Gazzetta n. 116 del 20 maggio 2006 - PRESIDENZA DEL CONSIGLIO DEI MINISTRI

Gazzetta n. 116 del 20 maggio 2006 (vai al sommario)

PRESIDENZA DEL CONSIGLIO DEI MINISTRI

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 7 marzo 2006, n. 187

Regolamento sulla istituzione e tenuta presso la Presidenza del Consiglio dei Ministri della banca di dati informatica denominata «Opportunita' territoriali di investimento».

IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Visti gli articoli 95, comma 1, e 97 della Costituzione;
Vista la legge 23 agosto 1988, n. 400 recante «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri»;
Visto il decreto legislativo 30 luglio 1999, n. 300 recante «Riforma dell'organizzazione del Governo, a norma dell'articolo 11 della legge 15 marzo 1997, n. 59»;
Visto il decreto legislativo 30 luglio 1999, n. 303 e successive modificazioni ed integrazioni recante «Ordinamento della Presidenza del Consiglio dei Ministri, a norma dell'articolo 11 della legge 15 marzo 1997, n. 59»;
Visto il proprio decreto in data 23 luglio 2002 recante «Ordinamento delle strutture generali della Presidenza del Consiglio dei Ministri» e pubblicato sulla Gazzetta Ufficiale 4 settembre 2002, n. 207;
Visto il decreto legislativo 30 giugno 2003, n. 196 recante «Codice in materia di protezione dei dati personali», ed in particolare, gli articoli 18 e 19 e successive modifiche ed integrazioni;
Viste le direttive del Ministro per l'innovazione e le tecnologie del 16 gennaio 2002, recante «Sicurezza informatica e delle telecomunicazioni nella pubblica amministrazione», del 18 dicembre 2003, recante «Linee guida in materia di digitalizzazione dell'amministrazione per l'anno 2004» e del 19 dicembre 2003, recante «Sviluppo ed utilizzazione dei programmi informatici da parte delle pubbliche amministrazioni»;
Visto il proprio decreto 23 aprile 2005 recante «Delega di funzioni al Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri dott. Gianni Letta»;
Acquisito il parere del Garante per la protezione dei dati personali in data 21 dicembre 2005;
Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 27 febbraio 2006, n. 711;
A d o t t a
il seguente regolamento:
Art. 1.
Istituzione e finalita' della banca di dati
1. E' istituita presso la Presidenza del Consiglio dei Ministri - Dipartimento per lo sviluppo delle economie territoriali, di seguito denominato Dipartimento, la banca di dati informatica Guida agli investimenti locali, denominata «Opportunita' Territoriali di Investimento».
2. Nella banca di dati sono raccolti dati anonimi anche aggregati per scopi statistici sul contesto-socio-economico di aree industriali determinate; dati relativi alle leggi nazionali e regionali di incentivazione alle attivita' produttive e dati relativi ad impianti e stabilimenti produttivi ove si sono verificate rilevanti crisi aziendali inseriti in specifiche schede informative, corredate di immagini.
3. La finalita' della banca di dati e' la promozione di opportunita' di investimento nelle aree di grave crisi industriale presenti sul territorio nazionale per agevolare la reindustrializzazione e lo sviluppo dell'economia locale, tramite la diffusione sulla rete telematica internet, anche in lingue straniere, dei dati di cui all'articolo 2.
4. La banca di dati informatica e' uno degli strumenti tecnici di supporto allo svolgimento delle funzioni istituzionali del Dipartimento, ai sensi dell'articolo 13 del decreto del Presidente del Consiglio dei Ministri 23 luglio 2002, tra cui: «Il Dipartimento opera altresi' in materia di conoscenza e coordinamento delle situazioni economiche ed occupazionali a livello locale e di interventi per le crisi aziendali e per l'attuazione degli strumenti della programmazione negoziata».

Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con decreto del Presidente della Repubblica
28 dicembre 1985, n. 1092, al solo fine di facilitare la
lettura delle disposizioni di legge alle quali e' operato
il rinvio. Restano invariati il valore e l'efficacia degli
atti legislativi qui trascritti.
Note alle premesse:
- Si riporta il testo degli articoli 95 e 97 della
Costituzione:
«Art. 95. - Il Presidente del Consiglio dei ministri
dirige la politica generale del Governo e ne e'
responsabile. Mantiene la unita' di indirizzo politico ed
amministrativo, promovendo e coordinando l'attivita' dei
Ministri.
I Ministri sono responsabili collegialmente degli atti
del Consiglio dei ministri, e individualmente degli atti
dei loro dicasteri.
La legge provvede all'ordinamento della Presidenza del
Consiglio e determina il numero, le attribuzioni e
l'organizzazione dei Ministeri.».
«Art. 97. - I pubblici uffici sono organizzati secondo
disposizioni di legge, in modo che siano assicurati il buon
andamento e la imparzialita' dell'amministrazione.
Nell'ordinamento degli uffici sono determinate le sfere
di competenza, le attribuzioni e le responsabilita' proprie
dei funzionari.».
- La legge 23 agosto 1988, n. 400, reca: «Disciplina
dell'attivita' di Governo e ordinamento della Presidenza
del Consiglio dei Ministri.».
- Il decreto legislativo 30 luglio 1999, n. 300, reca:
«Riforma dell'organizzazione del Governo, a norma dell'art.
11 della legge 15 marzo 1997, n. 59 e detta disposizioni
sulla organizzazione dei ministeri.
- Il decreto legislativo 30 luglio 1999, n. 303, reca:
«Ordinamento della Presidenza del Consiglio dei Ministri, a
norma dell'art. 11 della legge 15 marzo 1997, n. 59», e
disciplina l'ordinamento della Presidenza del Consiglio dei
Ministri.
- Il testo degli articoli 18 e 19 del decreto
legislativo 30 giugno 2003, n. 196 (Codice in materia di
protezione dei dati personali), e' il seguente:
«Art. 18 (Principi applicabili a tutti i trattamenti
effettuati da soggetti pubblici). - 1. Le disposizioni del
presente capo riguardano tutti i soggetti pubblici, esclusi
gli enti pubblici economici.
2. Qualunque trattamento di dati personali da parte di
soggetti pubblici e' consentito soltanto per lo svolgimento
delle funzioni istituzionali.
3. Nel trattare i dati il soggetto pubblico osserva i
presupposti e i limiti stabiliti dal presente codice, anche
in relazione alla diversa natura dei dati, nonche' dalla
legge e dai regolamenti.
4. Salvo quanto previsto nella Parte II per gli
esercenti le professioni sanitarie e gli organismi sanitari
pubblici, i soggetti pubblici non devono richiedere il
consenso dell'interessato.
5. Si osservano le disposizioni di cui all'art. 25 in
tema di comunicazione e diffusione».
«Art. 19 (Principi applicabili al trattamento di dati
diversi da quelli sensibili e giudiziari). - 1. Il
trattamento da parte di un soggetto pubblico riguardante
dati diversi da quelli sensibili e giudiziari e'
consentito, fermo restando quanto previsto dall'art. 18,
comma 2, anche in mancanza di una norma di legge o di
regolamento che lo preveda espressamente.
2. La comunicazione da parte di un soggetto pubblico ad
altri soggetti pubblici e' ammessa quando e' prevista da
una norma di legge o di regolamento. In mancanza di tale
norma la comunicazione e' ammessa quando e' comunque
necessaria per lo svolgimento di funzioni istituzionali e
puo' essere iniziata se e' decorso il termine di cui
all'art. 39, comma 2, e non e' stata adottata la diversa
determinazione ivi indicata.
3. La comunicazione da parte di un soggetto pubblico a
privati o a enti pubblici economici e la diffusione da
parte di un soggetto pubblico sono ammesse unicamente
quando sono previste da una norma di legge o di
regolamento.».

