Art. 12
Collegamenti della Banca dati nazionale
con altri sistemi informativi
1. Il collegamento della Banca dati nazionale al sistema costituito
presso la DIA ai sensi dell'articolo 5, comma 4, del decreto del
Ministro dell'interno 14 marzo 2003, pubblicato nella Gazzetta
Ufficiale del 5 marzo 2004, n. 54, e' realizzato con le modalita'
stabilite nell'Allegato 1 che costituisce parte integrante del
presente regolamento.
2. I collegamenti della Banca dati nazionale con i sistemi
informativi di cui all'articolo 6, commi 2 e 3, sono realizzati,
previa stipula di un'apposita convenzione non onerosa, con il
soggetto pubblico presso cui sono istituiti. La convenzione, adottata
in conformita' al parere del Garante per la protezione dei dati
personali, anche su schema-tipo, definisce anche le misure di
sicurezza da osservarsi per la realizzazione e il mantenimento in
esercizio di tali collegamenti in coerenza con quanto stabilito dagli
articoli da 31 a 36 e dall'Allegato B del decreto legislativo 30
giugno 2003, n. 196.
Note all'art. 12:
Per il testo dell'articolo 5, comma 4, del decreto del
Ministro dell'interno 14 marzo 2003 si vedano le note
riportate all'articolo 6.
Si riportano gli articoli da 31 a 36 e l'Allegato B del
citato decreto legislativo 30 giugno 2003, n. 196:
«Art. 31. (Obblighi di sicurezza)
1. I dati personali oggetto di trattamento sono
custoditi e controllati, anche in relazione alle conoscenze
acquisite in base al progresso tecnico, alla natura dei
dati e alle specifiche caratteristiche del trattamento, in
modo da ridurre al minimo, mediante l'adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o
perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme
alle finalita' della raccolta.»
«Art. 32. (Obblighi relativi ai fornitori di servizi di
comunicazione elettronica accessibili al pubblico)
1. Il fornitore di un servizio di comunicazione
elettronica accessibile al pubblico adotta, ai sensi
dell'articolo 31, anche attraverso altri soggetti a cui sia
affidata l'erogazione del predetto servizio, misure
tecniche e organizzative adeguate al rischio esistente, per
salvaguardare la sicurezza dei suoi servizi e per gli
adempimenti di cui all'articolo 32-bis.
1-bis. Ferma restando l'osservanza degli obblighi di
cui agli articoli 30 e 31, i soggetti che operano sulle
reti di comunicazione elettronica garantiscono che i dati
personali siano accessibili soltanto al personale
autorizzato per fini legalmente autorizzati.
1-ter. Le misure di cui al commi 1 e 1-bis garantiscono
la protezione dei dati relativi al traffico ed
all'ubicazione e degli altri dati personali archiviati o
trasmessi dalla distruzione anche accidentale, da perdita o
alterazione anche accidentale e da archiviazione,
trattamento, accesso o divulgazione non autorizzati o
illeciti, nonche' assicurano l'attuazione di una politica
di sicurezza.
2. Quando la sicurezza del servizio o dei dati
personali richiede anche l'adozione di misure che
riguardano la rete, il fornitore del servizio di
comunicazione elettronica accessibile al pubblico adotta
tali misure congiuntamente con il fornitore della rete
pubblica di comunicazioni. In caso di mancato accordo, su
richiesta di uno dei fornitori, la controversia e' definita
dall'Autorita' per le garanzie nelle comunicazioni secondo
le modalita' previste dalla normativa vigente.
3. Il fornitore di un servizio di comunicazione
elettronica accessibile al pubblico informa i contraenti e,
ove possibile, gli utenti, se sussiste un particolare
rischio di violazione della sicurezza della rete,
indicando, quando il rischio e' al di fuori dell'ambito di
applicazione delle misure che il fornitore stesso e' tenuto
ad adottare ai sensi dei commi 1, 1-bis e 2, tutti i
possibili rimedi e i relativi costi presumibili. Analoga
informativa e' resa al Garante e all'Autorita' per le
garanzie nelle comunicazioni.»;
«Articolo 32-bis (Adempimenti conseguenti ad una
violazione di dati personali)
1. In caso di violazione di dati personali, il
fornitore di servizi di comunicazione elettronica
accessibili al pubblico comunica senza indebiti ritardi
detta violazione al Garante.
