Disposizioni correttive ed integrative della normativa in materia di protezione dei dati personali, a norma dell’articolo 1 della legge 24 marzo 2001, n. 127.
[divider]
Gazzetta n. 13 del 16 Gennaio 2002
Capo I Modificazioni ed integrazioni alla legge n. 675/1996
IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87 della Costituzione; Vista la legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni;
Vista la legge 31 dicembre 1996, n. 676, recante delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali;
Vista la direttiva 95/46/CE del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati;
Vista la legge 24 marzo 2001, n. 127, recante differimento del termine per l’esercizio della delega prevista dalla legge 31 dicembre 1996, n. 676;
Vista la direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni;
Vista la raccomandazione del Consiglio d’Europa n. (95) 4 del 7 febbraio 1995, sulla protezione dei dati personali nel settore dei servizi di telecomunicazioni, con particolare riguardo ai servizi telefonici;
Visto il decreto legislativo 13 maggio 1998, n. 171, recante disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della direttiva 97/66/CE del Parlamento europeo e del Consiglio;
Sentito il Garante per la protezione dei dati personali;
Vista la deliberazione preliminare del Consiglio dei Ministri, adottata nella riunione del 21 novembre 2001;
Acquisito il parere delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 21 dicembre 2001;
Sulla proposta del Presidente del Consiglio dei Ministri, di concerto con il Ministro della giustizia;
E m a n a
il seguente decreto legislativo:
Art. 1.
Definizioni e diritto nazionale applicabile
1. Agli effetti dell’applicazione del presente decreto si applicano le definizioni elencate nell’articolo 1, comma 2, della legge 31 dicembre 1996, n. 675.
2. Nell’articolo 2 della legge 31 dicembre 1996, n. 675, sono aggiunti i seguenti commi:
“1-bis. La presente legge si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente al-l’Unione europea e impiega, per il trattamento, mezzi situati nel territorio dello Stato anche diversi da quelli elettronici o comunque automatizzati, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea.
1-ter. Nei casi di cui al comma 1-bis il titolare stabilito nel territorio di un Paese non appartenente al-l’Unione europea deve designare ai fini dell’applicazione della presente legge un proprio rappresentante stabilito nel territorio dello Stato.”.
Avvertenza:
Il testo delle note qui pubblicato è stato redatto dall’amministrazione competente per materia, ai sensi dell’art. 10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull’emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali è operato il rinvio. Restano invariati il valore e l’efficacia degli atti legislativi qui trascritti.
Note alle premesse:
– L’art. 76 della Costituzione regola la delega al Governo dell’esercizio della funzione legislativa e stabilisce che essa non può avvenire se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti.
– L’art. 87 della Costituzione, tra l’altro, conferisce al Presidente della Repubblica il potere di promulgare le leggi e di emanare i decreti aventi valore di legge e i regolamenti.
– Per l’argomento della legge 31 dicembre 1996, n. 675, vedasi nelle note all’art. 1.
Note all’art. 1:
– Si riporta il testo dell’art. 1 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali):
“Art. 1 (Finalità e definizioni)
– 1. La presente legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonchè della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale; garantisce altresi’ i diritti delle persone giuridiche e di ogni altro ente o associazione.
– 2. Ai fini della presente legge si intende:
a) per “banca di dati , qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento;
b) per “trattamento , qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati;
c) per “dato personale , qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
d) per “titolare , la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza;
e) per “responsabile , la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
f) per “interessato , la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali;
g) per “comunicazione , il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
h) per “diffusione , il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
i) per “dato anonimo , il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
l) per “blocco , la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
m) per “Garante , l’autorità istituita ai sensi dell’art. 30.”.
– Il testo vigente dell’art. 2 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è il seguente:
“Art. 2 (Ambito di applicazione).
– 1. La presente legge si applica al trattamento di dati personali da chiunque effettuato nel territorio dello Stato.
– 1-bis. La presente legge si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, mezzi situati nel territorio dello Stato anche diversi da quelli elettronici o comunque automatizzati, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea.
– 1-ter. Nei casi di cui al comma 1-bis il titolare stabilito nel territorio di un Paese non appartenente all’Unione europea deve designare ai fini dell’applicazione della presente legge un proprio rappresentante stabilito nel territorio dello Stato.”.
