Gazzetta n. 273 del 2005-11-23 MINISTERO DELL'INTERNO DECRETO 13 ottobre 2005, n. 240 Regolamento di gestione dell'Indice Nazionale delle Anagrafi (INA). IL MINISTRO DELL'INTERNO di concerto con IL MINISTRO PER LA FUNZIONE PUBBLICA e IL MINISTRO PER L'INNOVAZIONE E LE TECNOLOGIE Visto l'articolo 17, comma 3, della legge 23 agosto 1988, n. 400; Vista la legge 24 dicembre 1954, n. 1228, recante «Ordinamento delle anagrafi della popolazione residente», ed in particolare l'articolo 1, commi 4 e 5, come modificati dall'articolo 1-novies del decreto-legge 31 marzo 2005, n. 44, convertito, con modificazioni, nella legge 31 maggio 2005, n. 88; Vista la legge 27 ottobre 1988, n. 470, «Anagrafe e censimento degli italiani all'estero» ed il regolamento di esecuzione approvato con decreto del Presidente della Repubblica n. 323 in data 6 settembre 1989; Visto l'articolo 5 della legge 27 dicembre 2001, n. 459, che dispone la realizzazione dell'elenco unico aggiornato dei cittadini italiani residenti all'estero realizzato alla predisposizione delle liste elettorali; Visto l'articolo 1 del decreto-legge n. 52 del 31 marzo 2003, recante: «Differimento dei termini relativi alle elezioni per il rinnovo dei Comitati degli italiani all'estero», convertito, con modificazioni, dalla legge 30 maggio 2003, n. 122; Vista la legge 16 gennaio 1992, n. 15, recante «Modificazione al testo unico delle leggi per la disciplina dell'elettorato attivo e per la tenuta e la revisione delle liste elettorali approvato con decreto del Presidente della Repubblica 20 marzo 1967, n. 223; Visto il decreto-legge 15 gennaio 1993, n. 6, convertito nella legge 17 marzo 1993, n. 63, recante «Disposizioni urgenti per il recupero degli introiti contributivi in materia previdenziale», e, in particolare, l'articolo 2 che disciplina lo scambio dei dati nei rapporti tra le pubbliche amministrazioni e tra queste e altri soggetti pubblici o privati, sulla base del codice fiscale quale elemento identificativo di ogni soggetto; Visto il decreto del Presidente del Consiglio dei Ministri 5 maggio 1994, con il quale vengono stabilite le modalita' tecniche e la ripartizione delle spese connesse all'attivazione dei collegamenti telematici tra Comuni ed organismi che esercitano attivita' di prelievo contributivo e fiscale o erogano servizi di pubblica utilita'; Vista la legge 21 luglio 1965, n. 903, e successive integrazioni recante: «Avviamento alla riforma e miglioramento dei trattamenti di pensione della previdenza sociale»; Vista la legge 31 dicembre 1996, n. 675, recante «Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali», e successive modificazioni ed integrazioni; Visto il decreto del Presidente della Repubblica 28 luglio 1999, n. 318, «Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'articolo 15, comma 2, della predetta legge 31 dicembre 1996, n. 675; Visto l'articolo 4 del decreto legislativo 12 febbraio 1993, n. 39, recante «Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche, a norma dell'articolo 2, comma 1, lettera mm), della legge 23 ottobre 1992, n. 421», istitutivo dell'Autorita' per informatica nella pubblica Amministrazione; Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali», il quale, tra l'altro, ha trasformato la suddetta «Autorita' per l'informatica nella pubblica amministrazione» in «Centro Nazionale per l'Informatica nella Pubblica Amministrazione»; Vista la legge 31 luglio 1997, n. 249, «Istituzione dell'Autorita' per le garanzie nelle comunicazioni e norme sui sistemi delle telecomunicazioni e radiotelevisivo»; Vista la legge 15 maggio 1997, n. 127, e successive modificazioni, recante «Misure urgenti per lo snellimento dell'attivita' amministrativa e dei procedimenti di decisione e di controllo», e, in particolare, l'articolo 2, comma 5, che dispone che «I comuni favoriscono... la trasmissione di dati o documenti tra gli archivi anagrafici e dello stato civile, le altre pubbliche amministrazioni, nonche' i gestori o esercenti di pubblici servizi, garantendo il diritto alla riservatezza delle persone. La trasmissione di dati puo' avvenire anche attraverso sistemi informatici e telematici»; Visto il decreto del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437, recante caratteristiche e modalita' per il rilascio della carta d'identita' elettronica e del documento d'identita' elettronico; Visto l'articolo 3 del decreto del Ministro dell'interno 19 luglio 2000 recante «Regole tecniche e di sicurezza relative alla carta di identita' e al documento di identita' elettronici»; Visto l'articolo 25 della legge 24 novembre 2000, n. 340; Visto il decreto del Presidente della Repubblica n. 445 del 28 dicembre 2000, come modificato dall'articolo 8 del decreto legislativo 23 gennaio 2002, n. 10; Visto il decreto-legge 27 dicembre 2000, n. 392, recante «Disposizioni urgenti in materia di enti locali», convertito, con modificazioni, dalla legge 28 febbraio 2001, n. 26, che, all'articolo 2-quater, istituisce, presso il Ministero dell'interno, l'Indice Nazionale delle Anagrafi; Visto il decreto del Presidente della Repubblica 3 novembre 2000, n. 396, recante «Regolamento per la revisione e la semplificazione dell'ordinamento dello stato civile, a norma dell'articolo 2, comma 12, della legge 15 maggio 1997, n. 127»; Vista la legge 7 agosto 1990, n. 241, e successive modificazioni ed integrazioni, recante nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi; Visto il Testo Unico delle Leggi di Pubblica Sicurezza, approvato con regio decreto 18 giugno 1931, n. 773; Visto il decreto legislativo 25 luglio 1998, n. 286, recante il Testo Unico sulle disposizioni concernenti la disciplina dell'immigrazione e norme sulla condizione dello straniero e successive modificazioni ed integrazioni; Visto il punto 7 del Piano di azione di e-government, approvato il 23 giugno 2000; Visto il decreto ministeriale in data 18 dicembre 2000 concernente l'individuazione delle modalita' di comunicazione, tra le anagrafi comunali, gli archivi dei lavoratori extracomunitari e gli archivi dei competenti organi centrali e periferici del Ministero dell'interno, dei dati relativi ai cittadini stranieri iscritti nell'APR, ai sensi dell'articolo 15, comma 7 del decreto del Presidente della Repubblica 31 agosto 1999, n. 394; Visto il decreto del Ministro dell'interno 6 ottobre 2000, articolo 5, comma 1 e 4, recante «Specifiche tecniche per l'allineamento dei dati contenuti nelle anagrafi comunali con quelli contenuti nell'archivio dell'Agenzia delle entrate»; Visto il decreto del Ministro dell'interno in data 23 aprile 