| Gazzetta n. 171 del 23 luglio 2004 (vai al sommario) |
| MINISTERO DELLA GIUSTIZIA |
| DECRETO 14 luglio 2004 |
| Regole procedurali di carattere tecnico operativo per la definizione di dettaglio della gestione della banca di dati, relativa ai minori dichiarati adottabili. |
| IL MINISTRO DELLA GIUSTIZIA Visto l'art. 8 del decreto ministeriale 24 febbraio 2004, n. 91, concernente «Regolamento recante modalita' di attuazione e organizzazione della banca di dati relativa ai minori dichiarati adottabili istituita dall'art. 40 della legge 28 marzo 2001, n. 149»; Ritenuta la necessita' di stabilire le regole procedurali di carattere tecnico operativo per la definizione di dettaglio della gestione della banca di dati in ossequio alle esigenze relative alla integrita' fisica e logica dei dati; Decreta: Art. 1. Ambito di applicazione 1. Il presente decreto stabilisce le regole procedurali di carattere tecnico-operativo per la definizione di dettaglio della gestione, in ossequio alle esigenze relative alla integrita' fisica e logica, della banca dati delle adozioni. |
| Art. 2. Definizioni 1. Ai fini del presente decreto si intendono per: a) regolamento: il decreto del Ministro della giustizia 24 febbraio 2004, n. 91, portante «modalita' di attuazione e organizzazione della banca di dati relativa ai minori dichiarati adottabili istituita dall'art. 40, legge 28 marzo 2001, n. 149»; b) RUG: Rete unitaria della giustizia; c) BDA: la Banca dati delle adozioni costituita presso il Ministero della giustizia, Dipartimento per la giustizia minorile, relativa ai minori dichiarati adottabili, ai coniugi aspiranti all'adozione nazionale ed internazionale, nonche' alle persone singole disponibili all'adozione, in relazione ai casi di cui alle lettere a), c), d) del comma 1 dell'art. 44, della legge 4 maggio 1983, n. 184, cosi' come sostituito dall'art. 25 della legge 28 marzo 2001, n. 149; d) dati: i dati ed i documenti, anche informatici, previsti dalla legge sulle adozioni che affluiscono dai domini dei Tribunali per i minorenni (TM) e procure della Repubblica presso i tribunali per i minorenni (PM), nonche' ogni altra informazione utile a garantire il miglior esito del procedimento di adozione; e) UGM: gli uffici della giurisdizione minorile: i tribunali per i minorenni e procure della Repubblica presso i tribunali per i minorenni, i giudici tutelari, la sezione famiglia presso le corti d'appello, le procure generali presso la corte d'appello, la corte di cassazione e la procura generale presso le corte di cassazione; f) SI: il sistema informativo sviluppato per l'automazione degli UGM e per la gestione dei dati e dei documenti, anche informatici, concernenti i minori interessati da procedimenti di adozione; g) titolari del trattamento dei dati: gli uffici giudiziari minorili; h) strumento elettronico: l'elaboratore, i programmi per elaboratore e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento dei dati; i) gestore centrale dell'accesso: la struttura tecnico-organizzativa che fornisce, ai soggetti abilitati, i servizi di accesso alla BDA secondo le norme riportate nel presente decreto; j) punto di trasmissione: la struttura tecnico-organizzativa che fornisce i servizi di trasmissione telematica dei dati e dei documenti informatici secondo le regole tecnico-operative riportate nel presente decreto; k) punto centrale di ricezione: la struttura tecnico-organizzativa che fornisce i servizi di ricezione telematica dei dati e dei documenti informatici secondo le regole tecnico-operative riportate nel presente decreto; l) plico informativo: l'insieme delle informazioni, intese come dati e documenti, oggetto della comunicazione tra punto di trasmissione e punto centrale di ricezione; m) soggetto abilitato: tutti i soggetti abilitati all'utilizzo dei servizi di consultazione e aggiornamento dei dati della BDA, secondo l'art. 5 del regolamento. In particolare si intende per: soggetto abilitato interno: i magistrati e il personale appartenenti agli UGM cui sia stata attribuita la trattazione dello specifico procedimento di adozione o i quali siano individuati e