Decreto del Presidente della
Repubblica n. 318 del 28 luglio 1999
Regolamento recante norme per l'individuazione delle misure minime di
sicurezza per il trattamento dei dati personali, a norma dell'articolo 15,
comma 2, della legge n. 675 del 31 dicembre 1996
Preambolo |
IL PRESIDENTE DELLA REPUBBLICA
Visto l’articolo 87, comma quinto, della Costituzione;
Visto l’articolo 15 della legge 31 dicembre 1996, n. 675, recante
«Tutela delle persone e di altri soggetti rispetto al trattamento dei
dati personali»;
Ritenuto che ai sensi dell’articolo 15, comma 2, della legge 31 dicembre
1996, n. 675, occorre individuare, in via preventiva, le misure minime
di sicurezza per i dati personali oggetto di trattamento, al fine di
assicurare il funzionamento delle misure sanzionatorie penali previste
dall’articolo 36 della medesima legge;
Visto l’articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n.
400;
Sentiti l’Autorità per l’informatica nella pubblica amministrazione e il
Garante per la protezione dei dati personali;
Udito il parere del Consiglio di Stato, espresso dalla sezione
consultiva per gli atti normativi nell’adunanza del 26 aprile 1999;
Ritenuto di dover comunque garantire la possibilità, in caso di più
incaricati del trattamento, di limitare l’accesso a determinati dati
personali attraverso la previsione di una specifica parola chiave per
tali dati, senza operare, quindi, alcuna equiparazione tra tale ipotesi
e quella relativa alla previsione di un’unica parola chiave per
l’accesso al sistema;
Viste le deliberazioni del Consiglio dei Ministri, adottate nelle
riunioni del 16 luglio e del 23 luglio 1999;
Sulla proposta del Ministro di grazia e giustizia;
EMANA
il seguente regolamento:
|
|
CAPO I - PRINCIPI GENERALI |
Art. 1- Definizioni
|
1. Ai fini del presente regolamento si applicano le definizioni elencate
nell’articolo1 della legge 31 dicembre1996, n. 675, di seguito
denominata legge. Ai medesimi fini si intendono per:
a) «misure minime»: il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza, previste nel
presente regolamento, che configurano il livello minimo di protezione
richiesto in relazione ai rischi previsti dall’articolo 15, comma 1,
della legge;
b) «strumenti»:i mezzi elettronici o comunque automatizzati con cui si
effettua il trattamento;
c)«amministratori di sistema»: i soggetti cui è conferito il compito di
sovrintendere alle risorse del sistema operativo di un elaboratore o di
un sistema di base dati e di consentirne l’utilizzazione.
|
|
CAPO II - TRATTAMENTO DEI
DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O COMUNQUE
AUTOMATIZZATI
Sezione I -Trattamento dei dati personali effettuato mediante
elaboratori non accessibili da altri elaboratori o terminali |
Art. 2 - Individuazione
degli incaricati |
1. Salvo quanto previsto dall’articolo 8, se il trattamento dei dati
personali è effettuato per fini diversi da quelli di cui all’articolo 3
della legge mediante elaboratori non accessibili da altri elaboratori o
terminali, devono essere adottate, anteriormente all’inizio del
trattamento, le seguenti misure:
a) prevedere una parola chiave per l’accesso ai dati, fornirla agli
incaricati del trattamento e, ove tecnicamente possibile in relazione
alle caratteristiche dell’elaboratore, consentirne l’autonoma
sostituzione, previa comunicazione ai soggetti preposti ai sensi della
lettera b);
b) individuare per iscritto, quando vi è più di un incaricato del
trattamento e sono in uso più parole chiave, i soggetti preposti alla
loro custodia o che hanno accesso ad informazioni che concernono le
medesime.