2002 con il quale viene costituito presso il Dipartimento per gli Affari Interni e Territoriali - Direzione centrale per i Servizi Demografici il Centro Nazionale per i Servizi Demografici; Visto il decreto legislativo del 6 settembre 1989, n. 322, recante norme sul Sistema statistico nazionale e sulla riorganizzazione dell'Istituto nazionale di statistica; Visto il decreto-legge 31 marzo 2003, n. 52, articolo 2, comma 1, convertito in legge 30 maggio 2003, n. 122, che, per il completamento dell'informatizzazione e l'aggiornamento dell'AIRE, prevede l'utilizzo dell'infrastruttura informatica di base dell'Indice Nazionale delle Anagrafi (INA); Considerato che, ai sensi della normativa richiamata, per assicurare il migliore esercizio della funzione di vigilanza e di gestione dei dati anagrafici, occorre mantenere la coerenza e l'allineamento delle anagrafi comunali e degli archivi delle Pubbliche Amministrazioni per la componente anagrafica e di residenza, a livello nazionale; Visto il parere favorevole espresso, ai sensi del citato decreto-legge n. 392 del 2000, convertito nella legge n. 26 del 2001, in ordine al testo del provvedimento, dal Gabinetto del Ministro per la funzione pubblica, con nota del 10 novembre 2003; Sentito il Garante per la protezione dei dati personali; Sentito il Centro Nazionale per l'Informatica nella Pubblica Amministrazione (ex AIPA); Sentito l'Istituto nazionale di statistica; Udito il parere n. 6786/04 emesso dalla Sezione consultiva per gli atti normativi del Consiglio di Stato nell'adunanza del 19 aprile 2004, relativo alla necessita' di acquisire, sullo schema di decreto ministeriale, un puntuale pronunciamento del Ministro espressamente delegato alle politiche per l'Innovazione e le Tecnologie e il parere definitivo n. 6731/05, emesso dalla Sezione consultiva per gli atti normativi del Consiglio di Stato nell'adunanza del 22 luglio 2005; Considerato che, con il gia' menzionato decreto-legge 31 marzo 2005, n. 44, convertito nella legge 31 maggio 2005, n. 88, e' stato previsto all'articolo 1-nonies, che il regolamento dell'INA sia adottato anche con il concerto del Ministro per l'innovazione e le tecnologie, oltre che per la funzione pubblica; Acquisito, sulla base dei predetti pareri del Consiglio di Stato, l'assenso formale sul presente testo di decreto da parte dell'Ufficio legislativo del Ministro per l'innovazione e le tecnologie in data 14 aprile 2005; A d o t t a il seguente regolamento: Art. 1. Definizioni 1. Ai fini del presente decreto verranno utilizzate le seguenti definizioni: a) P.C.M.-D.I.T.: Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie; a) I.S.T.A.T.: Istituto nazionale di statistica; a) C.N.S.D.: Centro nazionale per i servizi demografici; a) I.N.A.: Indice nazionale delle anagrafi; a) S.I.S.T.A.N.: Sistema statistico nazionale; a) BackBone INA: Infrastruttura informatica di base dell'Indice nazionale delle anagrafi; a) Anagrafi: Anagrafe della popolazione residente (APR) ed Anagrafe degli italiani residenti all'estero (AIRE), tenute dai comuni; a) Cittadino/i: cittadini italiani e cittadini stranieri iscritti nelle anagrafi comunali; a) Permesso/Carta: Permesso/carta di soggiorno; a) C.I.E.: Carta d'identita' elettronica. Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. Note alle premesse: - Il testo vigente del comma 3, dell'art. 17, della legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri), pubblicata nella Gazzetta Ufficiale 12 settembre 1988, n. 214, e' il seguente: «3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del Ministro o di autorita' sottordinate al Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di piu' Ministri, possono essere adottati con decreti interministeriali, ferma restando la necessita' di apposita autorizzazione da parte della legge. I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione.». - Il testo dell'art. 1, della legge 24 dicembre 1954, n. 1228 (Ordinamento delle anagrafi della popolazione residente), pubblicata nella Gazzetta Ufficiale 12 gennaio 1955, n. 8, come modificato dall'art. 1-novies del decreto-legge 31 marzo 2005, n. 44 (Disposizioni urgenti in materia di enti locali), pubblicato nella Gazzetta Ufficiale 1° aprile 2005, n. 75, convertito, con modificazioni, nella legge 31 maggio 2005, n. 88, e' il seguente: «Art. 1. - In ogni comune deve essere tenuta l'anagrafe della popolazione residente. Nell'anagrafe della popolazione residente sono registrate le posizioni relative alle singole persone, alle famiglie ed alle convivenze, che hanno fissato nel comune la residenza, nonche' le posizioni relative alle persone senza fissa dimora che hanno stabilito nel comune il proprio domicilio, in conformita' del regolamento per l'esecuzione della presente legge. Gli atti anagrafici sono atti pubblici. Per l'esercizio delle funzioni di vigilanza di cui all'art. 12, e' istituito, presso il Ministero dell'interno, l'Indice nazionale delle anagrafi (INA), alimentato e costantemente aggiornato, tramite collegamento informatico, da tutti i comuni. L'INA promuove la circolarita' delle informazioni anagrafiche essenziali al fine di consentire alle amministrazioni pubbliche centrali e locali collegate la disponibilita', in tempo reale, dei dati relativi alle generalita' delle persone residenti in Italia, certificati dai comuni e, limitatamente al codice fiscale, dall'Agenzia delle entrate. Con decreto del Ministro dell'interno, ai sensi dell'art. 17, comma 3, della legge 23 agosto 1988, n. 400, di concerto con il Ministro per la funzione pubblica e il Ministro per l'innovazione e le tecnologie, sentiti il Centro nazionale per l'informatica nella pubblica amministrazione (CNIPA), il Garante per la protezione dei dati personali e l'Istituto nazionale di statistica (ISTAT), e' adottato il regolamento dell'INA. Il regolamento disciplina le modalita' di aggiornamento dell'INA da parte dei comuni e le modalita' per l'accesso da parte delle amministrazioni pubbliche centrali e locali al medesimo INA, per assicurarne la piena operativita'.». - La legge 27 ottobre 1988, n. 470 (Anagrafe e censimento degli italiani all'estero), e' pubblicata nella Gazzetta Ufficiale 7 novembre 1988, n. 261. - Il decreto del Presidente della Repubblica 6 settembre 1989, n. 323 (Approvazione del regolamento per l'esecuzione della legge 27ottobre 1988, n. 470), e' pubblicato nella Gazzetta Ufficiale 23 settembre 1989, n. 223. - Il testo dell'art. 5, della legge 27 dicembre 2001, n. 459 (Norme per l'esercizio del diritto di voto dei cittadini italiani residenti all'estero), pubblicata nella Gazzetta Ufficiale 5 gennaio 2002, n. 4, e' il seguente: «Art. 5. - 1. Il Governo, mediante unificazione dei dati dell'anagrafe degli italiani residenti all'estero e degli schedari consolari, provvede a realizzare l'elenco aggiornato dei cittadini italiani residenti all'estero finalizzato alla predisposizione delle liste elettorali, distinte secondo le ripartizioni di cui all'art. 6, per le votazioni di cui all'art. 1, comma 1. 