autorizzati dal capo dell'ufficio all'accesso alla BDA; soggetto abilitato esterno: i diretti interessati ai fascicoli informatici, solo quanto ai loro dati personali, nel rispetto dei diritti loro spettanti e per il tramite dei soggetti abilitati interni; n) autenticazione informatica: l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identita'; o) credenziali di autenticazione: i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato (utenza) associato a una parola chiave riservata e conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave; p) codice per l'identificazione dell'interessato (utenza): componente di una credenziale di autenticazione associata ad una persona, costituita da una sequenza di caratteri o altri dati in forma elettronica, che consente la autenticazione informatica del soggetto abilitato. L'utenza e' di due tipologie: utenza SI, che coincide con l'utenza gia' attribuita al soggetto abilitato per il SI dell'UGM di appartenenza; utenza non-SI, utenza diversa dalla precedente; q) parola chiave: componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica; r) profilo di autorizzazione: l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa puo' accedere, nonche' i trattamenti ad essa consentiti; s) sistema di autorizzazione: l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalita' di trattamento degli stessi, in funzione del profilo di autorizzazione; t) documento informatico: qualunque oggetto informatico (file) che contenga atti, fatti o dati giuridicamente rilevanti; u) chiave pubblica: la chiave, della coppia di chiavi, utilizzata da chiunque esegua la verifica di una firma digitale; v) certificato digitale: codice per l'identificazione dell'interessato fornito sotto forma di file; esso contiene informazioni sulla persona a cui e' stato rilasciato il certificato e sull'autorita' di certificazione che l'ha emesso. |
| Art. 3. Funzionamento e gestione della BDA 1. Il Capo del Dipartimento per la giustizia minorile gestisce la BDA e ne cura il funzionamento. |
| Art. 4. Gestore centrale dell'accesso 1. Presso il Ministero della giustizia e' attivato, quale sistema di autorizzazione, il gestore centrale dell'accesso. 2. Il gestore centrale dell'accesso e' il punto unico di interazione a livello nazionale tra la BDA ed i soggetti abilitati. 3. Tutti i soggetti abilitati accedono alla BDA attraverso la RUG. 4. Il gestore centrale dell'accesso provvede all'autenticazione informatica dei soggetti abilitati interni e attiva i corrispondenti livelli di visibilita' e operativita' sulla base dei profili di autorizzazione. 5. Gli utenti abilitati esterni accedono al gestore centrale dell'accesso solo per tramite di soggetti abilitati interni. |
| Art. 5. Punti di trasmissione 1. Presso ogni UGM che alimenta automaticamente la BDA e' attivato un punto di trasmissione. 2. Il punto di trasmissione e' costituito da un certificato digitale e da un programma per elaboratore che provvede alla trasmissione telematica dei dati verso la BDA secondo le norme di cui al capo VI. |
| Art. 6. Punto centrale di ricezione 1. Presso il Ministero della giustizia e' attivato il punto centrale di ricezione. 2. Il punto centrale di ricezione e' unico e interagisce con i punti di trasmissione attivati a livello nazionale. 3. Il punto centrale di ricezione e' costituito da un programma per elaboratore che provvede alla ricezione telematica dei plichi informativi dai vari punti di trasmissione secondo le norme di cui al capo VII. |
| Art. 7. Funzionalita' del gestore centrale dell'accesso 1. Il gestore centrale dell'accesso rende accessibili i servizi di autenticazione informatica e consultazione della BDA. 2. Il gestore centrale dell'accesso rende accessibile un servizio di inserimento delle informazioni nel sistema informativo della BDA per tutti gli UGM per i quali non e' possibile istituire un punto di trasmissione. 3. Il gestore centrale dell'accesso, tramite il proprio archivio di utenza, determina i profili di autorizzazione di cui all'art. 13 per il soggetto abilitato che ha richiesto i servizi di consultazione e/o inserimento, e li fornisce entro tali limiti. 