Testo pubblicato a cura della redazione internet del CED della Corte Suprema di Cassazione


INDICE del Decreto:

CAPO I - Principi generali

Art. 1 - Ambito di applicazione

Art. 2 - Definizioni

Art. 3 - Funzionamento e gestione della BDA

Art. 4 - Gestore centrale dell'accesso

Art. 5 - Punti di trasmissione

Art. 6 - Punto centrale di ricezione

CAPO II - Funzionamento e gestione della BDA

Art. 7 - Funzionalità del gestore centrale dell'accesso

Art. 8 - Funzionalità del punto di trasmissione

Art. 9 - Funzionalità del punto centrale di ricezione

Art. 10 - Sistema informativo UGM

Art. 11 - Requisiti tecnici di sicurezza

Art. 12 - Requisiti tecnici relativi all'infrastruttura di comunicazione

CAPO III - Gestione soggetti abilitati

Art. 13 - Gestione delle utenze

Art. 14 - Utenza SI

Art. 15 - Utenza non-SI

Art. 16 - Requisiti tecnici del registro delle utenze

Art. 17 - Requisiti delle postazioni di lavoro dei soggetti abilitati

CAPO IV - Operatività della BDA

Art. 18 - Accesso

Art. 19 - Consultazione

Art. 20 - Registrazione delle informazioni

Art. 21 - Requisiti tecnici del gestore centrale dell'accesso

Art. 22 - Manuale operativo

Art. 23 - Piano centrale per la sicurezza

Art. 24 - Giornale centrale di controllo

Art. 25 - Raccolta delle informazioni e dei documenti per la BDA

Art. 26 - Modalità e orario di predisposizione dei plichi informativi

Art. 27 - Contenuto dei plichi informativi

CAPO VI - Trasmissione dei plichi informativi

Art. 28 - Servizio di trasmissione telematica e crittografia

Art. 29 - Invio dei plichi informativi

Art. 30 - Requisiti fisici del punto di trasmissione

Art. 31 - Requisiti tecnici del punto di trasmissione

Art. 32 - Piano periferico per la sicurezza

Art. 33 - Giornale periferico di controllo

CAPO VII - Ricezione dei plichi informativi e aggiornamento BDA

Art. 34 - Ricezione e accodamento dei plichi informativi

Art. 35 - Aggiornamento dei dati della BDA

Art. 36 - Requisiti fisici del punto centrale di ricezione

Art. 37 - Requisiti tecnici del punto centrale di ricezione

CAPO VlII - Disposizioni transitorie ed adeguamento delle regole procedurali

Art. 38 - Disposizioni transitorie

Art. 39 - Adeguamento delle regole procedurali

1. Ai fini del presente decreto si intendono per:
   1. regolamento: il decreto del Ministro della giustizia 24 febbraio 2004, n. 91, portante «modalità di attuazione e organizzazione della banca di dati relativa ai minori dichiarati adottabili istituita dall'art. 40, legge 28 marzo 2001, n. 149»;
      
      
   2. RUG: Rete unitaria della giustizia;
      
      
   3. BDA: la Banca dati delle adozioni costituita presso il Ministero della giustizia, Dipartimento per la giustizia minorile, relativa ai minori dichiarati adottabili, ai coniugi aspiranti all'adozione nazionale ed internazionale, nonchè alle persone singole disponibili all'adozione, in relazione ai casi di cui alle lettere a), c), d) del comma 1 dell' art. 44, della legge 4 maggio 1983, n. 184, così come sostituito dall' art. 25 della legge 28 marzo 2001, n. 149;
      
      
   4. dati: i dati ed i documenti, anche informatici, previsti dalla legge sulle adozioni che affluiscono dai domini dei Tribunali per i minorenni (TM) e procure della Repubblica presso i tribunali per i minorenni (PM), nonchè ogni altra informazione utile a garantire il miglior esito del procedimento di adozione;
      
      
   5. UGM: gli uffici della giurisdizione minorile: i tribunali per i minorenni e procure della Repubblica presso i tribunali per i minorenni, i giudici tutelari, la sezione famiglia presso le corti d'appello, le procure generali presso la corte d'appello, la corte di cassazione e la procura generale presso le corte di cassazione;
      
