DECRETO DEL PRESIDENTE DELLA REPUBBLICA 28 luglio 1999, n. 318

Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675.

note: Entrata in vigore del decreto: 29-9-1999 (Ultimo aggiornamento all'atto pubblicato il 29/07/2003)
  • Articoli
  • PRINCIPI GENERALI
  • 1
  • TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI
    O COMUNQUE AUTOMATIZZATI.
    Sezione I
    Trattamento dei dati personali effettuato mediante elaboratori non
    accessibili da altri elaboratori o terminali.
  • 2
  • TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI
    O COMUNQUE AUTOMATIZZATI.
    Sezione II
    Trattamento dei dati personali effettuato mediante elaboratori
    accessibili in rete
  • 3
  • 4
  • 5
  • 6
  • 7
  • TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI
    O COMUNQUE AUTOMATIZZATI.
    Sezione III
    Trattamento dei dati personali effettuato
    per fini esclusivamente personali
  • 8
  • TRATTAMENTO DEI DATI PERSONALI CON STRUMENTI DIVERSI DA QUELLI
    ELETTRONICI O COMUNQUE AUTOMATIZZATI.
  • 9
  • 10
Testo in vigore dal: 29-9-1999
al: 31-12-2003
aggiornamenti all'articolo
                   IL PRESIDENTE DELLA REPUBBLICA

  Visto l'articolo 87, comma quinto, della Costituzione;
  Visto  l'articolo  15 della legge 31 dicembre 1996, n. 675, recante
"Tutela delle persone e di altri soggetti rispetto al trattamento dei
dati personali";
  Ritenuto  che  ai  sensi  dell'articolo 15, comma 2, della legge 31
dicembre  1996,  n.  675,  occorre individuare, in via preventiva, le
misure   minime   di  sicurezza  per  i  dati  personali  oggetto  di
trattamento,  al  fine  di  assicurare  il funzionamento delle misure
sanzionatorie penali previste dall'articolo 36 della medesima legge;
  Visto  l'articolo  17,  comma  1, lettera a), della legge 23 agosto
1988, n. 400;
  Sentiti    l'Autorita'    per    l'informatica    nella    pubblica
amministrazione e il Garante per la protezione dei dati personali;
  Udito  il  parere  del  Consiglio  di Stato, espresso dalla sezione
consultiva Per gli atti normativi nell'adunanza del 26 aprile 1999;
  Ritenuto  di  dover  comunque garantire la possibilita', in caso di
piu'  incaricati del trattamento, di limitare l'accesso a determinati
dati  personali  attraverso  la  previsione  di  una specifica parola
chiave per tali dati, senza operare, quindi, alcuna equiparazione tra
tale  ipotesi  e  quella  relativa alla previsione di un'unica parola
chiave per l'accesso al sistema;
  Viste  le  deliberazioni del Consiglio dei Ministri, adottate nelle
riunioni del 16 luglio e del 23 luglio 1999;
  Sulla proposta del Ministro di grazia e giustizia;

                              E M A N A
                       il seguente regolamento

                               Art. 1
                             Definizioni

  1.  Ai  fini  del  presente regolamento si applicano le definizioni
elencate  nell'articolo  1  della  legge 31 dicembre 1996, n. 675, di
seguito denominata legge. Ai medesimi fini si intendono per:
a) "misure minime": il complesso delle misure tecniche, informatiche,
   organizzative, logistiche e procedurali di sicurezza, previste nel
   presente   regolamento,  che  configurano  il  livello  minimo  di
   protezione richiesto in relazione ai rischi previsti dall'articolo
   15, comma 1, della legge;
b) "strumenti":  i mezzi elettronici o comunque automatizzati con cui
   si effettua il trattamento;
c) "amministratori  di  sistema":  i  soggetti  cui  e'  conferito il
   compito  di sovrintendere alle risorse del sistema operativo di un
   elaboratore  o  di  un  sistema  di  base  dati  e  di consentirne
   l'utilizzazione.
          Avvertenza:
          Il  testo  delle  note  qui  pubblicato  e'  stato  redatto
          dall'amministrazione   competente  per  materia,  ai  sensi
          dell'art.  10,  comma 3, del testo unico delle disposizioni
          sulla   promulgazione   delle  leggi,  sull'emanazione  dei
          decreti   del   Presidente   della   Repubblica   e   sulle
          pubblicazioni    ufficiali   della   Repubblica   italiana,
          approvato  con  D.P.R.  28  dicembre 1985, n. 1092, al solo
          fine  di  facilitare la lettura delle disposizioni di legge
          alle quali e' operato il rinvio.
          Restano  invariati  il  valore  e  l'efficacia  degli  atti
          legislativi qui trascritti.