4. Il gestore centrale dell'accesso associa ad ogni richiesta di consultazione una attestazione temporale con data ed ora di avvio e chiusura della sessione, nonche' l'identificazione del soggetto abilitato che e' stato autenticato. 5. Il gestore centrale dell'accesso associa ad ogni richiesta di inserimento diretto delle informazioni nella BDA una attestazione temporale con data ed ora di avvio e chiusura della sessione, nonche' l'identificazione del soggetto abilitato che e' stato autenticato. 6. Il gestore centrale dell'accesso associa ad ogni operazione effettuata, sia durante la consultazione che durante l'inserimento diretto delle informazioni nella BDA, una attestazione temporale con data ed ora, dettaglio dell'operazione, nonche' l'identificazione del soggetto abilitato che e' stato autenticato. |
| Art. 8. Funzionalita' del punto di trasmissione 1. Il servizio di trasmissione telematica dei plichi informativi e' garantito dagli strumenti elettronici e dalle procedure utilizzate in ciascun punto di trasmissione attivato sul territorio. 2. Il punto di trasmissione e' connesso telematicamente al punto centrale di ricezione tramite la RUG. 3. Il punto di trasmissione predispone i plichi informativi costituiti dal certificato di digitale e dall'insieme dei dati di interesse per la BDA. 4. In caso di mancata conferma da parte del punto centrale di ricezione, il punto di trasmissione provvede ad una nuova trasmissione del plico informativo. 5. In caso di ripudio, il punto di trasmissione provvede ad una nuova predisposizione e alla ri-trasmissione del plico informativo. 6. Il punto di trasmissione fornisce un servizio di archiviazione di tutti i plichi informativi inviati e delle relative attestazioni temporali. |
| Art. 9. Funzionalita' del punto centrale di ricezione 1. Il servizio di ricezione telematica dei plichi informativi e' garantito dagli strumenti elettronici e dalle procedure utilizzate nel punto centrale di ricezione. 2. Il punto centrale di ricezione e' connesso telematicamente con ciascun punto di trasmissione tramite la RUG. 3. Il punto centrale di ricezione, appena ricevuto un plico informativo, invia una conferma di ricezione al punto di trasmissione mittente. 4. Il punto centrale di ricezione, qualora riceva un plico informativo incompleto, invia al punto di trasmissione mittente un messaggio di ripudio contenente l'indicazione degli elementi mancanti. 5. Il punto centrale di ricezione fornisce un servizio di archiviazione di tutti i plichi informativi e delle relative attestazioni temporali. |
| Art. 10. Sistema informativo UGM 1. Il SI assicura l'archiviazione e il reperimento dei dati, delle informazioni e dei documenti, anche informatici, degli UGM relativi ai minori e/o agli aspiranti all'adozione. 2. I cambiamenti di stato giuridico relativi ai minori e/o agli aspiranti all'adozione sono aggiornati nella base dati del SI dell'UGM competente e, di conseguenza, aggiornati nella BDA tramite invio di plichi informativi. 3. Il SI memorizza, in una porzione della base dati denominata «base dati SI-DBA», i dati di interesse della BDA da utilizzare per la formazione dei plichi informativi. 4. I programmi per elaboratore e le procedure della BDA non modificano, ne' eliminano, i dati presenti nel SI. 5. Nel caso in cui, per problematiche logistiche e/o organizzative, il SI non risulti attivo o in uso presso l'UGM, l'affluenza dei dati verso la BDA e' garantita da funzioni di inserimento dati ai sensi dell'art. 20. |
| Art. 11. Requisiti tecnici di sicurezza 1. Per il gestore centrale dell'accesso, per i punti di trasmissione e per il punto centrale di ricezione trovano applicazione, quali livelli minimi di sicurezza, le politiche e procedure di sicurezza stabilite per la RUG. |
| Art. 12. Requisiti tecnici relativi all'infrastruttura di comunicazione 1. Per la trasmissione telematica dei plichi informativi e di qualsiasi altro messaggio, il gestore centrale dell'accesso, i punti di trasmissione ed il punto centrale di ricezione utilizzano l'infrastruttura tecnologica messa a disposizione dalla RUG. 2. Per la comunicazione con entita' esterne al dominio giustizia il gestore centrale dell'accesso utilizza l'infrastruttura tecnologica resa disponibile dalla direzione generale per i sistemi informativi automatizzati. |
