanziate nell'anno in corso per spese di telefonia.
Art. 79 (Commissione di coordinamento del Sistema
pubblico di connettivita'). - 1. E' istituita la
Commissione di coordinamento del SPC, di seguito
denominata: "Commissione", preposta agli indirizzi
strategici del SPC.
2. La Commissione:
a) assicura il raccordo tra le amministrazioni
pubbliche, nel rispetto delle funzioni e dei compiti
spettanti a ciascuna di esse;
b) approva le linee guida, le modalita' operative e di
funzionamento dei servizi e delle procedure per realizzare
la cooperazione applicativa fra i servizi erogati dalle
amministrazioni;
c) promuove l'evoluzione del modello organizzativo e
dell'architettura tecnologica del SPC in funzione del
mutamento delle esigenze delle pubbliche amministrazioni e
delle opportunita' derivanti dalla evoluzione delle
tecnologie;
d) promuove la cooperazione applicativa fra le
pubbliche amministrazioni, nel rispetto delle regole
tecniche di cui all'art. 71;
e) definisce i criteri e ne verifica l'applicazione in
merito alla iscrizione, sospensione e cancellazione dagli
elenchi dei fornitori qualificati SPC di cui all'art. 82;
f) dispone la sospensione e cancellazione dagli elenchi
dei fornitori qualificati di cui all'art. 82;
g) verifica la qualita' e la sicurezza dei servizi
erogati dai fornitori qualificati del SPC;
h) promuove il recepimento degli standard necessari a
garantire la connettivita', l'interoperabilita' di base e
avanzata, la cooperazione applicativa e la sicurezza del
Sistema.
3. Le decisioni della Commissione sono assunte a
maggioranza semplice o qualificata dei componenti in
relazione all'argomento in esame. La Commissione a tale
fine elabora, entro tre mesi dal suo insediamento, un
regolamento interno da approvare con maggioranza
qualificata dei suoi componenti.
Art. 80 (Composizione della Commissione di
coordinamento del sistema pubblico di connettivita'). - 1.
La Commissione e' formata da diciassette componenti incluso
il Presidente di cui al comma 2, scelti tra persone di
comprovata professionalita' ed esperienza nel settore,
nominati con decreto del Presidente del Consiglio dei
Ministri: otto componenti sono nominati in rappresentanza
delle amministrazioni statali previa deliberazione del
Consiglio dei Ministri, sette dei quali su proposta del
Ministro per l'innovazione e le tecnologie ed uno su
proposta del Ministro per la funzione pubblica; i restanti
otto sono nominati su designazione della Conferenza
unificata di cui all'art. 8 del decreto legislativo 28
agosto 1997, n. 281. Uno dei sette componenti proposti dal
Ministro per l'innovazione e le tecnologie e' nominato in
rappresentanza della Presidenza del Consiglio dei ministri.
Quando esamina questioni di interesse della rete
internazionale della pubblica amministrazione la
Commissione e' integrata da un rappresentante del Ministero
degli affari esteri, qualora non ne faccia gia' parte.
2. Il Presidente della Commissione e' il Commissario
del Governo per l'attuazione dell'agenda digitale o, su sua
delega, il Direttore dell'Agenzia digitale. Il Presidente e
gli altri componenti della Commissione restano in carica
per un triennio e l'incarico e' rinnovabile.
3. La Commissione e' convocata dal Presidente e si
riunisce almeno quattro volte l'anno.
4. L'incarico di Presidente o di componente della
Commissione e la partecipazione alle riunioni della
Commissione non danno luogo alla corresponsione di alcuna
indennita', emolumento, compenso e rimborso spese e le
amministrazioni interessate provvedono agli oneri di
missione nell'ambito delle risorse umane, strumentali e
finanziarie disponibili a legislazione vigente, senza nuovi
o maggiori oneri per la finanza pubblica.
5. Per i necessari compiti istruttori la Commissione si
avvale di DigitPA e sulla base di specifiche convenzioni,
di organismi interregionali e territoriali.
