DECRETO DEL PRESIDENTE DELLA REPUBBLICA 7 settembre 2010, n. 160

Regolamento per la semplificazione ed il riordino della disciplina sullo sportello unico per le attivita' produttive, ai sensi dell'articolo 38, comma 3, del decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133. (10G0183)

note: Entrata in vigore del provvedimento: 15/10/2010 (Ultimo aggiornamento all'atto pubblicato il 13/07/2016)
vigente al 24/10/2020
  • Allegati
Testo in vigore dal: 15-10-2010
attiva riferimenti normativi
                               Art. 4 
 
 
                 Funzioni e organizzazione del SUAP 
 
  1. Il SUAP assicura al richiedente una risposta telematica unica  e
tempestiva in luogo  degli  altri  uffici  comunali  e  di  tutte  le
amministrazioni pubbliche comunque coinvolte  nel  procedimento,  ivi
comprese     quelle     preposte     alla     tutela      ambientale,
paesaggistico-territoriale, del patrimonio storico-artistico  o  alla
tutela della salute e della pubblica incolumita'. 
  2. Le comunicazioni al richiedente  sono  trasmesse  esclusivamente
dal SUAP; gli altri uffici comunali e  le  amministrazioni  pubbliche
diverse dal comune, che sono interessati al procedimento, non possono
trasmettere al richiedente atti autorizzatori, nulla osta,  pareri  o
atti di consenso, anche a contenuto negativo, comunque  denominati  e
sono tenute a trasmettere immediatamente al SUAP tutte le denunce, le
domande,  gli  atti  e  la  documentazione  ad   esse   eventualmente
presentati, dandone comunicazione al richiedente. 
  3. Il SUAP, nel rispetto dell'articolo  24  della  legge  7  agosto
1990, n. 241, cura l'informazione attraverso il portale in relazione: 
    a) agli adempimenti necessari per lo svolgimento delle  attivita'
di cui all'articolo 2, comma 1,  indicando  altresi'  quelle  per  le
quali e' consentito l'immediato avvio dell'intervento; 
    b)  alle  dichiarazioni,  alle  segnalazioni   e   alle   domande
presentate, al loro iter procedimentale e agli atti  adottati,  anche
in sede di controllo successivo, dallo stesso SUAP, dall'ufficio o da
altre amministrazioni pubbliche competenti; 
    c)  alle  informazioni,  che  sono  garantite   dalle   autorita'
competenti ai sensi dell'articolo 26 del decreto legislativo  del  26
marzo 2010, n. 59. 
  4. L'ufficio competente per il SUAP  ed  il  relativo  responsabile
sono individuati secondo le forme previste dagli ordinamenti  interni
dei  singoli  comuni  o  dagli  accordi  sottoscritti  in   caso   di
associazione,  che  dispongono  anche   in   ordine   alla   relativa
strutturazione; nelle more dell'individuazione  del  responsabile  di
cui al presente comma, il ruolo di responsabile del SUAP e' ricoperto
dal segretario comunale. Il  responsabile  del  SUAP  costituisce  il
referente  per  l'esercizio  del  diritto  di  accesso  agli  atti  e
documenti  detenuti  dal  SUAP,  anche  se   provenienti   da   altre
amministrazioni  o  da  altri  uffici  comunali.  Rimane   ferma   la
responsabilita' delle amministrazioni o  degli  uffici  comunali  per
altri atti,  comunque  connessi  o  presupposti,  diversi  da  quelli
detenuti dal SUAP. 
  5. I comuni possono esercitare le  funzioni  inerenti  al  SUAP  in
forma singola o associata tra loro, o in convenzione con le camere di
commercio. 
  6. Salva  diversa  disposizione  dei  comuni  interessati  e  ferma
restando l'unicita' del canale di  comunicazione  telematico  con  le
imprese da parte del SUAP, sono  attribuite  al  SUAP  le  competenze
dello sportello unico per l'edilizia produttiva. 
  7.  Le  domande,  le  dichiarazioni,  le  segnalazioni,  gli   atti
dell'amministrazione  e  i  relativi  allegati  sono  predisposti  in
formato elettronico e trasmessi  in  via  telematica  secondo  quanto
disposto dall'Allegato tecnico di cui all'articolo 12,  comma  5.  La
conoscibilita' in modalita'  telematica  degli  estremi  degli  atti,
compresi quelli della ricevuta di cui all'articolo 5,  comma  4,  non
costituisce conoscenza nei confronti dei terzi ai  fini  del  decorso
dei termini decadenziali di impugnazione. 