      
   6. SI: il sistema informativo sviluppato per l'automazione degli UGM e per la gestione dei dati e dei documenti, anche informatici, concernenti i minori interessati da procedimenti di adozione;
   7. titolari del trattamento dei dati: gli uffici giudiziari minorili;
      
      
   8. strumento elettronico: l'elaboratore, i programmi per elaboratore e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento dei dati;
      
      
   9. gestore centrale dell'accesso: la struttura tecnico-organizzativa che fornisce, ai soggetti abilitati, i servizi di accesso alla BDA secondo le norme riportate nel presente decreto;
      
      
   10. punto di trasmissione: la struttura tecnico-organizzativa che fornisce i servizi di trasmissione telematica dei dati e dei documenti informatici secondo le regole tecnico-operative riportate nel presente decreto;
       
       
   11. punto centrale di ricezione: la struttura tecnico-organizzativa che fornisce i servizi di ricezione telematica dei dati e dei documenti informatici secondo le regole tecnico-operative riportate nel presente decreto;
       
       
   12. plico informativo: l'insieme delle informazioni, intese come dati e documenti, oggetto della comunicazione tra punto di trasmissione e punto centrale di ricezione;
       
       
   13. soggetto abilitato: tutti i soggetti abilitati all'utilizzo dei servizi di consultazione e aggiornamento dei dati della BDA, secondo l'art. 5 del regolamento. In particolare si intende per: soggetto abilitato interno: i magistrati e il personale appartenenti agli UGM cui sia stata attribuita la trattazione dello specifico procedimento di adozione o i quali siano individuati e autorizzati dal capo dell'ufficio all'accesso alla BDA; soggetto abilitato esterno: i diretti interessati ai fascicoli informatici, solo quanto ai loro dati personali, nel rispetto dei diritti loro spettanti e per il tramite dei soggetti abilitati interni;
       
       
   14. autenticazione informatica: l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità;
       
       
   15. credenziali di autenticazione: i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato (utenza) associato a una parola chiave riservata e conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave;
       
       
   16. codice per l'identificazione dell'interessato (utenza): componente di una credenziale di autenticazione associata ad una persona, costituita da una sequenza di caratteri o altri dati in forma elettronica, che consente la autenticazione informatica del soggetto abilitato. L'utenza è di due tipologie: utenza SI, che coincide con l'utenza già attribuita al soggetto abilitato per il SI dell'UGM di appartenenza; utenza non-SI, utenza diversa dalla precedente;
       
       
   17. parola chiave: componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;
       
       
   18. profilo di autorizzazione: l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonchè i trattamenti ad essa consentiti;
       
       
   19. sistema di autorizzazione: l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione;
       
       
   20. documento informatico: qualunque oggetto informatico (file) che contenga atti, fatti o dati giuridicamente rilevanti;
       
       
   21. chiave pubblica: la chiave, della coppia di chiavi, utilizzata da chiunque esegua la verifica di una firma digitale;
       
       
   22. certificato digitale: codice per l'identificazione dell'interessato fornito sotto forma di file; esso contiene informazioni sulla persona a cui è stato rilasciato il certificato e sull'autorità di certificazione che l'ha emesso.

1. Il Capo del Dipartimento per la giustizia minorile gestisce la BDA e ne cura il funzionamento.

1. Presso il Ministero della giustizia è attivato, quale sistema di autorizzazione, il gestore centrale dell'accesso.
   
   
2. Il gestore centrale dell'accesso è il punto unico di interazione a livello nazionale tra la BDA ed i soggetti abilitati.
   
   
3. Tutti i soggetti abilitati accedono alla BDA attraverso la RUG.
   
   
4. Il gestore centrale dell'accesso provvede all'autenticazione informatica dei soggetti abilitati interni e attiva i corrispondenti livelli di visibilità e operatività sulla base dei profili di autorizzazione.
   
   
5. Gli utenti abilitati esterni accedono al gestore centrale dell'accesso solo per tramite di soggetti abilitati interni.

1. Presso ogni UGM che alimenta automaticamente la BDA è attivato un punto di trasmissione.
   
   
2. Il punto di trasmissione è costituito da un certificato digitale e da un programma per elaboratore che provvede alla trasmissione telematica dei dati verso la BDA secondo le norme di cui al capo VI.

