Legge 31 dicembre 1996, n. 675 (in Suppl. ordinario n. 3, alla Gazz. Uff. n. 5, 8 gennaio).

Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali.
Testo aggiornato con le disposizioni introdotte dal decreto legislativo 9 maggio 1997, n. 123(Gazz. Uff. n. 107 del 10/5/97) e con il decreto legislativo 28 luglio 1997, n.255(in grassetto nel testo)

 SICUREZZA NEL TRATTAMENTO DEI DATI, LIMITI ALLA UTILIZZABILITÀ DEI DATI E RISARCIMENTO DEL DANNO

Articolo 15.

(Sicurezza dei dati)

I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con decreto del Presidente della Repubblica, ai sensi dell'articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400, entro centottanta giorni dalla data di entrata in vigore della presente legge, su proposta del Ministro di grazia e giustizia, sentiti l'Autorità per l'informatica nella pubblica amministrazione e il Garante.

Le misure di sicurezza di cui al comma 2 sono adeguate, entro due anni dalla data di entrata in vigore della presente legge e successivamente con cadenza almeno biennale, con successivi regolamenti emanati con le modalità di cui al medesimo comma 2, in relazione all'evoluzione tecnica del settore e all'esperienza maturata.

Le misure di sicurezza relative ai dati trattati dagli organismi di cui all'articolo 4, comma 1, lettera b), sono stabilite con decreto del Presidente del Consiglio dei ministri con l'osservanza delle norme che regolano la materia

Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999

Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell’articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513

Art. 61 - Archiviazione dei documenti informatici

1. L’archiviazione dei documenti informatici, anche se formati secondo quanto previsto dall’articolo 6, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, può essere effettuata con le modalità previste dalla deliberazione 30 luglio 1998, n. 24 dell’Autorità per l’informatica nella Pubblica Amministrazione e successive modificazioni ed integrazioni.

2. Per i documenti informatici si applicano le procedure previste per i documenti formati all’origine su supporto informatico di cui all’articolo 6, comma 1, lettera b) della deliberazione indicata al comma 1.

3. Ai documenti informatici non si applicano le restrizioni di formato previste dall’articolo 6, comma 1, lettera b) della deliberazione. Il responsabile dell’archiviazione può convertire il documento informatico in uno di tali formati, mantenendo nell’archivio il documento originale come versione iniziale del documento archiviato

Regolamento recante norme per l'individuazione delle misure di sicurezza minime per il trattamento dei dati personali a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675

CAPO III
Trattamento dei dati personali con strumenti diversi da quelli elettronici o comunque automatizzati

Art. 9 - Trattamento dei dati personali

1. Nel caso di trattamento di dati personali per fini diversi da quelli dell'articolo 3 della legge, effettuato con strumenti diversi da quelli previsti dal capo II, sono osservate le seguenti modalità:
a) nel designare gli incaricati del trattamento per iscritto e nell'impartire le istruzioni ai sensi degli articoli 8, comma 5, e 19 della legge, il titolare o, se designato, il responsabile devono prescrivere che gli incaricati abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati;
b) gli atti e i documenti contenenti i dati devono essere conservati in archivi ad accesso selezionato e, se affidati agli incaricati del trattamento, devono essere da questi ultimi conservati e restituiti al termine delle operazioni affidate.

2. Nel caso di trattamento di dati di cui agli articoli 22 e 24 della legge, oltre a quanto previsto nel comma 1, devono essere osservate le seguenti modalità:
a) se affidati agli incaricati del trattamento, gli atti e i documenti contenenti i dati sono conservati, fino alla restituzione, in contenitori muniti di serratura;
b) l'accesso agli archivi deve essere controllato e devono essere identificati e registrati i soggetti che vi vengono ammessi dopo l'orario di chiusura degli archivi stessi.

Art. 10 - Conservazione della documentazione relativa al trattamento

Decreto legislativo 28 dicembre 2001, n. 467

Disposizioni in materia di protezione dei dati personali in attuazione della legge 24 marzo 2001, n. 127

(G.U. 16 gennaio 2002, n. 13)

CAPO I (Modificazioni ed integrazioni alla legge n. 675/1996)

Art. 14 (Omessa adozione di misure minime di sicurezza)

1. L'articolo 36 della legge 31 dicembre 1996, n. 675, è sostituito dal seguente:

"Art. 36 (Omessa adozione di misure necessarie alla sicurezza dei dati)

1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con l'arresto sino a due anni o con l'ammenda da lire dieci milioni a lire ottanta milioni.

2. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, in quanto applicabili.".

2. Per i procedimenti penali per il reato di cui all’articolo 36 della legge 31 dicembre 1996, n. 675 in corso, entro quaranta giorni dall’entrata in vigore del presente decreto l’autore del reato può fare richiesta all’autorità giudiziaria di essere ammesso alla procedura indicata all’articolo 36, comma 2, della medesima legge n. 675 del 1996, come sostituito dal presente decreto. L’Autorità giudiziaria dispone la sospensione del procedimento e trasmette gli atti al Garante per la protezione dei dati personali che provvede ai sensi del medesimo articolo 36, comma 2.

Deliberazione 24/98, 30 Luglio 1998
(urn:nir:autorita.informatica.pubblica.amministrazione:delibera:1998-07-30;24)

Art. 2, comma 15, della Legge 24 dicembre 1993, n° 537:
Regole tecniche per l’uso di supporti ottici

ART. 8 - RESPONSABILE DELL’ARCHIVIAZIONE

1. Il responsabile del procedimento di archiviazione:

a.      definisce le caratteristiche ed i requisiti minimi del sistema di archiviazione in funzione della tipologia di documenti da trattare;

b.      conserva, con l’impiego di procedure informatiche eseguite sui dati contenuti nell’archivio ottico, relativamente ad ogni supporto di memorizzazione utilizzato, le informazioni appresso specificate:

1.      la casa produttrice del supporto di memorizzazione;

2.      l’identificativo del supporto di memorizzazione;

3.      gli estremi di riferimento della dichiarazione di conformità;

4.      la descrizione del contenuto del supporto di memorizzazione;

5.      gli estremi identificativi della copia di sicurezza;

6.      gli estremi identificativi del responsabile dell’archiviazione;

7.      i nominativi degli operatori designati dal responsabile dell’archiviazione, con l’indicazione dei compiti agli stessi assegnati;

c.      mantiene, con le stesse modalità previste per i documenti formati all’origine su supporto informatico dall’art. 6, lettera b, un archivio del software utilizzato, in ogni sua versione. Per l’archiviazione dell’eseguibile dei programmi non si applicano le limitazioni di formato ivi previste;

d.      garantisce la presentabilità ed accessibilità di tutte le istanze di ogni documento registrato contenuto nell’archivio, nonché la leggibilità del contenuto di ogni supporto di memorizzazione. In particolare, il responsabile è tenuto a:

1.      adottare le misure necessarie per evitare la perdita o distruzione delle informazioni;

2.      verificare periodicamente l’effettiva leggibilità del contenuto dell’archivio, provvedendo al riversamento del contenuto dei supporti non più idonei;

3.      effettuare il riversamento del contenuto dei supporti tecnologicamente obsoleti;

e.      verifica che il fornitore del sistema abbia certificato la rispondenza del sistema stesso alle specifiche tecniche contenute nella presente Deliberazione, ed abbia fornito, attestandone la corretta funzionalità, i relativi programmi di gestione;

f.        adotta le necessarie misure per la sicurezza fisica e logica del sistema di archiviazione;

g.      cura, nell’ambito dell’attività di archiviazione, le operazioni di chiusura dei supporti, di copia e riversamento del loro contenuto e di esibizione di quanto formato su supporto di memorizzazione;

h.      può delegare, per lo svolgimento delle attività di registrazione, riversamento e chiusura dei supporti di memorizzazione, soggetti che per competenza o esperienza garantiscano la corretta esecuzione delle operazioni, certificandone anche le chiavi di cifratura se queste non sono certificate da un certificatore riconosciuto;

i.         effettua il collaudo previsto al successivo art. 9;

j.         richiede la presenza di un Pubblico ufficiale nei casi in cui è previsto il suo intervento, assicurando allo stesso sia l’assistenza sia le risorse necessarie per l’espletamento delle attività al medesimo attribuite;

k.       conserva le attestazioni eventualmente rilasciate dal Pubblico ufficiale per le attività dallo stesso svolte in ottemperanza a quanto previsto dalla presente Deliberazione.

2. Il procedimento di archiviazione può essere delegato, in tutto o in parte, a soggetti che per specifica competenza ed esperienza assicurino la piena osservanza delle disposizioni contenute nella presente Deliberazione e la corretta esecuzione delle istruzioni ricevute.