  8. Il collegamento tra  il  SUAP  e  il  registro  imprese  avviene
attraverso  modalita'  di  comunicazione   telematica   conformi   ai
requisiti previsti dall'Allegato  tecnico  di  cui  all'articolo  12,
comma 5,  ed  agli  standard  pubblicati  sul  portale,  nonche'  nel
rispetto del decreto legislativo 30 giugno 2003, n. 196. 
  9. Il collegamento di cui al comma 8: 
    a) rende inammissibile ogni richiesta, da parte del  responsabile
del SUAP all'impresa interessata, di atti, documentazione o dati gia'
acquisiti dal registro imprese; 
    b) garantisce, anche ai sensi  dell'articolo  25,  comma  7,  del
decreto legislativo del 26 marzo 2010, n. 59, che il registro imprese
renda accessibile al SUAP competente, nel rispetto  dei  principi  di
cui all'articolo 11 del decreto legislativo 30 giugno 2003, n. 196, e
delle misure minime di sicurezza  di  cui  al  relativo  allegato  B,
l'avvenuta  iscrizione  e  gli  eventi  modificativi  delle  imprese,
nonche' le informazioni relative  alle  segnalazioni  certificate  di
inizio attivita' ed alle comunicazioni provenienti dagli altri  SUAP,
anche con riferimento alle attivita' non soggette a SCIA,  funzionali
al procedimento in corso; 
    c) assicura lo scambio di informazioni tra il registro imprese  e
l'anagrafe comunale mediante il sistema INA-SAIA; 
    d)  garantisce  l'aggiornamento  del  repertorio  delle   notizie
economiche e amministrative di cui all'articolo  9  del  decreto  del
Presidente della Repubblica del 7 dicembre  1995,  n.  581,  con  gli
estremi relativi al rilascio delle SCIA, delle comunicazioni o  altri
atti di assenso comunque denominati rilasciati dal SUAP. 
  10. Entro centoventi  giorni  dalla  data  di  pubblicazione  nella
Gazzetta Ufficiale del  presente  regolamento,  i  Comuni  attestano,
secondo le modalita' previste dall'articolo 4, comma 2, dell'Allegato
tecnico, la sussistenza in capo ai SUAP del  proprio  territorio  dei
requisiti di cui all'articolo 38, comma 3, lettera a), e a-bis),  del
decreto-legge e all'articolo 2, comma 2,  del  presente  regolamento,
trasmettendola al Ministero per lo sviluppo  economico  che  cura  la
pubblicazione dell'elenco dei SUAP  sul  portale.  Tale  elenco  puo'
essere successivamente integrato su richiesta dei Comuni i  cui  SUAP
abbiano nelle more acquisito tali  requisiti.  Sono  fatte  salve  le
funzioni di verifica e di monitoraggio di cui all'articolo 11. 
  11. Nel caso in cui, al momento della scadenza del termine  di  cui
all'articolo 12, comma 1, lettera a), il comune non  abbia  istituito
il SUAP, o  questo  non  abbia  i  requisiti  di  cui  al  comma  10,
l'esercizio delle relative funzioni, decorso il  termine  di  cui  al
medesimo articolo, e' delegato, anche  in  assenza  di  provvedimenti
espressi, alla camera di commercio territorialmente  competente,  con
le modalita' previste dall'Allegato tecnico di cui  all'articolo  12,
comma 5, che assicura la partecipazione dell'ANCI alla  gestione  del
portale, sulla base della convenzione quadro tra Unioncamere e ANCI. 
  12. Nei casi di cui al comma 11, le camere di commercio, attraverso
il portale, provvedono alla  gestione  telematica  dei  procedimenti,
comprese le fasi di ricezione delle domande,  la  divulgazione  delle
informazioni, l'attivazione di adempimenti, il rilascio  di  ricevute
all'interessato e il pagamento dei diritti e delle imposte. 
  13.  In  relazione  ai  procedimenti  disciplinati   nel   presente
regolamento, il responsabile del SUAP pone a carico  dell'interessato
il pagamento delle spese e dei diritti previsti  da  disposizioni  di
leggi statali  e  regionali  vigenti,  nelle  misure  ivi  stabilite,
compresi i diritti e le spese previsti a favore  degli  altri  uffici
comunali, secondo  i  regolamenti  comunali,  provvedendo  alla  loro
riscossione e al loro trasferimento  alle  amministrazioni  pubbliche
coinvolte nel procedimento stesso. 