1. Presso il Ministero della giustizia è attivato il punto centrale di ricezione.
   
   
2. Il punto centrale di ricezione è unico e interagisce con i punti di trasmissione attivati a livello nazionale.
   
   
3. Il punto centrale di ricezione è costituito da un programma per elaboratore che provvede alla ricezione telematica dei plichi informativi dai vari punti di trasmissione secondo le norme di cui al capo VII.

1. Il gestore centrale dell'accesso rende accessibili i servizi di autenticazione informatica e consultazione della BDA.
   
   
2. Il gestore centrale dell'accesso rende accessibile un servizio di inserimento delle informazioni nel sistema informativo della BDA per tutti gli UGM per i quali non è possibile istituire un punto di trasmissione.
   
   
3. Il gestore centrale dell'accesso, tramite il proprio archivio di utenza, determina i profili di autorizzazione di cui all'art. 13 per il soggetto abilitato che ha richiesto i servizi di consultazione e/o inserimento, e li fornisce entro tali limiti.
   
   
4. Il gestore centrale dell'accesso associa ad ogni richiesta di consultazione una attestazione temporale con data ed ora di avvio e chiusura della sessione, nonchè l'identificazione del soggetto abilitato che è stato autenticato.
   
   
5. Il gestore centrale dell'accesso associa ad ogni richiesta di inserimento diretto delle informazioni nella BDA una attestazione temporale con data ed ora di avvio e chiusura della sessione, nonchè l'identificazione del soggetto abilitato che è stato autenticato.
   
   
6. Il gestore centrale dell'accesso associa ad ogni operazione effettuata, sia durante la consultazione che durante l'inserimento diretto delle informazioni nella BDA, una attestazione temporale con data ed ora, dettaglio dell'operazione, nonchè l'identificazione del soggetto abilitato che è stato autenticato.

1. Il servizio di trasmissione telematica dei plichi informativi è garantito dagli strumenti elettronici e dalle procedure utilizzate in ciascun punto di trasmissione attivato sul territorio.
   
   
2. Il punto di trasmissione è connesso telematicamente al punto centrale di ricezione tramite la RUG.
   
   
3. Il punto di trasmissione predispone i plichi informativi costituiti dal certificato di digitale e dall'insieme dei dati di interesse per la BDA.
   
   
4. In caso di mancata conferma da parte del punto centrale di ricezione, il punto di trasmissione provvede ad una nuova trasmissione del plico informativo.
   
   
5. In caso di ripudio, il punto di trasmissione provvede ad una nuova predisposizione e alla ri-trasmissione del plico informativo.
   
   
6. Il punto di trasmissione fornisce un servizio di archiviazione di tutti i plichi informativi inviati e delle relative attestazioni temporali.

1. Il servizio di ricezione telematica dei plichi informativi è garantito dagli strumenti elettronici e dalle procedure utilizzate nel punto centrale di ricezione.
   
   
2. Il punto centrale di ricezione è connesso telematicamente con ciascun punto di trasmissione tramite la RUG.
   
   
3. Il punto centrale di ricezione, appena ricevuto un plico informativo, invia una conferma di ricezione al punto di trasmissione mittente.
   
   
4. Il punto centrale di ricezione, qualora riceva un plico informativo incompleto, invia al punto di trasmissione mittente un messaggio di ripudio contenente l'indicazione degli elementi mancanti.
   
   
5. Il punto centrale di ricezione fornisce un servizio di archiviazione di tutti i plichi informativi e delle relative attestazioni temporali.

1. Il SI assicura l'archiviazione e il reperimento dei dati, delle informazioni e dei documenti, anche informatici, degli UGM relativi ai minori e/o agli aspiranti all'adozione.
   
   
2. I cambiamenti di stato giuridico relativi ai minori e/o agli aspiranti all'adozione sono aggiornati nella base dati del SI dell'UGM competente e, di conseguenza, aggiornati nella BDA tramite invio di plichi informativi.
   
   
3. Il SI memorizza, in una porzione della base dati denominata «base dati SI-DBA», i dati di interesse della BDA da utilizzare per la formazione dei plichi informativi.
   
   
4. I programmi per elaboratore e le procedure della BDA non modificano, nè eliminano, i dati presenti nel SI.
   
   
5. Nel caso in cui, per problematiche logistiche e/o organizzative, il SI non risulti attivo o in uso presso l'UGM, l'affluenza dei dati verso la BDA è garantita da funzioni di inserimento dati ai sensi dell'art. 20.

