dpr 28/07/1999 n. 00000318
DIRITTI DELL'UOMO DOCUMENTAZIONE AMMINISTRATIVA ECC. POSTE E TELECOMUNICAZIONI
Decreto del Presidente della Repubblica 28 luglio 1999, n. 318 (in Gazz. Uff.,
14 settembre, n. 216). - Regolamento recante norme per l'individuazione delle
misure minime di sicurezza per il trattamento dei dati personali, a norma
dell'art. 15, comma 2, della legge 31 dicembre 1996, n. 675. CFR PROV 29.09.1999
ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV
29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL 6 CFR PROV 29.09.1999 ALL UNICO CFR
DELIB 29.02.2000 n. 8 CFR L 31.12.1996 n. 675 ART 15
Il Presidente della Repubblica:
Visto l'art. 87, comma quinto, della Costituzione;
Visto l'art. 15 della legge 31 dicembre 1996, n. 675, recante <
>;
Ritenuto che ai sensi dell'art. 15, comma 2, della legge 31 dicembre 1996, n.
675, occorre individuare, in via preventiva, le misure minime di sicurezza per i
dati personali oggetto di trattamento, al fine di assicurare il funzionamento
delle misure sanzionatorie penali previste dall'art. 36 della medesima legge;
Visto l'art. 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400;
Sentiti l'Autorità per l'informatica nella pubblica amministrazione e il
Garante per la protezione dei dati personali;
Udito il parere del Consiglio di Stato, espresso dalla sezione consultiva per
gli atti normativi nell'adunanza del 26 aprile 1999; Ritenuto di dover comunque
garantire la possibilità, in caso di più incaricati del trattamento, di
limitare l'accesso a determinati dati personali attraverso la previsione di una
specifica parola chiave per tali dati, senza operare, quindi, alcuna
equiparazione tra tale ipotesi e quella relativa alla previsione di un'unica
parola chiave per l'accesso al sistema;
Viste le deliberazioni del Consiglio dei Ministri, adottate nelle riunioni del
16 luglio e del 23 luglio 1999;
Sulla proposta del Ministro di grazia e giustizia;
Emana il seguente regolamento: CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999
ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV
29.09.1999 ALL 6 CFR PROV 29.09.1999 ALL UNICO CFR DELIB 29.02.2000 n. 8 CFR L
31.12.1996 n. 675 ART 15 DIRITTI DELL'UOMO DOCUMENTAZIONE AMMINISTRATIVA ECC.
POSTE E TELECOMUNICAZIONI
Capo I PRINCIPI GENERALI
Art. 1. Definizioni. 1. Ai fini del presente regolamento si applicano le
definizioni elencate nell'art. 1 della legge 31 dicembre 1996, n 675, di seguito
denominata legge. Ai medesimi fini si intendono per: a) <
>: il complesso delle misure tecniche, informatiche, organizzative,
logistiche e procedurali di sicurezza, previste nel presente regolamento, che
configurano il livello minimo di protezione richiesto in relazione ai rischi
previsti dall'art. 15, comma 1, della legge; b) <
>: i mezzi elettronici o comunque automatizzati con cui si effettua il
trattamento; c) <
>: i soggetti cui è conferito il compito di sovrintendere alle risorse del
sistema operativo di un elaboratore o di un sistema di base dati e di
consentirne l'utilizzazione. CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999
ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV
29.09.1999 ALL 6 CFR PROV 29.09.1999 ALL UNICO CFR DELIB 29.02.2000 n. 8 CFR L
31.12.1996 n. 675 ART 1 CFR L 31.12.1996 n. 675 ART 15 DIRITTI DELL'UOMO
DOCUMENTAZIONE AMMINISTRATIVA ECC. POSTE E TELECOMUNICAZIONI
Capo II TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI
ELETTRONICI O COMUNQUE AUTOMATIZZATI
Sezione I Trattamento dei dati personali effettuato mediante elaborazione non
accessibili da altri eleboratori o terminali. Art. 2. Individuazione degli
incaricati. 1. Salvo quanto previsto dall'art. 8, se il trattamento dei dati
personali è effettuato per fini diversi da quelli di cui all'art. 3 della legge
mediante elaboratori non accessibili da altri elaboratori o terminali, devono
