DECRETO DEL PRESIDENTE DELLA REPUBBLICA 28 luglio 1999,
n.318
Regolamento recante norme per l'individuazione delle misure minime
di sicurezza per il trattamento dei dati personali, a norma dell'articolo 15,
comma 2, della legge 31 dicembre 1996, n. 675.
(Pubblicato sulla GU
n. 216 del 14-9-1999)
(Abrogato dal
1/1/2004 ex d.lgs. 196/2003)
IL PRESIDENTE DELLA REPUBBLICA
Art. 1.
Definizioni
1. Ai fini del presente regolamento
si applicano le definizioni elencate nell'articolo 1 della
legge 31 dicembre 1996, n. 675, di seguito denominata legge.
Ai medesimi fini si intendono
per:
a) "misure minime": il complesso
delle misure tecniche, informatiche, organizzative, logistiche e procedurali di
sicurezza, previste nel presente regolamento, che configurano il livello minimo
di protezione richiesto in relazione ai rischi
previsti dall'articolo 15, comma 1, della legge;
b) "strumenti": i mezzi
elettronici o comunque automatizzati con cui si
effettua il trattamento;
c) "amministratori di sistema": i
soggetti cui è conferito il compito di sovrintendere alle risorse del sistema
operativo di un elaboratore o di un sistema di base
dati e di consentirne l'utilizzazione.
Art. 2.
Individuazione degli
incaricati
1. Salvo quanto previsto dall'articolo 8,
se il trattamento dei dati personali è effettuato per
fini diversi da quelli di cui all'articolo 3 della legge mediante elaboratori
non accessibili da altri elaboratori o terminali, devono essere adottate,
anteriormente all'inizio del trattamento, le seguenti misure:
a) prevedere una parola chiave per
l'accesso ai dati, fornirla agli incaricati del trattamento e, ove tecnicamente
possibile in relazione alle caratteristiche
dell'elaboratore, consentirne l'autonoma sostituzione, previa comunicazione ai
soggetti preposti ai sensi della lettera b);
b) individuare per iscritto, quando vi è
più di un incaricato del trattamento e sono in uso più parole chiave, i
soggetti preposti alla loro custodia o che hanno accesso ad informazioni che
concernono le medesime.
Art. 3.
Classificazione
1. Ai fini della presente sezione gli
elaboratori accessibili in rete impiegati nel trattamento dei dati personali
sono distinti in:
a) elaboratori accessibili da altri
elaboratori solo attraverso reti non disponibili al pubblico;
b) elaboratori accessibili mediante una
rete di telecomunicazioni disponibili al pubblico.
Art. 4.
Codici
identificativi e protezione degli elaboratori
1. Nel caso di trattamenti effettuati con
gli elaboratori di cui all'articolo 3, oltre a quanto
previsto dall'articolo 2 devono essere adottate le seguenti misure:
a) a ciascun utente o incaricato del
trattamento deve essere attribuito un codice identificativo personale per
l'utilizzazione dell'elaboratore; uno stesso codice, fatta eccezione per gli
amministratori di sistema relativamente ai sistemi
operativi che prevedono un unico livello di accesso per tale funzione, non può,
neppure in tempi diversi, essere assegnato a persone diverse;
b) i codici identificativi personali devono
essere assegnati e gestiti in modo che ne sia prevista la disattivazione in
caso di perdita della qualità che consentiva l'accesso all'elaboratore o di
mancato utilizzo dei medesimi per un periodo superiore ai sei mesi;
c) gli elaboratori devono essere protetti
contro il rischio di intrusione ad opera di programmi
di cui all'art. 615-quinquies del codice penale, mediante idonei programmi, la
cui efficacia ed aggiornamento sono verificati con cadenza almeno semestrale.
2. Le disposizioni di cui al comma 1,
lettere a) e b), non si applicano ai trattamenti dei dati personali di cui è
consentita la diffusione.
Art. 5.
Accesso ai dati
particolari
1. Per il trattamento dei dati di cui agli
articoli 22 e 24 della legge effettuato ai sensi dell'articolo 3, l'accesso per
effettuare le operazioni di trattamento è determinato
sulla base di autorizzazioni assegnate, singolarmente o per gruppi di lavoro,
agli incaricati del trattamento o della manutenzione. Se il trattamento è
effettuato ai sensi dell'articolo 3, comma 1, lettera b), sono oggetto di autorizzazione anche gli strumenti che possono essere
utilizzati per l'interconnessione mediante reti disponibili al pubblico.
2. L'autorizzazione, se riferita agli
strumenti, deve individuare i singoli elaboratori attraverso i quali è
possibile accedere per effettuare operazioni di
trattamento.
3. Le autorizzazioni all'accesso sono
rilasciate e revocate dal titolare e, se designato, dal responsabile.