1. Per il gestore centrale dell'accesso, per i punti di trasmissione e per il punto centrale di ricezione trovano applicazione, quali livelli minimi di sicurezza, le politiche e procedure di sicurezza stabilite per la RUG.

1. Per la trasmissione telematica dei plichi informativi e di qualsiasi altro messaggio, il gestore centrale dell'accesso, i punti di trasmissione ed il punto centrale di ricezione utilizzano l'infrastruttura tecnologica messa a disposizione dalla RUG.
   
   
2. Per la comunicazione con entità esterne al dominio giustizia il gestore centrale dell'accesso utilizza l'infrastruttura tecnologica resa disponibile dalla direzione generale per i sistemi informativi automatizzati.

1. Presso il gestore centrale dell'accesso è istituito il registro delle utenze abilitate all'accesso alla BDA.
   
   
2. Il registro contiene le seguenti informazioni:
   1. nome e cognome;
      
      
   2. luogo e data di nascita;
      
      
   3. codice fiscale;
   4. credenziali di autenticazione, ed in particolare:
      utenza;
      parola chiave;
      
      
   5. ufficio: in particolare:
      tipologia dell'ufficio;
      sede dell'ufficio;
      
      
   6. tipologia dell'utenza: utenza SI, utenza non-SI;
      
      
   7. SI di provenienza (per i soggetti abilitati con «utenza SI»);
      
      
   8. data ed ora di creazione dell'utenza;
      
      
   9. data ed ora dell'ultima variazione dell'utenza;
      
      
   10. stato dell'utenza: attivo, non attivo;
       
       
   11. profilo di autorizzazione.
3. L'identificazione dei soggetti abilitati all'accesso alla BDA è basata sull'abbinamento: credenziale di autenticazione - ufficio.
   
   
4. La predisposizione delle utenze della BDA avviene secondo due modalità diverse e non complementari:
   «utenza SI»: per gli utenti degli UGM dotati di un SI viene garantito un automatico allineamento delle utenze impostate nel sistema;
   «utenza non-SI»: per tutti gli altri utenti degli UGM, a seguito della specifica richiesta da parte del capo dell'ufficio, il gestore centrale dell'accesso provvede alla predisposizione delle utenze da comunicare direttamente al personale.
   
   
5. Non è consentita utenza collettiva relativa ad uffici o unità organizzative.

1. L'attivazione di una utenza non-SI è subordinata alla richiesta di iscrizione nel registro delle utenze effettuata, per conto del richiedente, dal capo dell'UGM.
   
   
2. Nella richiesta di iscrizione nel registro sono indicate le seguenti informazioni:
   1. nome e cognome;
      
      
   2. luogo e data di nascita;
      
      
   3. codice fiscale;
      
      
   4. tipologia dell'ufficio;
      
      
   5. sede dell'ufficio.
3. Alla domanda debbono essere allegati:
   1. dichiarazione di impegno a garantire la sicurezza e l'integrità dei dati ai quali si accede;
      
      
   2. dichiarazione di impegno a comunicare al gestore centrale dell'accesso, entro 15 giorni dalla stessa, la data di cessazione del servizio.
4. Il gestore centrale dell'accesso, su autorizzazione rilasciata d'intesa dal Capo del Dipartimento per la giustizia minorile e dal Direttore generale per i sistemi informativi automatizzati, predispone la nuova utenza non-SI, garantendo l'univocità dell'abbinamento «credenziale di autenticazione - ufficio», o lo nega motivandone le ragioni.
   
   
5. Il gestore centrale dell'accesso invia al diretto interessato, in maniera riservata, la coppia «credenziale di autenticazione - ufficio» e le istruzioni per il corretto accesso alla BDA.
   
   
6. L'utente è responsabile, per quanto riguarda le normative in merito all'accesso ai dati riservati, dell'uso delle informazioni nella BDA ai fini della consultazione e/o dell'inserimento nonchè della custodia della propria utenza personale.
   
   
7. Il gestore centrale dell'accesso procede alla verifica dell'uso dell'utenza ed alla sua disattivazione, su autorizzazione rilasciata dal Capo del Dipartimento per la giustizia minorile.

