DMS 07.09.23 - articolo 25: Misure di sicurezza

  Articolo 25 - Misure di sicurezza

(Decreto del Ministero della Salute, 7 settembre 2023)

1. Per i trattamenti svolti in adempimento alle disposizioni di cui al presente decreto, i titolari adottano misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in coerenza con le disposizioni di cui agli articoli 25 e 32 del regolamento UE 2016/679

2. Ferme restando le misure di sicurezza di cui al comma 1, l'accesso al FSE è consentito, per tutte le finalità di cui al comma 2 dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, esclusivamente utilizzando le modalità di accesso e gli strumenti di cui all'art. 64 del CAD.

3. Nell'utilizzo di sistemi di memorizzazione o archiviazione dei dati devono essere attuati idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi.

4. Per il trattamento dei dati del FSE sono assicurati:

a) il rispetto delle disposizioni di cui all'art. 51 del CAD in materia di sicurezza e disponibilità dei dati, dei sistemi e delle infrastrutture delle Pubbliche amministrazioni, nonchè delle linee guida rese disponibili da AGID in materia di sviluppo e gestione dei sistemi informativi;

b) idonei sistemi di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento;

c) procedure per la verifica periodica dei profili di autorizzazione assegnati agli incaricati;

d) protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati;

e) la cifratura o la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali;

f) tracciabilità degli accessi e delle operazioni effettuate;

g) sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie;

h) procedure di pseudonimizzazione.

5. La struttura e l'organizzazione dei dati del FSE deve garantire, oltre alla corretta e differenziata articolazione dei profili per quanto concerne la classificazione delle tipologie di informazioni sanitarie indispensabili in relazione alle finalità per cui vengono trattate, anche quella relativa ai diversi livelli autorizzativi dei soggetti abilitati all'accesso.

6. Le disposizioni di cui al comma 4 vengono attuate ai sensi delle specificazioni contenute nell'allegato B.

7. Ai fini di garantire il corretto impiego del FSE da parte degli utilizzatori e per renderli edotti dei rischi che incombono sui dati, nonchè delle misure di sicurezza adottate, vengono organizzate apposite sessioni di formazione, anche con riferimento agli aspetti di protezione dei dati personali, con particolare riferimento all'accessibilità delle informazioni, alle operazioni di trattamento eseguibili e alla sicurezza dei dati, inclusi i rischi di erroneo inserimento dei dati per omonimia degli interessati.

8. In caso di incidenti di sicurezza che possano comportare rischi per i diritti e le libertà degli interessati, anche in relazione a trattamenti effettuati da altri soggetti, ciascun titolare del trattamento fornisce tempestivamente a quest'ultimi ogni informazione utile ad agevolare l'adempimento degli obblighi in materia di violazioni dei dati personali di cui agli articoli 33 e 34 del regolamento (UE) 2016/679.


articolo precedente // articolo successivo

 

Ndr - Provvedimenti citati nel testo con link esterno al sito Medico & Leggi:
 - Regolamento (UE) 2016/679