  14.  Il  SUAP,  espletate  le  procedure  necessarie,   trasferisce
immediatamente, in via  telematica,  e  in  assenza  di  collegamento
telematico non oltre il mese successivo al  versamento,  gli  importi
dei diritti  di  cui  al  comma  13  alle  amministrazioni  pubbliche
competenti. 
          Note all'art. 4: 
              - Si riporta il testo dell'art. 24 della legge 7 agosto
          1990, n. 241: 
              «Art. 24 (Esclusione dal diritto di accesso). -  1.  Il
          diritto di accesso e' escluso: 
                a) per i documenti coperti da  segreto  di  Stato  ai
          sensi della legge 24 ottobre 1977,  n.  801,  e  successive
          modificazioni, e nei  casi  di  segreto  o  di  divieto  di
          divulgazione  espressamente  previsti  dalla   legge,   dal
          regolamento governativo di cui al comma 6 e dalle pubbliche
          amministrazioni ai sensi del comma 2 del presente articolo; 
                b) nei procedimenti tributari, per  i  quali  restano
          ferme le particolari norme che li regolano; 
                c)  nei  confronti  dell'attivita'   della   pubblica
          amministrazione diretta all'emanazione di  atti  normativi,
          amministrativi   generali,   di   pianificazione    e    di
          programmazione, per i quali restano  ferme  le  particolari
          norme che ne regolano la formazione; 
                d) nei  procedimenti  selettivi,  nei  confronti  dei
          documenti   amministrativi   contenenti   informazioni   di
          carattere psicoattitudinale relativi a terzi. 
              2. Le singole pubbliche amministrazioni individuano  le
          categorie  di  documenti  da  esse   formati   o   comunque
          rientranti nella loro disponibilita' sottratti  all'accesso
          ai sensi del comma 1. 
              3. Non sono ammissibili istanze di accesso  preordinate
          ad un controllo generalizzato dell'operato delle  pubbliche
          amministrazioni. 
              4.  L'accesso  ai  documenti  amministrativi  non  puo'
          essere negato ove sia sufficiente fare ricorso al potere di
          differimento. 
              5. I documenti contenenti  informazioni  connesse  agli
          interessi di cui al comma 1 sono considerati  segreti  solo
          nell'ambito e nei limiti di tale connessione. A  tale  fine
          le pubbliche amministrazioni fissano, per ogni categoria di
          documenti, anche l'eventuale periodo di tempo per il  quale
          essi sono sottratti all'accesso. 
              6. Con regolamento, adottato  ai  sensi  dell'art.  17,
          comma 2, della legge 23 agosto 1988,  n.  400,  il  Governo
          puo' prevedere casi di sottrazione all'accesso di documenti
          amministrativi: 
                a) quando, al di  fuori  delle  ipotesi  disciplinate
          dall'art. 12 della legge 24 ottobre  1977,  n.  801,  dalla
          loro divulgazione possa derivare una lesione,  specifica  e
          individuata,  alla  sicurezza  e  alla  difesa   nazionale,
          all'esercizio della sovranita' nazionale e alla continuita'
          e alla  correttezza  delle  relazioni  internazionali,  con
          particolare riferimento alle ipotesi previste dai  trattati
          e dalle relative leggi di attuazione; 
                b) quando l'accesso  possa  arrecare  pregiudizio  ai
          processi di formazione, di determinazione e  di  attuazione
          della politica monetaria e valutaria; 
                c) quando i  documenti  riguardino  le  strutture,  i
          mezzi, le dotazioni, il personale e le azioni  strettamente
          strumentali  alla   tutela   dell'ordine   pubblico,   alla
          prevenzione  e  alla  repressione  della  criminalita'  con
          particolare riferimento alle tecniche  investigative,  alla
          identita' delle fonti di informazione e alla sicurezza  dei
          beni e delle persone coinvolte,  all'attivita'  di  polizia
          giudiziaria e di conduzione delle indagini; 
                d) quando i documenti riguardino la vita privata o la
          riservatezza  di  persone  fisiche,   persone   giuridiche,
          gruppi, imprese e associazioni, con particolare riferimento
          agli  interessi   epistolare,   sanitario,   professionale,
          finanziario, industriale e  commerciale  di  cui  siano  in
          concreto titolari, ancorche' i relativi dati siano  forniti
          all'amministrazione   dagli   stessi   soggetti   cui    si
          riferiscono; 
                e) quando i documenti riguardino l'attivita' in corso
          di contrattazione collettiva nazionale di lavoro e gli atti
          interni connessi all'espletamento del relativo mandato. 