essere adottate, anteriormente all'inizio del trattamento, le seguenti misure:
a) prevedere una parola chiave per l'accesso ai dati, fornirla agli incaricati
del trattamento e, ove tecnicamente possibile in relazione alle caratteristiche
dell'elaboratore, consentirne l'autonoma sostituzione, previa comunicazione ai
soggetti preposti ai sensi della lettera b); b) individuare per iscritto, quando
vi è più di un incaricato del trattamento e sono in uso più parole chiave, i
soggetti preposti alla loro custodia o che hanno accesso ad informazioni che
concernono le medesime. CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL
UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV
29.09.1999 ALL 6 CFR PROV 29.09.1999 ALL UNICO CFR DELIB 29.02.2000 n. 8 CFR L
31.12.1996 n. 675 ART 3 CFR L 31.12.1996 n. 675 ART 15 DIRITTI DELL'UOMO
DOCUMENTAZIONE AMMINISTRATIVA ECC. POSTE E TELECOMUNICAZIONI Capo II TRATTAMENTO
DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O COMUNQUE AUTOMATIZZATI
Sezione II Trattamento dei dati personali effettuato mediante elaboratori
accessibili in rete. Art. 3. Classificazione. 1. Ai fini della presente sezione
gli elaboratori accessibili in rete impiegati nel trattamento dei dati personali
sono distinti in: a) elaboratori accessibili da altri elaboratori solo
attraverso reti non disponibili al pubblico; b) elaboratori accessibili mediante
una rete di telecomunicazioni disponibili al pubblico. CFR PROV 29.09.1999 ALL
UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV
29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL 6 CFR PROV 29.09.1999 ALL UNICO CFR
DELIB 29.02.2000 n. 8 CFR L 31.12.1996 n. 675 ART 15 DIRITTI DELL'UOMO
DOCUMENTAZIONE AMMINISTRATIVA ECC. POSTE E TELECOMUNICAZIONI
Capo II TRATTAMENTO
DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O COMUNQUE AUTOMATIZZATI
Sezione II Trattamento dei dati personali effettuato mediante elaboratori
accessibili in rete. Art. 4. Codici identificativi e protezione degli
elaboratori. 1. Nel caso di trattamenti effettuati con gli elaboratori di cui
all'art. 3, oltre a quanto previsto dall'art. 2 devono essere adottate le
seguenti misure: a) a ciascun utente o incaricato del trattamento deve essere
attribuito un codice identificativo personale per l'utilizzazione
dell'elaboratore; uno stesso codice, fatta eccezione per gli amministratori di
sistema relativamente ai sistemi operativi che prevedono un unico livello di
accesso per tale funzione, non può, neppure in tempi diversi, essere assegnato
a persone diverse; b) i codici identificativi personali devono essere assegnati
e gestiti in modo che ne sia prevista la disattivazione in caso di perdita della
qualità che consentiva l'accesso all'elaboratore o di mancato utilizzo dei
medesimi per un periodo superiore ai sei mesi; c) gli elaboratori devono essere
protetti contro il rischio di intrusione ad opera di programmi di cui all'art.
615-quinquies del codice penale, mediante idonei programmi, la cui efficacia ed
aggiornamento sono verificati con cadenza almeno semestrale. 2. Le disposizioni
di cui al comma 1, lettere a) e b), non si applicano ai trattamenti dei dati
personali di cui è consentita la diffusione. CFR PROV 29.09.1999 ALL UNICO CFR
PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL
UNICO CFR PROV 29.09.1999 ALL 6 CFR PROV 29.09.1999 ALL UNICO CFR DELIB
29.02.2000 n. 8 CFR L 31.12.1996 n. 675 ART 15 DIRITTI DELL'UOMO DOCUMENTAZIONE
AMMINISTRATIVA ECC. POSTE E TELECOMUNICAZIONI
Capo II TRATTAMENTO DEI DATI
PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O COMUNQUE AUTOMATIZZATI
Sezione II Trattamento dei dati personali effettuato mediante elaboratori
accessibili in rete. Art. 5. Accesso ai dati particolari. 1. Per il trattamento
dei dati di cui agli articoli 22 e 24 della legge effettuato ai sensi dell'art.