2. Sono ammessi ad esprimere il proprio voto in Italia solo i cittadini residenti all'estero che hanno esercitato l'opzione di cui all'art. 1, comma 3.». - Il testo dell'art. 1 del decreto-legge 31 marzo 2003, n. 52, pubblicato nella Gazzetta Ufficiale 1° aprile 2003, n. 76, convertito, con modificazioni, dalla legge 30 maggio 2003, n. 122 (Differimento dei termini relativi alle elezioni per il rinnovo dei Comitati degli italiani all'estero, pubblicata nella Gazzetta Ufficiale 31 maggio 2003, n. 125), e' il seguente: «Art. 1. - 1. Le elezioni per il rinnovo dei Comitati degli italiani all'estero (COMITES) sono rinviate rispetto alla scadenza prevista dall'art. 1 del decreto-legge 23 novembre 2001, n. 411, convertito, con modificazioni, dalla legge 31 dicembre 2001, n. 463. Tali elezioni avranno luogo entro il 31 dicembre 2003. 2. Gli attuali componenti dei Comitati degli italiani all'estero restano in carica fino all'entrata in funzione dei nuovi Comitati.». - La legge 16 gennaio 1992, n. 15 (Modificazioni al testo unico delle leggi per la disciplina dell'elettorato attivo e per la tenuta e la revisione delle liste elettorali, approvato con decreto del Presidente della Repubblica 20 marzo 1967, n. 223, e al testo unico delle leggi recanti norme per la elezione della Camera dei deputati, approvato con decreto del Presidente della Repubblica 30 marzo 1957, n. 361) e' pubblicata nella Gazzetta Ufficiale 22 gennaio 1992, n. 17. - Il testo dell'art. 2 del decreto-legge 15 gennaio 1993, n. 6, pubblicato nella Gazzetta Ufficiale 16 gennaio 1993, n. 12, convertito nella legge 17 marzo 1993, n. 63 (Disposizioni urgenti per il recupero degli introiti contributivi in materia previdenziale, pubblicata nella Gazzetta Ufficiale 18 marzo 1993, n. 64), e' il seguente: «Art. 2 (Scambio dati attraverso il codice fiscale e acquisizione degli indirizzi). - 1. I rapporti tra pubbliche amministrazioni e quelli intercorrenti tra queste e altri soggetti pubblici o privati devono essere tenuti sulla base del codice fiscale. Il codice fiscale, quale elemento identificativo di ogni soggetto, deve essere pertanto indicato in ogni atto relativo a rapporti intercorrenti con la pubblica amministrazione. L'Amministrazione finanziaria comunica il codice fiscale e i dati anagrafici registrati nel proprio sistema informativo agli organismi legittimati a richiederli. 2. Le disposizioni dell'art. 8 del decreto-legge 11 luglio 1992, n. 333, convertito, con modificazioni, dalla legge 8 agosto 1992, n. 359, sono estese a tutte le aziende, istituti, enti e societa' che stipulano contratti di somministrazione e di fornitura di servizi, individuati con il decreto del Presidente del Consiglio dei Ministri di cui al comma 6 del presente articolo. L'acquisizione del codice fiscale alle anagrafi automatizzate dei vari enti deve essere completata entro il 30 giugno 1993. 3. I comuni che dispongono o si servono di centri elaborazione dati, ovvero che sono collegabili alla rete videotel gestita dagli organismi tecnici dell'Associazione nazionale comuni italiani, devono consentire l'attivazione di collegamenti telematici con tutti gli organismi che esercitano attivita' di prelievo contributivo e fiscale o che eroghino servizi di pubblica utilita'. Tali collegamenti dovranno permettere l'accesso, da parte di detti organismi, a tutte le variazioni che intervengono nelle anagrafi comunali e, da parte dei comuni, ai dati informatizzati degli organismi sopracitati, purche' funzionali all'assolvimento dei compiti istituzionali dei comuni stessi. 4. I collegamenti devono assicurare piena trasparenza alle anagrafi dello stato civile, nonche' alle risultanze degli archivi automatizzati costituiti per la gestione delle licenze di esercizio. I comuni e le camere di commercio, industria, artigianato e agricoltura che inviano agli organismi centrali i dati per via telematica sono sollevati dall'onere di inviare i medesimi dati con le modalita' precedentemente adottate. 5. Qualora i comuni non dispongono di collegamenti automatizzati per la gestione delle licenze di esercizio, i dati sono resi disponibili agli altri enti indicati nel presente articolo dall'Amministrazione finanziaria, che li rileva dalle comunicazioni rese dai comuni stessi con le modalita' attualmente in vigore. 6. Le modalita' tecniche per l'attivazione dei collegamenti e la ripartizione delle spese connesse alla realizzazione e uso dei collegamenti medesimi, sono stabilite, entro sessanta giorni dalla data di entrata in vigore del presente decreto, con decreto del Presidente del Consiglio dei Ministri, sentiti i Ministri interessati e l'Associazione nazionale comuni italiani. 7. Il mancato scambio delle informazioni e dei dati comporta la sospensione dall'incarico, disposta con decreto del Ministro vigilante, per un periodo di sei mesi, dei legali rappresentanti degli enti di cui al comma 4, dell'art. 14 della citata legge n. 412 del 1991, come modificato dal comma 1, dell'art. 1, o dei dirigenti specificamente preposti al compimento degli atti necessari.». - Il decreto del Presidente del Consiglio dei Ministri 5 maggio 1994 (Modalita' tecniche e ripartizione delle spese connesse alla realizzazione di collegamenti telematici tra comuni ed organismi, che esercitano attivita' di prelievo contributivo e fiscale o erogano servizi di pubblica utilita) e' pubblicato nella Gazzetta Ufficiale 27 giugno 1994, n. 148. - La legge 21 luglio 1965, n. 903 (Avviamento alla riforma e miglioramento dei trattamenti di pensione della previdenza sociale) e' pubblicata nella Gazzetta Ufficiale 31 luglio 1965, n. 190 - La legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) e' pubblicata nella Gazzetta Ufficiale 8 gennaio 1997, n. 5. - Il decreto del Presidente della Repubblica 28 luglio 1999, n. 318 (Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali a norma dell'art. 15, comma 2, della legge 31 dicembre 1996, n. 675), e' pubblicato nella Gazzetta Ufficiale 24 settembre 1999, n. 216. - Il testo dell'art. 4 del decreto legislativo 12 febbraio 1993, n. 39 (Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche, a norma dell'art. 2, comma 1, lettera mm), della legge 23 ottobre 1992, n. 421), pubblicato nella Gazzetta Ufficiale 20 febbraio 1993, n. 42, e' il seguente: «Art. 4. - 1. E' istituito il Centro nazionale per l'informatica nella pubblica amministrazione, che opera presso la Presidenza del Consiglio dei Ministri per l'attuazione delle politiche del Ministro per l'innovazione e le tecnologie, con autonomia tecnica, funzionale, amministrativa, contabile e finanziaria e con indipendenza di giudizio. 