Architetto.info - Architetto.info | Architetto.info

Regolamento recante norme per l'individuazione delle misure minime di ...

Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675. (GU n. 216 del 14-9-1999)

DECRETO DEL PRESIDENTE DELLA REPUBBLICA 28 luglio 1999, n.318
Regolamento recante norme per l’individuazione delle misure minime
di sicurezza per il trattamento dei dati personali, a norma
dell’articolo 15, comma 2, della legge 31 dicembre 1996, n. 675.
(GU n. 216 del 14-9-1999)
note: Entrata in vigore del decreto: 29-9-1999
IL PRESIDENTE DELLA REPUBBLICA
Art. 1.
Definizioni
1. Ai fini del presente regolamento si applicano le definizioni
elencate nell’articolo 1 della legge 31 dicembre 1996, n. 675, di
seguito denominata legge. Ai medesimi fini si intendono per:
a) “misure minime”: il complesso delle misure tecniche,
informatiche, organizzative, logistiche e procedurali di sicurezza,
previste nel presente regolamento, che configurano il livello
minimo di protezione richiesto in relazione ai rischi previsti
dall’articolo 15, comma 1, della legge;
b) “strumenti”: i mezzi elettronici o comunque automatizzati con
cui si effettua il trattamento;
c) “amministratori di sistema”: i soggetti cui e’ conferito il
compito di sovrintendere alle risorse del sistema operativo di un
elaboratore o di un sistema di base dati e di consentirne
l’utilizzazione.
Avvertenza:
Il testo delle note qui pubblicato e’ stato redatto
dall’amministrazione competente per materia, ai sensi dell’art. 10,
comma 3, del testo unico delle disposizioni sulla promulgazione
delle leggi, sull’emanazione dei decreti del Presidente della
Repubblica e sulle pubblicazioni ufficiali della Repubblica
italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge alle
quali e’ operato il rinvio. Restano invariati il valore e
l’efficacia degli atti legislativi qui trascritti.
Note alle premesse:
– Si riporta il testo dell’art. 87 della Costituzione:
“Art. 87. – Il Presidente della Repubblica e’ il Capo dello Stato e
rappresenta l’unita’ nazionale.
Puo’ inviare messaggi alle Camere.
Indice le elezioni delle nuove Camere e ne fissa la prima riunione.
Autorizza la presentazione alle Camere dei disegni di legge di
iniziativa del Governo.
Promulga le leggi ed emana i decreti aventi valore di legge e i
regolamenti.
Indice il “referendum” popolare nei casi previsti dalla
Costituzione.
Nomina, nei casi indicati dalla legge, i funzionari dello Stato.
Accredita e riceve i rappresentanti diplomatici, ratifica i
trattati internazionali, previa, quando occorra, l’autorizzazione
delle Camere. Ha il comando delle Forze armate, presiede il
Consiglio supremo di difesa costituito secondo la legge, dichiara
lo stato di guerra deliberato dalle Camere. Presiede il Consiglio
superiore della magistratura. Puo’ concedere grazia e commutare le
pene. Conferisce le onorificenze della Repubblica”. – Si trascrive
il testo dell’art. 15 della legge 31 dicembre 1996, n. 675 (Tutela
delle persone e di altri soggetti rispetto al trattamento dei dati
personali):
“Art. 15 (Sicurezza dei dati). – 1. I dati personali oggetto di
trattamento devono essere custoditi e controllati, anche in
relazione alle conoscenze acquisite in base al progresso tecnico,
alla natura dei dati e alle specifiche caratteristiche del
trattamento, in modo da ridurre al minimo, mediante l’adozione di
idonee e preventive misure di sicurezza, i rischi di distruzione o
perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme alle
finalita’ della raccolta.
2. Le misure minime di sicurezza da adottare in via preventiva sono
individuate con regolamento emanato con decreto del Presidente
della Repubblica, ai sensi dell’art. 17, comma 1, lettera a), della
legge 23 agosto 1988, n. 400, entro centottanta giorni dalla data
di entrata in vigore della presente legge, su proposta del Ministro
di grazia e giustizia, sentiti l’Autorita’ per l’informatica nella
pubblica amministrazione e il Garante.
3. Le misure di sicurezza di cui al comma 2 sono adeguate, entro
due anni dalla data di entrata in vigore della presente legge e
successivamente con cadenza almeno biennale, con successivi
regolamenti emanati con le modalita’ di cui al medesimo comma 2, in
relazione all’evoluzione tecnica del settore e all’esperienza
maturata.
4. Le misure di sicurezza relative ai dati trattati dagli organismi
di cui all’art. 4, comma 1, lettera b), sono stabilite con decreto
del Presidente del Consiglio dei Ministri con l’osservanza delle
norme che regolano la materia”.
– Si trascrive il testo dell’art. 17, comma 1, della legge 23
agosto 1988, n. 400 (Disciplina dell’attivita’ di Governo e
ordinamento della Presidenza del Consiglio dei Ministri):
“1. Con decreto del Presidente della Repubblica, previa