3, l'accesso per effettuare le operazioni di trattamento è determinato sulla
base di autorizzazioni assegnate, singolarmente o per gruppi di lavoro, agli
incaricati del trattamento o della manutenzione. Se il trattamento è effettuato
ai sensi dell'art. 3, comma 1, lettera b), sono oggetto di autorizzazione anche
gli strumenti che possono essere utilizzati per l'interconnessione mediante reti
disponibili al pubblico. 2. L'autorizzazione, se riferita agli strumenti, deve
individuare i singoli elaboratori attraverso i quali è possibile accedere per
effettuare operazioni di trattamento. 3. Le autorizzazioni all'accesso sono
rilasciate e revocate dal titolare e, se designato, dal responsabile.
Periodicamente, e comunque almeno una volta l'anno, è verificata la sussistenza
delle condizioni per la loro conservazione. 4. L'autorizzazione all'accesso deve
essere limitata ai soli dati la cui conoscenza è necessaria e sufficiente per
lo svolgimento delle operazioni di trattamento o di manutenzione. 5. La validità
delle richieste di accesso ai dati personali è verificata prima di consentire
l'accesso stesso. 6. Non è consentita l'utilizzazione di un medesimo codice
identificativo personale per accedere contemporaneamente alla stessa
applicazione da diverse stazioni di lavoro. 7. Le disposizioni di cui ai commi
da 1 a 6 non si applicano al trattamento dei dati personali di cui è consentita
la diffusione. CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR
PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL
6 CFR PROV 29.09.1999 ALL UNICO CFR DELIB 29.02.2000 n. 8 CFR L 31.12.1996 n.
675 ART 15 CFR L 31.12.1996 n. 675 ART 22 CFR L 31.12.1996 n. 675 ART 24 DIRITTI
DELL'UOMO DOCUMENTAZIONE AMMINISTRATIVA ECC. POSTE E TELECOMUNICAZIONI
Capo II
TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O COMUNQUE
AUTOMATIZZATI
Sezione II Trattamento dei dati personali effettuato mediante elaboratori
accessibili in rete. Art. 6. Documento programmatico sulla sicurezza. 1. Nel
caso di trattamento dei dati di cui agli articoli 22 e 24 della legge effettuato
mediante gli elaboratori indicati nell'art. 3, comma 1, lettera b), deve essere
predisposto e aggiornato, con cadenza annuale, un documento programmatico sulla
sicurezza dei dati per definire, sulla base dell'analisi dei rischi, della
distribuzione dei compiti e delle responsabilità nell'ambito delle strutture
preposte al trattamento dei dati stessi: a) i criteri tecnici e organizzativi
per la protezione delle aree e dei locali interessati dalle misure di sicurezza
nonchè le procedure per controllare l'accesso delle persone autorizzate ai
locali medesimi; b) i criteri e le procedure per assicurare l'integrità dei
dati; c) i criteri e le procedure per la sicurezza delle trasmissioni dei dati,
ivi compresi quelli per le restrizioni di accesso per via telematica; d)
l'elaborazione di un piano di formazione per rendere edotti gli incaricati del
trattamento dei rischi individuati e dei modi per prevenire danni. 2.
L'efficacia delle misure di sicurezza adottate ai sensi del comma 1 deve essere
oggetto di controlli periodici, da eseguirsi con cadenza almeno annuale. CFR
PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL
UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL 6 CFR PROV
29.09.1999 ALL UNICO CFR DELIB 29.02.2000 n. 8 CFR L 31.12.1996 n. 675 ART 15
CFR L 31.12.1996 n. 675 ART 22 CFR L 31.12.1996 n. 675 ART 24 DIRITTI DELL'UOMO
DOCUMENTAZIONE AMMINISTRATIVA ECC. POSTE E TELECOMUNICAZIONI
Capo II TRATTAMENTO
DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O COMUNQUE AUTOMATIZZATI
Sezione II Trattamento dei dati personali effettuato mediante elaboratori
accessibili in rete. Art. 7. Reimpiego dei supporti di memorizzazione. 1. Nel
caso di trattamento dei dati di cui agli articoli 22 e 24 della legge effettuato
con gli strumenti di cui all'art. 3, i supporti già utilizzati per il
trattamento possono essere riutilizzati qualora le informazioni precedentemente