| Art. 13. Gestione delle utenze 1. Presso il gestore centrale dell'accesso e' istituito il registro delle utenze abilitate all'accesso alla BDA. 2. Il registro contiene le seguenti informazioni: a) nome e cognome; b) luogo e data di nascita; c) codice fiscale; d) credenziali di autenticazione, ed in particolare: utenza; parola chiave; e) ufficio: in particolare: tipologia dell'ufficio; sede dell'ufficio; f) tipologia dell'utenza: utenza SI, utenza non-SI; g) SI di provenienza (per i soggetti abilitati con «utenza SI»); h) data ed ora di creazione dell'utenza; i) data ed ora dell'ultima variazione dell'utenza; j) stato dell'utenza: attivo, non attivo; k) profilo di autorizzazione. 2. L'identificazione dei soggetti abilitati all'accesso alla BDA e' basata sull'abbinamento: credenziale di autenticazione - ufficio. 3. La predisposizione delle utenze della BDA avviene secondo due modalita' diverse e non complementari: «utenza SI»: per gli utenti degli UGM dotati di un SI viene garantito un automatico allineamento delle utenze impostate nel sistema; «utenza non-SI»: per tutti gli altri utenti degli UGM, a seguito della specifica richiesta da parte del capo dell'ufficio, il gestore centrale dell'accesso provvede alla predisposizione delle utenze da comunicare direttamente al personale. 4. Non e' consentita utenza collettiva relativa ad uffici o unita' organizzative. |
| Art. 14. Utenza SI 1. Il punto di trasmissione effettua, con cadenza almeno settimanale, le opportune operazioni in modo da garantire l'allineamento del registro delle utenze della BDA con le utenze degli archivi dei SI sul territorio nazionale. |
| Art. 15. Utenza non-SI 1. L'attivazione di una utenza non-SI e' subordinata alla richiesta di iscrizione nel registro delle utenze effettuata, per conto del richiedente, dal capo dell'UGM. 2. Nella richiesta di iscrizione nel registro sono indicate le seguenti informazioni: a) nome e cognome; b) luogo e data di nascita; c) codice fiscale; d) tipologia dell'ufficio; e) sede dell'ufficio. 3. Alla domanda debbono essere allegati: a) dichiarazione di impegno a garantire la sicurezza e l'integrita' dei dati ai quali si accede; b) dichiarazione di impegno a comunicare al gestore centrale dell'accesso, entro 15 giorni dalla stessa, la data di cessazione del servizio. 4. Il gestore centrale dell'accesso, su autorizzazione rilasciata d'intesa dal Capo del Dipartimento per la giustizia minorile e dal Direttore generale per i sistemi informativi automatizzati, predispone la nuova utenza non-SI, garantendo l'univocita' dell'abbinamento «credenziale di autenticazione - ufficio», o lo nega motivandone le ragioni. 5. Il gestore centrale dell'accesso invia al diretto interessato, in maniera riservata, la coppia «credenziale di autenticazione - ufficio» e le istruzioni per il corretto accesso alla BDA. 6. L'utente e' responsabile, per quanto riguarda le normative in merito all'accesso ai dati riservati, dell'uso delle informazioni nella BDA ai fini della consultazione e/o dell'inserimento nonche' della custodia della propria utenza personale. 7. Il gestore centrale dell'accesso procede alla verifica dell'uso dell'utenza ed alla sua disattivazione, su autorizzazione rilasciata dal Capo del Dipartimento per la giustizia minorile. |
| Art. 16. Requisiti tecnici del registro delle utenze 1. Il gestore centrale dell'accesso rende disponibile una copia operativa del registro e mantiene l'originale inaccessibile dall'esterno, allocato su un sistema sicuro. 2. Il gestore centrale dell'accesso garantisce la conformita' tra la copia operativa e l'originale del registro. Qualsiasi non conformita' deve essere tempestivamente risolta e registrata in un apposito giornale di controllo. 3. L'effettuazione delle operazioni che modificano il contenuto del registro e' consentita solo al personale espressamente autorizzato. 4. Le operazioni che modificano il contenuto del registro sono registrate in un apposito giornale di controllo. 5. La data e l'ora di inizio e fine di ogni intervallo di tempo nel quale il registro non risulta accessibile dall'esterno, nonche' quelle relative a ogni intervallo di tempo nel quale una sua funzionalita' non risulta disponibile, sono soggette a registrazione in un apposito giornale di controllo. 6. Almeno una copia di sicurezza del registro e' conservata in armadi di sicurezza distinti, situati in locali diversi. |
