TUTELA DELLA PRIVACY – TRATTAMENTO DEI DATI PERSONALI – MISURE MINIME DI SICUREZZA TUTELA DELLA PRIVACY – TRATTAMENTO DEI DATI PERSONALI – MISURE MINIME DI SICUREZZA
(D.P.R. 28/7/99, n. 318)

E’ stato pubblicato sulla G.U. il Regolamento che individua le misure minime di sicurezza, cioè il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dalla legge sulla privacy per il trattamento dei dati personali effettuato con o senza strumenti elettronici o automatizzati (art. 15, comma 2, legge n. 675/1996).
Il provvedimento che entra in vigore il 29-9-99, si è reso necessario al fine di garantire la possibilità, in caso di più incaricati del trattamento, di limitare l’accesso a determinati dati personali attraverso la previsione di una specifica parola chiave per i dati stessi.

Trattamento dei dati mediante computers

A) Elaboratori accessibili e non in rete
Per quanto riguarda il trattamento dei dati personali mediante strumenti elettronici o automatizzati le misure minime previste sono diverse a seconda che gli elaboratori siano accessibili da altri elaboratori o terminali o non siano accessibili in rete:
– nel primo caso è necessario attribuire a ciascun utente o incaricato un codice identificativo personale per l’utilizzazione dell’elaboratore;
– nel secondo caso occorre prevedere una parola chiave per l’accesso ai dati e fornirla agli incaricati del trattamento.

B1) Elaboratori accessibili con rete non disponibile al pubblico
Per il trattamento dei dati sensibili (cioè quelli idonei a rivelare l’origine razziale, le convinzioni religiose, filosofiche, politiche, lo stato di salute e la vita sessuale, art. 22, legge n. 675/1996) e di quelli di carattere giudiziario (art. 24, stessa legge) effettuato con elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico, l’accesso per effettuare le operazioni di trattamento è determinato sulla base di autorizzazioni assegnate, singolarmente o per gruppi di lavoro, agli incaricati del trattamento o della manutenzione.

B2) Elaboratori accessibili con rete disponibile al pubblico
Se il trattamento è effettuato con elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico, sono oggetto di autorizzazione anche gli strumenti che possono essere utilizzati per l’interconnessione mediante reti disponibili al pubblico.
Per il trattamento dei dati sensibili e di quelli a carattere giudiziario effettuato mediante tali elaboratori, deve essere predisposto e aggiornato, con cadenza annuale, un documento programmatico al fine di definire, sulla base dell’analisi dei rischi, una serie di criteri e procedure per garantire la sicurezza e l’integrità dei dati stessi.
Trattamento dei dati in archivi 
non elettronici

Il regolamento che ha individuato le misure minime di sicurezza per il trattamento dei dati personali effettuato con strumenti elettronici o automatizzati, ha anche previsto quelle minime per il trattamento dei dati con strumenti diversi da quelli elettronici o automatizzati (art. 15, comma 2, legge n. 675/1996).

Trattamento per scopi non personali
Nel caso di trattamento dei dati per fini diversi da quelli esclusivamente personali devono essere osservate le seguenti modalità:
a) nel designare gli incaricati del trattamento per iscritto e nell’impartire loro le istruzioni per il trattamento, il titolare o, se designato, il responsabile devono prescrivere che gli incaricati abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere i compiti loro assegnati;
b) gli atti e i documenti contenenti i dati devono essere conservati in archivi ad accesso selezionato e, se affidati agli incaricati del trattamento, devono essere da questi ultimi conservati e restituiti al termine delle operazioni affidate.

Trattamento di dati sensibili e di carattere giudiziario
Nel caso di trattamento di dati sensibili (cioè quelli idonei a rivelare l’origine razziale, le convinzioni religiose, filosofiche, politiche, lo stato di salute e la vita sessuale, art. 22., legge n. 675/1996) e quelli di carattere giudiziario (art. 24, stessa legge), devono essere osservate, oltre a quanto disposto precedentemente, le seguenti modalità:
a) se affidati agli incaricati del trattamento, gli atti e i documenti contenenti i dati sono conservati, fino alla restituzione, in contenitori muniti di serratura;
b) l’accesso agli archivi deve essere controllato e devono essere identificati e registrati i soggetti che vi vengono ammessi dopo l’orario di chiusura degli archivi stessi.
Conservazione della documentazione
I supporti non informatici contenenti la riproduzione di informazioni relative al trattamento di dati sensibili e di carattere giudiziario devono essere conservati e custoditi con le modalità stabilite nel nuovo regolamento.