2. L'Autorita' e' organo collegiale costituito dal presidente e da quattro membri, scelti tra persone dotate di alta e riconosciuta competenza e professionalita' e di indiscussa moralita' e indipendenza. Il presidente e' nominato con decreto del presidente del Consiglio dei Ministri, previa deliberazione del Consiglio dei Ministri. Entro quindici giorni dalla nomina del presidente, su proposta di quest'ultimo, il Presidente del Consiglio dei Ministri nomina con proprio decreto, previa deliberazione del Consiglio dei Ministri, gli altri quattro membri. L'autorevolezza e l'esperienza del presidente e di ciascuno dei quattro membri dell'Autorita' sono comprovate dal relativo curriculum di cui e' disposta la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, in allegato ai suddetti decreti. 3. Il presidente e i quattro membri durano in carica quattro anni e possono essere confermati una sola volta. Per l'intera durata dell'incarico essi non possono esercitare, a pena di decadenza, alcuna attivita' professionale e di consulenza, ricoprire uffici pubblici di qualsiasi natura, essere imprenditori o dirigenti d'azienda; nei due anni successivi alla cessazione dell'incarico non possono altresi' operare nei settori produttivi dell'informatica. I dipendenti statali ed i docenti universitari, per l'intera durata dell'incarico, sono collocati, rispettivamente, nella posizione di fuori ruolo e di aspettativa. 4. Al funzionamento degli uffici e dei servizi dell'Autorita', al fine della corretta esecuzione delle deliberazioni adottate dall'Autorita' medesima, sovrintende un direttore generale, che ne risponde al presidente dell'Autorita' ed e' nominato dal Presidente del Consiglio dei Ministri, previa deliberazione del Consiglio dei Ministri, su designazione del presidente dell'Autorita'. Il direttore generale dura in carica tre anni, puo' essere confermato, anche piu' di una volta, ed e' soggetto alle disposizioni di cui al comma 3. 5. Con decreto del Presidente del Consiglio dei Ministri, su proposta del Ministro del tesoro, sono determinate le indennita' da corrispondere al Presidente, ai quattro membri ed al direttore generale.». - Il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), e' pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n. 174. - La legge 31 luglio 1997, n. 249 (Istituzione dell'Autorita' per le garanzie nelle comunicazioni e norme sui sistemi delle telecomunicazioni e radiotelevisivo), e' pubblicata nella Gazzetta Ufficiale 31 luglio 1997, n. 177. - Il testo del comma 5, dell'art. 2, della legge 15 maggio 1997, n. 127 (Misure urgenti per lo snellimento dell'attivita' amministrativa e dei procedimenti di decisione e di controllo, pubblicata nella Gazzetta Ufficiale 17 maggio 1997, n. 113), e' il seguente: «5. I comuni favoriscono, per mezzo di intese o convenzioni, la trasmissione di dati o documenti tra gli archivi anagrafici e dello stato civile, le altre pubbliche amministrazioni, nonche' i gestori o esercenti di pubblici servizi, garantendo il diritto alla riservatezza delle persone. La trasmissione di dati puo' avvenire anche attraverso sistemi informatici e telematici.». - Il decreto del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437 (Regolamento recante caratteristiche e modalita' per il rilascio della carta di identita' elettronica e del documento di identita' elettronico, a norma dell'art. 2, comma 10, della legge 15 maggio 1997, n. 127, come modificato dall'art. 2, comma 4, della legge 16 giugno 1998, n. 191) e' pubblicato nella Gazzetta Ufficiale 25 novembre 1999, n. 277. - Il testo dell'art. 3 del decreto del Ministro dell'interno 19 luglio 2000 (Regole tecniche e di sicurezza relative alla carta d'identita' e al documento d'identita' elettronici, pubblicato nella Gazzetta Ufficiale 21 luglio 2000, n. 169), e' il seguente: «Art. 3 (Modalita' di connessione). - 1. Le amministrazioni e gli enti che, ai sensi della normativa vigente e del decreto del Presidente del Consiglio dei Ministri, esercitano funzioni e svolgono compiti nell'ambito delle procedure di produzione, trasmissione, formazione, rilascio, rinnovo, aggiornamento e relativa verifica dei documenti si connettono al S.S.C.E. con le modalita' di cui all'allegato B e devono provvedere all'aggiornamento dell'I.N.A. e all'accesso ai servizi di convalida anagrafica tramite collegamento su backbone al C.N.S.D.». - Il testo dell'art. 25 della legge 24 novembre 2000, n. 340 (Disposizioni per la delegificazione di norme e per la semplificazione di procedimenti amministrativi - legge di semplificazione 1999), pubblicata nella Gazzetta Ufficiale 24 novembre 2000, n. 275, e' il seguente: «Art. 25 (Accesso alle banche dati pubbliche). - 1. Le pubbliche amministrazioni di cui all'art. 1, comma 2, del decreto legislativo 3 febbraio 1993, n. 29, che siano titolari di programmi applicativi realizzati su specifiche indicazioni del committente pubblico, hanno facolta' di darli in uso gratuito ad altre amministrazioni pubbliche, che li adattano alle proprie esigenze. 2. Le pubbliche amministrazioni di cui all'art. 1, comma 2, del decreto legislativo n. 29 del 1993 hanno accesso gratuito ai dati contenuti in pubblici registri, elenchi, atti o documenti da chiunque conoscibili.». - Il decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445 (testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa - Testo A) e' pubblicato nella Gazzetta Ufficiale 20 febbraio 2001, n. 42. - Il decreto legislativo 23 gennaio 2002, n. 10 (Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche) e' pubblicato nella Gazzetta Ufficiale 15 febbraio 2002, n. 39. - Il testo dell'art. 2-quater del decreto-legge 27 dicembre 2000, n. 392 (Disposizioni urgenti in materia di enti locali, pubblicato nella Gazzetta Ufficiale 30 dicembre 2000, n. 303), convertito con modificazioni dalla legge 28 febbraio 2001, n. 26, pubblicata nella Gazzetta Ufficiale 1° marzo 2001, n. 50, e' il seguente: «Art. 2-quater (Indice nazionale delle anagrafi e carta d'identita' elettronica). - 1. Per l'esercizio delle funzioni di vigilanza di cui all'art. 