| Art. 17. Requisiti delle postazioni di lavoro dei soggetti abilitati 1. La postazione di lavoro dei soggetti abilitati e' costituita dagli strumenti elettronici e dalle risorse di rete utilizzati per l'attivita' dell'UGM. 2. La postazione di lavoro dei soggetti abilitati e' dotata delle risorse di elaborazione e dei programmi per elaboratore necessari per l'attivazione di una connessione all'interno della RUG verso il gestore centrale dell'accesso, secondo le indicazioni di cui all'art. 18. |
| Art. 18. Accesso 1. Il gestore centrale dell'accesso e' raggiungibile all'interno della RUG. 2. Il gestore centrale dell'accesso fornisce un servizio di autenticazione informatica dei soggetti abilitati. 3. L'autenticazione dei soggetti abilitati avviene mediante l'indicazione della «credenziale di autenticazione - ufficio» di cui all'art. 13. 4. La trasmissione delle informazioni necessarie all'autenticazione avviene attraverso la RUG, secondo modalita' tecniche e di sicurezza stabilite dal Direttore generale per i sistemi informativi automatizzati. 5. Le comunicazioni tra la postazione informatica del soggetto abilitato e il gestore centrale dell'accesso avvengono attraverso la RUG. 6. I tentativi di autenticazione informatica sono sottoposti a memorizzazione. |
| Art. 19. Consultazione 1. L'operazione di consultazione della BDA e' subordinata all'autenticazione informatica di cui all'art. 18. 2. La consultazione della BDA avviene in modo da garantire l'oscuramento dei dati personali e delle informazioni che consentono l'identificazione del soggetto al quale si riferiscono. Le richieste di approfondimento dei dati sottoposti a regime di tutela sono formulate al titolare del trattamento. I riferimenti relativi al titolare del trattamento sono disponibili nella BDA. 3. La consultazione della BDA per la ricerca su dati anagrafici avviene mediante tipologia di accesso che garantisce la visualizzazione dei soli dati anagrafici individuati e del titolare del trattamento al quale richiedere ulteriori approfondimenti. 4. Indipendentemente dalla tipologia di consultazione il dato e' accessibile nella sua totalita' e senza oscuramenti quando il soggetto abilitato coincide con il titolare del trattamento. 5. La consultazione della BDA avviene per mezzo di interfacce dotate delle necessarie caratteristiche grafiche e funzionali. |
| Art. 20. Registrazione delle informazioni 1. Per gli UGM non dotati di un SI, nonche' per gli UGM per i quali non e' possibile attivare un punto di trasmissione, la BDA garantisce l'inserimento dei dati attraverso procedure di alimentazione ed aggiornamento dirette. 2. L'accesso alle funzionalita' di alimentazione diretta della BDA e' subordinato all'autenticazione informatica di cui all'art. 18. 3. Le operazioni effettuate in modo diretto sono memorizzate insieme all'identificazione del soggetto abilitato che le ha eseguite. |
| Art. 21. Requisiti tecnici del gestore centrale dell'accesso 1. Le procedure messe in atto presso il gestore centrale dell'accesso per la fornitura dei servizi previsti sono documentate nel manuale operativo di cui all'art. 22. 2. Le politiche e le procedure di sicurezza messe in atto presso il gestore centrale dell'accesso sono documentate nel piano centrale per la sicurezza, di cui all'art. 23. 3. I canali di autenticazione sono definiti sulla base delle tecnologie disponibili. 4. Il gestore centrale dell'accesso utilizza, per gli adempimenti di cui agli articoli 18 e 20, un servizio di attestazione temporale basato sul tempo ufficiale della RUG. |