Gazzetta Ufficiale n. 216 del 14-9-99
DECRETO DEL PRESIDENTE
DELLA REPUBBLICA
28 luglio 1999, n. 318

Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’articolo 15, comma 2, della legge 31 dicembre 1996, n. 675.
IL PRESIDENTE DELLA REPUBBLICA
(omissis)

EMANA IL SEGUENTE
REGOLAMENTO:

CAPO I
PRINCIPI GENERALI

Art. 1.
Definizioni

1. Ai fini del presente regolamento si applicano le definizioni elencate nell’articolo 1 della legge 31 dicembre 1996, n. 675, di seguito denominata legge. Ai medesimi fini si intendono per:
a) “misure minime”: il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, previste nel presente regolamento, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’articolo 15, comma 1, della legge;
b) “strumenti”: i mezzi elettronici o comunque automatizzati con cui si effettua il trattamento;
c) “amministratori di sistema”: i soggetti cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione.

Note all’art. 1:
– Si riporta il testo dell’art. 1 della citata legge 31 dicembre 1996, n. 675:
“Art. 1 (Finalità e definizioni). – 1. La presente legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonchè della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale; garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o associazione.
2. Ai fini della presente legge si intende:
a) per “banca di dati”, qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento;
b) per “trattamento”, qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati;
c) per “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
d) per “titolare”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza;
e) per “responsabile”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
f) per “interessato”, la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali;
g) per “comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
h) per “diffusione”, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
i) per “dato anonimo”, il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
l) per “blocco”, la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
m) per “Garante”, l’autorità istituita ai sensi dell’art. 30″.
– “Art. 15. (Sicurezza dei dati). – 1. I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
2. Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con decreto del Presidente della Repubblica, ai sensi dell’articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400, entro centottanta giorni dalla data di entrata in vigore della presente legge, su proposta del Ministro di grazia e giustizia, sentiti l’Autorità per l’informatica nella pubblica amministrazione e il Garante.
3. Le misure di sicurezza di cui al comma 2 sono adeguate, entro due anni dalla data di entrata in vigore della presente legge e successivamente con cadenza almeno biennale, con successivi regolamenti emanati con le modalità di cui al medesimo comma 2, in relazione all’evoluzione tecnica del settore e all’esperienza maturata.
4. Le misure di sicurezza relative ai dati trattati dagli organismi di cui all’articolo 4, comma 1, lettera b), sono stabilite con decreto del Presidente del Consiglio dei ministri con l’osservanza delle norme che regolano la materia”.

CAPO II
TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI
ELETTRONICI O COMUNQUE AUTOMATIZZATI

SEZIONE I
TRATTAMENTO DEI DATI PERSONALI EFFETTUATO MEDIANTE
ELABORATORI NON ACCESSIBILI DA ALTRI ELABORATORI O TERMINALI

Art. 2.
Individuazione degli incaricati

1. Salvo quanto previsto dall’articolo 8, se il trattamento dei dati personali è effettuato per fini diversi da quelli di cui all’articolo 3 della legge mediante elaboratori non accessibili da altri elaboratori o terminali, devono essere adottate, anteriormente all’inizio del trattamento, le seguenti misure:
a) prevedere una parola chiave per l’accesso ai dati, fornirla agli incaricati del trattamento e, ove tecnicamente possibile in relazione alle caratteristiche dell’elaboratore, consentirne l’autonoma sostituzione, previa comunicazione ai soggetti preposti ai sensi della lettera b);
b) individuare per iscritto, quando vi è più di un incaricato del trattamento e sono in uso più parole chiave, i soggetti preposti alla loro custodia o che hanno accesso ad informazioni che concernono le medesime.

Note all’art. 2:
– Si riporta il testo dell’art. 3 della citata legge 31 dicembre 1996, n. 675:
“Art. 3 (Trattamento di dati per fini esclusivamente personali). – 1. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto all’applicazione della presente legge, semprechè i dati non siano destinati ad una comunicazione sistematica o alla diffusione.
2. Al trattamento di cui al comma 1 si applicano in ogni caso le disposizioni in tema di sicurezza dei dati di cui all’art. 15, nonchè le disposizioni di cui agli articoli 18 e 36″.

SEZIONE II

TRATTAMENTO DEI DATI PERSONALI EFFETTUATO MEDIANTE ELABORATORI ACCESSIBILI IN RETE

Art. 3.
Classificazione

1. Ai fini della presente sezione gli elaboratori accessibili in rete impiegati nel trattamento dei dati personali sono distinti in:
a) elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico;
b) elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico.

