Art. 7
Misure di sicurezza e responsabilita'
1. La riservatezza, l'integrita' e la disponibilita' dei dati
trattati nell'ambito del SINP, ai sensi degli articoli 31, 33 e 34
del decreto legislativo n. 196 del 2003 e relativo disciplinare
tecnico, viene garantita da INAIL tramite le procedure di sicurezza
relative al software e ai servizi telematici in conformita' alle
regole tecniche e di sicurezza nell'ambito del SPC.
2. Gli enti di cui all'articolo 1, comma 1, lettera b) garantiscono
la conformita' delle proprie infrastrutture alle regole tecniche
dettate dal SPC e la conformita' dei servizi ai requisiti di
sicurezza per la cooperazione applicativa definiti negli appositi
accordi di servizio. Tali accordi devono individuare idonee garanzie
per il trattamento dei dati personali, prevedendo, in particolare, la
registrazione e tracciatura dei dati relativi alle operazioni
compiute sulle porte di dominio.
3. La trasmissione dei dati in cooperazione applicativa e'
garantita mediante l'utilizzo di un protocollo sicuro e dal ricorso
alla autenticazione bilaterale fra sistemi, basata su certificati
digitali emessi da un'autorita' di certificazione ufficiale. La
trasmissione dei dati tramite servizi di fornitura massiva e'
garantita altresi' mediante l'utilizzo di un canale sicuro e il
ricorso alla autenticazione.
4. Al fine di non consentire l'identificabilita' diretta delle
persone fisiche interessate, viene assegnato a ciascun soggetto,
subito dopo l'acquisizione dei dati e attraverso una struttura
organizzativa distinta da quella che operativamente gestisce il SINP,
un codice univoco diverso dal codice fiscale. I dati inviati dagli
enti, privi degli elementi identificativi diretti, sono archiviati
previa separazione dei dati sensibili e giudiziari dagli altri dati.
I dati sensibili e giudiziari sono trattati mediante l'utilizzazione
del codice univoco.
5. E' previsto che la struttura organizzativa di cui al comma 4
adotti un sistema informatico che garantisca l'anonimizzazione dei
dati personali archiviati, prima che questi confluiscano nel SINP, in
modo da renderli consultabili solo in tale forma da parte degli enti
fruitori legittimati ad accedere unicamente a tale tipologia di
informazioni, segnatamente nel rispetto di quanto sancito dai commi 6
e 7 dell'articolo 22 del decreto legislativo n. 196 del 2003.
6. I dati di tracciatura sono conservati per il periodo non
superiore a sei mesi e possono essere trattati solo da appositi
incaricati al trattamento esclusivamente in forma anonima mediante
loro opportuna aggregazione. Tali dati possono essere trattati in
forma non anonima unicamente laddove cio' risulti indispensabile al
fine di verificare la correttezza e la legittimita' delle singole
interrogazioni effettuate.
7. Il processo di identificazione e autenticazione on line degli
utenti e' assicurato dal sistema di Identity Management dell'INAIL
che avviene tramite carta nazionale dei servizi, carta di identita'
elettronica o tramite credenziali di autenticazione, in conformita'
all'articolo 64 del Codice dell'amministrazione digitale e
all'articolo 34 del decreto legislativo n. 196 del 2003. L'accesso e'
garantito tramite l'utilizzo di un protocollo sicuro. I soggetti
legittimati all'accesso ai dati contenuti nel SINP sono unicamente
gli enti fruitori elencati nell'allegato E).
8. Nel caso di utilizzo del modello di «identita' federata», sia
nell'ambito delle modalita' di cooperazione applicativa che di
fruizione di servizi on line, in conformita' al codice
dell'amministrazione digitale, l'INAIL esercita il ruolo di erogatore
di servizi e gli enti federati assumono il ruolo di fruitori dei
servizi, dotandosi di sistemi standard in grado di garantire la
condivisione delle identita' digitali e dei relativi attributi,
mentre compete all'INAIL la tracciatura delle operazioni.
9. Ciascun ente individua il responsabile preposto alla definizione
dei profili di autorizzazione, in relazione al ruolo istituzionale,
alle funzioni svolte e all'ambito territoriale delle azioni di
competenza, alla designazione dei soggetti (utenti e amministratori)
e dei rispettivi privilegi nonche' alla gestione delle modalita' di
conferimento, sospensione e revoca dei profili di accesso. Le
richieste di accesso al SINP devono indicare espressamente la
specifica attivita' al cui svolgimento e' preordinata la
consultazione nell'ambito delle competenze istituzionali del soggetto
richiedente.