6. La Commissione puo' avvalersi, nell'ambito delle
risorse umane, finanziarie e strumentali disponibili a
legislazione vigente, senza nuovi o maggiori oneri per la
finanza pubblica, della consulenza di uno o piu' organismi
di consultazione e cooperazione istituiti con appositi
accordi ai sensi dell'art. 9, comma 2, lettera c), del
decreto legislativo 28 agosto 1997, n. 281.
7. Ai fini della definizione degli sviluppi strategici
del SPC, in relazione all'evoluzione delle tecnologie
dell'informatica e della comunicazione, la Commissione puo'
avvalersi, nell'ambito delle risorse finanziarie assegnate
a DigitPA a legislazione vigente e senza nuovi o maggiori
oneri per la finanza pubblica, di consulenti di chiara fama
ed esperienza in numero non superiore a cinque secondo le
modalita' definite nei regolamenti di cui all'art. 87.
Art. 81 (Ruolo di DigitPA). - 1. DigitPA, nel rispetto
delle decisioni e degli indirizzi forniti dalla
Commissione, anche avvalendosi di soggetti terzi, gestisce
le risorse condivise del SPC e le strutture operative
preposte al controllo e supervisione delle stesse, per
tutte le pubbliche amministrazioni di cui all'art. 2, comma
2.
2. DigitPA, anche avvalendosi di soggetti terzi, cura
la progettazione, la realizzazione, la gestione e
l'evoluzione del SPC per le amministrazioni di cui all'art.
1, comma 1, del decreto legislativo 12 febbraio 1993, n.
39.
2-bis. Al fine di dare attuazione a quanto disposto
dall'art. 5, DigitPA, mette a disposizione, attraverso il
Sistema pubblico di connettivita', una piattaforma
tecnologica per l'interconnessione e l'interoperabilita'
tra le pubbliche amministrazioni e i prestatori di servizi
di pagamento abilitati, al fine di assicurare, attraverso
strumenti condivisi di riconoscimento unificati,
l'autenticazione certa dei soggetti interessati
all'operazione in tutta la gestione del processo di
pagamento.
Art. 82 (Fornitori del Sistema pubblico di
connettivita'). - 1. Sono istituiti uno o piu' elenchi di
fornitori a livello nazionale e regionale in attuazione
delle finalita' di cui all'art. 77.
2. I fornitori che ottengono la qualificazione SPC ai
sensi dei regolamenti previsti dall'art. 87, sono inseriti
negli elenchi di competenza nazionale o regionale,
consultabili in via telematica, esclusivamente ai fini
dell'applicazione della disciplina di cui al presente
decreto, e tenuti rispettivamente da DigitPA a livello
nazionale e dalla regione di competenza a livello
regionale. I fornitori in possesso dei suddetti requisiti
sono denominati fornitori qualificati SPC.
3. I servizi per i quali e' istituito un elenco, ai
sensi del comma 1, sono erogati, nell'ambito del SPC,
esclusivamente dai soggetti che abbiano ottenuto
l'iscrizione nell'elenco di competenza nazionale o
regionale.
4. Per l'iscrizione negli elenchi dei fornitori
qualificati SPC e' necessario che il fornitore soddisfi
almeno i seguenti requisiti:
a) disponibilita' di adeguate infrastrutture e servizi
di comunicazioni elettroniche;
b) esperienza comprovata nell'ambito della
realizzazione gestione ed evoluzione delle soluzioni di
sicurezza informatica;
c) possesso di adeguata rete commerciale e di
assistenza tecnica;
d) possesso di adeguati requisiti finanziari e
patrimoniali, anche dimostrabili per il tramite di garanzie
rilasciate da terzi qualificati.