Art. 4.
Codici identificativi e protezione
degli elaboratori

1. Nel caso di trattamenti effettuati con gli elaboratori di cui all’articolo 3, oltre a quanto previsto dall’articolo 2 devono essere adottate le seguenti misure:
a) a ciascun utente o incaricato del trattamento deve essere attribuito un codice identificativo personale per l’utilizzazione dell’elaboratore; uno stesso codice, fatta eccezione per gli amministratori di sistema relativamente ai sistemi operativi che prevedono un unico livello di accesso per tale funzione, non può, neppure in tempi diversi, essere assegnato a persone diverse;
b) i codici identificativi personali devono essere assegnati e gestiti in modo che ne sia prevista la disattivazione in caso di perdita della qualità che consentiva l’accesso all’elaboratore o di mancato utilizzo dei medesimi per un periodo superiore ai sei mesi;
c) gli elaboratori devono essere protetti contro il rischio di intrusione ad opera di programmi di cui all’art. 615-quinquies del codice penale, mediante idonei programmi, la cui efficacia ed aggiornamento sono verificati con cadenza almeno semestrale.
2. Le disposizioni di cui al comma 1, lettere a) e b), non si applicano ai trattamenti dei dati personali di cui è consentita la diffusione.

Note all’art. 4:
– Si trascrive il testo dell’art. 615-quinquies del codice penale:
“Art. 615-quinquies (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico). – Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione totale o parziale, o l’alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire venti milioni”.

Art. 5.
Accesso ai dati particolari

1. Per il trattamento dei dati di cui agli articoli 22 e 24 della legge effettuato ai sensi dell’articolo 3, l’accesso per effettuare le operazioni di trattamento è determinato sulla base di autorizzazioni assegnate, singolarmente o per gruppi di lavoro, agli incaricati del trattamento o della manutenzione. Se il trattamento è effettuato ai sensi dell’articolo 3, comma 1, lettera b), sono oggetto di autorizzazione anche gli strumenti che possono essere utilizzati per l’interconnessione mediante reti disponibili al pubblico.
2. L’autorizzazione, se riferita agli strumenti, deve individuare i singoli elaboratori attraverso i quali è possibile accedere per effettuare operazioni di trattamento.
3. Le autorizzazioni all’accesso sono rilasciate e revocate dal titolare e, se designato, dal responsabile. Periodicamente, e comunque almeno una volta l’anno, è verificata la sussistenza delle condizioni per la loro conservazione.
4. L’autorizzazione all’accesso deve essere limitata ai soli dati la cui conoscenza è necessaria e sufficiente per lo svolgimento delle operazioni di trattamento o di manutenzione.
5. La validità delle richieste di accesso ai dati personali è verificata prima di consentire l’accesso stesso.
6. Non è consentita l’utilizzazione di un medesimo codice identificativo personale per accedere contemporaneamente alla stessa applicazione da diverse stazioni di lavoro.
7. Le disposizioni di cui ai commi da 1 a 6 non si applicano al trattamento dei dati personali di cui è consentita la diffusione.

Note all’art. 5:
– Si trascrive il testo degli articoli 22 e 24 della legge 31 dicembre 1996, n. 675:
“Art. 22 (Dati sensibili). – 1. I dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro trenta giorni, decorsi i quali la mancata pronuncia equivale a rigetto.
Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.
3. Il trattamento dei dati indicati al comma 1 da parte di soggetti pubblici, esclusi gli enti pubblici economici, è consentito solo se autorizzato da espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.
4. I dati personali idonei a rivelare lo stato di salute e la vita sessuale possono essere oggetto di trattamento previa autorizzazione del Garante, qualora il trattamento sia necessario ai fini dello svolgimento delle investigazioni di cui all’art. 38 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con D.Lgs. 28 luglio 1989, n. 271, e successive modificazioni, o, comunque, per far valere o difendere in sede giudiziaria un diritto di rango pari a quello dell’interessato, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Il Garante prescrive le misure e gli accorgimenti di cui al comma 2 e promuove la sottoscrizione di un apposito codice di deontologia e di buona condotta secondo le modalità di cui all’art. 31, comma 1, lettera h). Resta fermo quanto previsto dall’art. 43, comma 2″.
“Art. 24 (Dati relativi ai provvedimenti di cui all’art. 686 del codice di procedura penale). – 1. Il trattamento di dati personali idonei a rivelare provvedimenti di cui all’art. 686, commi 1, lettere a) e d), 2 e 3, del codice di procedura penale, è ammesso soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e le precise operazioni autorizzate”.