10. L'INAIL garantisce mediante il proprio sistema di
autorizzazione l'accesso selettivo ai servizi del SINP in relazione
ai profili del soggetto richiedente.
11. L'accesso ai servizi del SINP richiede la stipula di una
convenzione, redatta in conformita' alle prescrizioni contenute nelle
linee guida emanate dall'Agenzia per l'Italia digitale ai sensi
dell'articolo 58, comma 2, del Codice dell'amministrazione digitale,
che stabilisce:
a) i profili di cui agli accordi di servizio per la cooperazione
applicativa abilitati con la convenzione;
b) le modalita' di scambio e di condivisione delle informazioni
sulle identita' e sui ruoli;
c) le procedure per l'individuazione e configurazione dei profili
di autorizzazione;
d) le figure di responsabilita' individuate all'interno di ogni
ente per la gestione delle regole tecniche organizzative previste nel
presente decreto.
Note all'art. 7:
- Si riporta gli articoli 31, 33 e 34 del citato
decreto legislativo n. 196 del 2003:
«Art. 31. (Obblighi di sicurezza). - 1. I dati
personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisite
in base al progresso tecnico, alla natura dei dati e alle
specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l'adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o
perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme
alle finalita' della raccolta.».
«Art. 33. (Misure minime). - 1. Nel quadro dei piu'
generali obblighi di sicurezza di cui all'articolo 31, o
previsti da speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad adottare le misure
minime individuate nel presente capo o ai sensi
dell'articolo 58, comma 3, volte ad assicurare un livello
minimo di protezione dei dati personali.».
«Art. 34. (Trattamenti con strumenti elettronici). - 1.
Il trattamento di dati personali effettuato con strumenti
elettronici e' consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell'allegato
B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle
credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilita' dei dati e
dei sistemi;
g);
h) adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di dati idonei a
rivelare lo stato di salute o la vita sessuale effettuati
da organismi sanitari.
1-bis.
1-ter. Ai fini dell'applicazione delle disposizioni in
materia di protezione dei dati personali, i trattamenti
effettuati per finalita' amministrativo-contabili sono
quelli connessi allo svolgimento delle attivita' di natura
organizzativa, amministrativa, finanziaria e contabile, a
prescindere dalla natura dei dati trattati. In particolare,
perseguono tali finalita' le attivita' organizzative
interne, quelle funzionali all'adempimento di obblighi
contrattuali e precontrattuali, alla gestione del rapporto
di lavoro in tutte le sue fasi, alla tenuta della
contabilita' e all'applicazione delle norme in materia
fiscale, sindacale, previdenziale-assistenziale, di salute,
igiene e sicurezza sul lavoro.».
- Si riporta l'articolo 64 del citato decreto
legislativo n. 82 del 2005:
«Art. 64. (Modalita' di accesso ai servizi erogati in
rete dalle pubbliche amministrazioni). - 1. La carta
d'identita' elettronica e la carta nazionale dei servizi
costituiscono strumenti per l'accesso ai servizi erogati in
rete dalle pubbliche amministrazioni per i quali sia
necessaria l'identificazione informatica.
2. Le pubbliche amministrazioni possono consentire
l'accesso ai servizi in rete da esse erogati che richiedono
l'identificazione informatica anche con strumenti diversi
dalla carta d'identita' elettronica e dalla carta nazionale
dei servizi, purche' tali strumenti consentano
l'individuazione del soggetto che richiede il servizio. Con
l'istituzione del sistema SPID di cui al comma 2-bis, le
pubbliche amministrazioni possono consentire l'accesso in
rete ai propri servizi solo mediante gli strumenti di cui
al comma 1, ovvero mediante servizi offerti dal medesimo
sistema SPID. L'accesso con carta d'identita' elettronica e
carta nazionale dei servizi e' comunque consentito
indipendentemente dalle modalita' di accesso predisposte
dalle singole amministrazioni.
2-bis. Per favorire la diffusione di servizi in rete e
agevolare l'accesso agli stessi da parte di cittadini e
imprese, anche in mobilita', e' istituito, a cura
dell'Agenzia per l'Italia digitale, il sistema pubblico per
la gestione dell'identita' digitale di cittadini e imprese
(SPID).