           Note alle premesse:
             - Si riporta il testo dell'art. 87 della Costituzione:
            "Art.  87.  -  Il  Presidente della Repubblica e' il Capo
          dello Stato e rappresenta l'unita' nazionale.
             Puo' inviare messaggi alle Camere.
            Indice le elezioni delle nuove Camere e ne fissa la prima
          riunione.
            Autorizza  la presentazione  alle Camere  dei disegni  di
          legge  di iniziativa del Governo.
            Promulga le  leggi ed emana  i decreti aventi  valore  di
          legge  e i regolamenti.
            Indice      il   "referendum"     popolare    nei    casi
          previsti   dalla Costituzione.
            Nomina, nei casi indicati dalla legge, i funzionari dello
          Stato.
            Accredita  e  riceve  i    rappresentanti    diplomatici,
          ratifica    i  trattati    internazionali,   previa, quando
          occorra,  l'autorizzazione delle Camere.
            Ha il comando delle Forze  armate, presiede il  Consiglio
          supremo  di difesa  costituito secondo  la  legge, dichiara
          lo  stato di  guerra deliberato dalle Camere.
             Presiede il Consiglio superiore della magistratura.
             Puo' concedere grazia e commutare le pene.
             Conferisce le onorificenze della Repubblica".
            - Si trascrive il testo dell'art.    15  della  legge  31
          dicembre  1996, n.   675   (Tutela   delle   persone   e di
          altri    soggetti    rispetto    al  trattamento  dei  dati
          personali):
            "Art.  15   (Sicurezza dei dati).  - 1.  I dati personali
          oggetto  di   trattamento   devono   essere   custoditi   e
          controllati,  anche  in relazione alle conoscenze acquisite
          in base al progresso  tecnico, alla natura dei dati e  alle
          specifiche caratteristiche del   trattamento,  in  modo  da
          ridurre  al    minimo,  mediante   l'adozione di   idonee e
          preventive  misure    di    sicurezza,    i     rischi   di
          distruzione    o   perdita,   anche accidentale,  dei  dati
          stessi,  di accesso  non  autorizzato   o   di  trattamento
          non   consentito   o   non conforme  alle  finalita'  della
          raccolta.
            2. Le misure minime  di  sicurezza  da  adottare  in  via
          preventiva  sono  individuate  con regolamento emanato  con
          decreto  del  Presidente   della   Repubblica,   ai   sensi
          dell'art.  17, comma 1, lettera  a), della legge 23  agosto
          1988,  n.  400,  entro centottanta  giorni  dalla data   di
          entrata  in vigore   della presente legge, su proposta  del
          Ministro di grazia  e  giustizia,  sentiti l'Autorita'  per
          l'informatica  nella pubblica amministrazione e il Garante.
            3. Le   misure di sicurezza di   cui al  comma  2    sono
          adeguate,  entro  due    anni  dalla   data di   entrata in
          vigore della   presente legge   e  successivamente      con
          cadenza    almeno   biennale,  con   successivi regolamenti
          emanati  con   le modalita' di cui al medesimo  comma 2, in
          relazione   all'evoluzione    tecnica   del   settore     e
          all'esperienza maturata.
            4. Le misure di sicurezza relative ai dati trattati dagli
          organismi  di  cui   all'art. 4, comma 1,  lettera b), sono
          stabilite  con decreto del  Presidente del  Consiglio   dei
          Ministri    con  l'osservanza   delle norme che regolano la
          materia".
            -  Si trascrive  il testo  dell'art. 17,  comma 1,  della
          legge    23  agosto    1988,      n.    400     (Disciplina
          dell'attivita'       di    Governo    e  ordinamento  della
          Presidenza del Consiglio dei Ministri):
            "1.     Con   decreto      del      Presidente      della
          Repubblica,      previa deliberazione   del   Consiglio dei
          Ministri,  sentito  il parere  del Consiglio di Stato   che
          deve  pronunziarsi  entro   novanta giorni dalla richiesta,
          possono essere emanati regolamenti per disciplinare:
            a) l'esecuzione delle leggi e   dei decreti  legislativi,
          nonche' dei regolamenti comunitari (7/a);
            b)   l'attuazione   e   l'integrazione    delle  leggi  e