1. Il gestore centrale dell'accesso rende disponibile una copia operativa del registro e mantiene l'originale inaccessibile dall'esterno, allocato su un sistema sicuro.
   
   
2. Il gestore centrale dell'accesso garantisce la conformità tra la copia operativa e l'originale del registro. Qualsiasi non conformità deve essere tempestivamente risolta e registrata in un apposito giornale di controllo.
   
   
3. L'effettuazione delle operazioni che modificano il contenuto del registro è consentita solo al personale espressamente autorizzato.
   
   
4. Le operazioni che modificano il contenuto del registro sono registrate in un apposito giornale di controllo.
   
   
5. La data e l'ora di inizio e fine di ogni intervallo di tempo nel quale il registro non risulta accessibile dall'esterno, nonchè quelle relative a ogni intervallo di tempo nel quale una sua funzionalità non risulta disponibile, sono soggette a registrazione in un apposito giornale di controllo.
   
   
6. Almeno una copia di sicurezza del registro è conservata in armadi di sicurezza distinti, situati in locali diversi.

1. La postazione di lavoro dei soggetti abilitati è costituita dagli strumenti elettronici e dalle risorse di rete utilizzati per l'attività dell'UGM.
   
   
2. La postazione di lavoro dei soggetti abilitati è dotata delle risorse di elaborazione e dei programmi per elaboratore necessari per l'attivazione di una connessione all'interno della RUG verso il gestore centrale dell'accesso, secondo le indicazioni di cui all'art. 18.

1. Il gestore centrale dell'accesso è raggiungibile all'interno della RUG.
   
   
2. Il gestore centrale dell'accesso fornisce un servizio di autenticazione informatica dei soggetti abilitati.
   
   
3. L'autenticazione dei soggetti abilitati avviene mediante l'indicazione della «credenziale di autenticazione - ufficio» di cui all'art. 13.
   
   
4. La trasmissione delle informazioni necessarie all'autenticazione avviene attraverso la RUG, secondo modalità tecniche e di sicurezza stabilite dal Direttore generale per i sistemi informativi automatizzati.
   
   
5. Le comunicazioni tra la postazione informatica del soggetto abilitato e il gestore centrale dell'accesso avvengono attraverso la RUG.
   
   
6. I tentativi di autenticazione informatica sono sottoposti a memorizzazione.

1. L'operazione di consultazione della BDA è subordinata all'autenticazione informatica di cui all'art. 18.
   
   
2. La consultazione della BDA avviene in modo da garantire l'oscuramento dei dati personali e delle informazioni che consentono l'identificazione del soggetto al quale si riferiscono. Le richieste di approfondimento dei dati sottoposti a regime di tutela sono formulate al titolare del trattamento. I riferimenti relativi al titolare del trattamento sono disponibili nella BDA.
   
   
3. La consultazione della BDA per la ricerca su dati anagrafici avviene mediante tipologia di accesso che garantisce la visualizzazione dei soli dati anagrafici individuati e del titolare del trattamento al quale richiedere ulteriori approfondimenti.
   
   
4. Indipendentemente dalla tipologia di consultazione il dato è accessibile nella sua totalità e senza oscuramenti quando il soggetto abilitato coincide con il titolare del trattamento.
   
   
5. La consultazione della BDA avviene per mezzo di interfacce dotate delle necessarie caratteristiche grafiche e funzionali.

1. Per gli UGM non dotati di un SI, nonchè per gli UGM per i quali non è possibile attivare un punto di trasmissione, la BDA garantisce l'inserimento dei dati attraverso procedure di alimentazione ed aggiornamento dirette.
   
   
2. L'accesso alle funzionalità di alimentazione diretta della BDA è subordinato all'autenticazione informatica di cui all'art. 18.
   
   
3. Le operazioni effettuate in modo diretto sono memorizzate insieme all'identificazione del soggetto abilitato che le ha eseguite.

1. Le procedure messe in atto presso il gestore centrale dell'accesso per la fornitura dei servizi previsti sono documentate nel manuale operativo di cui all'art. 22.
   
   
2. Le politiche e le procedure di sicurezza messe in atto presso il gestore centrale dell'accesso sono documentate nel piano centrale per la sicurezza, di cui all'art. 23.
   