|
|
CAPO II - TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI
ELETTRONICI O COMUNQUE AUTOMATIZZATI
Sezione II - Trattamento dei dati personali effettuato mediante
elaboratori accessibili in rete |
Art. 3 - Classificazione
|
1. Ai fini della presente sezione gli elaboratori accessibili in rete
impiegati nel trattamento dei dati personali sono distinti in:
a)elaboratori accessibili da altri elaboratori solo attraverso reti non
disponibili al pubblico;
b) elaboratori accessibili mediante una rete di telecomunicazioni
disponibili al pubblico.
|
|
Art. 4 - Codici
identificativi e protezione degli elaboratori |
1. Nel caso di trattamenti effettuati con gli elaboratori di cui
all’articolo 3, oltre a quanto previsto dall’articolo 2 devono essere
adottate le seguenti misure:
a) a ciascun utente o in caricato del trattamento deve essere attribuito
un codice identificativo personale per l’utilizzazione dell’elaboratore;
uno stesso codice, fatta eccezione per gli amministratori di sistema
relativamente ai sistemi operativi che prevedono un unico livello di
accesso per tale funzione, non puo’, neppure in tempi diversi, essere
assegnato a persone diverse;
b)i codici identificativi personali devono essere assegnati e gestiti in
modo che ne sia prevista la disattivazione in caso di perdita della
qualità che consentiva l’accesso all’elaboratore o di mancato utilizzo
dei medesimi per un periodo superiore ai sei mesi;
c) gli elaboratori devono essere protetti contro il rischio di
intrusione ad opera di programmi di cui all’art. 615-quinquies del
codice penale, mediante idonei programmi, la cui efficacia ed
aggiornamento sono verificati con cadenza almeno semestrale.
2. Le disposizioni di cui al comma 1, lettere a) e b), non si applicano
ai trattamenti dei dati personali di cui è consentita la diffusione.
|
|
Art. 5 - Accesso ai dati
particolari |
1. Per il trattamento
dei dati di cui agli articoli 22 e 24 della legge effettuato ai sensi
dell’articolo 3, l’accesso per effettuare le operazioni di trattamento è
determinato sulla base di autorizzazioni assegnate, singolarmente o per
gruppi di lavoro, agli incaricati del trattamento o della manutenzione.
Se il trattamento è effettuato ai sensi dell’articolo 3, comma 1,
lettera b), sono oggetto di autorizzazione anche gli strumenti che
possono essere utilizzati per l’interconnessione mediante reti
disponibili al pubblico.
2. L’autorizzazione, se riferita agli strumenti, deve individuare i
singoli elaboratori attraverso i quali è possibile accedere per
effettuare operazioni di trattamento.
3. Le autorizzazioni all’accesso sono rilasciate e revocate dal titolare
e, se designato, dal responsabile.
Periodicamente, e comunque almeno una volta l’anno, è verificata la
sussistenza delle condizioni per la loro conservazione.
4. L’autorizzazione all’accesso deve essere limitata ai soli dati la cui
conoscenza è necessaria e sufficiente per lo svolgimento delle
operazioni di trattamento o di manutenzione.
5. La validità delle richieste di accesso ai dati personali è verificata
prima di consentire l’accesso stesso.
6. Non è consentita l’utilizzazione di un medesimo codice identificativo
personale per accedere contemporaneamente alla stessa applicazione da
diverse stazioni di lavoro.
7. Le disposizioni di cui ai commi da la 6 non si applicano al
trattamento dei dati personali di cui è consentita la diffusione. |
|
Art. 6 - Documento
programmatico sulla sicurezza |
1. Nel caso di trattamento dei dati di cui agli articoli 22 e 24 della
legge effettuato mediante gli elaboratori indicati nell’articolo 3,
comma l, lettera b), deve essere predisposto e aggiornato, con cadenza
annuale, un documento programmatico sulla sicurezza dei dati per
definire, sulla base dell’analisi dei rischi, della distribuzione dei
compiti e delle responsabilità nell’ambito delle strutture preposte al
trattamento dei dati stessi:
a) i criteri tecnici e organizzativi per la protezione delle aree e dei
locali interessati dalle misure di sicurezza nonchè le procedure per
controllare l’accesso delle persone autorizzate ai locali medesimi;
b) i criteri e le procedure per assicurare l’integrità dei dati;
c) i criteri e le procedure per la sicurezza delle trasmissioni dei
dati, ivi compresi quelli per le restrizioni di accesso per via
telematica;
d) l’elaborazione di un piano di formazione per rendere edotti gli
incaricati del trattamento dei rischi individuati e dei modi per
prevenire danni.