12, e' istituito, presso il Ministero dell'interno, l'Indice nazionale delle anagrafi (INA), alimentato e costantemente aggiornato, tramite collegamento informatico, da tutti i comuni. L'INA promuove la circolarita' delle informazioni anagrafiche essenziali al fine di consentire alle amministrazioni pubbliche centrali e locali collegate la disponibilita', in tempo reale, dei dati relativi alle generalita' delle persone residenti in Italia, certificati dai comuni e, limitatamente al codice fiscale, dall'Agenzia delle entrate. Con decreto del Ministro dell'interno, ai sensi dell'art. 17, comma 3, della legge 23 agosto 1988, n. 400, di concerto con il Ministro per la funzione pubblica e il Ministro per l'innovazione e le tecnologie, sentiti il Centro nazionale per l'informatica nella pubblica amministrazione (CNIPA), il Garante per la protezione dei dati personali e l'Istituto nazionale di statistica (ISTAT), e' adottato il regolamento dell'INA. Il regolamento disciplina le modalita' di aggiornamento dell'INA da parte dei comuni e le modalita' per l'accesso da parte delle amministrazioni pubbliche centrali e locali al medesimo INA, per assicurarne la piena operativita'. 2. All'utilizzazione della quota del fondo di cui all'art. 103 della legge 23 dicembre 2000, n. 388, destinata alla realizzazione del piano di informatizzazione delle amministrazioni locali regionali e centrali del 22 giugno 2000, come approvato dal Comitato dei Ministri per la societa' dell'informazione, e prioritariamente alla realizzazione del sistema di accesso ed interscambio anagrafico e dell'Indice nazionale delle anagrafi (INA), nonche' alla sperimentazione della carta d'identita' elettronica, si provvede con decreto del Presidente del Consiglio dei Ministri su proposta dei Ministri competenti, di concerto con il Ministro del tesoro, del bilancio e della programmazione economica, in deroga a quanto previsto dal comma 2 del citato art. 103. 3. Gli oneri derivanti, per l'anno 2001, dall'attuazione del comma 2 sono imputati, relativamente al sistema di accesso ed interscambio anagrafico, all'INA ed alla carta d'identita' elettronica e all'unita' previsionale di base 3.2.1.4., concernente i progetti finalizzati, da istituire nello stato di previsione del Ministero dell'interno, cui affluiranno i relativi fondi secondo le procedure di cui al comma 2.». - Il decreto del Presidente della Repubblica 3 novembre 2000, n. 396 «Regolamento per la revisione e la semplificazione dell'ordinamento dello stato civile, a norma dell'art. 2, comma 12, della legge 15 maggio 1997, n. 127) e' pubblicato nella Gazzetta Ufficiale 30 dicembre 2000, n. 303, supplemento ordinario. - La legge 7 agosto 1990, n. 241 (Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi ) e' pubblicata nella Gazzetta Ufficiale 18 agosto 1990, n. 192. - Il regio decreto 18 giugno 1931, n. 773 (Approvazione del testo unico delle leggi di pubblica sicurezza) e' pubblicato nella Gazzetta Ufficiale 26 giugno 1931, n. 146. - Il decreto legislativo 25 luglio 1998, n. 286 (testo unico delle disposizioni concernenti la disciplina dell'immigrazione e norme sulla condizione dello straniero) e' pubblicato nella Gazzetta Ufficiale 18 agosto 1998, n. 191, supplemento ordinario. - Il decreto ministeriale del 18 dicembre 2000 (Modalita' di comunicazione dei dati relativi ai cittadini stranieri extracomunitari fra gli uffici anagrafici dei comuni, gli archivi dei lavoratori extracomunitari e gli archivi dei competenti organi centrali e periferici del Ministero dell'interno, nonche' le modalita' tecniche ed il termine per l'aggiornamento e la verifica delle posizioni anagrafiche dei cittadini stranieri gia' iscritti nei registri della popolazione residente) e' pubblicato nella Gazzetta Ufficiale 11 gennaio 2001, n. 8. - Il testo dell'art. 5 del decreto ministeriale 6 ottobre 2000 (Procedura per la comunicazione ai comuni del codice fiscale) e' pubblicato nella Gazzetta Ufficiale 25 ottobre 2000, n. 250, e' il seguente: «Art. 5 (Fase iniziale di confronto). - 1. Ai fini dell'allineamento iniziale dei dati contenuti nelle anagrafi comunali con quelli contenuti nell'archivio del Ministero delle finanze, i comuni trasmettono al predetto Ministero le informazioni anagrafiche necessarie per la validazione dei codici fiscali degli iscritti nelle anagrafi comunali. La trasmissione delle predette informazioni e' effettuata per via telematica, tramite il SAIA ovvero tramite il SIATEL, oppure su supporto informatico, secondo le specifiche tecniche che saranno indicate con apposita circolare dal Ministero dell'interno, d'intesa con il Ministero delle finanze, entro sessanta giorni dall'emanazione del presente decreto. 2. Il Ministero delle finanze, effettuato il controllo, trasmette i codici validati ai comuni con le modalita' di cui al comma 1. 3. I comuni aggiornano le proprie anagrafi con i codici validati dal Ministero delle finanze, informandone il Ministero dell'interno tramite il SAIA. 4. Le posizioni che dopo il predetto confronto risultassero ancora non allineate saranno definite con le modalita' indicate nella circolare di cui al comma 1 del presente articolo.». - Il decreto legislativo 6 settembre 1989, n. 322 (Norme sul Sistema statistico nazionale e sulla riorganizzazione dell'Istituto nazionale di statistica, ai sensi dell'art. 24 della legge 23 agosto 1988, n. 400), e' pubblicato nella Gazzetta Ufficiale 22 settembre 1989, n. 222. - Il testo dell'art. 2, comma 1 del decreto-legge 31 marzo 2003, n. 52, pubblicato nella Gazzetta Ufficiale 1° aprile 2003, n. 76, convertito nella legge 30 maggio 2003 n. 122 (Differimento dei termini relativi alle elezioni per il rinnovo dei Comitati degli italiani all'estero, pubblicato nella Gazzetta Ufficiale 31 maggio 2003, n. 125), e' il seguente: «Art. 2. - 1. Per il completamento dell'informatizzazione e per l'aggiornamento dell'anagrafe degli italiani residenti all'estero tramite il sistema di accesso e interscambio anagrafico (SAIA), il Ministero dell'interno si avvale della infrastruttura informatica di base dell'indice nazionale delle anagrafi (INA), previsto dall'art. 2-quater del decreto-legge 27 dicembre 2000, n. 392, convertito, con modificazioni, dalla legge 28 febbraio 2001, n. 26, allocato presso il centro nazionale per i servizi demografici, costituito con decreto ministeriale 23 aprile 2002 del Ministro dell'interno.». Art. 2. Finalita' 1. L'INA, istituito presso il CNSD del Dipartimento per gli affari interni e territoriali - Direzione centrale per i servizi demografici, consente la individuazione del comune che detiene i dati anagrafici dei cittadini iscritti in APR e in AIRE, per un migliore esercizio della funzione di vigilanza e di gestione dei dati anagrafici e di stato civile. 