              7.  Deve  comunque  essere  garantito  ai   richiedenti
          l'accesso ai documenti amministrativi la cui conoscenza sia
          necessaria per curare o per difendere  i  propri  interessi
          giuridici. Nel caso di documenti contenenti dati  sensibili
          e giudiziari, l'accesso e' consentito nei limiti in cui sia
          strettamente  indispensabile   e   nei   termini   previsti
          dall'art. 60 del decreto legislativo  30  giugno  2003,  n.
          196, in caso di dati idonei a rivelare lo stato di salute e
          la vita sessuale.». 
              -  Si  riporta  il  testo  dell'art.  26  del   decreto
          legislativo 26 marzo 2010, n. 59: 
              «Art. 26 (Diritto all'informazione). - 1. Attraverso lo
          sportello unico di cui al presente decreto, i prestatori  e
          i destinatari hanno accesso alle seguenti informazioni: 
                a) i requisiti imposti  ai  prestatori  stabiliti  in
          Italia, in particolare quelli  relativi  alle  procedure  e
          alle formalita' da espletare per accedere alle attivita' di
          servizi ed esercitarle; 
                b) i  dati  necessari  per  entrare  direttamente  in
          contatto  con  le  autorita'  competenti,  comprese  quelle
          competenti in  materia  di  esercizio  delle  attivita'  di
          servizi; 
                c) i mezzi e le condizioni  di  accesso  alle  banche
          dati e ai registri pubblici relativi ai  prestatori  ed  ai
          servizi; 
                d) i mezzi di ricorso esistenti in genere in caso  di
          controversie tra le autorita' competenti ed il prestatore o
          il destinatario, o tra un prestatore e un  destinatario,  o
          tra prestatori; 
                e) i dati di associazioni  o  organizzazioni  diverse
          dalle autorita' competenti presso le quali i prestatori o i
          destinatari possono ottenere assistenza pratica. 
              2. Il regolamento di cui  all'art.  38,  comma  3,  del
          decreto-legge 25  giugno  2008,  n.  112,  convertito,  con
          modificazioni, della legge 6 agosto 2008, n.  133,  prevede
          misure idonee per assicurare che  lo  sportello  unico,  su
          richiesta, fornisca assistenza sul modo in cui i  requisiti
          di cui al comma 1,  lettera  a),  vengono  interpretati  ed
          applicati.  L'informazione  e'  fornita  in  un  linguaggio
          semplice e comprensibile. 
              3.  Lo  sportello  unico  risponde   con   la   massima
          sollecitudine alle domande di informazioni o alle richieste
          di assistenza di cui ai commi 1 e 2 e, in caso di richiesta
          irregolare  o  infondata,  ne  informa  senza  indugio   il
          richiedente.». 
              - Per il decreto legislativo del  30  giugno  2003,  n.
          196, si veda nelle note alle premesse. 
              - Si riporta il testo del comma  7  dell'art.  25,  del
          decreto legislativo 26 marzo 2010, n. 59: 
              «7.  Il  prestatore  informa  lo  sportello  unico  dei
          seguenti cambiamenti: 
                a) l'apertura di filiali le cui  attivita'  rientrano
          nel campo di applicazione del regime di autorizzazione; 
                b) i cambiamenti della sua situazione che  comportino
          la modifica o il venir meno del rispetto  delle  condizioni
          di autorizzazione.». 
              -  Si  riporta  il  testo  dell'art.  11  del   decreto
          legislativo 30 giugno 2003, n. 196: 
              «Art. 11 (Modalita' del  trattamento  e  requisiti  dei
          dati). - 1. I dati personali oggetto di trattamento sono: 
                a) trattati in modo lecito e secondo correttezza; 
                b)  raccolti  e  registrati  per  scopi  determinati,
          espliciti e legittimi, ed utilizzati  in  altre  operazioni
          del trattamento in termini compatibili con tali scopi; 
                c) esatti e, se necessario, aggiornati; 
                d) pertinenti, completi e non eccedenti rispetto alle
          finalita' per le  quali  sono  raccolti  o  successivamente
          trattati; 
                e)   conservati   in   una   forma    che    consenta
          l'identificazione dell'interessato per un periodo di  tempo
          non superiore a quello necessario agli scopi  per  i  quali
          essi sono stati raccolti o successivamente trattati. 