   
3. I canali di autenticazione sono definiti sulla base delle tecnologie disponibili.
   
   
4. Il gestore centrale dell'accesso utilizza, per gli adempimenti di cui agli articoli 18 e 20, un servizio di attestazione temporale basato sul tempo ufficiale della RUG.

1. Presso il gestore centrale dell'accesso è istituito un manuale operativo che definisce le procedure applicate nello svolgimento delle attività previste dal presente decreto.
   
   
2. Il manuale operativo è pubblicato a cura del gestore centrale dell'accesso in modo da essere consultabile da remoto.
   
   
3. Il manuale operativo del gestore centrale dell'accesso contiene almeno le seguenti informazioni:
   1. dati identificativi della versione del manuale operativo;
      
      
   2. responsabile del manuale operativo;
      
      
   3. definizione degli obblighi di quanti accedono per l'utilizzo dei servizi disponibili;
      
      
   4. definizione delle responsabilità e delle eventuali limitazioni nell'utilizzo dei servizi;
      
      
   5. modalità di autenticazione informatica, registrazione e gestione delle credenziali di autenticazione e dei profili di autorizzazione;
      
      
   6. procedure di sicurezza.

1. Presso il gestore centrale dell'accesso è individuato, con atto scritto, il responsabile della sicurezza.
   
   
2. Il responsabile della sicurezza definisce ed adotta, secondo quanto previsto dall'allegato B, decreto legislativo 30 giugno 2003, n. 196, un piano per la sicurezza nel quale debbono essere contenuti almeno i seguenti elementi:
   1. struttura generale, modalità operativa e struttura logistica dell'organizzazione presso la quale è situata la BDA;
      
      
   2. descrizione dell'infrastruttura di sicurezza dell'immobile rilevante ai fini della sicurezza;
      
      
   3. allocazione dei servizi e degli uffici dell'organizzazione presso i quali è situata la BDA;
      
      
   4. elenco del personale abilitato ad operare sulla BDA;
      
      
   5. attribuzione delle responsabilità;
      
      
   6. descrizione delle procedure relative alle abilitazioni dei soggetti e dei punti di trasmissione;
      
      
   7. registro dei soggetti abilitati;
      
      
   8. registro dei punti di trasmissione;
      
      
   9. descrizione dei dispositivi;
      
      
   10. descrizione dei flussi di dati;
       
       
   11. procedura di gestione delle copie di sicurezza dei dati;
       
       
   12. procedura di gestione dei malfunzionamenti e delle interruzioni del servizio;
       
       
   13. analisi dei rischi;
       
       
   14. descrizione delle contromisure;
       
       
   15. specificazione dei controlli.

1. Presso il gestore centrale dell'accesso è istituito il giornale centrale di controllo, costituito dalle registrazioni relative alla consultazione e/o inserimento di dati nella BDA e dalle operazioni effettuate dal punto centrale di ricezione.
   
   
2. Le registrazioni possono essere effettuate anche su supporti distinti e di tipo diverso.
   
   
3. A ciascuna registrazione è associata la data e l'ora in cui è stata effettuata, nonchè l'identificativo del soggetto abilitato che l'ha eseguita.
   
   
4. Il giornale centrale di controllo è tenuto in modo da garantire l'autenticità delle annotazioni e consentire la ricostruzione degli eventi rilevanti ai fini della sicurezza.
   
   
5. L'integrità del giornale centrale di controllo è verificata secondo modalità stabilite nel piano della sicurezza.
   
   
6. Le registrazioni contenute nel giornale centrale di controllo sono archiviate e conservate per un periodo non inferiore a cinque anni.

1. La Direzione generale per i sistemi informativi automatizzati cura la realizzazione e l'aggiornamento dei programmi per elaboratore per il SI.
   
   
2. I programmi e le procedure di cui al comma precedente memorizzano, in una apposita «base dati SI-BDA» del SI, i dati inerenti i procedimenti di adozione.

1. Il punto di trasmissione, secondo una scansione temporale predeterminata, verifica i dati ed i documenti raccolti e presenti nella «base dati SI-BDA» e provvede alla predisposizione dei plichi informativi di cui all'art. 27.

1. Il plico informativo è costituito dai dati da trasmettere, unitamente al certificato digitale del punto di trasmissione, con indicazione della data e ora di predisposizione, nonchè del numero progressivo di invio di cui all'art. 29.