| Art. 22. Manuale operativo 1. Presso il gestore centrale dell'accesso e' istituito un manuale operativo che definisce le procedure applicate nello svolgimento delle attivita' previste dal presente decreto. 2. Il manuale operativo e' pubblicato a cura del gestore centrale dell'accesso in modo da essere consultabile da remoto. 3. Il manuale operativo del gestore centrale dell'accesso contiene almeno le seguenti informazioni: a) dati identificativi della versione del manuale operativo; b) responsabile del manuale operativo; c) definizione degli obblighi di quanti accedono per l'utilizzo dei servizi disponibili; d) definizione delle responsabilita' e delle eventuali limitazioni nell'utilizzo dei servizi; e) modalita' di autenticazione informatica, registrazione e gestione delle credenziali di autenticazione e dei profili di autorizzazione; f) procedure di sicurezza. |
| Art. 23. Piano centrale per la sicurezza 1. Presso il gestore centrale dell'accesso e' individuato, con atto scritto, il responsabile della sicurezza. 2. Il responsabile della sicurezza definisce ed adotta, secondo quanto previsto dall'allegato B, decreto legislativo 30 giugno 2003, n. 196, un piano per la sicurezza nel quale debbono essere contenuti almeno i seguenti elementi: a) struttura generale, modalita' operativa e struttura logistica dell'organizzazione presso la quale e' situata la BDA; b) descrizione dell'infrastruttura di sicurezza dell'immobile rilevante ai fini della sicurezza; c) allocazione dei servizi e degli uffici dell'organizzazione presso i quali e' situata la BDA; d) elenco del personale abilitato ad operare sulla BDA; e) attribuzione delle responsabilita'; f) descrizione delle procedure relative alle abilitazioni dei soggetti e dei punti di trasmissione; g) registro dei soggetti abilitati; h) registro dei punti di trasmissione; i) descrizione dei dispositivi; j) descrizione dei flussi di dati; k) procedura di gestione delle copie di sicurezza dei dati; l) procedura di gestione dei malfunzionamenti e delle interruzioni del servizio; m) analisi dei rischi; n) descrizione delle contromisure; o) specificazione dei controlli. |
| Art. 24. Giornale centrale di controllo 1. Presso il gestore centrale dell'accesso e' istituito il giornale centrale di controllo, costituito dalle registrazioni relative alla consultazione e/o inserimento di dati nella BDA e dalle operazioni effettuate dal punto centrale di ricezione. 2. Le registrazioni possono essere effettuate anche su supporti distinti e di tipo diverso. 3. A ciascuna registrazione e' associata la data e l'ora in cui e' stata effettuata, nonche' l'identificativo del soggetto abilitato che l'ha eseguita. 4. Il giornale centrale di controllo e' tenuto in modo da garantire l'autenticita' delle annotazioni e consentire la ricostruzione degli eventi rilevanti ai fini della sicurezza. 5. L'integrita' del giornale centrale di controllo e' verificata secondo modalita' stabilite nel piano della sicurezza. 6. Le registrazioni contenute nel giornale centrale di controllo sono archiviate e conservate per un periodo non inferiore a cinque anni. |
| Art. 25. Raccolta delle informazioni e dei documenti per la BDA 1. La Direzione generale per i sistemi informativi automatizzati cura la realizzazione e l'aggiornamento dei programmi per elaboratore per il SI. 2. I programmi e le procedure di cui al comma precedente memorizzano, in una apposita «base dati SI-BDA» del SI, i dati inerenti i procedimenti di adozione. |
| Art. 26. Modalita' e orario di predisposizione dei plichi informativi 1. Il punto di trasmissione, secondo una scansione temporale predeterminata, verifica i dati ed i documenti raccolti e presenti nella «base dati SI-BDA» e provvede alla predisposizione dei plichi informativi di cui all'art. 27. |
| Art. 27. Contenuto dei plichi informativi 1. Il plico informativo e' costituito dai dati da trasmettere, unitamente al certificato digitale del punto di trasmissione, con indicazione della data e ora di predisposizione, nonche' del numero progressivo di invio di cui all'art. 29. |
