Art. 7
Misure di sicurezza e responsabilità
In vigore dal 12 ott 2016
1. La riservatezza, l'integrità e la disponibilità dei dati trattati nell'ambito del SINP, ai sensi degli articoli 31, 33 e 34 del decreto legislativo n. 196 del 2003 e relativo disciplinare tecnico, viene garantita da INAIL tramite le procedure di sicurezza relative al software e ai servizi telematici in conformità alle regole tecniche e di sicurezza nell'ambito del SPC.
2. Gli enti di cui all', comma 1, lettera b) garantiscono la conformità delle proprie infrastrutture alle regole tecniche dettate dal SPC e la conformità dei servizi ai requisiti di sicurezza per la cooperazione applicativa definiti negli appositi accordi di servizio. Tali accordi devono individuare idonee garanzie per il trattamento dei dati personali, prevedendo, in particolare, la registrazione e tracciatura dei dati relativi alle operazioni compiute sulle porte di dominio.
3. La trasmissione dei dati in cooperazione applicativa è garantita mediante l'utilizzo di un protocollo sicuro e dal ricorso alla autenticazione bilaterale fra sistemi, basata su certificati digitali emessi da un'autorità di certificazione ufficiale. La trasmissione dei dati tramite servizi di fornitura massiva è garantita altresì mediante l'utilizzo di un canale sicuro e il ricorso alla autenticazione.
4. Al fine di non consentire l'identificabilità diretta delle persone fisiche interessate, viene assegnato a ciascun soggetto, subito dopo l'acquisizione dei dati e attraverso una struttura organizzativa distinta da quella che operativamente gestisce il SINP, un codice univoco diverso dal codice fiscale. I dati inviati dagli enti, privi degli elementi identificativi diretti, sono archiviati previa separazione dei dati sensibili e giudiziari dagli altri dati.
I dati sensibili e giudiziari sono trattati mediante l'utilizzazione del codice univoco.
5. È previsto che la struttura organizzativa di cui al comma 4 adotti un sistema informatico che garantisca l'anonimizzazione dei dati personali archiviati, prima che questi confluiscano nel SINP, in modo da renderli consultabili solo in tale forma da parte degli enti fruitori legittimati ad accedere unicamente a tale tipologia di informazioni, segnatamente nel rispetto di quanto sancito dai commi 6 e 7 dell'articolo 22 del decreto legislativo n. 196 del 2003.
6. I dati di tracciatura sono conservati per il periodo non superiore a sei mesi e possono essere trattati solo da appositi incaricati al trattamento esclusivamente in forma anonima mediante loro opportuna aggregazione. Tali dati possono essere trattati in forma non anonima unicamente laddove ciò risulti indispensabile al fine di verificare la correttezza e la legittimità delle singole interrogazioni effettuate.
7. Il processo di identificazione e autenticazione on line degli utenti è assicurato dal sistema di Identity Management dell'INAIL che avviene tramite carta nazionale dei servizi, carta di identità elettronica o tramite credenziali di autenticazione, in conformità all'articolo 64 del Codice dell'amministrazione digitale e all'articolo 34 del decreto legislativo n. 196 del 2003. L'accesso è garantito tramite l'utilizzo di un protocollo sicuro. I soggetti legittimati all'accesso ai dati contenuti nel SINP sono unicamente gli enti fruitori elencati nell'allegato E).
8. Nel caso di utilizzo del modello di «identità federata», sia nell'ambito delle modalità di cooperazione applicativa che di fruizione di servizi on line, in conformità al codice dell'amministrazione digitale, l'INAIL esercita il ruolo di erogatore di servizi e gli enti federati assumono il ruolo di fruitori dei servizi, dotandosi di sistemi standard in grado di garantire la condivisione delle identità digitali e dei relativi attributi, mentre compete all'INAIL la tracciatura delle operazioni.
9. Ciascun ente individua il responsabile preposto alla definizione dei profili di autorizzazione, in relazione al ruolo istituzionale, alle funzioni svolte e all'ambito territoriale delle azioni di competenza, alla designazione dei soggetti (utenti e amministratori) e dei rispettivi privilegi nonché alla gestione delle modalità di conferimento, sospensione e revoca dei profili di accesso. Le richieste di accesso al SINP devono indicare espressamente la specifica attività al cui svolgimento è preordinata la consultazione nell'ambito delle competenze istituzionali del soggetto richiedente.
10. L'INAIL garantisce mediante il proprio sistema di autorizzazione l'accesso selettivo ai servizi del SINP in relazione ai profili del soggetto richiedente.
11. L'accesso ai servizi del SINP richiede la stipula di una convenzione, redatta in conformità alle prescrizioni contenute nelle linee guida emanate dall'Agenzia per l'Italia digitale ai sensi dell'articolo 58, comma 2, del Codice dell'amministrazione digitale, che stabilisce:
a) i profili di cui agli accordi di servizio per la cooperazione applicativa abilitati con la convenzione;
b) le modalità di scambio e di condivisione delle informazioni sulle identità e sui ruoli;
c) le procedure per l'individuazione e configurazione dei profili di autorizzazione;
d) le figure di responsabilità individuate all'interno di ogni ente per la gestione delle regole tecniche organizzative previste nel presente decreto.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Prourn:nir:ministero.lavoro.e.politiche.sociali:decreto:2016-05-25;183#art-7