2. Quando la violazione di dati personali rischia di
arrecare pregiudizio ai dati personali o alla riservatezza
di contraente o di altra persona, il fornitore comunica
anche agli stessi senza ritardo l'avvenuta violazione.
3. La comunicazione di cui al comma 2 non e' dovuta se
il fornitore ha dimostrato al Garante di aver utilizzato
misure tecnologiche di protezione che rendono i dati
inintelligibili a chiunque non sia autorizzato ad accedervi
e che tali misure erano state applicate ai dati oggetto
della violazione.
4. Ove il fornitore non vi abbia gia' provveduto, il
Garante puo', considerate le presumibili ripercussioni
negative della violazione, obbligare lo stesso a comunicare
al contraente o ad altra persona l'avvenuta violazione.
5. La comunicazione al contraente o ad altra persona
contiene almeno una descrizione della natura della
violazione di dati personali e i punti di contatto presso
cui si possono ottenere maggiori informazioni ed elenca le
misure raccomandate per attenuare i possibili effetti
pregiudizievoli della violazione di dati personali. La
comunicazione al Garante descrive, inoltre, le conseguenze
della violazione di dati personali e le misure proposte o
adottate dal fornitore per porvi rimedio.
6. Il Garante puo' emanare, con proprio provvedimento,
orientamenti e istruzioni in relazione alle circostanze in
cui il fornitore ha l'obbligo di comunicare le violazioni
di dati personali, al formato applicabile a tale
comunicazione, nonche' alle relative modalita' di
effettuazione, tenuto conto delle eventuali misure tecniche
di attuazione adottate dalla Commissione europea ai sensi
dell'articolo 4, paragrafo 5, della direttiva 2002/58/CE,
come modificata dalla direttiva 2009/136/CE.
7. I fornitori tengono un aggiornato inventario delle
violazioni di dati personali, ivi incluse le circostanze in
cui si sono verificate, le loro conseguenze e i
provvedimenti adottati per porvi rimedio, in modo da
consentire al Garante di verificare il rispetto delle
disposizioni del presente articolo. Nell'inventario
figurano unicamente le informazioni necessarie a tal fine.
8. Nel caso in cui il fornitore di un servizio di
comunicazione elettronica accessibile al pubblico affidi
l'erogazione del predetto servizio ad altri soggetti, gli
stessi sono tenuti a comunicare al fornitore senza indebito
ritardo tutti gli eventi e le informazioni necessarie a
consentire a quest'ultimo di effettuare gli adempimenti di
cui al presente articolo.»
«Art. 33. (Misure minime)
1. Nel quadro dei piu' generali obblighi di sicurezza
di cui all'articolo 31, o previsti da speciali
disposizioni, i titolari del trattamento sono comunque
tenuti ad adottare le misure minime individuate nel
presente capo o ai sensi dell'articolo 58, comma 3, volte
ad assicurare un livello minimo di protezione dei dati
personali.»
«Art. 34. (Trattamenti con strumenti elettronici)
1. Il trattamento di dati personali effettuato con
strumenti elettronici e' consentito solo se sono adottate,
nei modi previsti dal disciplinare tecnico contenuto
nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali
di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilita' dei dati e
dei sistemi;
g).
h) adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di dati idonei a
rivelare lo stato di salute o la vita sessuale effettuati
da organismi sanitari.
1-bis.
1-ter. Ai fini dell'applicazione delle disposizioni in
materia di protezione dei dati personali, i trattamenti
effettuati per finalita' amministrativo-contabili sono
quelli connessi allo svolgimento delle attivita' di natura
organizzativa, amministrativa, finanziaria e contabile, a
prescindere dalla natura dei dati trattati. In particolare,
perseguono tali finalita' le attivita' organizzative
interne, quelle funzionali all'adempimento di obblighi
contrattuali e precontrattuali, alla gestione del rapporto
di lavoro in tutte le sue fasi, alla tenuta della
contabilita' e all'applicazione delle norme in materia
fiscale, sindacale, previdenziale-assistenziale, di salute,
igiene e sicurezza sul lavoro.»