              2.  I  dati  personali  trattati  in  violazione  della
          disciplina rilevante in materia  di  trattamento  dei  dati
          personali non possono essere utilizzati.». 
              - Si riporta  il  testo  dell'allegato  B  del  decreto
          legislativo 30 giugno 2003, n. 196: 
                                                          «Allegato B 
          Disciplinare  tecnico  in  materia  di  misure  minime   di
          sicurezza. 
              (Artt. da 33 a 36 del codice) 
          Trattamenti con strumenti elettronici. 
              Modalita' tecniche da adottare a cura del titolare, del
          responsabile ove designato e dell'incaricato,  in  caso  di
          trattamento con strumenti elettronici: 
          Sistema di autenticazione informatica. 
              1. Il  trattamento  di  dati  personali  con  strumenti
          elettronici  e'  consentito  agli  incaricati   dotati   di
          credenziali di autenticazione che consentano il superamento
          di una procedura di autenticazione relativa a uno specifico
          trattamento o a un insieme di trattamenti. 
              2. Le credenziali di autenticazione  consistono  in  un
          codice per l'identificazione  dell'incaricato  associato  a
          una  parola  chiave  riservata  conosciuta  solamente   dal
          medesimo oppure in  un  dispositivo  di  autenticazione  in
          possesso e  uso  esclusivo  dell'incaricato,  eventualmente
          associato a un codice identificativo o a una parola chiave,
          oppure in una  caratteristica  biometrica  dell'incaricato,
          eventualmente associata a un codice identificativo o a  una
          parola chiave. 
              3.  Ad  ogni  incaricato  sono  assegnate  o  associate
          individualmente    una    o    piu'     credenziali     per
          l'autenticazione. 
              4. Con  le  istruzioni  impartite  agli  incaricati  e'
          prescritto di adottare le necessarie cautele per assicurare
          la segretezza della componente riservata della  credenziale
          e la diligente custodia dei dispositivi in possesso ed  uso
          esclusivo dell'incaricato. 
              5. La parola chiave, quando e' prevista dal sistema  di
          autenticazione,  e'  composta  da  almeno  otto   caratteri
          oppure, nel caso in cui lo  strumento  elettronico  non  lo
          permetta,  da  un  numero  di  caratteri  pari  al  massimo
          consentito;  essa  non  contiene  riferimenti   agevolmente
          riconducibili   all'incaricato   ed   e'   modificata    da
          quest'ultimo al primo utilizzo e,  successivamente,  almeno
          ogni sei mesi. In caso di trattamento di dati  sensibili  e
          di dati giudiziari la parola chiave  e'  modificata  almeno
          ogni tre mesi. 
              6. Il codice per l'identificazione, laddove utilizzato,
          non puo' essere assegnato ad altri incaricati,  neppure  in
          tempi diversi. 
              7. Le credenziali di autenticazione non  utilizzate  da
          almeno   sei   mesi   sono   disattivate,   salvo    quelle
          preventivamente autorizzate  per  soli  scopi  di  gestione
          tecnica. 
              8. Le credenziali sono disattivate  anche  in  caso  di
          perdita  della   qualita'   che   consente   all'incaricato
          l'accesso ai dati personali. 
              9. Sono impartite istruzioni agli  incaricati  per  non
          lasciare incustodito e accessibile lo strumento elettronico
          durante una sessione di trattamento. 
              10.  Quando  l'accesso  ai  dati   e   agli   strumenti
          elettronici e' consentito esclusivamente mediante uso della
          componente     riservata     della     credenziale      per
          l'autenticazione,  sono  impartite  idonee   e   preventive
          disposizioni scritte volte  a  individuare  chiaramente  le
          modalita' con le  quali  il  titolare  puo'  assicurare  la
          disponibilita' di dati o strumenti elettronici in  caso  di
          prolungata assenza o impedimento dell'incaricato che  renda
          indispensabile e indifferibile  intervenire  per  esclusive
          necessita' di operativita' e di sicurezza del  sistema.  In
          tal caso la  custodia  delle  copie  delle  credenziali  e'
          organizzata   garantendo   la   relativa    segretezza    e
          individuando  preventivamente  per  iscritto   i   soggetti
          incaricati della loro custodia, i  quali  devono  informare
          tempestivamente l'incaricato dell'intervento effettuato. 