2. L'INA consente: a) la circolarita' anagrafica tra le amministrazioni al fine di conseguire obiettivi di semplificazione e razionalizzazione dell'azione amministrativa e della funzione statistica, assicurando la coerenza e l'allineamento delle anagrafi comunali e degli archivi delle altre Amministrazioni pubbliche a livello nazionale per la componente anagrafica e di residenza, nel rispetto della legislazione vigente; b) l'avvio delle richieste di certificazioni anagrafiche ai comuni interessati. 3. Per le finalita' di cui ai commi precedenti viene utilizzato anche il codice fiscale, che garantisce l'univocita' di individuazione delle informazioni di cui al successivo articolo 3 del presente regolamento. Art. 3. Caratteristiche 1. L'INA e' l'infrastruttura tecnologica che garantisce l'esercizio dei processi di interscambio e cooperazione, in attuazione delle finalita' di cui all'articolo 2, tra i comuni, il Ministero dell'interno e gli altri soggetti autorizzati, di cui all'articolo 6 del presente regolamento. 2. Per assicurare i suddetti processi di cooperazione ed interscambio in materia di informazione anagrafica, l'indice gestisce le informazioni identificative necessarie alla corretta ed univoca associazione tra cittadino e comune di residenza. Detto indice contiene, per ciascun cittadino, le seguenti informazioni: a) cognome; b) nome; c) luogo e data di nascita; d) codice fiscale attribuito dall'Agenzia delle entrate; e) codice ISTAT del comune di ultima residenza e codice ISTAT della sezione di censimento. 3. L'utilizzo dei servizi resi disponibili dall'INA, da parte dei soggetti autorizzati di cui al successivo articolo 5, e' disciplinato dalla legge e dal presente regolamento. Art. 4. Costituzione e aggiornamento 1. L'INA e' costituito ed aggiornato sulla base delle informazioni contenute nelle anagrafi di tutti i comuni italiani, con il codice fiscale validato dall'Agenzia delle entrate. 2. A tal fine, i comuni inviano all'INA le informazioni di cui all'articolo 3, attraverso i collegamenti telematici con il Centro nazionale servizi demografici, costituito con decreto ministeriale in data 23 aprile 2002, provvedendo al loro aggiornamento quotidianamente secondo le modalita' tecniche previste da apposita direttiva della Direzione centrale per i servizi demografici, da emanare nei termini fissati dall'articolo 9, comma 1, del presente regolamento. Art. 5. Soggetti fornitori e/o fruitori dei servizi 1. Ai servizi resi disponibili dall'INA accedono, in modalita' telematica, in qualita' di soggetti fornitori e/o fruitori, tramite il Centro nazionale per i servizi demografici: a) il Ministero dell'interno - Direzione centrale per i servizi demografici, ai fini del migliore espletamento della vigilanza sulla tenuta delle anagrafi comunali, della corretta individuazione del comune di residenza di ciascun cittadino e del rilascio della carta di identita' elettronica; b) le prefetture - UTG, le questure e le altre strutture centrali e territoriali del Ministero dell'interno, per l'espletamento dei propri compiti; c) l'Istat per la produzione dell'informazione statistica ufficiale e per la verifica della qualita' statistica dei dati di fonte amministrativa, utile anche ai fini della vigilanza anagrafica; d) l'Agenzia delle entrate per l'attribuzione, l'aggiornamento e la validazione dei codici fiscali e per la corretta individuazione dei dati anagrafici e di residenza dei cittadini; e) Il Ministero degli affari esteri, per la tenuta e l'aggiornamento dell'AIRE e dell'elenco unico aggiornato dei cittadini italiani residenti all'estero; f) i comuni, per il popolamento e l'aggiornamento dell'INA nonche' per verificare la coerenza, a livello nazionale, dei cittadini iscritti nella propria anagrafe, rispetto ai cittadini iscritti nelle altre anagrafi comunali; g) le Amministrazioni pubbliche, di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, recante: «Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche», diverse da quelle indicate nella lettera a), ai fini della corretta individuazione della residenza di ciascun cittadino, previa richiesta, da sottoporre al Ministero dell'interno, in cui siano precisati i presupposti normativi che rendono necessario l'accesso; h) gli organismi che esercitano attivita' di prelievo contributivo e fiscale o erogano servizi di pubblica utilita', di cui all'articolo 1, comma 1, della legge 17 marzo 1993, n. 63, ai fini della corretta individuazione della residenza dei cittadini e della semplificazione del servizio pubblico; i) ogni altra pubblica amministrazione centrale o locale che ne faccia richiesta da sottoporre al Ministero dell'interno, in cui siano precisati i presupposti normativi o regolamentari dell'attivita' svolta e le specifiche motivazioni che rendano necessario l'accesso, in conformita' di quanto previsto dall'articolo 25 della legge 24 novembre 2000, n. 340, e dal punto 7 del Piano di azione di e-government del 2000 in materia di anagrafi. 2. L'autorizzazione per l'utilizzo dei servizi INA da parte dei soggetti di cui alle lettere b), c), d), e), f), g), h) ed i) del precedente comma 1, e' subordinata alle modalita' concordate con il Ministero dell'interno - Direzione centrale per i servizi demografici ed individuate da un'apposita convenzione, nella quale sono specificati i presupposti normativi e le motivazioni che rendono necessario lo scambio. 3. L'utilizzo dei servizi resi disponibili dall'INA e' gratuito per le Amministrazioni pubbliche. 4. L'accesso ai servizi resi disponibili dall'INA e' assicurato, in collegamento telematico con il CNSD, tutti i giorni dell'anno e nell'arco dell'intera giornata, secondo le modalita' tecniche previste dalle direttive di cui all'articolo 9, comma 1. Note all'art. 5: - Il testo del comma 2, dell'art. 1, del decreto legislativo 30 marzo 2001, n. 165 (Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche), pubblicato nella Gazzetta Ufficiale 9 maggio 2001, n. 106, e' il seguente: «2. Per amministrazioni pubbliche si intendono tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le regioni, le province, i comuni, le comunita' montane, e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale, l'Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui al decreto legislativo 30 luglio 1999, n. 300.». - Il testo integrale del comma 1, dell'art. 1, della legge 17 marzo 1993, n. 63, citata nelle note alla premesse, e' il seguente: «1. Il decreto-legge 15 gennaio 1993, n. 6, recante disposizioni urgenti per il recupero degli introiti contributivi in materia previdenziale, e' convertito in legge con le modificazioni riportate in allegato alla presente legge.». - Per il testo integrale dell'art. 25 della legge 24 novembre 2000, n. 340 si vedano le note alle premesse. Art. 6. Servizi di interscambio e di cooperazione 1. I servizi di interscambio e cooperazione dell'INA hanno l'obiettivo di garantire una efficace realizzazione delle finalita' di cui all'articolo 2. Cio' e' assicurato attraverso il back-bone INA che certifica lo scambio e l'integrita' del contenuto informativo tra i soggetti fornitori e/o fruitori di cui all'articolo 5, comma 1. 