(Allegato B)
 
 
                              ALLEGATO B 
 
    DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA 
                    (Artt. da 33 a 36 del codice) 
 
                Trattamenti con strumenti elettronici 
 
Modalita' tecniche da adottare a cura del titolare, del  responsabile
  ove  designato  e  dell'incaricato,  in  caso  di  trattamento  con
  strumenti elettronici: 
 
                Sistema di autenticazione informatica 
 
  1. Il trattamento di dati personali con  strumenti  elettronici  e'
consentito agli incaricati dotati di  credenziali  di  autenticazione
che consentano il superamento  di  una  procedura  di  autenticazione
relativa a uno specifico trattamento o a un insieme di trattamenti. 
  2. Le credenziali di autenticazione consistono  in  un  codice  per
l'identificazione  dell'incaricato  associato  a  una  parola  chiave
riservata conosciuta solamente dal medesimo oppure in un  dispositivo
di  autenticazione  in  possesso  e  uso  esclusivo  dell'incaricato,
eventualmente associato a un codice identificativo  o  a  una  parola
chiave, oppure  in  una  caratteristica  biometrica  dell'incaricato,
eventualmente associata a un codice identificativo  o  a  una  parola
chiave. 
  3. Ad ogni incaricato sono assegnate  o  associate  individualmente
una o piu' credenziali per l'autenticazione. 
  4. Con le istruzioni impartite agli  incaricati  e'  prescritto  di
adottare le necessarie cautele per  assicurare  la  segretezza  della
componente riservata della credenziale e la  diligente  custodia  dei
dispositivi in possesso ed uso esclusivo dell'incaricato. 
  5.  La  parola  chiave,  quando  e'   prevista   dal   sistema   di
autenticazione, e' composta da almeno otto caratteri oppure, nel caso
in cui lo strumento elettronico non lo  permetta,  da  un  numero  di
caratteri pari al massimo consentito; essa non  contiene  riferimenti
agevolmente  riconducibili  all'incaricato  ed   e'   modificata   da
quest'ultimo al primo utilizzo e, successivamente,  almeno  ogni  sei
mesi. In caso di trattamento di dati sensibili e di  dati  giudiziari
la parola chiave e' modificata almeno ogni tre mesi. 
  6. Il codice per l'identificazione, laddove  utilizzato,  non  puo'
essere assegnato ad altri incaricati, neppure in tempi diversi. 
  7. Le credenziali di autenticazione non utilizzate  da  almeno  sei
mesi sono disattivate, salvo quelle preventivamente  autorizzate  per
soli scopi di gestione tecnica. 
  8. Le credenziali sono disattivate anche in caso di  perdita  della
qualita' che consente all'incaricato l'accesso ai dati personali. 
  9. Sono impartite  istruzioni  agli  incaricati  per  non  lasciare
incustodito  e  accessibile  lo  strumento  elettronico  durante  una
sessione di trattamento. 
  10. Quando l'accesso  ai  dati  e  agli  strumenti  elettronici  e'
consentito esclusivamente mediante  uso  della  componente  riservata
della credenziale  per  l'autenticazione,  sono  impartite  idonee  e
preventive disposizioni scritte volte a  individuare  chiaramente  le
modalita' con le quali il titolare puo' assicurare la  disponibilita'
di dati o strumenti elettronici  in  caso  di  prolungata  assenza  o
impedimento dell'incaricato che renda indispensabile e  indifferibile
intervenire per esclusive necessita' di operativita' e  di  sicurezza
del sistema. In tal caso la custodia delle copie delle credenziali e'
organizzata  garantendo  la  relativa   segretezza   e   individuando
preventivamente  per  iscritto  i  soggetti  incaricati  della   loro
custodia,  i  quali  devono  informare  tempestivamente  l'incaricato
dell'intervento effettuato. 
  11. Le  disposizioni  sul  sistema  di  autenticazione  di  cui  ai
precedenti punti e  quelle  sul  sistema  di  autorizzazione  non  si
applicano  ai  trattamenti  dei   dati   personali   destinati   alla
diffusione. 
 
