Art. 17
Log delle operazioni
1. Nell'ambito delle misure di sicurezza adottate in conformita'
agli articoli da 31 a 36 e all'allegato B del decreto legislativo 30
giugno 2003, n. 196, e successive modificazioni, tutte le operazioni
effettuate in applicazione del presente capo sono registrate in
appositi file di log ai fini della verifica della liceita' del
trattamento dei dati.
2. La consultazione automatizzata puo' essere effettuata solo da
personale del punto di contatto nazionale debitamente abilitato. Su
richiesta, l'elenco del personale e' messo a disposizione del Garante
per la protezione dei dati personali, nonche' delle autorita'
preposte alla protezione dei dati degli altri Stati membri.
3. Le registrazioni di cui al comma 1, che includono anche
l'informazione riguardante l'esistenza o meno di una risposta
positiva, comprendono le seguenti informazioni:
a) i dati trasmessi;
b) la data e l'ora precisa della trasmissione;
c) la denominazione o il codice di riferimento dell'autorita' che
effettua la consultazione e dell'autorita' che gestisce la banca
dati.
4. Sono registrati inoltre il motivo della consultazione o della
trasmissione, e i riferimenti del personale che ha effettuato la
consultazione e di quello che l'ha richiesta.
5. Entro quattro settimane dalla ricezione di un'eventuale
richiesta, il punto di contatto nazionale fornisce le registrazioni
alle autorita' preposte alla protezione dei dati dello Stato membro
interessato. I log possono essere utilizzati esclusivamente per
finalita' di controllo della protezione dei dati, ivi compreso il
profilo della sicurezza.
6. I log sono protetti con idonee misure contro ogni uso improprio
o non conforme alle finalita' per cui sono registrati. Sono
conservati per due anni e cancellati alla scadenza.
Note all'art. 17:
- Si riporta il testo degli articoli da 31 a 36 del
citato decreto legislativo 30 giugno 2003, n. 196:
«Art. 31 (Obblighi di sicurezza). - 1. I dati personali
oggetto di trattamento sono custoditi e controllati, anche
in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al
minimo, mediante l'adozione di idonee e preventive misure
di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o
di trattamento non consentito o non conforme alle finalita'
della raccolta.»;
«Art. 32 (Obblighi relativi ai fornitori di servizi di
comunicazione elettronica accessibili al pubblico). - 1. Il
fornitore di un servizio di comunicazione elettronica
accessibile al pubblico adotta, ai sensi dell'art. 31,
anche attraverso altri soggetti a cui sia affidata
l'erogazione del predetto servizio, misure tecniche e
organizzative adeguate al rischio esistente, per
salvaguardare la sicurezza dei suoi servizi e per gli
adempimenti di cui all'art. 32-bis.
1-bis. Ferma restando l'osservanza degli obblighi di
cui agli articoli 30 e 31, i soggetti che operano sulle
reti di comunicazione elettronica garantiscono che i dati
personali siano accessibili soltanto al personale
autorizzato per fini legalmente autorizzati.
1-ter. Le misure di cui al commi 1 e 1-bis garantiscono
la protezione dei dati relativi al traffico ed
all'ubicazione e degli altri dati personali archiviati o
trasmessi dalla distruzione anche accidentale, da perdita o
alterazione anche accidentale e da archiviazione,
trattamento, accesso o divulgazione non autorizzati o
illeciti, nonche' assicurano l'attuazione di una politica
di sicurezza.
2. Quando la sicurezza del servizio o dei dati
personali richiede anche l'adozione di misure che
riguardano la rete, il fornitore del servizio di
comunicazione elettronica accessibile al pubblico adotta
tali misure congiuntamente con il fornitore della rete
pubblica di comunicazioni. In caso di mancato accordo, su
richiesta di uno dei fornitori, la controversia e' definita
dall'Autorita' per le garanzie nelle comunicazioni secondo
le modalita' previste dalla normativa vigente.
3. Il fornitore di un servizio di comunicazione
elettronica accessibile al pubblico informa i contraenti e,
ove possibile, gli utenti, se sussiste un particolare
rischio di violazione della sicurezza della rete,
indicando, quando il rischio e' al di fuori dell'ambito di
applicazione delle misure che il fornitore stesso e' tenuto
ad adottare ai sensi dei commi 1, 1-bis e 2, tutti i
possibili rimedi e i relativi costi presumibili. Analoga
informativa e' resa al Garante e all'Autorita' per le
garanzie nelle comunicazioni.»;
«Art. 32-bis (Adempimenti conseguenti ad una violazione
di dati personali). - 1. In caso di violazione di dati
personali, il fornitore di servizi di comunicazione
elettronica accessibili al pubblico comunica senza indebiti
ritardi detta violazione al Garante.
2. Quando la violazione di dati personali rischia di
arrecare pregiudizio ai dati personali o alla riservatezza
di contraente o di altra persona, il fornitore comunica
anche agli stessi senza ritardo l'avvenuta violazione.
