Regole procedurali di carattere tecnico operativo per l'attuazione del decreto del Presidente della Repubblica 14 novembre 2002, n. 313.

Capo I Principi generali

IL DIRETTORE GENERALE

della giustizia penale

Visto il decreto del Presidente della Repubblica 14 novembre 2002, n. 313, contenente il T.U. delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti;

Letti gli articoli 20, 33, 35, 39, 42, 43 e 46 del citato T.U., dai quali emerge la necessita' di disciplinare con ulteriori decreti le modalita' tecnico-operative per l'applicazione del medesimo T.U. e per la gestione della fase transitoria;

Considerato il processo che caratterizza l'evoluzione del sistema informativo automatizzato del casellario giudiziale e la non completa operativita' dei sistemi di interconnessione tra le diverse articolazioni degli uffici giudiziari e le altre pubbliche amministrazioni;

Visto il decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali;

Sentita la Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie;

Sentito il Garante per la protezione dei dati personali;

Decreta:

Art. 1.

Ambito di applicazione

1. Il presente decreto stabilisce le regole tecniche di funzionamento del sistema informativo automatizzato del casellario giudiziale, del casellario dei carichi pendenti, dell'anagrafe delle sanzioni amministrative dipendenti da reato e dell'anagrafe dei carichi pendenti degli illeciti amministrativi dipendenti da reato.

   Art. 2.

   Definizioni

1. Ai fini dell'applicazione del presente decreto, se non diversamente ed espressamente indicato:

   1. «T.U.» e' il testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, di cui al decreto del Presidente della Repubblica 14 novembre 2002, n. 313;

   2. «casellario giudiziale» e' l'insieme dei dati relativi a provvedimenti giudiziari e amministrativi riferiti a soggetti determinati;

   3. «casellario dei carichi pendenti» e' l'insieme dei dati relativi a provvedimenti giudiziari riferiti a soggetti determinati che hanno la qualita' di imputato;

   4. «anagrafe delle sanzioni amministrative dipendenti da reato» e' l'insieme dei dati relativi a provvedimenti giudiziari che applicano, agli enti con personalita' giuridica e alle societa' e associazioni anche prive di personalita' giuridica, le sanzioni amministrative dipendenti da reato, ai sensi del decreto legislativo 8 giugno 2001, n. 231;

   5. «anagrafe dei carichi pendenti degli illeciti amministrativi dipendenti da reato» e' l'insieme dei dati relativi a provvedimenti giudiziari riferiti agli enti con personalita' giuridica e alle societa' e associazioni anche prive di personalita' giuridica, cui e' stato contestato l'illecito amministrativo dipendente da reato, ai sensi del decreto legislativo 8 giugno 2001, n. 231;

   6. «ente» e' l'ente fornito di personalita' giuridica, la societa' e l'associazione, anche priva di personalita' giuridica, ai sensi del decreto legislativo 8 giugno 2001, n. 231;

   7. «ufficio iscrizione» e' l'ufficio presso l'autorita' giudiziaria che ha emesso il provvedimento giudiziario soggetto a iscrizione o a eliminazione, cosi' come definito nel T.U.;

   8. «ufficio territoriale» e' l'ufficio presso il giudice di pace, cosi' come definito nel T.U.;

   9. «ufficio locale» e' l'ufficio presso il tribunale e presso il tribunale per i minorenni, cosi' come definito nel T.U. Nella fase transitoria ed in attesa dell'adozione del regolamento di cui all'art. 7, comma 4 del decreto legislativo 25 luglio 2006, n. 240, ufficio locale e' l'ufficio costituito nell'ambito delle procure della Repubblica presso i Tribunali ordinari, gia' denominato casellario locale;

   10. «ufficio centrale» e' l'ufficio presso il Ministero della giustizia, cosi' come definito nel T.U.;

   11. «sistema» e' il sistema informativo automatizzato del casellario giudiziale, del casellario dei carichi pendenti, dell'anagrafe delle sanzioni amministrative dipendenti da reato, dell'anagrafe dei carichi pendenti degli illeciti amministrativi dipendenti da reato;

   12. «codice identificativo» e' il codice fiscale o il codice individuato ai sensi dell'art. 43 del T.U.;

   13. «RUG» (Rete Unitaria della Giustizia) e' l'infrastruttura telematica che interconnette tra loro i sistemi informatici interni al Dominio Giustizia;

   14. «sistemi fonte» sono i sistemi informatici interni al Dominio Giustizia da cui sono generati i dati per l'iscrizione, l'aggiornamento e l'eliminazione dei provvedimenti nelle predette banche dati centralizzate.

