DPCM n. 178 del 29.09.15 - articolo 23: Misure di sicurezza e sistema di conservazione

  Articolo 23 - Misure di sicurezza e sistema di conservazione

(Decreto del Presidente del Consiglio dei Ministri n. 178, 29 settembre 2015)

1. Le operazioni sui dati personali, necessarie per l'adempimento alle disposizioni di cui al presente decreto, sono effettuate mediante strumenti elettronici con modalità e soluzioni necessarie per assicurare confidenzialità, integrità e disponibilità dei dati, adottate in coerenza con le misure di sicurezza espressamente previste nel decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, e nel relativo disciplinare tecnico di cui all'Allegato B.

2. Ferme restando le misure di sicurezza di cui al Codice in materia di protezione dei dati personali, l'accesso al FSE è consentito, per tutte le finalità di cui al comma 2 dell'articolo 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, esclusivamente utilizzando le modalità di accesso e gli strumenti di cui all'articolo 64 del CAD.

3. La riservatezza dei dati trattati nell'ambito del FSE, ai sensi del Codice in materia di protezione dei dati personali ed, in particolare, dell'articolo 34, comma 1, lettera h), è garantita dalle procedure di sicurezza relative al software e ai servizi telematici utilizzati, attuate in conformità alle previsioni del CAD.

4. Nell'utilizzo di sistemi di memorizzazione o archiviazione dei dati devono essere attuati idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi.

5. Per la consultazione in sicurezza dei dati contenuti nel FSE sono assicurati:

a) idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento;

b) procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati;

c) protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati tra i diversi titolari coinvolti;

d) individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali;

e) tracciabilità degli accessi e delle operazioni effettuate;

f) sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie;

g) procedure di anonimizzazione degli elementi identificativi diretti, come definito dai decreti attuativi di cui all'articolo 35 del decreto legislativo 23 giugno 2011, n. 118, per il perseguimento delle finalità di cui ai punti b) e c) del comma 2 dell'articolo 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, fermo restando quanto previsto dall'articolo 15, comma 25-bis, del decreto-legge 6 luglio 2012, n. 95, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 135.

6. La struttura e l'organizzazione dei dati contenuti nel FSE deve garantire, oltre alla corretta e differenziata articolazione dei profili per quanto concerne la classificazione delle tipologie di informazioni sanitarie indispensabili in relazione alle finalità per cui vengono trattate, anche quella relativa ai diversi livelli autorizzativi dei soggetti abilitati all'accesso.

7. Le disposizioni di cui al comma 5 vengono attuate ai sensi delle specificazioni contenute nel disciplinare tecnico.

8. Ai fini di garantire il corretto impiego del FSE da parte degli utilizzatori e per renderli edotti dei rischi che incombono sui dati, nonchè delle misure di sicurezza adottate, vengono organizzate apposite sessioni di formazione, anche con riferimento agli aspetti di protezione dei dati personali, con particolare riferimento, all'accessibilità delle informazioni, alle operazioni di trattamento eseguibili e alla sicurezza dei dati.

9. Nel caso in cui dati trattati nell'ambito del FSE subiscano violazioni tali da comportare la perdita, la distruzione o la diffusione indebita di dati personali, il titolare del trattamento effettua una segnalazione al Garante per la protezione dei dati personali, entro una settimana dal verificarsi dell'evento, contenente:

a) una descrizione della natura della violazione dei dati personali occorsa, compresi le categorie e il numero di interessati coinvolti;

b) l'indicazione dell'identità e delle coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) la descrizione delle conseguenze della violazione dei dati personali subita;

d) le misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione dei dati personali.

10. La continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività sono assicurate dall'adozione del piano di continuità operativa e del piano di disaster recovery, di cui all'articolo 50-bis del CAD.

11. Al FSE e ai documenti di cui all'articolo 2, comma 2, si applicano le disposizioni degli articoli 43 e 44 del CAD.

12. Le disposizioni di cui al comma 1 si applicano anche ai documenti di cui all'articolo 2, comma 3, adottati nell'ambito della singola regione o provincia autonoma.

13. Le disposizioni di cui al comma 1 non si applicano al taccuino dell'assistito, di cui all'articolo 4.


articolo precedente // articolo successivo