Art. 2.
Alimentazione della banca di dati
1. Il Dipartimento elabora i dati statistici sulla realta' socio-economica dell'area interessata sulla base di proprie analisi, nonche' di dati diffusi da istituti ed enti di ricerca specializzati, della cui collaborazione il Dipartimento si avvale.
2. I dati relativi alle normative di incentivazione alle attivita' produttive sono detenuti dalla stessa amministrazione.
3. I dati contenuti nelle schede informative, come indicati nel comma 4, sono inseriti nella banca di dati del Dipartimento a seguito di richiesta dei proprietari, titolari, rappresentanti legali, commissari o liquidatori degli impianti e stabilimenti di cui all'articolo 1, comma 2.
4. Ogni scheda informativa contiene: la denominazione dell'impianto ed il recapito; la localizzazione; le immagini del sito produttivo; le caratteristiche tecniche dell'area, dei fabbricati e degli impianti; il piano regolatore in vigenza; il settore di attivita'; le caratteristiche merceologiche; il numero di ex dipendenti e l'esistenza di eventuali vincoli di riassunzione o di utilizzo del personale ancora a carico o ex dipendente; i tempi, le procedure di vendita ed il valore commerciale indicativo; l'esistenza di agevolazioni o contributi regionali, nazionali e comunitari; la situazione delle infrastrutture stradali, ferroviarie, aeree o portuali. Qualora disponibile, la scheda potra' contenere anche il nominativo, il telefono e l'indirizzo di posta elettronica della persona da contattare sul luogo.
5. La Presidenza del Consiglio dei Ministri puo' chiedere ai soggetti di cui al comma 3 la comunicazione di eventuali altri dati, relativi agli impianti produttivi, rispetto a quelli indicati nel comma 4, qualora ritenuti necessari per il perseguimento delle finalita' di cui all'articolo 1 o comunque con esse non incompatibili.
6. Nel sito internet non sono raccolti e diffusi dati configurabili come sensibili o giudiziari ai sensi dell'articolo 4, lettera d) e lettera e) del decreto legislativo 30 giugno 2003, n. 196.

Nota all'art. 2:
- Il testo dell'art. 4, lettere d) ed e) del citato
decreto legislativo n. 196 del 2003, e' il seguente:
d) «dati sensibili», i dati personali idonei a
rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni
politiche, ladesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico
o sindacale, nonche' i dati personali idonei a rivelare lo
stato di salute e la vita sessuale;
e) «dati giudiziari», i dati personali idonei a
rivelare provvedimenti di cui all'art. 3, comma 1, lettere
da a) a o) e da r) a u), del decreto del Presidente della
Repubblica 14 novembre 2002 n. 313, in materia di
casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi
pendenti, o la qualita' di imputato o di indagato ai sensi
degli articoli 60 e 61 del codice di procedura penale;».

Art. 3.
Tenuta e conservazione della banca di dati informatica
1. La banca di dati e' tenuta secondo i principi di trasparenza, necessita', completezza, pertinenza e non eccedenza dei dati, ai sensi degli articoli 3 e 11 del decreto legislativo n. 196 del 2003 e successive modifiche ed integrazioni.
2. I dati trattati in via informatica sono conservati fino alla positiva conclusione di eventuali trattative in corso e comunque per un tempo non superiore a tre anni.

Nota all'art. 3:
- Il testo degli articoli 3 e 11 del citato decreto
legislativo n. 196 del 2003, e' il seguente:
«Art. 3 (Principio di necessita' nel trattamento dei
dati). - 1. I sistemi informativi e i programmi informatici
sono configurati riducendo al minimo l'utilizzazione di
dati personali e di dati identificativi, in modo da
escluderne il trattamento quando le finalita' perseguite
nei singoli casi possono essere realizzate mediante,
rispettivamente, dati anonimi od opportune modalita' che
permettano di identificare l'interessato solo in caso di
necessita'.».
«Art. 11 (Modalita' del trattamento e requisiti dei
dati). - 1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati,
espliciti e legittimi, ed utilizzati in altre operazioni
del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle
finalita' per le quali sono raccolti o successivamente
trattati;
e) conservati in una forma che consenta
l'identificazione dell'interessato per un periodo di tempo
non superiore a quello necessario agli scopi per i quali
essi sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della
disciplina rilevante in materia di trattamento dei dati
personali non possono essere utilizzati.».

Art. 4.
Titolare del trattamento dei dati
della banca di dati informatica
1. Titolare del trattamento e' la Presidenza del Consiglio dei Minitri, Dipartimento per lo sviluppo delle economie territoriali.

