Art. 3 Organizzazione e funzionamento della banca dati e misure di sicurezza 1. La banca dati e' collocata presso il Ministero dell'interno, Dipartimento della pubblica sicurezza, Servizio per il sistema informativo interforze della Direzione centrale della Polizia criminale. 2. La banca dati e' organizzata secondo criteri di separazione logica e fisica dagli altri sistemi informatici gestiti dal Centro elaborazione dati di cui all'articolo 8 della legge 1° aprile 1981, n. 121, al fine di garantirne la piena autonomia rispetto a questi ultimi. 3. La banca dati e' predisposta per la raccolta ed il raffronto dei profili del DNA, secondo quanto previsto dalla legge. Per la gestione dei profili del DNA il software della banca dati e' organizzato su due livelli. 4. Il primo livello e' impiegato ai fini investigativi in ambito nazionale. Il secondo livello e' impiegato anche per le finalita' di collaborazione internazionale di polizia in conformita' alle decisioni del Consiglio dell'Unione europea n. 2008/615/GAI e n. 2008/616/GAI, e successive modificazioni, nonche' per finalita' di collaborazione internazionale di polizia ai sensi dell'articolo 12 della legge, secondo le modalita' di cui all'articolo 10 ed al Capo III. 5. La continuita' di funzionamento della banca dati e' assicurata da uno specifico sistema secondario remoto, attivato in caso di disastro o di altro evento di eccezionale gravita' dichiarato dal responsabile di cui all'articolo 26, e adottato in conformita' a quanto previsto dall'articolo 50-bis del decreto legislativo 7 marzo 2005, n. 82. 6. Per il sistema secondario di cui al comma 5 sono adottate le stesse misure di sicurezza, anche fisiche e logiche, relative al trattamento dei dati, previste per la banca dati. 7. Gli accessi alla banca dati e le operazioni di trattamento dei dati sono riservati ai soli operatori abilitati e designati incaricati del trattamento dei dati personali ai sensi dell'articolo 28 del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, secondo predefiniti profili di autorizzazione, in possesso di credenziali di autenticazione previo superamento di una procedura informatica di autenticazione forte. 8. Per le esclusive finalita' di verifica della liceita' dei trattamenti, gli accessi e le operazioni di cui al comma 7 sono registrati in appositi file di log non modificabili che sono conservati per venti anni. 9. Con decreto del Ministro dell'interno di concerto con il Ministro della giustizia, sentito il Garante per la protezione dei dati personali, da adottare entro trenta giorni dalla data di entrata in vigore del presente regolamento, sono definiti i profili di autorizzazione, le procedure di autenticazione, di registrazione e di analisi dei log.
Note all'art. 3: - Si riporta il testo dell'art. 8 della legge 1° aprile 1981, n. 121 (Nuovo ordinamento dell'Amministrazione della pubblica sicurezza): «Art. 8 (Istituzione del Centro elaborazione dati). - E' istituito presso il Ministero dell'interno, nell'ambito dell'ufficio di cui alla lettera c) del primo comma dell'art. 5, il Centro elaborazione dati, per la raccolta delle informazioni e dei dati di cui all'art. 6, lettera a), e all'art. 7. Il Centro provvede alla raccolta, elaborazione, classificazione e conservazione negli archivi magnetici delle informazioni e dei dati nonche' alla loro comunicazione ai soggetti autorizzati, indicati nell'art. 9, secondo i criteri e le norme tecniche fissati ai sensi del comma seguente. Con decreto del Ministro dell'interno e' costituita una commissione tecnica, presieduta dal funzionario preposto all'ufficio di cui alla lettera c) del primo comma dell'art. 5, per la fissazione dei criteri e delle norme tecniche per l'espletamento da parte del Centro delle operazioni di cui al comma precedente e per il controllo tecnico sull'osservanza di tali criteri e norme da parte del personale operante presso il Centro stesso. I criteri e le norme tecniche predetti divengono esecutivi con l'approvazione del Ministro dell'interno.». - Per l'argomento della decisione del Consiglio dell'Unione europea del 23 giugno 2008, n. 2008/615/GAI si veda nelle note alle premesse. - Per l'argomento della decisione del Consiglio dell'Unione europea del 23 giugno 2008, n. 2008/616/GAI si veda nelle note alle premesse. - Per l'art. 12 della citata legge 30 giugno 2009, n. 85, si veda nelle note all'art. 1. - Si riporta il testo dell'art. 50-bis del decreto legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale) pubblicato nella Gazzetta Ufficiale 16 maggio 2005, n. 112, S.O.: «Art. 50-bis (Continuita' operativa). - 1. In relazione ai nuovi scenari di rischio, alla crescente complessita' dell'attivita' istituzionale caratterizzata da un intenso utilizzo della tecnologia dell'informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuita' delle operazioni indispensabili per il servizio e il ritorno alla normale operativita'. 2. Il Ministro per la pubblica amministrazione e l'innovazione assicura l'omogeneita' delle soluzioni di continuita' operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento. 3. A tali fini, le pubbliche amministrazioni definiscono: a) il piano di continuita' operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuita' operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticita' relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalita' del piano di continuita' operativa con cadenza biennale; b) il piano di disaster recovery, che costituisce parte integrante di quello di continuita' operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l'innovazione. 4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilita' tecnica; su tali studi e' obbligatoriamente acquisito il parere di DigitPA.». - Si riporta il testo dell'art. 28 del decreto legislativo 30 giugno 2003, n. 196: «Art. 28 (Titolare del trattamento). - 1. Quando il trattamento e' effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento e' l'entita' nel suo complesso o l'unita' od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalita' e sulle modalita' del trattamento, ivi compreso il profilo della sicurezza.».