2. I servizi di interscambio e cooperazione riguardano: a) le variazioni anagrafiche notificate dai comuni ai soggetti di cui all'articolo 5, comma 1; b) i dati concernenti le variazioni anagrafiche per le rilevazioni statistiche sulla popolazione residente, notificati dai comuni all'ISTAT; c) le certificazioni anagrafiche dei comuni, notificate dagli stessi in risposta alle richieste inoltrate da parte dei soggetti di cui all'articolo 5, comma 1. 3. L'Ufficiale d'anagrafe e' responsabile delle variazioni anagrafiche comunicate all'INA. 4. Il comune, avvalendosi dell'infrastruttura di sicurezza dell'INA, fornisce le variazioni anagrafiche previste dall'ordinamento tramite il collegamento al CNSD. Le informazioni anagrafiche, inviate dai comuni ai soggetti di cui all'articolo 5, comma 1, tramite la predetta infrastruttura di sicurezza dell'INA, hanno valore ufficiale e sostituiscono gli altri collegamenti telematici e le altre forme di comunicazione, anche tradizionale. Il collegamento e lo scambio dei dati e dei documenti avviene, nel rispetto delle competenze e delle responsabilita' delle singole Amministrazioni, secondo le modalita' tecniche indicate dalle direttive della Direzione centrale per i servizi demografici di cui all'articolo 4, comma 2, e in coerenza con il decreto legislativo 28 febbraio 2005, n. 42, e le relative regole tecniche. Nota all'art. 6: - Il decreto legislativo 28 febbraio 2005, n. 42 (Istituzione del sistema pubblico di connettivita' e della rete internazionale della pubblica amministrazione, a norma dell'art. 10, della legge 29 luglio 2003, n. 229), e' pubblicato nella Gazzetta Ufficiale 30 marzo 2005, n. 73. Art. 7. Qualita' e vigilanza statistica sulle anagrafi 1. Ai fini della vigilanza sulla regolare ed efficiente tenuta delle anagrafi, di cui al decreto del Presidente della Repubblica 30 maggio 1989, n. 223, viene effettuato, attraverso indicatori derivati dall'INA e dalle informazioni scambiate, il monitoraggio della qualita' dell'informazione amministrativa e la validazione statistica dell'informazione stessa. I criteri e le modalita' di esercizio del monitoraggio sono definiti con successiva direttiva del Ministero dell'interno - Direzione centrale per i servizi demografici e dell'Istituto nazionale di statistica da emanare nei termini fissati dall'articolo 9, comma 2 del presente regolamento. 2. L'ISTAT provvede alla elaborazione ed all'aggiornamento periodici degli indicatori di cui al comma 1 ed a renderli disponibili al Ministero ed ai comuni. Nota all'art. 7: - Il decreto del Presidente della Repubblica 30 maggio 1989, n. 223 (Approvazione del nuovo regolamento anagrafico della popolazione residente), e' pubblicato nella Gazzetta Ufficiale 8 giugno 1989, n. 132. Art. 8. Titolare del trattamento e misure di sicurezza 1. Titolare del trattamento dei dati contenuti nell'INA e' il Ministero dell'interno, che designa, quale responsabile del trattamento dei dati, il direttore del Centro nazionale per i servizi demografici, ai sensi dell'articolo 29, comma 1, del richiamato decreto legislativo n. 196/2003. 2. L'INA e' costituito e gestito in conformita' alle disposizioni di sicurezza dettate dall'articolo 33 e seguenti del citato decreto legislativo n. 196/2003 e relativo allegato B, in particolare, con quanto previsto dall'articolo 4, comma 1, in merito alla identificazione degli utenti abilitati ed alla protezione degli elaboratori, e all'articolo 5, commi 1 e 2 per l'identificazione e l'autorizzazione «degli strumenti che possono essere utilizzati per l'interconnessione mediante reti disponibili al pubblico». E' altresi' assicurata la conformita' alle misure di sicurezza previste dal decreto legislativo 28 febbraio 2005, n. 42, e delle relative regole tecniche nonche' dalle direttive emanate dal Ministro per l'innovazione e le tecnologie, in particolare e' assicurata l'adozione della base minima di sicurezza prevista dalla direttiva del 16 gennaio 2002 del Presidente del Consiglio dei Ministri - DIT «Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni statali». In conformita' alle norme citate e' realizzato un Sistema di gestione della sicurezza informativa secondo lo standard ISO 17799 e BS7799 parte II (il cui testo verra' allegato al presente decreto all'atto della pubblicazione dello stesso nella Gazzetta Ufficiale), nell'ambito del quale sono progettate, mantenute ed adeguate in modo organico le misure di sicurezza, di natura tecnica, organizzative e sul personale. In tale ambito e' gestito il piano della sicurezza, con aggiornamento almeno annuale. 3. Le misure di sicurezza riguardano i sistemi del CNSD e le connessioni con i soggetti collegati al CNSD, di cui all'articolo 5, comma 1, ed «sistemi di frontiera» (porta applicativa del CNSD presso i soggetti collegati); l'adozione di misure di sicurezza relative ai sistemi interni di ciascuno dei soggetti di cui all'articolo 5, comma 1, sono di responsabilita' dello stesso, in coerenza con le prescrizioni di natura tecnica specificate nelle direttive della Direzione centrale per i servizi demografici, di cui all'articolo 4, comma 2. Prescrizioni, impegni e moduli organizzativi e gestionali sono espressamente richiamati nelle convenzioni di adesione. 4. Titolare del trattamento dei dati anagrafici contenuti nell'anagrafe comunale e delle comunicazioni all'INA e' il comune; il sindaco, o suo delegato, e' responsabile della attuazione delle misure di sicurezza e della adozione di regolamenti discendenti dal presente regolamento, che definiscano, altresi', il modello organizzativo delle strutture (risorse umane e ambiente fisico) di riferimento. 5. La vigilanza sulla adozione delle misure di sicurezza da parte dei comuni nella gestione dell'anagrafe e nelle comunicazioni all'INA, rientra nella funzione generale di vigilanza sulla tenuta delle anagrafi, di competenza del Prefetto della provincia nel cui ambito territoriale sono le anagrafi comunali. 