Art. 5.
Responsabile della banca di dati informatica
1. Il titolare del trattamento designa uno o piu' responsabili della banca di dati cui saranno affidati i seguenti compiti:
a) verificare l'acquisizione dei dati per la costituzione e la tenuta della banca di dati; assicurare la completezza e l'aggiornamento dei dati ivi contenuti;
b) verificare che i dati trattati siano necessari, pertinenti e non eccedenti rispetto agli obblighi ed ai compiti attribuiti, valutando specificamente il rapporto tra i dati e gli adempimenti;
c) curare il coordinamento di tutte le operazioni di trattamento dei dati;
d) impartire disposizioni operative per la sicurezza della banca di dati e dei procedimenti di gestione e trattamento degli stessi, ai sensi del decreto legislativo n. 196 del 2003 e successive modifiche ed integrazioni;
e) assicurare l'esercizio dei diritti degli interessati di cui agli articoli 7, 8, 9 e 10 del decreto legislativo n. 196 del 2003 e successive modifiche ed integrazioni, nonche' il diritto di accesso di cui agli articoli 22 e seguenti della legge 7 agosto 1990, n. 241 e successive modifiche ed integrazioni.
2. Il responsabile per il trattamento dei dati procede, in accordo con il titolare, all'individuazione degli incaricati.

Note all'art. 5:
- Gli articoli da 7 a 10 del citato decreto legislativo
n. 196 del 2003 fanno parte del titolo II che reca:
«Diritti dell'interessato.».
- Gli articoli da 22 a 28 della legge 7 agosto 1990, n.
241: (Nuove norme in materia di procedimento amministrativo
e di diritto di accesso ai documenti amministrativi) fanno
parte del capo V che reca: «Capo V - Accesso ai documenti
amministrativi».

Art. 6.
Modalita' di accesso alla banca di dati informatica
1. La banca di dati e' accessibile all'indirizzo «www.governo.it» del portale internet da chiunque vi abbia interesse.
2. I dati acquisiti sono utilizzati esclusivamente per le finalita' del presente decreto.

Art. 7.
Trattamento e sicurezza dei dati
1. La Presidenza del Consiglio dei Ministri, Dipartimento per lo sviluppo delle economie territoriali puo' effettuare, ai sensi dell'articolo 4, comma 1, lettera a) del decreto legislativo n. 196 del 2003 e successive modifiche ed integrazioni, operazioni di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, diffusione, blocco, interconnessione, comunicazione, cancellazione e distruzione dei dati, in conformita' a quanto previsto dal presente regolamento.
2. Il trattamento mediante strumenti elettronici e' effettuato con le regole del Disciplinare tecnico - Allegato B del decreto legislativo n. 196 del 2003.
Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Roma, 7 marzo 2006
p. Il Presidente del Consiglio dei Ministri
Letta Visto, il Guardasigilli: Castelli Registrato alla Corte dei conti il 4 maggio 2006 Ministeri istituzionali, registro n. 4, foglio n. 398

