Circolare 53 del 24.03.00
MATERIA FISCALE: Disposizioni varie
OGGETTO
D.P.R 28 luglio 1999, n. 318 - Direttive per l'attuazione delle misure minime
di sicurezza per il trattamento dei dati personali.
TESTO Con precedente nota, prot. n. 994 del 4 febbraio u.s., lo scrivente ha sottoposto all'attenzione delle SS.LL. gli adempimenti prescritti dal D.P.R. n. 318 "Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675". Avendo avuto parere favorevole alle misure organizzative e tecniche prospettate si emanano, in attuazione delle misure minime di sicurezza previste ai sensi della L. n. 675/1996 e del D.P.R. n. 318/1999, le seguenti disposizioni. Adempimenti del Titolare Il Titolare del trattamento nomina: . i Responsabili dei trattamenti amministrativi; . il Direttore del Centro Informativo (1) quale Responsabile della Sicurezza centrale; . i Direttori degli uffici quali Responsabili della Sicurezza locale. (1) O strutture equivalenti Adempimenti dei Centri Informativi Il Direttore del Centro Informativo, in qualita' di Responsabile della Sicurezza di sistema, ha il compito di: . costituire e mantenere aggiornato l'archivio dei profili (tipologie degli accessi consentiti), secondo le disposizioni del Titolare del trattamento; per questo fine si avvale dell'Amministratore di sistema, da lui appositamente designato; . provvedere alla generazione della password che abilita l'Amministratore di Sistema centrale, in fase di inizializzazione e primo accesso. L'Amministratore di Sistema invia attraverso il Direttore dell'Ufficio la password agli Amministratori di Sistema locale che si sono registrati in via telematica sul sistema. Adempimenti dell'Ufficio Il Direttore dell'Ufficio, in qualita' di Responsabile della sicurezza locale, nomina l'Amministratore di Sistema locale. L'Amministratore di Sistema locale, ricevuto l'incarico, si registra come tale al sistema per via telematica. Il Direttore dell'ufficio, ricevuta la password di accesso dal Centro Informativo, la consegna personalmente all'Amministratore di Sistema locale. L'Amministratore di Sistema locale, su richiesta del Responsabile delle procedure amministrative, registra gli Incaricati e li abilita all'accesso mediante apposita password. Le attivita' sono rappresentate nell'allegato schema 1. Le password assegnate agli Amministratori di sistema ed agli Incaricati del trattamento, sono password "scadute" da utilizzare solo per il primo accesso al sistema: pertanto e' fatto obbligo agli stessi di definirne immediatamente una nuova, al fine di garantirsi contro eventuali utilizzi impropri. Il sistema "controllo accesso terminale", come strumento di applicazione delle disposizioni fornite agli Incaricati da parte dei Responsabili dei trattamenti, costituisce l'attuazione delle misure minime di sicurezza necessarie a garantire che soltanto coloro che sono abilitati e, nei limiti di tale abilitazione, possano operare sul sistema. In questa prima fase, l'accesso al sistema sara' controllato attraverso l'uso di identificativo utente e password; successivamente potranno essere utilizzate tecnologie piu' evolute di accesso e riconoscimento. Pertanto, anche in conformita' a quanto disposto dal Sig. Segretario Generale con circolare n. 244/S del 27 ottobre 1998, e' indispensabile procedere: . alle nomine formali dei singoli Responsabili, compresi quelli addetti alla sicurezza; . alla formalizzazione delle tabelle dei profili utente; . alla designazione degli Incaricati. Si ricorda che ogni soggetto Titolare dei trattamenti nell'ambito del Centro di Responsabilita' - C.d.R. - deve vigilare sul corretto utilizzo dei dati che ricadono nel proprio dominio, e che puo' autorizzare l'accesso esclusivamente alle informazioni di propria competenza. Per lo scambio dati con altro Centro di Responsabilita' e' necessario un preventivo formale accordo, mentre quello con Enti esterni richiede la stipula di apposita convenzione. I Titolari di C.d.R. indicheranno in detti accordi e convenzioni i procedimenti ed i trattamenti da condividere (anche quelli di mero accesso ai dati), e ne daranno comunicazione ai Direttori dei rispettivi Centri Informativi; questi ultimi tramite gli amministratori centrali di sistema predisporranno i profili per consentire l'accesso ai dati. Le attivita' sono rappresentate nell'allegato schema 2 nel quale si ipotizza l'autorizzazione al mutuo accesso ai dati; analogo flusso si attuera' in caso di convenzione con enti esterni. In questa prima fase di attuazione delle misure minime di sicurezza e fino alla riforma prevista dal D.L.vo 3 agosto 1999 n. 300, i Titolari degli uffici centrali diversi dai Dipartimenti, dalla Direzione Generale del Personale e dalla G.d.F. faranno riferimento all'Amministratore di sistema centrale presso il Centro informativo del Segretariato Generale. Allegati (Omissis)