| Art. 28. Servizio di trasmissione telematica e crittografia 1. Il servizio di trasmissione telematica utilizzato dai punti di trasmissione e dal punto centrale di ricezione e' conforme agli standard normativi vigenti ed agli standard tecnologici di riferimento. 2. Per garantire la riservatezza del plico informativo, il punto di trasmissione puo' utilizzare sistemi di crittografia basati sulla chiave pubblica del punto centrale di ricezione. In tal caso le chiavi pubbliche del punto centrale di ricezione sono pubblicate in un registro tenuto dal gestore centrale dell'accesso. |
| Art. 29. Invio dei plichi informativi 1. Il punto di trasmissione invia il plico informativo al punto centrale di ricezione ripetendo l'operazione fino alla ricezione del messaggio di «conferma ricezione». 2. Il punto di trasmissione memorizza, per ogni plico informativo in partenza, una attestazione temporale con data ed ora di invio. 3. All'atto della «conferma ricezione» da parte del punto centrale di ricezione, il punto di trasmissione memorizza, associandola al plico informativo trattato, una attestazione temporale con data ed ora di ricezione della conferma. 4. All'atto della «conferma aggiornamento», il punto di trasmissione memorizza, associandola al plico informativo trattato, una attestazione temporale con data ed ora di ricezione della conferma di aggiornamento dei dati della BDA. 5. All'atto della «conferma aggiornamento», il punto di trasmissione provvede allo svuotamento della «base dati SI-BDA». 6. In caso di «ripudio aggiornamento» da parte del punto centrale di ricezione, il punto di trasmissione provvede alla nuova predisposizione, di cui all'art. 27, e alla nuova trasmissione del plico informativo. |
| Art. 30. Requisiti fisici del punto di trasmissione 1. La postazione di lavoro del punto di trasmissione e' costituita dagli strumenti elettronici e dalle risorse di rete utilizzati per l'attivita' dall'UGM. 2. La postazione di lavoro del punto di trasmissione e' dotata delle risorse di elaborazione e dei programmi per elaboratore necessari per l'invio dei plichi informativi all'interno della RUG verso il punto centrale di ricezione. |
| Art. 31. Requisiti tecnici del punto di trasmissione 1. Le procedure messe in atto presso il punto di trasmissione per l'invio dei plichi informativi sono documentate nel manuale operativo di cui all'art. 22. 2. Le politiche e le procedure di sicurezza messe in atto presso il punto di trasmissione sono documentate nel piano periferico per la sicurezza di cui all'art. 32. 3. Il punto di trasmissione utilizza, per gli adempimenti di cui agli articoli 26 e 29, un servizio di attestazione temporale basato sul tempo ufficiale della RUG. |
| Art. 32. Piano periferico per la sicurezza 1. Il responsabile della sicurezza dell'UGM integra, definisce ed adotta, secondo quanto previsto dall'allegato B, decreto legislativo 30 giugno 2003, n. 196, un piano per la sicurezza nel quale sono contenuti i seguenti elementi: a) struttura generale, modalita' operativa e struttura logistica dell'organizzazione presso la quale e' situato il punto di trasmissione; b) descrizione dell'infrastruttura di sicurezza dell'immobile rilevante ai fini della sicurezza; c) allocazione dei servizi e degli uffici dell'organizzazione presso la quale e' situato il punto di trasmissione; d) descrizione dei dispositivi installati; e) descrizione dei flussi di dati; f) procedura di gestione delle copie di sicurezza dei dati. |
| Art. 33. Giornale periferico di controllo 1. Presso il punto di trasmissione e' istituito un giornale periferico di controllo costituito dalle operazioni di predisposizione e invio dei plichi informativi. 2. A ciascuna registrazione e' associata la data e l'ora in cui essa e' stata effettuata nonche' dell'identificativo dei plichi informativi. 3. Il giornale periferico di controllo e' tenuto in modo da garantire l'autenticita' delle annotazioni e consentire la ricostruzione di tutti gli eventi rilevanti ai fini della sicurezza. 4. L'integrita' del giornale periferico di controllo e' verificata periodicamente. 5. Le registrazioni contenute nel giornale periferico di controllo sono archiviate e conservate per un periodo non inferiore a cinque anni. |