Note all'art. 7:
- Il testo dell'art. 4, comma 1, lettera a) del citato
decreto legislativo n. 196 del 2003, e' il seguente:
«Art. 4 (Definizioni) - 1. Ai fini del presente codice
si intende per:
a) «trattamento», qualunque operazione o complesso di
operazioni, effettuati anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta, la registrazio
l'organizzazione la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione
il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non
registrati in una banca di dati;».
- Il testo dell'allegato B del citato decreto
legislativo n. 196 del 2003, e' il seguente:
«Allegato B
Disciplinare tecnico in materia di misure minime di
sicurezza
(Artt. da 33 a 36 del codice)
Trattamenti con strumenti elettronici
Modalita' tecniche da adottare a cura del titolare, del
responsabile ove designato e dell'incaricato, in caso di
trattamento con strumenti elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti
elettronici e' consentito agli incaricati dotati di
credenziali di autenticazione che consentano il superamento
di una procedura di autenticazione relativa a uno specifico
trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un
codice per l'identificazione dell'incaricato associato a
una parola chiave riservata conosciuta solamente dal
medesimo oppure in un dispositivo di autenticazione in
possesso e uso esclusivo dell'incaricato, eventualmente
associato a un codice identificativo o a una parola chiave,
oppure in una caratteristica biometrica dell'incaricato,
eventualmente associata a un codice identificativo o a una
parola chiave.
3. Ad ogni incaricato sono assegnate o associate
individualmente una o piu' credenziali per
l'autenticazione.
4. Con le istruzioni impartite agli incaricati e'
prescritto di adottare le necessarie cautele per assicurare
la segretezza della componente riservata della credenziale
e la diligente custodia dei dispositivi in possesso ed uso
esclusivo dell'incaricato.
5. La parola chiave, quando e' prevista dal sistema di
autenticazione, e' composta da almeno otto caratteri
oppure, nel caso in cui lo strumento elettronico non lo
permetta, da un numero di caratteri pari al massimo
consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed e' modificata da
quest'ultimo al primo utilizzo e, successivamente, almeno
ogni sei mesi. In caso di trattamento di dati sensibili e
di dati giudiziari la parola chiave e' modificata almeno
ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato,
non puo' essere assegnato ad altri incaricati, neppure in
tempi diversi.
7. Le credenziali di autenticazione non utilizzate da
almeno sei mesi sono disattivate, salvo quelle
preventivamente autorizzate per soli scopi di gestione
tecnica.
8. Le credenziali sono disattivate anche in caso di
perdita della qualita' che consente all'incaricato
l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non
lasciare incustodito e accessibile lo strumento elettronico
durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti
elettronici e' consentito esclusivamente mediante uso della
componente riservata della credenziale per
l'autenticazione, sono impartite idonee e preventive
disposizioni scritte volte a individuare chiaramente le
modalita' con le quali il titolare puo' assicurare la
disponibilita' di dati o strumenti elettronici in caso di
prolungata assenza o impedimento dell'incaricato che renda
indispensabile e indifferibile intervenire per esclusive
necessita' di operativita' e di sicurezza del sistema. In
tal caso la custodia delle copie delle credenziali e'
organizzata garantendo la relativa segretezza e
individuando preventivamente per iscritto i soggetti
incaricati della loro custodia, i quali devono informare
tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di
cui ai precedenti punti e quelle sul sistema di
autorizzazione non si applicano ai trattamenti dei dati
personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili
di autorizzazione di ambito diverso e' utilizzato un
sistema di autorizzazione
13. I profili di autorizzazione, per ciascun incaricato
o per classi omogenee di incaricati, sono individuati e
configurati anteriormente all'inizio del trattamento, in
modo da limitare l'accesso ai soli dati necessari per
effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, e'
verificata la sussistenza delle condizioni per la
conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con
cadenza almeno annuale dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici,
la lista degli incaricati puo' essere redatta anche per
classi omogenee di incarico e dei relativi profili di
autorizzazione.
16. I dati personali sono protetti contro il rischio di
intrusione e dell'azione di programmi di cui all'art.
615-quinquies del codice penale, mediante l'attivazione di
idonei strumenti elettronici da aggiornare con cadenza
almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per
elaboratore volti a prevenire la vulnerabilita' di
strumenti elettronici e a correggerne difetti sono
effettuati almeno annualmente. In caso di trattamento di
dati sensibili o giudiziari l'aggiornamento e' almeno
semestrale.
18. Sono impartite istruzioni organizzative e tecniche
che prevedono il salvataggio dei dati con frequenza almeno
settimanale.
Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un
trattamento di dati sensibili o di dati giudiziari redige