Art. 2. Trattamenti per fini esclusivamente personali
1. Nell’articolo 3, comma 2, della legge 31 dicembre 1996, n. 675, le parole: “le disposizioni di cui agli articoli 18 e 36” sono sostituite dalle seguenti: “l’articolo 18”.
Nota all’art. 2:
– Il testo vigente dell’art. 3 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è il seguente:
“Art. 3 (Trattamento di dati per fini esclusivamente personali).
– 1. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto all’applicazione della presente legge, semprechè i dati non siano destinati ad una comunicazione sistematica o alla diffusione.
– 2. Al trattamento di cui al comma 1 si applicano in ogni caso le disposizioni in tema di sicurezza dei dati di cui all’art. 15, nonchè l’art. 18.”.
Art. 3. Semplificazione dei casi e delle modalità di notificazione
1. Nell’articolo 7, comma 1, della legge 31 dicembre 1996, n. 675, è aggiunto in fine il seguente periodo: “se il trattamento, in ragione delle relative modalità o della natura dei dati personali, sia suscettibile di recare pregiudizio ai diritti e alle libertà dell’interessato, e nei soli casi e con le modalità individuati con il regolamento di cui all’articolo 33, comma 3.”.
2. Nell’articolo 7, comma 2, della legge 31 dicembre 1996, n. 675, le parole: “indicati nel comma 4” sono sostituite dalle seguenti: “che devono essere indicati”.
3. Nell’articolo 7, comma 4, lettera h), della legge 31 dicembre 1996, n. 675, le parole: “del responsabile;” sono sostituite dalle seguenti: “del rappresentante del titolare nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all’articolo 13;”.
4. Le disposizioni di cui all’articolo 7, commi 3, 4, 5, 5-bis, 5-ter, 5-quater e 5-quinquies, 13, comma 1, lettera b) e 28, comma 7, della legge 31 dicembre 1996, n. 675 sono abrogate a decorrere dalla data di entrata in vigore delle modifiche apportate al regolamento di cui all’articolo 33, comma 3, della medesima legge in applicazione del comma 1 del presente articolo.
Note all’art. 3:
– Il testo vigente dell’art. 7 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è attualmente il seguente (si veda anche l’abrogazione dei commi 3, 4, 5, 5-bis, 5-ter, 5-quater e 5-quinquies prevista dall’art. 3, comma 4, del decreto medesimo):
“Art. 7 (Notificazione).
– 1. Il titolare che intenda procedere ad un trattamento di dati personali soggetto al campo di applicazione della presente legge è tenuto a darne notificazione al Garante se il trattamento, in ragione delle relative modalità o della natura dei dati personali, sia suscettibile di recare pregiudizio ai diritti e alle libertà dell’interessato, e nei soli casi e con le modalità individuati con il regolamento di cui all’art. 33, comma 3.
– 2. La notificazione è effettuata preventivamente ed una sola volta, a mezzo di lettera raccomandata ovvero con altro mezzo idoneo a certificarne la ricezione, a prescindere dal numero delle operazioni da svolgere, nonchè dalla durata del trattamento e può riguardare uno o più trattamenti con finalità correlate. Una nuova notificazione è richiesta solo se muta taluno degli elementi che devono essere indicati e deve precedere l’effettuazione della variazione.
3. La notificazione è sottoscritta dal notificante e dal responsabile del trattamento.
4. La notificazione contiene:
a) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare;
b) le finalità e modalità del trattamento;
c) la natura dei dati, il luogo ove sono custoditi e le categorie di interessati cui i dati si riferiscono;
d) l’ambito di comunicazione e di diffusione dei dati;
e) i trasferimenti di dati previsti verso Paesi non appartenenti all’Unione europea o, qualora riguardino taluno dei dati di cui agli articoli 22 e 24, fuori del territorio nazionale;
f) una descrizione generale che permetta di valutare l’adeguatezza delle misure tecniche ed organizzative adottate per la sicurezza dei dati;
g) l’indicazione della banca di dati o delle banche di dati cui si riferisce il trattamento, nonchè l’eventuale connessione con altri trattamenti o banche di dati, anche fuori dal territorio nazionale;
h) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del rappresentante del titolare nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all’art. 13; in mancanza di tale indicazione si considera responsabile il notificante;
i) la qualità e la legittimazione del notificante.