Periodicamente, e comunque almeno una volta l'anno, è
verificata la sussistenza delle condizioni per la loro conservazione.
4. L'autorizzazione all'accesso deve essere
limitata ai soli dati la cui conoscenza è necessaria e sufficiente per lo
svolgimento delle operazioni di trattamento o di manutenzione.
5. La validità delle richieste di accesso ai dati personali è verificata prima di
consentire l'accesso stesso.
6. Non è consentita l'utilizzazione di un
medesimo codice identificativo personale per accedere
contemporaneamente alla stessa applicazione da diverse stazioni di lavoro.
7. Le disposizioni di cui ai commi da l a 6
non si applicano al trattamento dei dati personali di cui è consentita la
diffusione.
Art. 6.
Documento
programmatico sulla sicurezza
1. Nel caso di trattamento dei dati di cui agli articoli 22 e 24 della legge effettuato mediante
gli elaboratori indicati nell'articolo 3, comma l, lettera b), deve essere
predisposto e aggiornato, con cadenza annuale, un documento programmatico sulla
sicurezza dei dati per definire, sulla base dell'analisi dei rischi, della
distribuzione dei compiti e delle responsabilità nell'ambito delle strutture
preposte al trattamento dei dati stessi:
a) i criteri tecnici
e organizzativi per la protezione delle aree e dei locali interessati dalle
misure di sicurezza nonchè le procedure per controllare
l'accesso delle persone autorizzate ai locali medesimi;
b) i criteri e le
procedure per assicurare l'integrità dei dati;
c) i criteri e le procedure per la
sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;
d) l'elaborazione di
un piano di formazione per rendere edotti gli incaricati del trattamento dei
rischi individuati e dei modi per prevenire danni.
2. L'efficacia delle misure di sicurezza
adottate ai sensi del comma 1 deve essere oggetto di
controlli periodici, da eseguirsi con cadenza almeno annuale.
Art. 7.
Reimpiego dei supporti di memorizzazione
1. Nel caso di trattamento dei dati di cui
agli articoli 22 e 24 della legge effettuato con gli strumenti di cui
all'articolo 3, i supporti già utilizzati per il trattamento possono essere
riutilizzati qualora le informazioni precedentemente
contenute non siano tecnicamente in alcun modo recuperabili, altrimenti devono
essere distrutti.
Art. 8.
Parola chiave
1. Ai sensi dell'articolo 3 della legge, il
trattamento per fini esclusivamente personali dei dati di cui agli articoli 22
e 24 della legge, effettuato con elaboratori
stabilmente accessibili da altri elaboratori, è soggetto solo all'obbligo di
proteggere l'accesso ai dati o al sistema mediante l'utilizzo di una parola
chiave, qualora i dati siano organizzati in banche di dati.
Art. 9.
Trattamento di dati
personali
1. Nel caso di trattamento di dati
personali per fini diversi da quelli dell'articolo 3 della legge, effettuato, con strumenti diversi da quelli previsti dal
capo II, sono osservate le seguenti modalità :
a) nel designare gli incaricati del
trattamento per iscritto e nell'impartire le istruzioni ai sensi degli articoli
8, comma 5, e 19 della legge, il titolare o, se designato, il responsabile
devono prescrivere che gli incaricati abbiano accesso ai soli dati personali la
cui conoscenza sia strettamente necessaria per adempiere ai
compiti loro assegnati;
b) gli atti e i documenti contenenti i dati
devono essere conservati in archivi ad accesso selezionato e, se affidati agli
incaricati del trattamento, devono essere da questi ultimi conservati e
restituiti al termine delle operazioni affidate.
2. Nel caso di trattamento di dati di cui
agli articoli 22 e 24 della legge, oltre a quanto previsto nel comma 1, devono
essere osservate le seguenti modalità :
a) se affidati agli incaricati del
trattamento, gli atti e i documenti contenenti i dati sono conservati, fino
alla restituzione, in contenitori muniti di serratura;
b) l'accesso agli archivi deve essere
controllato e devono essere identificati e registrati i soggetti che vi vengono ammessi dopo l'orario di chiusura degli archivi
stessi.
Art. 10.
Conservazione della
documentazione relativa al trattamento
1. I supporti non informatici contenenti la
riproduzione di informazioni relative al trattamento
di dati personali di cui agli articoli 22 e 24 della legge devono essere
conservati e custoditi con le modalità di cui all'articolo 9. Il presente
decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale
degli atti normativi della Repubblica italiana. È fatto
obbligo a chiunque spetti di osservarlo e di farlo osservare.
Dato a Roma, addì
28 luglio 1999
CIAMPI
D'ALEMA, Presidente
del Consiglio dei Ministri
DILIBERTO, Ministro
di grazia e giustizia
Visto, il
Guardasigilli: DILIBERTO