                      Sistema di autorizzazione 
 
  12.  Quando  per  gli  incaricati  sono  individuati   profili   di
autorizzazione  di  ambito  diverso  e'  utilizzato  un  sistema   di
autorizzazione. 
  13. I profili di  autorizzazione,  per  ciascun  incaricato  o  per
classi  omogenee  di  incaricati,  sono  individuati  e   configurati
anteriormente  all'inizio  del  trattamento,  in  modo  da   limitare
l'accesso ai soli dati necessari  per  effettuare  le  operazioni  di
trattamento. 
  14. Periodicamente, e comunque almeno annualmente, e' verificata la
sussistenza delle condizioni per  la  conservazione  dei  profili  di
autorizzazione. 
 
                      Altre misure di sicurezza 
 
  15. Nell'ambito dell'aggiornamento  periodico  con  cadenza  almeno
annuale dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione  degli
strumenti elettronici, la lista degli incaricati puo' essere  redatta
anche per classi omogenee di  incarico  e  dei  relativi  profili  di
autorizzazione. 
  16. I dati personali sono protetti contro il rischio di  intrusione
e dell'azione di programmi di cui all'art. 615-quinquies  del  codice
penale, mediante l'attivazione di  idonei  strumenti  elettronici  da
aggiornare con cadenza almeno semestrale. 
  17. Gli aggiornamenti periodici dei programmi per elaboratore volti
a  prevenire  la  vulnerabilita'  di  strumenti   elettronici   e   a
correggerne difetti sono effettuati almeno annualmente.  In  caso  di
trattamento di dati sensibili o giudiziari l'aggiornamento e'  almeno
semestrale. 
  18.  Sono  impartite  istruzioni  organizzative  e   tecniche   che
prevedono il salvataggio dei dati con frequenza almeno settimanale. 
 
               Documento programmatico sulla sicurezza 
 
  19. Entro il 31 marzo di ogni anno, il titolare di  un  trattamento
di dati sensibili o di dati giudiziari  redige  anche  attraverso  il
responsabile,  se  designato,  un   documento   programmatico   sulla
sicurezza contenente idonee informazioni riguardo: 
  19.1. l'elenco dei trattamenti di dati personali; 
  19.2.  la  distribuzione  dei  compiti  e   delle   responsabilita'
nell'ambito delle strutture preposte al trattamento dei dati; 
  19.3. l'analisi dei rischi che incombono sui dati; 
  19.4. le  misure  da  adottare  per  garantire  l'integrita'  e  la
disponibilita' dei dati, nonche'  la  protezione  delle  aree  e  dei
locali, rilevanti ai fini della loro custodia e accessibilita'; 19.5.
la descrizione dei criteri e delle modalita' per il ripristino  della
disponibilita' dei dati in seguito a distruzione o danneggiamento  di
cui al successivo punto 23; 
  19.6. la previsione di interventi formativi  degli  incaricati  del
trattamento, per renderli edotti dei rischi che incombono  sui  dati,
delle misure disponibili per prevenire eventi  dannosi,  dei  profili
della disciplina sulla protezione dei dati personali  piu'  rilevanti
in rapporto alle relative attivita',  delle  responsabilita'  che  ne
derivano e  delle  modalita'  per  aggiornarsi  sulle  misure  minime
adottate dal titolare. La formazione e' programmata gia'  al  momento
dell'ingresso in servizio, nonche' in  occasione  di  cambiamenti  di
mansioni,  o  di  introduzione  di  nuovi  significativi   strumenti,
rilevanti rispetto al trattamento di dati personali; 
  19.7.  la  descrizione  dei  criteri  da  adottare  per   garantire
l'adozione delle misure minime di sicurezza in caso di trattamenti di
dati personali affidati, in conformita' al codice, all'esterno  della
struttura del titolare; 
  19.8. per i dati personali idonei a rivelare lo stato di  salute  e
la vita sessuale di cui al punto 24, l'individuazione dei criteri  da
adottare per la cifratura o per la separazione  di  tali  dati  dagli
altri dati personali dell'interessato. 
 