3. La comunicazione di cui al comma 2 non e' dovuta se
il fornitore ha dimostrato al Garante di aver utilizzato
misure tecnologiche di protezione che rendono i dati
inintelligibili a chiunque non sia autorizzato ad accedervi
e che tali misure erano state applicate ai dati oggetto
della violazione.
4. Ove il fornitore non vi abbia gia' provveduto, il
Garante puo', considerate le presumibili ripercussioni
negative della violazione, obbligare lo stesso a comunicare
al contraente o ad altra persona l'avvenuta violazione.
5. La comunicazione al contraente o ad altra persona
contiene almeno una descrizione della natura della
violazione di dati personali e i punti di contatto presso
cui si possono ottenere maggiori informazioni ed elenca le
misure raccomandate per attenuare i possibili effetti
pregiudizievoli della violazione di dati personali. La
comunicazione al Garante descrive, inoltre, le conseguenze
della violazione di dati personali e le misure proposte o
adottate dal fornitore per porvi rimedio.
6. Il Garante puo' emanare, con proprio provvedimento,
orientamenti e istruzioni in relazione alle circostanze in
cui il fornitore ha l'obbligo di comunicare le violazioni
di dati personali, al formato applicabile a tale
comunicazione, nonche' alle relative modalita' di
effettuazione, tenuto conto delle eventuali misure tecniche
di attuazione adottate dalla Commissione europea ai sensi
dell'art. 4, paragrafo 5, della direttiva 2002/58/CE, come
modificata dalla direttiva 2009/136/CE.
7. I fornitori tengono un aggiornato inventario delle
violazioni di dati personali, ivi incluse le circostanze in
cui si sono verificate, le loro conseguenze e i
provvedimenti adottati per porvi rimedio, in modo da
consentire al Garante di verificare il rispetto delle
disposizioni del presente articolo. Nell'inventario
figurano unicamente le informazioni necessarie a tal fine.
8. Nel caso in cui il fornitore di un servizio di
comunicazione elettronica accessibile al pubblico affidi
l'erogazione del predetto servizio ad altri soggetti, gli
stessi sono tenuti a comunicare al fornitore senza indebito
ritardo tutti gli eventi e le informazioni necessarie a
consentire a quest'ultimo di effettuare gli adempimenti di
cui al presente articolo.»;
«Art. 33 (Misure minime). - 1. Nel quadro dei piu'
generali obblighi di sicurezza di cui all'art. 31, o
previsti da speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad adottare le misure
minime individuate nel presente capo o ai sensi dell'art.
58, comma 3, volte ad assicurare un livello minimo di
protezione dei dati personali.»;
«Art. 34 (Trattamenti con strumenti elettronici). - 1.
Il trattamento di dati personali effettuato con strumenti
elettronici e' consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell'allegato
B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali
di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilita' dei dati e
dei sistemi;
g);
h) adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di dati idonei a
rivelare lo stato di salute o la vita sessuale effettuati
da organismi sanitari.
1-bis;
1-ter. Ai fini dell'applicazione delle disposizioni in
materia di protezione dei dati personali, i trattamenti
effettuati per finalita' amministrativo-contabili sono
quelli connessi allo svolgimento delle attivita' di natura
organizzativa, amministrativa, finanziaria e contabile, a
prescindere dalla natura dei dati trattati. In particolare,
perseguono tali finalita' le attivita' organizzative
interne, quelle funzionali all'adempimento di obblighi
contrattuali e precontrattuali, alla gestione del rapporto
di lavoro in tutte le sue fasi, alla tenuta della
contabilita' e all'applicazione delle norme in materia
fiscale, sindacale, previdenziale-assistenziale, di salute,
igiene e sicurezza sul lavoro.»;
«Art. 35 (Trattamenti senza l'ausilio di strumenti
elettronici). - 1. Il trattamento di dati personali
effettuato senza l'ausilio di strumenti elettronici e'
consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato B), le
seguenti misure minime:
a) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati o alle unita' organizzative;
b) previsione di procedure per un'idonea custodia di
atti e documenti affidati agli incaricati per lo
svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di
determinati atti in archivi ad accesso selezionato e
disciplina delle modalita' di accesso finalizzata
all'identificazione degli incaricati.»;
«Art. 36 (Adeguamento). - 1. Il disciplinare tecnico di
cui all'allegato B), relativo alle misure minime di cui al
presente capo, e' aggiornato periodicamente con decreto del
Ministro della giustizia di concerto con il Ministro per le
innovazioni e le tecnologie e il Ministro per la
semplificazione normativa, in relazione all'evoluzione
tecnica e all'esperienza maturata nel settore.».
L'Allegato B del sopra citato decreto legislativo 30
giugno 2003, n. 196 tratta del "Disciplinare tecnico in
materia di misure minime di sicurezza.".