1. Il servizio di trasmissione telematica utilizzato dai punti di trasmissione e dal punto centrale di ricezione è conforme agli standard normativi vigenti ed agli standard tecnologici di riferimento.
   
   
2. Per garantire la riservatezza del plico informativo, il punto di trasmissione può utilizzare sistemi di crittografia basati sulla chiave pubblica del punto centrale di ricezione. In tal caso le chiavi pubbliche del punto centrale di ricezione sono pubblicate in un registro tenuto dal gestore centrale dell'accesso.

1. Il punto di trasmissione invia il plico informativo al punto centrale di ricezione ripetendo l'operazione fino alla ricezione del messaggio di «conferma ricezione».
   
   
2. Il punto di trasmissione memorizza, per ogni plico informativo in partenza, una attestazione temporale con data ed ora di invio.
   
   
3. All'atto della «conferma ricezione» da parte del punto centrale di ricezione, il punto di trasmissione memorizza, associandola al plico informativo trattato, una attestazione temporale con data ed ora di ricezione della conferma.
   
   
4. All'atto della «conferma aggiornamento», il punto di trasmissione memorizza, associandola al plico informativo trattato, una attestazione temporale con data ed ora di ricezione della conferma di aggiornamento dei dati della BDA.
   
   
5. All'atto della «conferma aggiornamento», il punto di trasmissione provvede allo svuotamento della «base dati SI-BDA».
   
   
6. In caso di «ripudio aggiornamento» da parte del punto centrale di ricezione, il punto di trasmissione provvede alla nuova predisposizione, di cui all'art. 27, e alla nuova trasmissione del plico informativo.

1. La postazione di lavoro del punto di trasmissione è costituita dagli strumenti elettronici e dalle risorse di rete utilizzati per l'attività dall'UGM.
   
   
2. La postazione di lavoro del punto di trasmissione è dotata delle risorse di elaborazione e dei programmi per elaboratore necessari per l'invio dei plichi informativi all'interno della RUG verso il punto centrale di ricezione.

1. Le procedure messe in atto presso il punto di trasmissione per l'invio dei plichi informativi sono documentate nel manuale operativo di cui all'art. 22.
   
   
2. Le politiche e le procedure di sicurezza messe in atto presso il punto di trasmissione sono documentate nel piano periferico per la sicurezza di cui all'art. 32.
   
   
3. Il punto di trasmissione utilizza, per gli adempimenti di cui agli articoli 26 e 29, un servizio di attestazione temporale basato sul tempo ufficiale della RUG.

1. Il responsabile della sicurezza dell'UGM integra, definisce ed adotta, secondo quanto previsto dall'allegato B, decreto legislativo 30 giugno 2003, n. 196, un piano per la sicurezza nel quale sono contenuti i seguenti elementi:
   1. struttura generale, modalità operativa e struttura logistica dell'organizzazione presso la quale è situato il punto di trasmissione;
      
      
   2. descrizione dell'infrastruttura di sicurezza dell'immobile rilevante ai fini della sicurezza;
      
      
   3. allocazione dei servizi e degli uffici dell'organizzazione presso la quale è situato il punto di trasmissione;
      
      
   4. descrizione dei dispositivi installati;
      
      
   5. descrizione dei flussi di dati;
      
      
   6. procedura di gestione delle copie di sicurezza dei dati.
   Art. 33.
   
   Giornale periferico di controllo
   1. Presso il punto di trasmissione è istituito un giornale periferico di controllo costituito dalle operazioni di predisposizione e invio dei plichi informativi.
      
      
   2. A ciascuna registrazione è associata la data e l'ora in cui essa è stata effettuata nonchè dell'identificativo dei plichi informativi.
      
      
   3. Il giornale periferico di controllo è tenuto in modo da garantire l'autenticità delle annotazioni e consentire la ricostruzione di tutti gli eventi rilevanti ai fini della sicurezza.
      
      
   4. L'integrità del giornale periferico di controllo è verificata periodicamente.
      
      
   5. Le registrazioni contenute nel giornale periferico di controllo sono archiviate e conservate per un periodo non inferiore a cinque anni.
   CAPO VII
   
   Ricezione dei plichi informativi e aggiornamento BDA
   
   Art. 34.
   