deliberazione del Consiglio dei Ministri, sentito il parere del
Consiglio di Stato che deve pronunziarsi entro novanta giorni dalla
richiesta, possono essere emanati regolamenti per disciplinare:
a) l’esecuzione delle leggi e dei decreti legislativi, nonche’ dei
regolamenti comunitari (7/a);
b) l’attuazione e l’integrazione delle leggi e dei decreti
legislativi recanti norme di principio, esclusi quelli relativi a
materie riservate alla competenza regionale;
c) le materie in cui manchi la disciplina da parte di leggi o di
atti aventi forza di legge, sempre che non si tratti di materie
comunque riservate alla legge;
d) l’organizzazione ed il funzionamento delle amministrazioni
pubbliche secondo le disposizioni dettate dalla legge;
e) (soppressa)”.
Note all’art. 1:
– Si riporta il testo dell’art. 1 della citata legge 31 dicembre
1996, n. 675:
“Art. 1 (Finalita’ e definizioni). – 1. La presente legge
garantisce che il trattamento dei dati personali si svolga nel
rispetto dei diritti, delle liberta’ fondamentali, nonche’ della
dignita’ delle persone fisiche, con particolare riferimento alla
riservatezza e all’identita’ personale; garantisce altresi’ i
diritti delle persone giuridiche e di ogni altro ente o
associazione.
2. Ai fini della presente legge si intende:
a) per “banca di dati”, qualsiasi complesso di dati personali,
ripartito in una o piu’ unita’ dislocate in uno o piu’ siti,
organizzato secondo una pluralita’ di criteri determinati tali da
facilitarne il trattamento;
b) per “trattamento”, qualunque operazione o complesso di
operazioni, svolti con o senza l’ausilio di mezzi elettronici o
comunque automatizzati, concernenti la raccolta, la registrazione,
l’organizzazione, la conservazione, l’elaborazione, la
modificazione, la selezione, l’estrazione, il raffronto,
l’utilizzo, l’interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati;
c) per “dato personale”, qualunque informazione relativa a persona
fisica, persona giuridica, ente od associazione, identificati o
identificabili, anche indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un numero di
identificazione personale;
d) per “titolare”, la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente, associazione od
organismo cui competono le decisioni in ordine alle finalita’ ed
alle modalita’ del trattamento di dati personali, ivi compreso il
profilo della sicurezza;
e) per “responsabile”, la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente, associazione od
organismo preposti dal titolare al trattamento di dati personali;
f) per “interessato”, la persona fisica, la persona giuridica,
l’ente o l’associazione cui si riferiscono i dati personali;
g) per “comunicazione”, il dare conoscenza dei dati personali a uno
o piu’ soggetti determinati diversi dall’interessato, in qualunque
forma, anche mediante la loro messa a disposizione o consultazione;
h) per “diffusione”, il dare conoscenza dei dati personali a
soggetti indeterminati, in qualunque forma, anche mediante la loro
messa a disposizione o consultazione;
i) per “dato anonimo”, il dato che in origine, o a seguito di
trattamento, non puo’ essere associato ad un interessato
identificato o identificabile;
l) per “blocco”, la conservazione di dati personali con sospensione
temporanea di ogni altra operazione del trattamento;
m) per “Garante”, l’autorita’ istituita ai sensi dell’art. 30″.
– Per il testo dell’art. 15 della citata legge 31 dicembre 1996, n.
675, vd. supra in note alle premesse.
Art. 2.
Individuazione degli incaricati
1. Salvo quanto previsto dall’articolo 8, se il trattamento dei
dati personali e’ effettuato per fini diversi da quelli di cui
all’articolo 3 della legge mediante elaboratori non accessibili da
altri elaboratori o terminali, devono essere adottate,
anteriormente all’inizio del trattamento, le seguenti misure:
a) prevedere una parola chiave per l’accesso ai dati, fornirla agli
incaricati del trattamento e, ove tecnicamente possibile in
relazione alle caratteristiche dell’elaboratore, consentirne
l’autonoma sostituzione, previa comunicazione ai soggetti preposti
ai sensi della lettera b);
b) individuare per iscritto, quando vi e’ piu’ di un incaricato del
trattamento e sono in uso piu’ parole chiave, i soggetti preposti
alla loro custodia o che hanno accesso ad informazioni che
concernono le medesime.
Nota all’art. 2:
– Si riporta il testo dell’art. 3 della citata legge 31 dicembre
1996, n. 675:
“Art. 3 (Trattamento di dati per fini esclusivamente personali). –
1. Il trattamento di dati personali effettuato da persone fisiche
per fini esclusivamente personali non e’ soggetto all’applicazione
della presente legge, sempreche’ i dati non siano destinati ad una
comun…

[Continua nel file zip allegato]

Architetto.info