              11. Le disposizioni sul sistema  di  autenticazione  di
          cui  ai  precedenti  punti  e   quelle   sul   sistema   di
          autorizzazione non si applicano  ai  trattamenti  dei  dati
          personali destinati alla diffusione. 
          Sistema di autorizzazione. 
              12. Quando per gli incaricati sono individuati  profili
          di  autorizzazione  di  ambito  diverso  e'  utilizzato  un
          sistema di autorizzazione. 
              13. I profili di autorizzazione, per ciascun incaricato
          o per classi omogenee di  incaricati,  sono  individuati  e
          configurati anteriormente all'inizio  del  trattamento,  in
          modo da limitare  l'accesso  ai  soli  dati  necessari  per
          effettuare le operazioni di trattamento. 
              14. Periodicamente, e comunque almeno  annualmente,  e'
          verificata  la  sussistenza   delle   condizioni   per   la
          conservazione dei profili di autorizzazione. 
          Altre misure di sicurezza. 
              15.  Nell'ambito   dell'aggiornamento   periodico   con
          cadenza almeno annuale dell'individuazione dell'ambito  del
          trattamento consentito ai singoli incaricati e addetti alla
          gestione o alla manutenzione degli  strumenti  elettronici,
          la lista degli incaricati puo'  essere  redatta  anche  per
          classi omogenee di  incarico  e  dei  relativi  profili  di
          autorizzazione. 
              16. I dati personali sono protetti contro il rischio di
          intrusione e  dell'azione  di  programmi  di  cui  all'art.
          615-quinquies del codice penale, mediante l'attivazione  di
          idonei strumenti  elettronici  da  aggiornare  con  cadenza
          almeno semestrale. 
              17.  Gli  aggiornamenti  periodici  dei  programmi  per
          elaboratore  volti  a  prevenire   la   vulnerabilita'   di
          strumenti  elettronici  e  a   correggerne   difetti   sono
          effettuati almeno annualmente. In caso  di  trattamento  di
          dati  sensibili  o  giudiziari  l'aggiornamento  e'  almeno
          semestrale. 
              18. Sono impartite istruzioni organizzative e  tecniche
          che prevedono il salvataggio dei dati con frequenza  almeno
          settimanale. 
          Documento programmatico sulla sicurezza. 
              19. Entro il 31 marzo di ogni anno, il titolare  di  un
          trattamento di dati sensibili o di dati  giudiziari  redige
          anche  attraverso  il  responsabile,   se   designato,   un
          documento programmatico sulla sicurezza  contenente  idonee
          informazioni riguardo: 
              19.1. l'elenco dei trattamenti di dati personali; 
              19.2.   la   distribuzione   dei   compiti   e    delle
          responsabilita' nell'ambito  delle  strutture  preposte  al
          trattamento dei dati; 
              19.3. l'analisi dei rischi che incombono sui dati; 
              19.4. le misure da adottare per garantire  l'integrita'
          e la disponibilita' dei dati, nonche' la  protezione  delle
          aree e dei locali, rilevanti ai fini della loro custodia  e
          accessibilita'; 
              19.5. la descrizione dei criteri e delle modalita'  per
          il ripristino della disponibilita' dei dati  in  seguito  a
          distruzione o danneggiamento di cui al successivo punto 23; 
              19.6.  la  previsione  di  interventi  formativi  degli
          incaricati del trattamento, per renderli edotti dei  rischi
          che  incombono  sui  dati,  delle  misure  disponibili  per
          prevenire eventi  dannosi,  dei  profili  della  disciplina
          sulla protezione  dei  dati  personali  piu'  rilevanti  in
          rapporto alle relative attivita', delle responsabilita' che
          ne derivano e delle modalita' per aggiornarsi sulle  misure
          minime adottate dal titolare. La formazione e'  programmata
          gia' al  momento  dell'ingresso  in  servizio,  nonche'  in
          occasione di cambiamenti di mansioni, o di introduzione  di
          nuovi  significativi  strumenti,  rilevanti   rispetto   al
          trattamento di dati personali; 
              19.7.  la  descrizione  dei  criteri  da  adottare  per
          garantire l'adozione delle misure minime  di  sicurezza  in
          caso  di  trattamenti  di  dati  personali   affidati,   in
          conformita' al  codice,  all'esterno  della  struttura  del
          titolare; 
              19.8. per i dati personali idonei a rivelare  lo  stato
          di  salute  e  la  vita  sessuale  di  cui  al  punto   24,
          l'individuazione dei criteri da adottare per la cifratura o
          per la separazione di tali dati dagli altri dati  personali
          dell'interessato. 