5. Limitatamente ai fornitori dei servizi di
connettivita' dovranno inoltre essere soddisfatti anche i
seguenti requisiti:
a) possesso dei necessari titoli abilitativi di cui al
decreto legislativo 1° agosto 2003, n. 259, per l'ambito
territoriale di esercizio dell'attivita';
b) possesso di comprovate conoscenze ed esperienze
tecniche nella gestione delle reti e servizi di
comunicazioni elettroniche, anche sotto il profilo della
sicurezza e della protezione dei dati.
Art. 83 (Contratti quadro). - 1. Al fine della
realizzazione del SPC, DigitPA a livello nazionale e le
regioni nell'ambito del proprio territorio, per soddisfare
esigenze di coordinamento, qualificata competenza e
indipendenza di giudizio, nonche' per garantire la
fruizione, da parte delle pubbliche amministrazioni, di
elevati livelli di disponibilita' dei servizi e delle
stesse condizioni contrattuali proposte dal miglior
offerente, nonche' una maggiore affidabilita' complessiva
del sistema, promuovendo, altresi', lo sviluppo della
concorrenza e assicurando la presenza di piu' fornitori
qualificati, stipulano, espletando specifiche procedure ad
evidenza pubblica per la selezione dei contraenti, nel
rispetto delle vigenti norme in materia, uno o piu'
contratti-quadro con piu' fornitori per i servizi di cui
all'art. 77, con cui i fornitori si impegnano a contrarre
con le singole amministrazioni alle condizioni ivi
stabilite.
2. Le amministrazioni di cui all'art. 1, comma 1, del
decreto legislativo 12 febbraio 1993, n. 39, sono tenute a
stipulare gli atti esecutivi dei contratti-quadro con uno o
piu' fornitori di cui al comma 1, individuati da DigitPA.
Gli atti esecutivi non sono soggetti al parere di DigitPA
e, ove previsto, del Consiglio di Stato. Le amministrazioni
non ricomprese tra quelle di cui al citato art. 1, comma 1,
del decreto legislativo n. 39 del 1993, hanno facolta' di
stipulare gli atti esecutivi di cui al presente articolo.
Art. 84 (Migrazione della Rete unitaria della pubblica
amministrazione). - 1. Le Amministrazioni di cui all'art.
1, comma 1, del decreto legislativo 12 febbraio 1993, n.
39, aderenti alla Rete unitaria della pubblica
amministrazione, presentano a DigitPA, secondo le
indicazioni da esso fornite, i piani di migrazione verso il
SPC, da attuarsi entro diciotto mesi dalla data di
approvazione del primo contratto quadro di cui all'art. 83,
comma 1, termine di cessazione dell'operativita' della Rete
unitaria della pubblica amministrazione.
2. Dalla data di entrata in vigore del presente
articolo ogni riferimento normativo alla Rete unitaria
della pubblica amministrazione si intende effettuato al
SPC.».
- Si riportano gli articoli da 31 a 36 del citato
decreto legislativo n. 196 del 2003:
«Art. 31 (Obblighi di sicurezza). - 1. I dati personali
oggetto di trattamento sono custoditi e controllati, anche
in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al
minimo, mediante l'adozione di idonee e preventive misure
di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o
di trattamento non consentito o non conforme alle finalita'
della raccolta.
Art. 32 (Obblighi relativi ai fornitori di servizi di
comunicazione elettronica accessibili al pubblico). - 1. Il
fornitore di un servizio di comunicazione elettronica
accessibile al pubblico adotta, ai sensi dell'art. 31,
anche attraverso altri soggetti a cui sia affidata
l'erogazione del predetto servizio, misure tecniche e
organizzative adeguate al rischio esistente, per
salvaguardare la sicurezza dei suoi servizi e per gli
adempimenti di cui all'art. 32-bis.
1-bis. Ferma restando l'osservanza degli obblighi di
cui agli articoli 30 e 31, i soggetti che operano sulle
reti di comunicazione elettronica garantiscono che i dati
personali siano accessibili soltanto al personale
autorizzato per fini legalmente autorizzati.