contenute non siano tecnicamente in alcun modo recuperabili, altrimenti devono
essere distrutti. CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO
CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999
ALL 6 CFR PROV 29.09.1999 ALL UNICO CFR DELIB 29.02.2000 n. 8 CFR L 31.12.1996
n. 675 ART 15 CFR L 31.12.1996 n. 675 ART 22 CFR L 31.12.1996 n. 675 ART 24
DIRITTI DELL'UOMO DOCUMENTAZIONE AMMINISTRATIVA ECC. POSTE E TELECOMUNICAZIONI
Capo II TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O
COMUNQUE AUTOMATIZZATI
Sezione III Trattamento dei dati personali effettuato per fini esclusivamente
personali. Art. 8. Parola chiave. 1. Ai sensi dell'art. 3 della legge, il
trattamento per fini esclusivamente personali dei dati di cui agli articoli 22 e
24 della legge, effettuato con elaboratori stabilmente accessibili da altri
elaboratori, è soggetto solo all'obbligo di proteggere l'accesso ai dati o al
sistema mediante l'utilizzo di una parola chiave, qualora i dati siano
organizzati in banche di dati. CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999
ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV
29.09.1999 ALL 6 CFR PROV 29.09.1999 ALL UNICO CFR DELIB 29.02.2000 n. 8 CFR L
31.12.1996 n. 675 ART 15 CFR L 31.12.1996 n. 675 ART 22 CFR L 31.12.1996 n. 675
ART 24 DIRITTI DELL'UOMO DOCUMENTAZIONE AMMINISTRATIVA ECC. POSTE E
TELECOMUNICAZIONI
Capo III TRATTAMENTO DEI DATI PERSONALI CON STRUMENTI DIVERSI DA QUELLI
ELETTRONICI O COMUNQUE AUTOMATIZZATI Art. 9. Trattamento di dati personali. 1.
Nel caso di trattamento di dati personali per fini diversi da quelli dell'art. 3
della legge, effettuato, con strumenti diversi da quelli previsti dal capo II,
sono osservate le seguenti modalità: a) nel designare gli incaricati del
trattamento per iscritto e nell'impartire le istruzioni ai sensi degli articoli
8, comma 5, e 19 della legge, il titolare o, se designato, il responsabile
devono prescrivere che gli incaricati abbiano accesso ai soli dati personali la
cui conoscenza sia strettamente necessaria per adempiere ai compiti loro
assegnati; b) gli atti e i documenti contenenti i dati devono essere conservati
in archivi ad accesso selezionato e, se affidati agli incaricati del
trattamento, devono essere da questi ultimi conservati e restituiti al termine
delle operazioni affidate. 2. Nel caso di trattamento di dati di cui agli
articoli 22 e 24 della legge, oltre a quanto previsto nel comma 1, devono essere
osservate le seguenti modalità: a) se affidati agli incaricati del trattamento,
gli atti e i documenti contenenti i dati sono conservati, fino alla
restituzione, in contenitori muniti di serratura; b) l'accesso agli archivi deve
essere controllato e devono essere identificati e registrati i soggetti che vi
vengono ammessi dopo l'orario di chiusura degli archivi stessi. CFR PROV
29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO
CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL 6 CFR PROV 29.09.1999 ALL
UNICO CFR DELIB 29.02.2000 n. 8 CFR L 31.12.1996 n. 675 ART 3 CFR L 31.12.1996
n. 675 ART 8 CFR L 31.12.1996 n. 675 ART 15 CFR L 31.12.1996 n. 675 ART 19 CFR L
31.12.1996 n. 675 ART 22 CFR L 31.12.1996 n. 675 ART 24 DIRITTI DELL'UOMO
DOCUMENTAZIONE AMMINISTRATIVA ECC. POSTE E TELECOMUNICAZIONI
Capo III TRATTAMENTO DEI DATI PERSONALI CON STRUMENTI DIVERSI DA QUELLI
ELETTRONICI O COMUNQUE AUTOMATIZZATI Art. 10. Conservazione della documentazione
relativa al trattamento. 1. I supporti non informatici contenenti la
riproduzione di informazioni relative al trattamento di dati personali di cui
agli articoli 22 e 24 della legge devono essere conservati e custoditi con le
modalità di cui all'art. 9. CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999
ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV 29.09.1999 ALL UNICO CFR PROV
29.09.1999 ALL 6 CFR PROV 29.09.1999 ALL UNICO CFR DELIB 29.02.2000 n. 8 CFR L
31.12.1996 n. 675 ART 15 CFR L 31.12.1996 n. 675 ART 22 CFR L 31.12.1996 n. 675
ART 24