          Ulteriori misure in caso di trattamento di dati sensibili o
          giudiziari. 
              20. I dati sensibili o giudiziari sono protetti  contro
          l'accesso abusivo,  di  cui  all'art.  615-ter  del  codice
          penale,   mediante   l'utilizzo   di    idonei    strumenti
          elettronici. 
              21. Sono impartite istruzioni organizzative e  tecniche
          per la custodia e l'uso dei supporti rimovibili su cui sono
          memorizzati  i  dati  al  fine  di  evitare   accessi   non
          autorizzati e trattamenti non consentiti. 
              22. I supporti rimovibili contenenti dati  sensibili  o
          giudiziari  se  non  utilizzati  sono  distrutti   o   resi
          inutilizzabili, ovvero possono essere riutilizzati da altri
          incaricati, non autorizzati  al  trattamento  degli  stessi
          dati, se le informazioni precedentemente in essi  contenute
          non  sono  intelligibili  e  tecnicamente  in  alcun   modo
          ricostruibili. 
              23.  Sono  adottate  idonee  misure  per  garantire  il
          ripristino dell'accesso ai dati in caso  di  danneggiamento
          degli stessi o degli strumenti elettronici, in tempi  certi
          compatibili con i diritti degli interessati e non superiori
          a sette giorni. 
              24.  Gli  organismi  sanitari  e   gli   esercenti   le
          professioni sanitarie effettuano il  trattamento  dei  dati
          idonei a rivelare lo stato di salute  e  la  vita  sessuale
          contenuti in elenchi, registri o  banche  di  dati  con  le
          modalita' di cui all'art. 22, comma 6, del codice, anche al
          fine di consentire il trattamento  disgiunto  dei  medesimi
          dati  dagli  altri  dati  personali   che   permettono   di
          identificare direttamente gli interessati. I dati  relativi
          all'identita'   genetica   sono   trattati   esclusivamente
          all'interno  di  locali  protetti   accessibili   ai   soli
          incaricati dei trattamenti ed ai soggetti  specificatamente
          autorizzati ad accedervi; il trasporto dei dati all'esterno
          dei locali riservati al loro trattamento deve  avvenire  in
          contenitori muniti di serratura o dispositivi equipollenti;
          il  trasferimento  dei  dati  in  formato  elettronico   e'
          cifrato. 
          Misure di tutela e garanzia. 
              25. Il titolare che adotta misure minime  di  sicurezza
          avvalendosi di soggetti esterni alla propria struttura, per
          provvedere alla  esecuzione  riceve  dall'installatore  una
          descrizione  scritta  dell'intervento  effettuato  che   ne
          attesta  la  conformita'  alle  disposizioni  del  presente
          disciplinare tecnico. 
              26.   Il   titolare    riferisce,    nella    relazione
          accompagnatoria  del  bilancio  d'esercizio,   se   dovuta,
          dell'avvenuta  redazione  o  aggiornamento  del   documento
          programmatico sulla sicurezza. 
          Trattamenti senza l'ausilio di strumenti elettronici. 
              Modalita' tecniche da adottare a cura del titolare, del
          responsabile, ove designato, e dell'incaricato, in caso  di
          trattamento con strumenti diversi da quelli elettronici: 
              27. Agli incaricati sono impartite  istruzioni  scritte
          finalizzate al controllo ed  alla  custodia,  per  l'intero
          ciclo  necessario  allo  svolgimento  delle  operazioni  di
          trattamento, degli atti e  dei  documenti  contenenti  dati
          personali.  Nell'ambito  dell'aggiornamento  periodico  con
          cadenza almeno annuale dell'individuazione dell'ambito  del
          trattamento consentito  ai  singoli  incaricati,  la  lista
          degli incaricati  puo'  essere  redatta  anche  per  classi
          omogenee  di   incarico   e   dei   relativi   profili   di
          autorizzazione. 
