Art. 3
Organizzazione e funzionamento della banca dati
e misure di sicurezza
1. La banca dati e' collocata presso il Ministero dell'interno,
Dipartimento della pubblica sicurezza, Servizio per il sistema
informativo interforze della Direzione centrale della Polizia
criminale.
2. La banca dati e' organizzata secondo criteri di separazione
logica e fisica dagli altri sistemi informatici gestiti dal Centro
elaborazione dati di cui all'articolo 8 della legge 1° aprile 1981,
n. 121, al fine di garantirne la piena autonomia rispetto a questi
ultimi.
3. La banca dati e' predisposta per la raccolta ed il raffronto dei
profili del DNA, secondo quanto previsto dalla legge. Per la gestione
dei profili del DNA il software della banca dati e' organizzato su
due livelli.
4. Il primo livello e' impiegato ai fini investigativi in ambito
nazionale. Il secondo livello e' impiegato anche per le finalita' di
collaborazione internazionale di polizia in conformita' alle
decisioni del Consiglio dell'Unione europea n. 2008/615/GAI e n.
2008/616/GAI, e successive modificazioni, nonche' per finalita' di
collaborazione internazionale di polizia ai sensi dell'articolo 12
della legge, secondo le modalita' di cui all'articolo 10 ed al Capo
III.
5. La continuita' di funzionamento della banca dati e' assicurata
da uno specifico sistema secondario remoto, attivato in caso di
disastro o di altro evento di eccezionale gravita' dichiarato dal
responsabile di cui all'articolo 26, e adottato in conformita' a
quanto previsto dall'articolo 50-bis del decreto legislativo 7 marzo
2005, n. 82.
6. Per il sistema secondario di cui al comma 5 sono adottate le
stesse misure di sicurezza, anche fisiche e logiche, relative al
trattamento dei dati, previste per la banca dati.
7. Gli accessi alla banca dati e le operazioni di trattamento dei
dati sono riservati ai soli operatori abilitati e designati
incaricati del trattamento dei dati personali ai sensi dell'articolo
28 del decreto legislativo 30 giugno 2003, n. 196, e successive
modificazioni, secondo predefiniti profili di autorizzazione, in
possesso di credenziali di autenticazione previo superamento di una
procedura informatica di autenticazione forte.
8. Per le esclusive finalita' di verifica della liceita' dei
trattamenti, gli accessi e le operazioni di cui al comma 7 sono
registrati in appositi file di log non modificabili che sono
conservati per venti anni.
9. Con decreto del Ministro dell'interno di concerto con il
Ministro della giustizia, sentito il Garante per la protezione dei
dati personali, da adottare entro trenta giorni dalla data di entrata
in vigore del presente regolamento, sono definiti i profili di
autorizzazione, le procedure di autenticazione, di registrazione e di
analisi dei log.
Note all'art. 3:
- Si riporta il testo dell'art. 8 della legge 1° aprile
1981, n. 121 (Nuovo ordinamento dell'Amministrazione della
pubblica sicurezza):
«Art. 8 (Istituzione del Centro elaborazione dati). -
E' istituito presso il Ministero dell'interno, nell'ambito
dell'ufficio di cui alla lettera c) del primo comma
dell'art. 5, il Centro elaborazione dati, per la raccolta
delle informazioni e dei dati di cui all'art. 6, lettera
a), e all'art. 7.
Il Centro provvede alla raccolta, elaborazione,
classificazione e conservazione negli archivi magnetici
delle informazioni e dei dati nonche' alla loro
comunicazione ai soggetti autorizzati, indicati nell'art.
9, secondo i criteri e le norme tecniche fissati ai sensi
del comma seguente.
Con decreto del Ministro dell'interno e' costituita una
commissione tecnica, presieduta dal funzionario preposto
all'ufficio di cui alla lettera c) del primo comma
dell'art. 5, per la fissazione dei criteri e delle norme
tecniche per l'espletamento da parte del Centro delle
operazioni di cui al comma precedente e per il controllo
tecnico sull'osservanza di tali criteri e norme da parte
del personale operante presso il Centro stesso. I criteri e
le norme tecniche predetti divengono esecutivi con
l'approvazione del Ministro dell'interno.».
- Per l'argomento della decisione del Consiglio
dell'Unione europea del 23 giugno 2008, n. 2008/615/GAI si
veda nelle note alle premesse.
- Per l'argomento della decisione del Consiglio
dell'Unione europea del 23 giugno 2008, n. 2008/616/GAI si
veda nelle note alle premesse.
- Per l'art. 12 della citata legge 30 giugno 2009, n.
85, si veda nelle note all'art. 1.
- Si riporta il testo dell'art. 50-bis del decreto
legislativo 7 marzo 2005, n. 82 (Codice
dell'amministrazione digitale) pubblicato nella Gazzetta
Ufficiale 16 maggio 2005, n. 112, S.O.:
«Art. 50-bis (Continuita' operativa). - 1. In relazione
ai nuovi scenari di rischio, alla crescente complessita'
dell'attivita' istituzionale caratterizzata da un intenso
utilizzo della tecnologia dell'informazione, le pubbliche
amministrazioni predispongono i piani di emergenza in grado
di assicurare la continuita' delle operazioni
indispensabili per il servizio e il ritorno alla normale
operativita'.
2. Il Ministro per la pubblica amministrazione e
l'innovazione assicura l'omogeneita' delle soluzioni di
continuita' operativa definite dalle diverse
Amministrazioni e ne informa con cadenza almeno annuale il
Parlamento.
3. A tali fini, le pubbliche amministrazioni
definiscono:
a) il piano di continuita' operativa, che fissa gli
obiettivi e i principi da perseguire, descrive le procedure
per la gestione della continuita' operativa, anche affidate
a soggetti esterni. Il piano tiene conto delle potenziali
criticita' relative a risorse umane, strutturali,
tecnologiche e contiene idonee misure preventive. Le
amministrazioni pubbliche verificano la funzionalita' del
piano di continuita' operativa con cadenza biennale;
b) il piano di disaster recovery, che costituisce parte
integrante di quello di continuita' operativa di cui alla
lettera a) e stabilisce le misure tecniche e organizzative
per garantire il funzionamento dei centri di elaborazione
dati e delle procedure informatiche rilevanti in siti
alternativi a quelli di produzione. DigitPA, sentito il
Garante per la protezione dei dati personali, definisce le
linee guida per le soluzioni tecniche idonee a garantire la
salvaguardia dei dati e delle applicazioni informatiche,
verifica annualmente il costante aggiornamento dei piani di
disaster recovery delle amministrazioni interessate e ne
informa annualmente il Ministro per la pubblica
amministrazione e l'innovazione.
4. I piani di cui al comma 3 sono adottati da ciascuna
amministrazione sulla base di appositi e dettagliati studi
di fattibilita' tecnica; su tali studi e' obbligatoriamente
acquisito il parere di DigitPA.».
- Si riporta il testo dell'art. 28 del decreto
legislativo 30 giugno 2003, n. 196:
«Art. 28 (Titolare del trattamento). - 1. Quando il
trattamento e' effettuato da una persona giuridica, da una
pubblica amministrazione o da un qualsiasi altro ente,
associazione od organismo, titolare del trattamento e'
l'entita' nel suo complesso o l'unita' od organismo
periferico che esercita un potere decisionale del tutto
autonomo sulle finalita' e sulle modalita' del trattamento,
ivi compreso il profilo della sicurezza.».