2-ter. Il sistema SPID e' costituito come insieme
aperto di soggetti pubblici e privati che, previo
accreditamento da parte dell'Agenzia per l'Italia digitale,
secondo modalita' definite con il decreto di cui al comma
2-sexies, gestiscono i servizi di registrazione e di messa
a disposizione delle credenziali e degli strumenti di
accesso in rete nei riguardi di cittadini e imprese per
conto delle pubbliche amministrazioni, in qualita' di
erogatori di servizi in rete, ovvero, direttamente, su
richiesta degli interessati.
2-quater. Il sistema SPID e' adottato dalle pubbliche
amministrazioni nei tempi e secondo le modalita' definiti
con il decreto di cui al comma 2-sexies.
2-quinquies. Ai fini dell'erogazione dei propri servizi
in rete, e' altresi' riconosciuta alle imprese, secondo le
modalita' definite con il decreto di cui al comma 2-sexies,
la facolta' di avvalersi del sistema SPID per la gestione
dell'identita' digitale dei propri utenti. L'adesione al
sistema SPID per la verifica dell'accesso ai propri servizi
erogati in rete per i quali e' richiesto il riconoscimento
dell'utente esonera l'impresa da un obbligo generale di
sorveglianza delle attivita' sui propri siti, ai sensi
dell'articolo 17 del decreto legislativo 9 aprile 2003, n.
70.
2-sexies. Con decreto del Presidente del Consiglio dei
ministri, su proposta del Ministro delegato per
l'innovazione tecnologica e del Ministro per la pubblica
amministrazione e la semplificazione, di concerto con il
Ministro dell'economia e delle finanze, sentito il Garante
per la protezione dei dati personali, sono definite le
caratteristiche del sistema SPID, anche con riferimento:
a) al modello architetturale e organizzativo del
sistema;
b) alle modalita' e ai requisiti necessari per
l'accreditamento dei gestori dell'identita' digitale;
c) agli standard tecnologici e alle soluzioni
tecniche e organizzative da adottare anche al fine di
garantire l'interoperabilita' delle credenziali e degli
strumenti di accesso resi disponibili dai gestori
dell'identita' digitale nei riguardi di cittadini e
imprese, compresi gli strumenti di cui al comma 1;
d) alle modalita' di adesione da parte di cittadini e
imprese in qualita' di utenti di servizi in rete;
e) ai tempi e alle modalita' di adozione da parte
delle pubbliche amministrazioni in qualita' di erogatori di
servizi in rete;
f) alle modalita' di adesione da parte delle imprese
interessate in qualita' di erogatori di servizi in rete.
[3. Ferma restando la disciplina riguardante le
trasmissioni telematiche gestite dal Ministero
dell'economia e delle finanze e dalle agenzie fiscali, con
decreto del Presidente del Consiglio dei Ministri o del
Ministro delegato per l'innovazione e le tecnologie, di
concerto con il Ministro per la funzione pubblica e
d'intesa con la Conferenza unificata di cui all'articolo 8
del decreto legislativo 28 agosto 1997, n. 281, e' fissata
la data, comunque non successiva al 31 dicembre 2007, a
decorrere dalla quale non e' piu' consentito l'accesso ai
servizi erogati in rete dalle pubbliche amministrazioni,
con strumenti diversi dalla carta d'identita' elettronica e
dalla carta nazionale dei servizi.».
- Si riporta l'articolo 58, del citato decreto
legislativo n. 82 del 2005:
«Art. 58. (Modalita' della fruibilita' del dato). - 1.
Il trasferimento di un dato da un sistema informativo ad un
altro non modifica la titolarita' del dato.
2. Le pubbliche amministrazioni comunicano tra loro
attraverso la messa a disposizione a titolo gratuito degli
accessi alle proprie basi di dati alle altre
amministrazioni mediante la cooperazione applicativa di cui
all'articolo 72, comma 1, lettera e). L'Agenzia per
l'Italia digitale, sentiti il Garante per la protezione dei
dati personali e le amministrazioni interessate alla
comunicazione telematica, ivi incluso il Ministero della
giustizia, definisce entro novanta giorni gli standard di
comunicazione e le regole tecniche a cui le pubbliche
amministrazioni devono conformarsi.
3. L'Agenzia per l'Italia digitale provvede al
monitoraggio dell'attuazione del presente articolo,
riferendo annualmente con apposita relazione al Presidente
del Consiglio dei ministri e al Ministro delegato.
3-bis.
3-ter. Resta ferma la speciale disciplina dettata in
materia di dati territoriali.».