anche attraverso il responsabile, se designato, un
documento programmatico sulla sicurezza contenente idonee
informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle
responsabilita' nell'ambito delle strutture preposte al
trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrita'
e la disponibilita' dei dati, nonche' la protezione delle
aree e dei locali, rilevanti ai fini della loro custodia e
accessibilita';
19.5. la descrizione dei criteri e delle modalita' per
il ripristino della disponibilita' dei dati in seguito a
distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli
incaricati del trattamento, per renderli edotti dei rischi
che incombono sui dati, delle misure disponibili per
prevenire eventi dannosi, dei profili della disciplina
sulla protezione dei dati personali piu' rilevanti in
rapporto alle relative attivita', delle responsabilita' che
ne derivano e delle modalita' per aggiornarsi sulle misure
minime adottate dal titolare. La formazione e' programmata
gia' al momento dell'ingresso in servizio, nonche' in
occasione di cambiamenti di mansioni, o di introduzione di
nuovi significativi strumenti, rilevanti rispetto al
trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per
garantire l'adozione delle misure minime di sicurezza in
caso di trattamenti di dati personali affidati, in
conformita' al codice, all'esterno della struttura del
titolare;
19.8. per i dati personali idonei a rivelare lo stato
di salute e la vita sessuale di cui al punto 24,
l'individuazione dei criteri da adottare per la cifratura o
per la separazione di tali dati dagli altri dati personali
dell'interessato.
Ulteriori misure in caso di trattamento di dati sensibili
o giudiziari
20. I dati sensibili o giudiziari sono protetti contro
l'accesso abusivo, di cui all'art. 615-ter del codice
penale, mediante l'utilizzo di idonei strumenti
elettronici.
21. Sono impartite istruzioni organizzative e tecniche
per la custodia e l'uso dei supporti rimovibili su cui sono
memorizzati i dati al fine di evitare accessi non
autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o
giudiziari se non utilizzati sono distrutti o resi
inutilizzabili, ovvero possono essere riutilizzati da altri
incaricati, non autorizzati al trattamento degli stessi
dati, se le informazioni precedentemente in essi contenute
non sono intelligibili e tecnicamente in alcun modo
ricostruibili.
23. Sono adottate idonee misure per garantire il
ripristino dell'accesso ai dati in caso di danneggiamento
degli stessi o degli strumenti elettronici, in tempi certi
compatibili con i diritti degli interessati e non superiori
a sette giorni.
24. Gli organismi sanitari e gli esercenti le
professioni sanitarie effettuano il trattamento dei dati
idonei a rivelare lo stato di salute e la vita sessuale
contenuti in elenchi, registri o banche di dati con le
modalita' di cui all'art. 22, comma 6, del codice, anche al
fine di consentire il trattamento disgiunto dei medesimi
dati dagli altri dati personali che permettono di
identificare direttamente gli interessati. I dati relativi
all'identita' genetica sono trattati esclusivamente
all'interno di locali protetti accessibili ai soli
incaricati dei trattamenti ed ai soggetti specificatamente
autorizzati ad accedervi; il trasporto dei dati all'esterno
dei locali riservati al loro trattamento deve avvenire in
contenitori muniti di serratura o dispositivi equipollenti;
il trasferimento dei dati in formato elettronico e'
cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza
avvalendosi di soggetti esterni alla propria struttura, per
provvedere alla esecuzione riceve dall'installatore una
descrizione scritta dell'intervento effettuato che ne
attesta la conformita' alle disposizioni del presente
disciplinare tecnico.
26. Il titolare riferisce, nella relazione
accompagnatoria del bilancio d'esercizio, se dovuta,
dell'avvenuta redazione o aggiornamento del documento
programmatico sulla sicurezza.
Trattamenti senza l'ausilio di strumenti elettronici
Modalita' tecniche da adottare a cura del titolare, del
responsabile, ove designato, e dell'incaricato, in caso di
trattamento con strumenti diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte
finalizzate al controllo ed alla custodia, per l'intero
ciclo necessario allo svolgimento delle operazioni di
trattamento, degli atti e dei documenti contenenti dati
personali. Nell'ambito dell'aggiornamento periodico con
cadenza almeno annuale dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati, la lista
degli incaricati puo' essere redatta anche per classi
omogenee di incarico e dei relativi profili di
autorizzazione.
28. Quando gli atti e i documenti contenenti dati
personali sensibili o giudiziari sono affidati agli
incaricati del trattamento per lo svolgimento dei relativi
compiti, i medesimi atti e documenti sono controllati e
custoditi dagli incaricati fino alla restituzione in
maniera che ad essi non accedano persone prive di
autorizzazione, e sono restituiti al termine delle
operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o
giudiziari e' controllato. Le persone ammesse, a qualunque
titolo, dopo l'orario di chiusura, sono identificate e
registrate. Quando gli archivi non sono dotati di strumenti
elettronici per il controllo degli accessi o di incaricati
della vigilanza, le persone che vi accedono sono
preventivamente autorizzate.».