DPR
n. 318/1999
MISURE
DI SICUREZZA
Regolamento
recante norme per l'individuazione delle misure minime di sicurezza per il
trattamento dei dati personali, a norma dell'articolo 15, comma 2, della legge
31 dicembre 1996, n. 675
Indice:
Art.
1 Definizioni
Art.
2 Individuazione degli incaricati
Art.
3 Classificazione
Art.
4 Codici identificativi e protezione degli elaboratori
Art.
5 Accesso ai dati particolari
Art.
6 Documento programmatico sulla sicurezza
Art.
7 Reimpiego dei supporti di memorizzazione
Art.
8 Parola chiave
Art. 9 Trattamento di dati personali
Art.
10 Conservazione della documentazione relativa al trattamento
Preambolo
IL
PRESIDENTE DELLA REPUBBLICA
(omissis.)
CAPO
I - PRINCIPI GENERALI
Art.
1 Definizioni
1.
Ai fini del presente regolamento si applicano le definizioni elencate
nell’articolo1 della legge 31 dicembre1996, n. 675, di seguito denominata
legge. Ai medesimi fini si intendono per:
a) «misure minime»: il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza, previste nel presente
regolamento, che configurano il livello minimo di protezione richiesto in
relazione ai rischi previsti dall’articolo 15, comma 1, della legge;
b) «strumenti»:i mezzi elettronici o comunque automatizzati con cui si
effettua il trattamento;
c)«amministratori di sistema»: i soggetti cui è conferito il compito
di sovrintendere alle risorse del sistema operativo di un elaboratore o di un
sistema di base dati e di consentirne l’utilizzazione.
CAPO
II - TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O
COMUNQUE AUTOMATIZZATI
Sezione I -Trattamento dei dati personali effettuato mediante elaboratori non
accessibili da altri elaboratori o terminali
Art.
2 Individuazione
degli incaricati
1.
Salvo quanto previsto dall’articolo 8, se il trattamento dei dati personali è
effettuato per fini diversi da quelli di cui all’articolo 3 della legge
mediante elaboratori non accessibili da altri elaboratori o terminali, devono
essere adottate, anteriormente all’inizio del trattamento, le seguenti misure:
a) prevedere una parola chiave per l’accesso ai dati, fornirla agli incaricati
del trattamento e, ove tecnicamente possibile in relazione alle caratteristiche
dell’elaboratore, consentirne l’autonoma sostituzione, previa comunicazione
ai soggetti preposti ai sensi della lettera b);
b) individuare per iscritto, quando vi è più di un incaricato del trattamento
e sono in uso più parole chiave, i soggetti preposti alla loro custodia o che
hanno accesso ad informazioni che concernono le medesime.
C
APO II - TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O
COMUNQUE AUTOMATIZZATI
Sezione II - Trattamento dei dati personali effettuato mediante elaboratori
accessibili in rete
Art.
3 Classificazione
1.
Ai fini della presente sezione gli elaboratori accessibili in rete impiegati nel
trattamento dei dati personali sono distinti in:
a)elaboratori accessibili da altri elaboratori solo attraverso reti non
disponibili al pubblico;
b) elaboratori accessibili mediante una rete di telecomunicazioni disponibili al
pubblico.
Art.
4 Codici
identificativi e protezione degli elaboratori
1.
Nel caso di trattamenti effettuati con gli elaboratori di cui all’articolo 3,
oltre a quanto previsto dall’articolo 2 devono essere adottate le seguenti
misure:
a) a ciascun utente o in caricato del trattamento deve essere attribuito un
codice identificativo personale per l’utilizzazione dell’elaboratore; uno
stesso codice, fatta eccezione per gli amministratori di sistema relativamente
ai sistemi operativi che prevedono un unico livello di accesso per tale funzione,
non puo’, neppure in tempi diversi, essere assegnato a persone diverse;
b)i codici identificativi personali devono essere assegnati e gestiti in modo
che ne sia prevista la disattivazione in caso di perdita della qualità che
consentiva l’accesso all’elaboratore o di mancato utilizzo dei medesimi per
un periodo superiore ai sei mesi;
c) gli elaboratori devono essere protetti contro il rischio di intrusione ad
opera di programmi di cui all’art. 615-quinquies del codice penale, mediante
idonei programmi, la cui efficacia ed aggiornamento sono verificati con cadenza
almeno semestrale.
2. Le disposizioni di cui al comma 1, lettere a) e b), non si applicano ai
trattamenti dei dati personali di cui è consentita la diffusione.
Art.
5 Accesso
ai dati particolari
1.
Per il trattamento dei dati di cui agli articoli 22 e 24 della legge effettuato
ai sensi dell’articolo 3, l’accesso per effettuare le operazioni di
trattamento è determinato sulla base di autorizzazioni assegnate, singolarmente
o per gruppi di lavoro, agli incaricati del trattamento o della manutenzione. Se
il trattamento è effettuato ai sensi dell’articolo 3, comma 1, lettera b),
sono oggetto di autorizzazione anche gli strumenti che possono essere utilizzati
per l’interconnessione mediante reti disponibili al pubblico.
2.