          dei   decreti legislativi   recanti norme    di  principio,
          esclusi   quelli      relativi  a  materie  riservate  alla
          competenza regionale;
            c) le materie  in cui manchi la  disciplina da  parte  di
          leggi  o  di atti  aventi forza  di legge,  sempre che  non
          si  tratti di  materie comunque riservate alla legge;
            d)   l'organizzazione   ed   il    funzionamento    delle
          amministrazioni  pubbliche  secondo le disposizioni dettate
          dalla legge;
               e) (soppressa)".
           Note all'art. 1:
            - Si  riporta il testo dell'art.   1 della  citata  legge
          31 dicembre 1996, n. 675:
            "Art.    1   (Finalita'   e   definizioni).    -   1.  La
          presente  legge garantisce  che  il trattamento  dei   dati
          personali  si   svolga   nel rispetto   dei diritti,  delle
          liberta'   fondamentali, nonche'   della  dignita'    delle
          persone    fisiche,    con   particolare riferimento   alla
          riservatezza e all'identita' personale; garantisce altresi'
          i diritti delle persone giuridiche e di ogni altro  ente  o
          associazione.
             2. Ai fini della presente legge si intende:
            a)    per "banca  di dati",  qualsiasi complesso  di dati
          personali, ripartito  in  una o   piu'   unita'   dislocate
          in  uno o  piu'  siti, organizzato  secondo una  pluralita'
          di      criteri   determinati     tali  da  facilitarne  il
          trattamento;
            b)   per    "trattamento",   qualunque    operazione    o
          complesso    di operazioni,  svolti con  o  senza l'ausilio
          di    mezzi  elettronici    o  comunque      automatizzati,
          concernenti        la   raccolta,       la   registrazione,
          l'organizzazione,  la  conservazione,  l'elaborazione,   la
          modificazione,  la     selezione,     l'estrazione,      il
          raffronto,      l'utilizzo, l'interconnessione, il  blocco,
          la  comunicazione, la   diffusione, la cancellazione  e  la
          distruzione di dati;
            c) per "dato personale",  qualunque informazione relativa
          a   persona  fisica,     persona     giuridica,    ente  od
          associazione,   identificati   o identificabili,      anche
          indirettamente,    mediante     riferimento     a qualsiasi
          altra   informazione,   ivi   compreso   un    numero    di
          identificazione personale;
            d)    per  "titolare",   la persona   fisica, la  persona
          giuridica,   la pubblica    amministrazione  e    qualsiasi
          altro    ente, associazione   od organismo cui competono le
          decisioni in ordine alle finalita' ed  alle  modalita'  del
          trattamento  di  dati    personali, ivi compreso il profilo
          della sicurezza;
            e) per "responsabile", la persona    fisica,  la  persona
          giuridica, la pubblica  amministrazione e  qualsiasi  altro
          ente,  associazione   od organismo preposti dal titolare al
          trattamento di dati personali;
            f)  per "interessato",  la  persona fisica,   la  persona
          giuridica,  l'ente  o  l'associazione  cui si riferiscono i
          dati personali;
            g) per  "comunicazione",  il  dare  conoscenza  dei  dati
          personali  a  uno  o  piu'   soggetti determinati   diversi
          dall'interessato,  in qualunque forma,  anche  mediante  la
          loro messa a disposizione o consultazione;
            h)    per   "diffusione", il   dare  conoscenza  dei dati
          personali  a soggetti indeterminati,  in qualunque   forma,
          anche   mediante      la   loro   messa  a  disposizione  o
          consultazione;
            i)  per "dato  anonimo", il  dato che  in origine,   o  a
          seguito  di  trattamento,  non  puo' essere associato ad un
          interessato identificato o identificabile;
            l) per "blocco", la conservazione di dati  personali  con
          sospensione   temporanea   di  ogni  altra  operazione  del
          trattamento;
            m)  per  "Garante",  l'autorita'   istituita   ai   sensi
          dell'art. 30".
            -  Per  il  testo  dell'art.  15  della  citata  legge 31
          dicembre 1996, n.  675, vd. supra in note alle premesse.