Art. 6.
Documento programmatico
sulla sicurezza

1. Nel caso di trattamento dei dati di cui agli articoli 22 e 24 della legge effettuato mediante gli elaboratori indicati nell’articolo 3, comma 1, lettera b), deve essere predisposto e aggiornato, con cadenza annuale, un documento programmatico sulla sicurezza dei dati per definire, sulla base dell’analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati stessi:
a) i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonchè le procedure per controllare l’accesso delle persone autorizzate ai locali medesimi;
b) i criteri e le procedure per assicurare l’integrità dei dati;
c) i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;
d) l’elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni.
2. L’efficacia delle misure di sicurezza adottate ai sensi del comma 1 deve essere oggetto di controlli periodici, da eseguirsi con cadenza almeno annuale.

Note all’art. 6:
– Per il testo degli articoli 22 e 24 della citata legge 31 dicembre 1996, n. 675, vd. supra in nota all’art. 5.

Art. 7.
Reimpiego dei supporti di memorizzazione

1. Nel caso di trattamento dei dati di cui agli articoli 22 e 24 della legge effettuato con gli strumenti di cui all’articolo 3, i supporti già utilizzati per il trattamento possono essere riutilizzati qualora le informazioni precedentemente contenute non siano tecnicamente in alcun modo recuperabili, altrimenti devono essere distrutti.

SEZIONE III
TRATTAMENTO DEI DATI PERSONALI EFFETTUATO PER FINI
ESCLUSIVAMENTE PERSONALI

Art. 8.
Parola chiave

1. Ai sensi dell’articolo 3 della legge, il trattamento per fini esclusivamente personali dei dati di cui agli articoli 22 e 24 della legge, effettuato con elaboratori stabilmente accessibili da altri elaboratori, è soggetto solo all’obbligo di proteggere l’accesso ai dati o al sistema mediante l’utilizzo di una parola chiave, qualora i dati siano organizzati in banche di dati.

CAPO III

TRATTAMENTO DEI DATI PERSONALI CON STRUMENTI DIVERSI DA QUELLI ELETTRONICI O COMUNQUE AUTOMATIZZATI

Art. 9.
Trattamento di dati personali

1. Nel caso di trattamento di dati personali per fini diversi da quelli dell’articolo 3 della legge, effettuato, con strumenti diversi da quelli previsti dal capo II, sono osservate le seguenti modalità:
a) nel designare gli incaricati del trattamento per iscritto e nell’impartire le istruzioni ai sensi degli articoli 8, comma 5, e 19 della legge, il titolare o, se designato, il responsabile devono prescrivere che gli incaricati abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati;
b) gli atti e i documenti contenenti i dati devono essere conservati in archivi ad accesso selezionato e, se affidati agli incaricati del trattamento, devono essere da questi ultimi conservati e restituiti al termine delle operazioni affidate.
2. Nel caso di trattamento di dati di cui agli articoli 22 e 24 della legge, oltre a quanto previsto nel comma 1, devono essere osservate le seguenti modalità:
a) se affidati agli incaricati del trattamento, gli atti e i documenti contenenti i dati sono conservati, fino alla restituzione, in contenitori muniti di serratura;
b) l’accesso agli archivi deve essere controllato e devono essere identificati e registrati i soggetti che vi vengono ammessi dopo l’orario di chiusura degli archivi stessi.

Note all’art. 9:
– Per il testo dell’art. 3 della citata legge 31 dicembre 1996, n. 675, vd. supra in nota all’art. 2.
– Si trascrive il testo degli articoli 8 e 19 della citata legge 31 dicembre 1996, n. 675:
“Art. 8 (Responsabile). – 1. Il responsabile, se designato, deve essere nominato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
2. Il responsabile procede al trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 1 e delle proprie istruzioni.
3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile devono essere analiticamente specificati per iscritto.
5. Gli incaricati del trattamento devono elaborare i dati personali ai quali hanno accesso attenendosi alle istruzioni del titolare o del responsabile”.
“Art. 19 (Incaricati del trattamento). – 1. Non si considera comunicazione la conoscenza dei dati personali da parte delle persone incaricate per iscritto di compiere le operazioni del trattamento dal titolare o dal responsabile, e che operano sotto la loro diretta autorità”.
– Per il testo degli articoli 22 e 24 della citata legge 31 dicembre 1996, n. 675, vd. supra in nota all’art. 5.

Art. 10.
Conservazione della documentazione relativa al trattamento

1. I supporti non informatici contenenti la riproduzione di informazioni relative al trattamento di dati personali di cui agli articoli 22 e 24 della legge devono essere conservati e custoditi con le modalità di cui all’articolo 9.
Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.