              28. Quando gli  atti  e  i  documenti  contenenti  dati
          personali  sensibili  o  giudiziari  sono   affidati   agli
          incaricati del trattamento per lo svolgimento dei  relativi
          compiti, i medesimi atti e  documenti  sono  controllati  e
          custoditi  dagli  incaricati  fino  alla  restituzione   in
          maniera  che  ad  essi  non  accedano  persone   prive   di
          autorizzazione,  e  sono  restituiti   al   termine   delle
          operazioni affidate. 
              29. L'accesso agli archivi contenenti dati sensibili  o
          giudiziari e' controllato. Le persone ammesse, a  qualunque
          titolo, dopo l'orario  di  chiusura,  sono  identificate  e
          registrate. Quando gli archivi non sono dotati di strumenti
          elettronici per il controllo degli accessi o di  incaricati
          della  vigilanza,  le  persone   che   vi   accedono   sono
          preventivamente autorizzate.». 
              - Si riporta il  testo  dell'art.  9  del  decreto  del
          Presidente della Repubblica del 7 dicembre 1995, n. 581: 
              «Art.  9  (Repertorio  delle   notizie   economiche   e
          amministrative). - 1. In attuazione dell'art. 8,  comma  8,
          lettera d), della legge n. 580 del 1993 , presso  l'ufficio
          e' istituito il  repertorio  delle  notizie  economiche  ed
          amministrative (REA). 
              2. Sono obbligati alla denuncia al REA: 
                a) gli esercenti  tutte  le  attivita'  economiche  e
          professionali la cui denuncia alla camera di commercio  sia
          prevista  dalle  norme  vigenti,  purche'   non   obbligati
          all'iscrizione  in  albi  tenuti  da   ordini   o   collegi
          professionali; 
                b) gli imprenditori con  sede  principale  all'estero
          che aprono nel territorio nazionale unita' locali. 
              3.  Il  REA   contiene   le   notizie   economiche   ed
          amministrative per le quali e' prevista  la  denuncia  alla
          camera di commercio e la relativa utilizzazione  del  regio
          decreto 20 settembre 1934, n. 2011 , dal  regio  decreto  4
          gennaio 1925, n. 29 , dall'art.  29  del  decreto-legge  28
          febbraio 1983, n. 55 , convertito, con modificazioni, dalla
          legge 26 aprile  1983,  n.  131,  e  da  altre  leggi,  con
          esclusione di quelle gia' iscritte o annotate nel  registro
          delle imprese e nelle sue sezioni speciali. Con decreto del
          Ministro, d'intesa con il Ministro delle risorse  agricole,
          alimentari e forestali per la parte riguardante le  imprese
          agricole, sono indicate le notizie di carattere  economico,
          statistico, amministrativo che  l'ufficio  puo'  acquisire,
          invece che  dai  privati,  direttamente  dagli  archivi  di
          pubbliche amministrazioni e dei concessionari  di  pubblici
          servizi secondo le  norme  vigenti,  nonche'  dall'archivio
          statistico delle imprese  attive  costituito  a  norma  del
          regolamento CEE n. 2186 del 22  luglio  1993,  purche'  non
          coperte dal segreto statistico. Con lo stesso decreto  sono
          stabilite modalita'  semplificate  per  la  denuncia  delle
          notizie di carattere economico ed amministrativo  da  parte
          dei soggetti iscritti o annotati nelle sezioni speciali. 
              4.  L'esercente  attivita'   agricole   deve   altresi'
          indicare, qualora non compresi  negli  archivi  di  cui  al
          comma 3, i dati colturali, l'estensione e la tipologia  dei
          terreni con i relativi dati catastali, la  tipologia  degli
          allevamenti del bestiame, secondo il modello approvato  con
          decreto del Ministro, di concerto  con  il  Ministro  delle
          risorse  agricole,  alimentari  e  forestali,  sentita   la
          Conferenza permanente per  i  rapporti  tra  lo  Stato,  le
          regioni e le province autonome di Trento e di Bolzano. 
              5. Il REA e' gestito secondo tecniche informatiche  nel
          rispetto   delle   norme   vigenti.   L'ufficio    provvede
          all'inserimento nella memoria elettronica del REA dei  dati
          contenuti  nella  denuncia,  redatta  secondo  il   modello
          approvato dal Ministro." 
              - Per l'art. 38, comma 3, del decreto-legge  25  giugno
          2008, n. 112, convertito con modificazioni, dalla  legge  6
          agosto 2008, n. 133, si veda nelle note alle premesse.