«Art. 35. (Trattamenti senza l'ausilio di strumenti
elettronici)
1. Il trattamento di dati personali effettuato senza
l'ausilio di strumenti elettronici e' consentito solo se
sono adottate, nei modi previsti dal disciplinare tecnico
contenuto nell'allegato B), le seguenti misure minime:
a) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati o alle unita' organizzative;
b) previsione di procedure per un'idonea custodia di
atti e documenti affidati agli incaricati per lo
svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di
determinati atti in archivi ad accesso selezionato e
disciplina delle modalita' di accesso finalizzata
all'identificazione degli incaricati.»
«Art. 36. (Adeguamento)
1. Il disciplinare tecnico di cui all'allegato B),
relativo alle misure minime di cui al presente capo, e'
aggiornato periodicamente con decreto del Ministro della
giustizia di concerto con il Ministro per le innovazioni e
le tecnologie e il Ministro per la semplificazione
normativa, in relazione all'evoluzione tecnica e
all'esperienza maturata nel settore. »
«Allegato B - Disciplinare tecnico in materia di misure
minime di sicurezza (artt. da 33 a 36 del codice
Trattamenti con strumenti elettronici
Modalita' tecniche da adottare a cura del titolare, del
responsabile ove designato e dell'incaricato, in caso di
trattamento con strumenti elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti
elettronici e' consentito agli incaricati dotati di
credenziali di autenticazione che consentano il superamento
di una procedura di autenticazione relativa a uno specifico
trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un
codice per l'identificazione dell'incaricato associato a
una parola chiave riservata conosciuta solamente dal
medesimo oppure in un dispositivo di autenticazione in
possesso e uso esclusivo dell'incaricato, eventualmente
associato a un codice identificativo o a una parola chiave,
oppure in una caratteristica biometrica dell'incaricato,
eventualmente associata a un codice identificativo o a una
parola chiave.
3. Ad ogni incaricato sono assegnate o associate
individualmente una o piu' credenziali per
l'autenticazione.
4. Con le istruzioni impartite agli incaricati e'
prescritto di adottare le necessarie cautele per assicurare
la segretezza della componente riservata della credenziale
e la diligente custodia dei dispositivi in possesso ed uso
esclusivo dell'incaricato.
5. La parola chiave, quando e' prevista dal sistema di
autenticazione, e' composta da almeno otto caratteri
oppure, nel caso in cui lo strumento elettronico non lo
permetta, da un numero di caratteri pari al massimo
consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed e' modificata da
quest'ultimo al primo utilizzo e, successivamente, almeno
ogni sei mesi. In caso di trattamento di dati sensibili e
di dati giudiziari la parola chiave e' modificata almeno
ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato,
non puo' essere assegnato ad altri incaricati, neppure in
tempi diversi.
7. Le credenziali di autenticazione non utilizzate da
almeno sei mesi sono disattivate, salvo quelle
preventivamente autorizzate per soli scopi di gestione
tecnica.
8. Le credenziali sono disattivate anche in caso di
perdita della qualita' che consente all'incaricato
l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non
lasciare incustodito e accessibile lo strumento elettronico
durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti
elettronici e' consentito esclusivamente mediante uso della
componente riservata della credenziale per
l'autenticazione, sono impartite idonee e preventive
disposizioni scritte volte a individuare chiaramente le
modalita' con le quali il titolare puo' assicurare la
disponibilita' di dati o strumenti elettronici in caso di
prolungata assenza o impedimento dell'incaricato che renda
indispensabile e indifferibile intervenire per esclusive
necessita' di operativita' e di sicurezza del sistema. In
tal caso la custodia delle copie delle credenziali e'
organizzata garantendo la relativa segretezza e
individuando preventivamente per iscritto i soggetti
incaricati della loro custodia, i quali devono informare
tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di
cui ai precedenti punti e quelle sul sistema di
autorizzazione non si applicano ai trattamenti dei dati
personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili
di autorizzazione di ambito diverso e' utilizzato un
sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato
o per classi omogenee di incaricati, sono individuati e
configurati anteriormente all'inizio del trattamento, in
modo da limitare l'accesso ai soli dati necessari per
effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, e'
verificata la sussistenza delle condizioni per la
conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con
cadenza almeno annuale dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici,
la lista degli incaricati puo' essere redatta anche per
classi omogenee di incarico e dei relativi profili di
autorizzazione.