Ulteriori  misure  in  caso  di  trattamento  di  dati  sensibili   o
                             giudiziari 
 
  20. I dati sensibili o giudiziari sono  protetti  contro  l'accesso
abusivo,  di  cui  all'art.  615-ter  del  codice  penale,   mediante
l'utilizzo di idonei strumenti elettronici. 
  21. Sono impartite  istruzioni  organizzative  e  tecniche  per  la
custodia e l'uso dei supporti rimovibili su cui  sono  memorizzati  i
dati al fine di evitare accessi non  autorizzati  e  trattamenti  non
consentiti. 
  22. I supporti rimovibili contenenti dati sensibili o giudiziari se
non utilizzati sono distrutti o resi inutilizzabili,  ovvero  possono
essere  riutilizzati  da  altri  incaricati,   non   autorizzati   al
trattamento degli stessi dati, se le informazioni precedentemente  in
essi contenute non sono intelligibili e tecnicamente  in  alcun  modo
ricostruibili. 
  23.  Sono  adottate  idonee  misure  per  garantire  il  ripristino
dell'accesso ai dati in caso di danneggiamento degli stessi  o  degli
strumenti elettronici, in tempi certi compatibili con i diritti degli
interessati e non superiori a sette giorni. 
  24. Gli organismi sanitari e gli esercenti le professioni sanitarie
effettuano il trattamento dei dati idonei  a  rivelare  lo  stato  di
salute e la vita sessuale contenuti in elenchi, registri o banche  di
dati con le modalita' di cui all'articolo 22, comma  6,  del  codice,
anche al fine di consentire il  trattamento  disgiunto  dei  medesimi
dati dagli  altri  dati  personali  che  permettono  di  identificare
direttamente gli interessati. I dati relativi all'identita'  genetica
sono  trattati  esclusivamente   all'interno   di   locali   protetti
accessibili  ai  soli  incaricati  dei  trattamenti  ed  ai  soggetti
specificatamente autorizzati ad  accedervi;  il  trasporto  dei  dati
all'esterno dei locali riservati al loro trattamento deve avvenire in
contenitori  muniti  di  serratura  o  dispositivi  equipollenti;  il
trasferimento dei dati in formato elettronico e' cifrato. 
 
                     Misure di tutela e garanzia 
 
  25. Il titolare che adotta misure minime di  sicurezza  avvalendosi
di soggetti esterni  alla  propria  struttura,  per  provvedere  alla
esecuzione   riceve   dall'installatore   una   descrizione   scritta
dell'intervento  effettuato  che  ne  attesta  la  conformita'   alle
disposizioni del presente disciplinare tecnico. 
  26. Il titolare  riferisce,  nella  relazione  accompagnatoria  del
bilancio  d'esercizio,   se   dovuta,   dell'avvenuta   redazione   o
aggiornamento del documento programmatico sulla sicurezza. 
 
        Trattamenti senza l'ausilio di strumenti elettronici 
 
Modalita' tecniche da adottare a cura del titolare, del responsabile,
ove  designato,  e  dell'incaricato,  in  caso  di  trattamento   con
              strumenti diversi da quelli elettronici: 
 
  27. Agli incaricati sono impartite istruzioni  scritte  finalizzate
al controllo ed alla custodia, per  l'intero  ciclo  necessario  allo
svolgimento  delle  operazioni  di  trattamento,  degli  atti  e  dei
documenti contenenti dati personali.  Nell'ambito  dell'aggiornamento
periodico con cadenza almeno annuale dell'individuazione  dell'ambito
del trattamento consentito ai  singoli  incaricati,  la  lista  degli
incaricati puo' essere redatta anche per classi omogenee di  incarico
e dei relativi profili di autorizzazione. 
  28. Quando  gli  atti  e  i  documenti  contenenti  dati  personali
sensibili o giudiziari sono affidati agli incaricati del  trattamento
per lo svolgimento dei relativi compiti, i medesimi atti e  documenti
sono controllati e custoditi dagli incaricati fino alla  restituzione
in maniera che ad essi non accedano persone prive di  autorizzazione,
e sono restituiti al termine delle operazioni affidate. 
  29. L'accesso agli archivi contenenti dati sensibili  o  giudiziari
e' controllato. Le persone ammesse, a qualunque titolo, dopo l'orario
di chiusura, sono identificate e registrate. Quando gli  archivi  non
sono dotati di strumenti elettronici per il controllo degli accessi o
di incaricati della  vigilanza,  le  persone  che  vi  accedono  sono
preventivamente autorizzate.