1-ter. Le misure di cui al commi 1 e 1-bis garantiscono
la protezione dei dati relativi al traffico ed
all'ubicazione e degli altri dati personali archiviati o
trasmessi dalla distruzione anche accidentale, da perdita o
alterazione anche accidentale e da archiviazione,
trattamento, accesso o divulgazione non autorizzati o
illeciti, nonche' assicurano l'attuazione di una politica
di sicurezza.
2. Quando la sicurezza del servizio o dei dati
personali richiede anche l'adozione di misure che
riguardano la rete, il fornitore del servizio di
comunicazione elettronica accessibile al pubblico adotta
tali misure congiuntamente con il fornitore della rete
pubblica di comunicazioni. In caso di mancato accordo, su
richiesta di uno dei fornitori, la controversia e' definita
dall'Autorita' per le garanzie nelle comunicazioni secondo
le modalita' previste dalla normativa vigente.
3. Il fornitore di un servizio di comunicazione
elettronica accessibile al pubblico informa i contraenti e,
ove possibile, gli utenti, se sussiste un particolare
rischio di violazione della sicurezza della rete,
indicando, quando il rischio e' al di fuori dell'ambito di
applicazione delle misure che il fornitore stesso e' tenuto
ad adottare ai sensi dei commi 1, 1-bis e 2, tutti i
possibili rimedi e i relativi costi presumibili. Analoga
informativa e' resa al Garante e all'Autorita' per le
garanzie nelle comunicazioni.
Art. 32-bis (Adempimenti conseguenti ad una violazione
di dati personali). - 1. In caso di violazione di dati
personali, il fornitore di servizi di comunicazione
elettronica accessibili al pubblico comunica senza indebiti
ritardi detta violazione al Garante.
2. Quando la violazione di dati personali rischia di
arrecare pregiudizio ai dati personali o alla riservatezza
di contraente o di altra persona, il fornitore comunica
anche agli stessi senza ritardo l'avvenuta violazione.
3. La comunicazione di cui al comma 2 non e' dovuta se
il fornitore ha dimostrato al Garante di aver utilizzato
misure tecnologiche di protezione che rendono i dati
inintelligibili a chiunque non sia autorizzato ad accedervi
e che tali misure erano state applicate ai dati oggetto
della violazione.
4. Ove il fornitore non vi abbia gia' provveduto, il
Garante puo', considerate le presumibili ripercussioni
negative della violazione, obbligare lo stesso a comunicare
al contraente o ad altra persona l'avvenuta violazione.
5. La comunicazione al contraente o ad altra persona
contiene almeno una descrizione della natura della
violazione di dati personali e i punti di contatto presso
cui si possono ottenere maggiori informazioni ed elenca le
misure raccomandate per attenuare i possibili effetti
pregiudizievoli della violazione di dati personali. La
comunicazione al Garante descrive, inoltre, le conseguenze
della violazione di dati personali e le misure proposte o
adottate dal fornitore per porvi rimedio.
6. Il Garante puo' emanare, con proprio provvedimento,
orientamenti e istruzioni in relazione alle circostanze in
cui il fornitore ha l'obbligo di comunicare le violazioni
di dati personali, al formato applicabile a tale
comunicazione, nonche' alle relative modalita' di
effettuazione, tenuto conto delle eventuali misure tecniche
di attuazione adottate dalla Commissione europea ai sensi
dell'art. 4, paragrafo 5, della direttiva 2002/58/CE, come
modificata dalla direttiva 2009/136/CE.
7. I fornitori tengono un aggiornato inventario delle
violazioni di dati personali, ivi incluse le circostanze in
cui si sono verificate, le loro conseguenze e i
provvedimenti adottati per porvi rimedio, in modo da
consentire al Garante di verificare il rispetto delle
disposizioni del presente articolo. Nell'inventario
figurano unicamente le informazioni necessarie a tal fine.