16. I dati personali sono protetti contro il rischio di
intrusione e dell'azione di programmi di cui all'art.
615-quinquies del codice penale, mediante l'attivazione di
idonei strumenti elettronici da aggiornare con cadenza
almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per
elaboratore volti a prevenire la vulnerabilita' di
strumenti elettronici e a correggerne difetti sono
effettuati almeno annualmente. In caso di trattamento di
dati sensibili o giudiziari l'aggiornamento e' almeno
semestrale.
18. Sono impartite istruzioni organizzative e tecniche
che prevedono il salvataggio dei dati con frequenza almeno
settimanale.
Ulteriori misure in caso di trattamento di dati
sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro
l'accesso abusivo, di cui all'art. 615-ter del codice
penale, mediante l'utilizzo di idonei strumenti
elettronici.
21. Sono impartite istruzioni organizzative e tecniche
per la custodia e l'uso dei supporti rimovibili su cui sono
memorizzati i dati al fine di evitare accessi non
autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o
giudiziari se non utilizzati sono distrutti o resi
inutilizzabili, ovvero possono essere riutilizzati da altri
incaricati, non autorizzati al trattamento degli stessi
dati, se le informazioni precedentemente in essi contenute
non sono intelligibili e tecnicamente in alcun modo
ricostruibili.
23. Sono adottate idonee misure per garantire il
ripristino dell'accesso ai dati in caso di danneggiamento
degli stessi o degli strumenti elettronici, in tempi certi
compatibili con i diritti degli interessati e non superiori
a sette giorni.
24. Gli organismi sanitari e gli esercenti le
professioni sanitarie effettuano il trattamento dei dati
idonei a rivelare lo stato di salute e la vita sessuale
contenuti in elenchi, registri o banche di dati con le
modalita' di cui all'articolo 22, comma 6, del codice,
anche al fine di consentire il trattamento disgiunto dei
medesimi dati dagli altri dati personali che permettono di
identificare direttamente gli interessati. I dati relativi
all'identita' genetica sono trattati esclusivamente
all'interno di locali protetti accessibili ai soli
incaricati dei trattamenti ed ai soggetti specificatamente
autorizzati ad accedervi; il trasporto dei dati all'esterno
dei locali riservati al loro trattamento deve avvenire in
contenitori muniti di serratura o dispositivi equipollenti;
il trasferimento dei dati in formato elettronico e'
cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza
avvalendosi di soggetti esterni alla propria struttura, per
provvedere alla esecuzione riceve dall'installatore una
descrizione scritta dell'intervento effettuato che ne
attesta la conformita' alle disposizioni del presente
disciplinare tecnico.
Trattamenti senza l'ausilio di strumenti elettronici
Modalita' tecniche da adottare a cura del titolare, del
responsabile, ove designato, e dell'incaricato, in caso di
trattamento con strumenti diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte
finalizzate al controllo ed alla custodia, per l'intero
ciclo necessario allo svolgimento delle operazioni di
trattamento, degli atti e dei documenti contenenti dati
personali. Nell'ambito dell'aggiornamento periodico con
cadenza almeno annuale dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati, la lista
degli incaricati puo' essere redatta anche per classi
omogenee di incarico e dei relativi profili di
autorizzazione.
28. Quando gli atti e i documenti contenenti dati
personali sensibili o giudiziari sono affidati agli
incaricati del trattamento per lo svolgimento dei relativi
compiti, i medesimi atti e documenti sono controllati e
custoditi dagli incaricati fino alla restituzione in
maniera che ad essi non accedano persone prive di
autorizzazione, e sono restituiti al termine delle
operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o
giudiziari e' controllato. Le persone ammesse, a qualunque
titolo, dopo l'orario di chiusura, sono identificate e
registrate. Quando gli archivi non sono dotati di strumenti
elettronici per il controllo degli accessi o di incaricati
della vigilanza, le persone che vi accedono sono
preventivamente autorizzate.».