   15. «archivio CAI» e' l'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento della «Centrale di Allarme Interbancaria» - segmento ASP «Archivio Sanzioni Penali», istituito presso la Banca d'Italia ai sensi dell'art. 36, comma 1, del decreto legislativo 30 dicembre 1999, n. 507;

   16. «firma digitale» un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrita' di un documento informatico o di un insieme di documenti informatici (decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni);

   17. «Log» per log si intende la registrazione informatica, anche per motivi di sicurezza, delle operazioni che un certo programma informatico sta eseguendo.

   Capo II Sistema informativo

   Art. 3.

   Principi e funzioni

1. Il sistema, la cui gestione e' demandata all'ufficio centrale, e' il supporto alla base di tutte le procedure per le attivita' degli e tra gli uffici coinvolti concernenti l'iscrizione, l'eliminazione, lo scambio, la trasmissione, la conservazione dei dati e i servizi certificativi, anche nei rapporti con l'utenza e si uniforma ai principi indicati all'art. 41 del T.U.

2. Il sistema raccoglie e conserva in una banca dati centralizzata:

   1. l'insieme dei dati del casellario giudiziale e del casellario dei carichi pendenti, trattando separatamente quelli relativi ai minorenni;

   2. l'insieme dei dati relativi all'anagrafe delle sanzioni amministrative dipendenti da reato e all'anagrafe dei carichi pendenti degli illeciti amministrativi dipendenti da reato.

3. I dati raccolti e memorizzati nella banca dati centralizzata di cui al comma 2 sono protetti mediante l'utilizzo di tecniche di cifratura ed idonee procedure di controllo degli accessi.

4. Il sistema conserva a fini statistici, in modo anonimo, i dati eliminati, per le attivita' di supporto demandate all'ufficio centrale dall'art. 19 del T.U.

5. Il sistema e' articolato su due siti, il polo primario e il polo secondario con sede rispettivamente a Roma e a Napoli. I due poli, su cui sono installate tutte le funzionalita' e le strutture delle banche dati del sistema, sono speculari a livello di struttura e sono allineati in modalita' asincrona, tramite un sistema di replicazione progettato per assicurare la protezione dei dati e l'indipendenza dei due poli. Tale scelta architetturale consente:

   1. un bilanciamento del carico di lavoro tra i due poli attraverso una soluzione che prevede la suddivisione degli accessi sul sistema in funzione del tipo di utente che si connette;

   2. la continuita' dei servizi erogati dal sistema, in relazione ai diversi scenari di indisponibilita' del sistema.

6. Titolare del trattamento dei dati e' il Ministero della giustizia - Dipartimento per gli affari di giustizia, nel cui ambito e' istituito l'ufficio centrale.

   Art. 4.

   Politiche di sicurezza

1. Sul sistema sono implementate politiche di sicurezza idonee a:

   1. salvaguardare la riservatezza delle informazioni e delle risorse del sistema, riducendo al minimo il rischio di accessi, volontari o involontari, non autorizzati;

   2. salvaguardare la integrita' delle informazioni e delle risorse del sistema, riducendo al minimo il rischio che possano avvenire cancellazioni o modifiche delle stesse a seguito di interventi di soggetti non autorizzati o del verificarsi di fenomeni non controllabili (quali il deteriorarsi dei supporti di memorizzazione, il degrado dei dati trasmessi su canali rumorosi, i guasti degli apparati, i problemi ai sistemi di distribuzione dell'energia, gli incendi, gli allagamenti, etc.) e prevedere adeguate procedure di recupero delle informazioni (piani di back-up, etc.);

   3. salvaguardare l'esattezza, l'accessibilita' e la disponibilita' delle informazioni e delle risorse del sistema, riducendo al minimo il rischio che possa essere impedito ai soggetti autorizzati l'accesso alle informazioni a seguito dell'intervento di altri soggetti non autorizzati ovvero del verificarsi di fenomeni non controllabili simili a quelli indicati alla lettera b).

2. Al fine di garantire il rispetto delle indicazioni di cui sopra nella gestione del sistema, l'ufficio centrale adotta un documento programmatico per la sicurezza, coerente con le indicazioni contenute nel decreto legislativo 30 giugno 2003, n. 196, nel quale sono specificate:

   1. la politica di sicurezza proposta, articolata nelle seguenti componenti:

      politica per l'accesso ai servizi;

      elenco del personale abilitato ad operare sul sistema;

      attribuzione delle responsabilita';

      politica per la protezione fisica e logica delle informazioni;

      politica generale relativa all'organizzazione della sicurezza;

      le linee di indirizzo proposte in tema di sicurezza, con specifico riferimento ad analisi dei rischi, amministrazione della sicurezza ed incidenti di sicurezza;

      controllo e analisi dei log;

   2. le modalita' e i criteri proposti per la gestione della sicurezza, in termini di sicurezza logica, fisica ed organizzativa.

3. L'ufficio centrale adotta idonee politiche e procedure per il salvataggio (backup) dei dati, che deve avvenire con frequenza almeno settimanale, nonche' un piano di disaster recovery in cui...