8. Nel caso in cui il fornitore di un servizio di
comunicazione elettronica accessibile al pubblico affidi
l'erogazione del predetto servizio ad altri soggetti, gli
stessi sono tenuti a comunicare al fornitore senza indebito
ritardo tutti gli eventi e le informazioni necessarie a
consentire a quest'ultimo di effettuare gli adempimenti di
cui al presente articolo.
Art. 33 (Misure minime). - 1. Nel quadro dei piu'
generali obblighi di sicurezza di cui all'art. 31, o
previsti da speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad adottare le misure
minime individuate nel presente capo o ai sensi dell'art.
58, comma 3, volte ad assicurare un livello minimo di
protezione dei dati personali.
Art. 34 (Trattamenti con strumenti elettronici). - 1.
Il trattamento di dati personali effettuato con strumenti
elettronici e' consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell'allegato
B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali
di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilita' dei dati e
dei sistemi;
[g) tenuta di un aggiornato documento programmatico
sulla sicurezza;]
h) adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di dati idonei a
rivelare lo stato di salute o la vita sessuale effettuati
da organismi sanitari.
1-bis. Per i soggetti che trattano soltanto dati
personali non sensibili e che trattano come unici dati
sensibili e giudiziari quelli relativi ai propri dipendenti
e collaboratori, anche se extracomunitari, compresi quelli
relativi al coniuge e ai parenti, la tenuta di un
aggiornato documento programmatico sulla sicurezza e'
sostituita dall'obbligo di autocertificazione, resa dal
titolare del trattamento ai sensi dell'art. 47 del testo
unico di cui al decreto del Presidente della Repubblica 28
dicembre 2000, n. 445, di trattare soltanto tali dati in
osservanza delle misure minime di sicurezza previste dal
presente codice e dal disciplinare tecnico contenuto
nell'allegato B). In relazione a tali trattamenti, nonche'
a trattamenti comunque effettuati per correnti finalita'
amministrativo-contabili, in particolare presso piccole e
medie imprese, liberi professionisti e artigiani, il
Garante, sentiti il Ministro per la semplificazione
normativa e il Ministro per la pubblica amministrazione e
l'innovazione, individua con proprio provvedimento, da
aggiornare periodicamente, modalita' semplificate di
applicazione del disciplinare tecnico contenuto nel citato
allegato B) in ordine all'adozione delle misure minime di
cui al comma 1.
1-ter. Ai fini dell'applicazione delle disposizioni in
materia di protezione dei dati personali, i trattamenti
effettuati per finalita' amministrativo-contabili sono
quelli connessi allo svolgimento delle attivita' di natura
organizzativa, amministrativa, finanziaria e contabile, a
prescindere dalla natura dei dati trattati. In particolare,
perseguono tali finalita' le attivita' organizzative
interne, quelle funzionali all'adempimento di obblighi
contrattuali e precontrattuali, alla gestione del rapporto
di lavoro in tutte le sue fasi, alla tenuta della
contabilita' e all'applicazione delle norme in materia
fiscale, sindacale, previdenziale-assistenziale, di salute,
igiene e sicurezza sul lavoro.
Art. 35 (Trattamenti senza l'ausilio di strumenti
elettronici). - 1. Il trattamento di dati personali
effettuato senza l'ausilio di strumenti elettronici e'
consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato B), le
seguenti misure minime:
a) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati o alle unita' organizzative;
b) previsione di procedure per un'idonea custodia di
atti e documenti affidati agli incaricati per lo
svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di
determinati atti in archivi ad accesso selezionato e
disciplina delle modalita' di accesso finalizzata
all'identificazione degli incaricati.
Art. 36 (Adeguamento). - 1. Il disciplinare tecnico di
cui all'allegato B), relativo alle misure minime di cui al
presente capo, e' aggiornato periodicamente con decreto del
Ministro della giustizia di concerto con il Ministro per le
innovazioni e le tecnologie e il Ministro per la
semplificazione normativa, in relazione all'evoluzione
tecnica e all'esperienza maturata nel settore.».