   Ricezione e accodamento dei plichi informativi
   1. Il punto centrale di ricezione è in costante attesa dei plichi informativi secondo quanto previsto agli articoli 26, 27 e 29.
      
      
   2. Il punto centrale di ricezione verifica l'autenticità e l'integrità del plico informativo in ingresso mediante il controllo del certificato digitale allegato.
      
      
   3. Il punto centrale di ricezione utilizza un sistema di gestione della «coda dei plichi» con il quale memorizza e tiene in attesa i vari plichi informativi ricevuti.
      
      
   4. All'atto della ricezione, il punto centrale di ricezione identifica il plico informativo, ne individua il relativo progressivo di invio e ignora successive ricezioni dell'identico plico.
      
      
   5. Il punto centrale di ricezione memorizza, associandola al plico informativo ricevuto, una attestazione temporale con la data e l'ora della ricezione. L'attestazione di conferma di ricezione è inserita in un apposito messaggio che viene inoltrato al punto di trasmissione. Il plico informativo viene inserito nella «coda dei plichi».
   Art. 35.
   
   Aggiornamento dei dati della BDA
   1. Il punto centrale di ricezione accede alla coda dei plichi ed avvia l'elaborazione sequenziale e ordinata, in base alla loro ricezione, dei plichi informativi.
      
      
   2. Per ogni plico informativo, il punto centrale di ricezione esegue i controlli di completezza.
      
      
   3. Nel caso di un plico informativo non completo, il punto centrale di ricezione genera e invia al punto di trasmissione mittente un messaggio automatico di ripudio di aggiornamento contenente l'indicazione degli elementi mancanti.
      
      
   4. Nel caso di un plico informativo completo, il punto centrale di ricezione avvia l'aggiornamento dei dati della BDA.
      
      
   5. Al termine delle operazioni di aggiornamento dei dati della BDA, il punto centrale di ricezione memorizza, associandola al plico informativo trattato, una attestazione temporale con la data e l'ora di aggiornamento e l'indicazione del plico informativo trattato. L'attestazione di conferma di aggiornamento è inserita in un apposito messaggio che viene inoltrato al punto di trasmissione.
   Art. 36.
   
   Requisiti fisici del punto centrale di ricezione
   1. La postazione di lavoro del punto centrale di ricezione è costituita dagli strumenti elettronici e dalle risorse di rete utilizzati dalla BDA per l'attività di gestione dei plichi informativi ricevuti.
      
      
   2. La postazione di lavoro del punto centrale di ricezione è dotata delle risorse di elaborazione e dei programmi per elaboratore necessari per la ricezione, per via telematica dei plichi informativi all'interno della RUG dai vari punti di trasmissione.
   Art. 37.
   
   Requisiti tecnici del punto centrale di ricezione
   1. Le procedure messe in atto presso il punto centrale di ricezione sono documentate nel manuale operativo di cui all'art. 22.
      
      
   2. Le politiche e le procedure di sicurezza messe in atto presso il punto centrale di ricezione sono documentate nel piano centrale per la sicurezza di cui all'art. 23.
      
      
   3. Il punto centrale di ricezione utilizza, per gli adempimenti di cui agli articoli 34 e 35, un servizio di attestazione temporale basato sul tempo ufficiale della RUG.
   CAPO VlII
   
   Disposizioni transitorie ed adeguamento delle regole procedurali
   
   Art. 38.
   
   Disposizioni transitorie
   1. Gli adempimenti tecnico operativi sono regolati con provvedimento del Direttore generale per i sistemi informativi automatizzati, secondo le regole procedurali stabilite nel presente decreto.
      
      
   2. L'attivazione della BDA è preceduta da un decreto dirigenziale, emesso d'intesa dal Capo del Dipartimento per la giustizia minorile e dal Direttore generale per i sistemi informativi automatizzati, che accerta la installazione e la idoneità dello strumento elettronico e del sistema di autorizzazione, unitamente alla funzionalità dei servizi di comunicazione.
   Art. 39.
   
   Adeguamento delle regole procedurali
   1. Le regole procedurali stabilite dal presente decreto sono adeguate con cadenza almeno triennale a decorrere dalla data di entrata in vigore del presente decreto al fine di assicurarne la corrispondenza con le necessità organizzative e con l'evoluzione delle conoscenze scientifiche e tecnologiche.