L’autorizzazione, se riferita agli strumenti, deve individuare i singoli
elaboratori attraverso i quali è possibile accedere per effettuare operazioni
di trattamento.
3. Le autorizzazioni all’accesso sono rilasciate e revocate dal titolare e, se
designato, dal responsabile.
Periodicamente, e comunque almeno una volta l’anno, è verificata la
sussistenza delle condizioni per la loro conservazione.
4. L’autorizzazione all’accesso deve essere limitata ai soli dati la cui
conoscenza è necessaria e sufficiente per lo svolgimento delle operazioni di
trattamento o di manutenzione.
5. La validità delle richieste di accesso ai dati personali è verificata prima
di consentire l’accesso stesso.
6.
Non è consentita l’utilizzazione di un medesimo codice identificativo
personale per accedere contemporaneamente alla stessa applicazione da diverse
stazioni di lavoro.
7. Le disposizioni di cui ai commi da la 6 non si applicano al trattamento dei
dati personali di cui è consentita la diffusione.
Art.
6 Documento
programmatico sulla sicurezza
1.
Nel caso di trattamento dei dati di cui agli articoli 22 e 24 della legge
effettuato mediante gli elaboratori indicati nell’articolo 3, comma l, lettera
b), deve essere predisposto e aggiornato, con cadenza annuale, un documento
programmatico sulla sicurezza dei dati per definire, sulla base dell’analisi
dei rischi, della distribuzione dei compiti e delle responsabilità
nell’ambito delle strutture preposte al trattamento dei dati stessi:
a) i criteri tecnici e organizzativi per la protezione delle aree e dei locali
interessati dalle misure di sicurezza nonchè le procedure per controllare
l’accesso delle persone autorizzate ai locali medesimi;
b) i criteri e le procedure per assicurare l’integrità dei dati;
c) i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi
compresi quelli per le restrizioni di accesso per via telematica;
d) l’elaborazione di un piano di formazione per rendere edotti gli incaricati
del trattamento dei rischi individuati e dei modi per prevenire danni.
2.
L’efficacia delle misure di sicurezza adottate ai sensi del comma 1 deve
essere oggetto di controlli periodici, da eseguirsi con cadenza almeno annuale.
Art.
7 Reimpiego
dei supporti di memorizzazione
1.
Nel caso di trattamento dei dati di cui agli articoli 22 e 24 della legge
effettuato con gli strumenti di cui all’articolo 3, i supporti già utilizzati
per il trattamento possono essere riutilizzati qualora le informazioni
precedentemente contenute non siano tecnicamente in alcun modo recuperabili,
altrimenti devono essere distrutti.
CAPO
II - TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O
COMUNQUE AUTOMATIZZATI
Sezione III - Trattamento dei dati personali effettuato per fini esclusivamente
personali
Art.
8 Parola
chiave
Ai
sensi dell’articolo 3 della legge, il trattamento per fini esclusivamente
personali dei dati di cui agli articoli 22 e 24 della legge, effettuato con
elaboratori stabilmente accessibili da altri elaboratori, è soggetto solo
all’obbligo di proteggere l’accesso ai dati o al sistema mediante
l’utilizzo di una parola chiave, qualora i dati siano organizzati in banche di
dati.
CAPO
III - TRATTAMENTO DEI DATI PERSONALI CON STRUMENTI DIVERSI DA QUELLI ELETTRONICI
O COMUNQUE AUTOMATIZZATI
Art.
9 Trattamento
di dati personali
1.
Nel caso di trattamento di dati personali per fini diversi da quelli
dell’articolo 3 della legge, effettuato, con strumenti diversi da quelli
previsti dal capo II, sono osservate le seguenti modalità:
a) nel designare gli incaricati del trattamento per iscritto e nell’impartire
le istruzioni ai sensi degli articoli 8, comma 5, e 19 della legge, il titolare
o, se designato, il responsabile devono prescrivere che gli incaricati abbiano
accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per
adempiere ai compiti loro assegnati;
b) gli atti e i documenti contenenti i dati devono essere conservati in archivi
ad accesso selezionato e, se affidati agli incaricati del trattamento, devono
essere da questi ultimi conservati e restituiti al termine delle operazioni
affidate.
2. Nel caso di trattamento di dati di cui agli articoli 22e 24 della legge,
oltre a quanto previsto nel comma 1, devono essere osservate le seguenti modalità:
a) se affidati agli incaricati del trattamento, gli atti e i documenti
contenenti i dati sono conservati, fino alla restituzione, in contenitori muniti
di serratura;
b) l’accesso agli archivi deve essere controllato e devono essere identificati
e registrati i soggetti che vi vengono ammessi dopo l’orario di chiusura degli
archivi stessi.
Art.
10 Conservazione
della documentazione relativa al trattamento
1.
I supporti non informatici contenenti la riproduzione di informazioni relative
al trattamento di dati personali di cui agli articoli 22 e 24 della legge devono
essere conservati e custoditi con le modalità di cui all’articolo 9.
Il presente decreto, munito del sigillo dello Stato, sarà inserito nella
Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto
obbligo a chiunque spetti di osservarlo e di farlo osservare.