2. L’efficacia delle misure di sicurezza adottate ai sensi del comma 1
deve essere oggetto di controlli periodici, da eseguirsi con cadenza
almeno annuale.
|
|
Art. 7. - Reimpiego dei
supporti di memorizzazione |
1. Nel caso di trattamento dei dati di cui agli articoli 22 e 24 della
legge effettuato con gli strumenti di cui all’articolo 3, i supporti già
utilizzati per il trattamento possono essere riutilizzati qualora le
informazioni precedentemente contenute non siano tecnicamente in alcun
modo recuperabili, altrimenti devono essere distrutti.
|
|
CAPO II - TRATTAMENTO DEI
DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O COMUNQUE
AUTOMATIZZATI
Sezione III - Trattamento dei dati personali effettuato per fini
esclusivamente personali |
Art. 8 - Parola chiave |
1. Ai sensi dell’articolo 3 della legge, il trattamento per fini
esclusivamente personali dei dati di cui agli articoli 22 e 24 della
legge, effettuato con elaboratori stabilmente accessibili da altri
elaboratori, è soggetto solo all’obbligo di proteggere l’accesso ai dati
o al sistema mediante l’utilizzo di una parola chiave, qualora i dati
siano organizzati in banche di dati.
|
|
CAPO III - TRATTAMENTO DEI
DATI PERSONALI CON STRUMENTI DIVERSI DA QUELLI ELETTRONICI O COMUNQUE
AUTOMATIZZATI |
Art. 9 - Trattamento di
dati personali |
1. Nel caso di trattamento di dati personali per fini diversi da quelli
dell’articolo 3 della legge, effettuato, con strumenti diversi da quelli
previsti dal capo II, sono osservate le seguenti modalità:
a) nel designare gli incaricati del trattamento per iscritto e
nell’impartire le istruzioni ai sensi degli articoli 8, comma 5, e 19
della legge, il titolare o, se designato, il responsabile devono
prescrivere che gli incaricati abbiano accesso ai soli dati personali la
cui conoscenza sia strettamente necessaria per adempiere ai compiti loro
assegnati;
b) gli atti e i documenti contenenti i dati devono essere conservati in
archivi ad accesso selezionato e, se affidati agli incaricati del
trattamento, devono essere da questi ultimi conservati e restituiti al
termine delle operazioni affidate.
2. Nel caso di trattamento di dati di cui agli articoli 22e 24 della
legge, oltre a quanto previsto nel comma 1, devono essere osservate le
seguenti modalità:
a) se affidati agli incaricati del trattamento, gli atti e i documenti
contenenti i dati sono conservati, fino alla restituzione, in
contenitori muniti di serratura;
b) l’accesso agli archivi deve essere controllato e devono essere
identificati e registrati i soggetti che vi vengono ammessi dopo
l’orario di chiusura degli archivi stessi.
|
|
Art. 10 - Conservazione
della documentazione relativa al trattamento |
1. I supporti non informatici contenenti la riproduzione di informazioni
relative al trattamento di dati personali di cui agli articoli 22 e 24
della legge devono essere conservati e custoditi con le modalità di cui
all’articolo 9.
Il presente decreto, munito del sigillo dello Stato, sarà inserito nella
Raccolta ufficiale degli atti normativi della Repubblica italiana. È
fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Dato a Roma, addì 28 luglio 1999
CIAMPI
D’Alema, Presidente del Consiglio dei Ministri
Diliberto, Ministro di grazia e giustizia
Visto, il Guardasigilli: Diliberto
|
|