6. I soggetti di cui all'articolo 5, comma 1, individuano nelle rispettive convenzioni, di cui al comma 2 del medesimo articolo 5, i responsabili e gli incaricati del trattamento dei dati anagrafici scambiati con l'INA. Note all'art. 8: - Per completezza d'informazione, il testo integrale dell'art. 4, comma 1, dell'art. 5, comma 1 e 2, dell'art. 29, comma 1, dell'art. 33 e seguenti e dell'allegato B del decreto legislativo 30 giugno 2003, n. 196, gia' citato nelle note alle premesse, e' il seguente: «Art. 4 (Definizioni). - 1. Ai fini del presente codice si intende per: a) «trattamento», qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; b) «dato personale», qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; c) «dati identificativi», i dati personali che permettono l'identificazione diretta dell'interessato; d) «dati sensibili», i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale; e) «dati giudiziari», i dati personali idonei a rivelare provvedimenti di cui all'art. 3, comma 1, lettere da a) a o) e da r) a u), del decreto del Presidente della Repubblica 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; f) «titolare», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; g) «responsabile», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; h) «incaricati», le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; i) «interessato», la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; l) «comunicazione», il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; m) «diffusione», il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; n) «dato anonimo», il dato che in origine, o a seguito di trattamento, non puo' essere associato ad un interessato identificato o identificabile; o) «blocco», la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; p) «banca di dati», qualsiasi complesso organizzato di dati personali, ripartito in una o piu' unita' dislocate in uno o piu' siti; q) «Garante», l'autorita' di cui all'art. 153, istituita dalla legge 31 dicembre 1996, n. 675. Art. 5 (Oggetto ed ambito di applicazione). - 1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque e' stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranita' dello Stato. 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque e' stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali. Art. 29 (Responsabile del trattamento). - 1. Il responsabile e' designato dal titolare facoltativamente. Art. 33 (Misure minime). - 1. Nel quadro dei piu' generali obblighi di sicurezza di cui all'art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'art. 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. Art. 34 (Trattamenti con strumenti elettronici). - 1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B, le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici). - 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unita' organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalita' di accesso finalizzata all'identificazione degli incaricati. Art. 36 (Adeguamento). - 1. Il disciplinare tecnico di cui all'allegato B, relativo alle misure minime di cui al presente capo, e' aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore. Allegato B Disciplinare tecnico in materia di misure minime di sicurezza (Articoli da 33 a 36 del codice) Trattamenti con strumenti elettronici Modalita' tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi. 6. Il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualita' che consente all'incaricato l'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Altre misure di sicurezza 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita' di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Documento programmatico sulla sicurezza 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.1. l'elenco dei trattamenti di dati personali; 19.2. la distribuzione dei compiti e delle responsabilita' nell'ambito delle strutture preposte al trattamento dei dati; 19.3. l'analisi dei rischi che incombono sui dati; 19.4. le misure da adottare per garantire l'integrita' e la disponibilita' dei dati, nonche' la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilita'; 19.5. la descrizione dei criteri e delle modalita' per il ripristino della disponibilita' dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu' rilevanti in rapporto alle relative attivita', delle responsabilita' che ne derivano e delle modalita' per aggiornarsi sulle misure minime adottate dal titolare. La formazione e' programmata gia' al momento dell'ingresso in servizio, nonche' in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformita' al codice, all'esterno della struttura del titolare; 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalita' di cui all'art. 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identita' genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico e' cifrato. Misure di tutela e garanzia 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformita' alle disposizioni del presente disciplinare tecnico. 26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. Trattamenti senza l'ausilio di strumenti elettronici Modalita' tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. L'accesso agli archivi contenenti dati sensibili o giudiziari e' controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.». - Per il decreto legislativo 28 febbraio 2005, n. 42, si veda la nota all'art. 6 Art. 9. Direttive di attuazione 1. Entro sessanta giorni dall'entrata in vigore del presente decreto, il Ministero dell'interno - Direzione centrale per i servizi demografici, e' incaricato di emanare le direttive concernenti le modalita' di attuazione di quanto previsto nei precedenti articoli 4, 5, 6 e 7 del presente decreto, nonche' ogni altro provvedimento finalizzato alla esecuzione del presente regolamento. 2. Entro centoventi giorni dall'entrata in vigore del presente decreto, il Ministero dell'interno - Direzione centrale per i servizi demografici, d'intesa con l'Istituto nazionale di statistica, e' incaricato di emanare la direttiva di cui all'articolo 7, comma 1. Il presente decreto, munito di sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Roma, 13 ottobre 2005 Il Ministro dell'interno Pisanu Il Ministro per la funzione pubblica Baccini Il Ministro per l'innovazione e le tecnologie Stanca Visto, il Guardasigilli: Castelli Registrato alla Corte dei conti l'11 novembre 2005 Ministeri istituzionali, registro n. 12, foglio n. 386