| Art. 34. Ricezione e accodamento dei plichi informativi 1. Il punto centrale di ricezione e' in costante attesa dei plichi informativi secondo quanto previsto agli articoli 26, 27 e 29. 2. Il punto centrale di ricezione verifica l'autenticita' e l'integrita' del plico informativo in ingresso mediante il controllo del certificato digitale allegato. 3. Il punto centrale di ricezione utilizza un sistema di gestione della «coda dei plichi» con il quale memorizza e tiene in attesa i vari plichi informativi ricevuti. 4. All'atto della ricezione, il punto centrale di ricezione identifica il plico informativo, ne individua il relativo progressivo di invio e ignora successive ricezioni dell'identico plico. 5. Il punto centrale di ricezione memorizza, associandola al plico informativo ricevuto, una attestazione temporale con la data e l'ora della ricezione. L'attestazione di conferma di ricezione e' inserita in un apposito messaggio che viene inoltrato al punto di trasmissione. Il plico informativo viene inserito nella «coda dei plichi». |
| Art. 35. Aggiornamento dei dati della BDA 1. Il punto centrale di ricezione accede alla coda dei plichi ed avvia l'elaborazione sequenziale e ordinata, in base alla loro ricezione, dei plichi informativi. 2. Per ogni plico informativo, il punto centrale di ricezione esegue i controlli di completezza. 3. Nel caso di un plico informativo non completo, il punto centrale di ricezione genera e invia al punto di trasmissione mittente un messaggio automatico di ripudio di aggiornamento contenente l'indicazione degli elementi mancanti. 4. Nel caso di un plico informativo completo, il punto centrale di ricezione avvia l'aggiornamento dei dati della BDA. 5. Al termine delle operazioni di aggiornamento dei dati della BDA, il punto centrale di ricezione memorizza, associandola al plico informativo trattato, una attestazione temporale con la data e l'ora di aggiornamento e l'indicazione del plico informativo trattato. L'attestazione di conferma di aggiornamento e' inserita in un apposito messaggio che viene inoltrato al punto di trasmissione. |
| Art. 36. Requisiti fisici del punto centrale di ricezione 1. La postazione di lavoro del punto centrale di ricezione e' costituita dagli strumenti elettronici e dalle risorse di rete utilizzati dalla BDA per l'attivita' di gestione dei plichi informativi ricevuti. 2. La postazione di lavoro del punto centrale di ricezione e' dotata delle risorse di elaborazione e dei programmi per elaboratore necessari per la ricezione, per via telematica dei plichi informativi all'interno della RUG dai vari punti di trasmissione. |
| Art. 37. Requisiti tecnici del punto centrale di ricezione 1. Le procedure messe in atto presso il punto centrale di ricezione sono documentate nel manuale operativo di cui all'art. 22. 2. Le politiche e le procedure di sicurezza messe in atto presso il punto centrale di ricezione sono documentate nel piano centrale per la sicurezza di cui all'art. 23. 3. Il punto centrale di ricezione utilizza, per gli adempimenti di cui agli articoli 34 e 35, un servizio di attestazione temporale basato sul tempo ufficiale della RUG. |
| Art. 38. Disposizioni transitorie 1. Gli adempimenti tecnico operativi sono regolati con provvedimento del Direttore generale per i sistemi informativi automatizzati, secondo le regole procedurali stabilite nel presente decreto. 2. L'attivazione della BDA e' preceduta da un decreto dirigenziale, emesso d'intesa dal Capo del Dipartimento per la giustizia minorile e dal Direttore generale per i sistemi informativi automatizzati, che accerta la installazione e la idoneita' dello strumento elettronico e del sistema di autorizzazione, unitamente alla funzionalita' dei servizi di comunicazione. |
| Art. 39. Adeguamento delle regole procedurali 1. Le regole procedurali stabilite dal presente decreto sono adeguate con cadenza almeno triennale a decorrere dalla data di entrata in vigore del presente decreto al fine di assicurarne la corrispondenza con le necessita' organizzative e con l'evoluzione delle conoscenze scientifiche e tecnologiche. Roma, 14 luglio 2004 Il Ministro: Castelli |
|