5. I soggetti tenuti ad iscriversi o che devono essere annotati nel registro delle imprese di cui all’art. 2188 del codice civile, nonchè coloro che devono fornire le informazioni di cui all’art. 8, comma 8, lettera d), della legge 29 dicembre 1993, n. 580, alle camere di commercio, industria, artigianato e agricoltura, possono effettuare la notificazione per il tramite di queste ultime, secondo le modalità stabilite con il regolamento di cui all’art. 33, comma 3. I piccoli imprenditori e gli artigiani possono effettuare la notificazione anche per il tramite delle rispettive rappresentanze di categoria; gli iscritti agli albi professionali anche per il tramite dei rispettivi ordini professionali. Resta in ogni caso ferma la disposizione di cui al comma 3.
5-bis. La notificazione in forma semplificata può non contenere taluno degli elementi di cui al comma 4, lettere b), c), e) e g), individuati dal Garante ai sensi del regolamento di cui all’art. 33, comma 3, quando il trattamento è effettuato:
a) da soggetti pubblici, esclusi gli enti pubblici economici, sulla base di espressa disposizione di legge ai sensi degli articoli 22, comma 3, e 24, ovvero del provvedimento di cui al medesimo art. 24;
b) nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalità, ovvero dai soggetti indicati nel comma 4-bis dell’art. 25, nel rispetto del codice di deontologia di cui al medesimo articolo;
c) temporaneamente senza l’ausilio di mezzi elettronici o comunque automatizzati, ai soli fini e con le modalità strettamente collegate all’organizzazione interna dell’attività esercitata dal titolare, relativamente a dati non registrati in una banca di dati e diversi da quelli di cui agli articoli 22 e 24;
c-bis) per scopi storici, di ricerca scientifica e di statistica in conformità alle leggi, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell’art. 31.
5-ter. Fuori dei casi di cui all’art. 4, il trattamento non è soggetto a notificazione quando:
a) è necessario per l’assolvimento di un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria, relativamente a dati diversi da quelli indicati negli articoli 22 e 24;
b) riguarda dati contenuti o provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità di cui all’art. 20, comma 1, lettera b);
c) è effettuato per esclusive finalità di gestione del protocollo, relativamente ai dati necessari per la classificazione della corrispondenza inviata per fini diversi da quelli di cui all’art. 13, comma 1, lettera e), con particolare riferimento alle generalità e ai recapiti degli interessati, alla loro qualifica e all’organizzazione di appartenenza;
d) riguarda rubriche telefoniche o analoghe non destinate alla diffusione, utilizzate unicamente per ragioni d’ufficio e di lavoro e comunque per fini diversi da quelli di cui all’art. 13, comma l, lettera e);
e) è finalizzato unicamente all’adempimento di specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, ed è effettuato con riferimento alle sole categorie di dati, di interessati e di destinatari della comunicazione e diffusione strettamente collegate a tale adempimento, conservando i dati non oltre il periodo necessario all’adempimento medesimo;
f) è effettuato, salvo quanto previsto dal comma 5-bis, lettera b), da liberi professionisti iscritti in albi o elenchi professionali, per le sole finalità strettamente collegate all’adempimento di specifiche prestazioni e fermo restando il segreto professionale;
g) è effettuato dai piccoli imprenditori di cui all’art. 2083 del codice civile per le sole finalità strettamente collegate allo svolgimento dell’attività professionale esercitata e limitatamente alle categorie di dati, di interessati, di destinatari della comunicazione e diffusione e al periodo di conservazione dei dati necessari per il perseguimento delle finalità medesime;
h) è finalizzato alla tenuta di albi o elenchi professionali in conformità alle leggi e ai regolamenti;
i) è effettuato per esclusive finalità dell’ordinaria gestione di biblioteche, musei e mostre, in conformità alle leggi e ai regolamenti, ovvero per la organizzazione di iniziative culturali o sportive o per la formazione di cataloghi e bibliografie;
l) è effettuato da associazioni, fondazioni, comitati anche a carattere politico, filosofico, religioso o sindacale, ovvero da loro organismi rappresentativi, istituiti per scopi non di lucro e per il perseguimento di finalità lecite, relativamente a dati inerenti agli associati e ai soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, la fondazione, il comitato o l’organismo, fermi restando gli obblighi di informativa degli interessati e di acquisizione del consenso, ove necessario;
m) è effettuato dalle organizzazioni di volontariato di cui alla legge 11 agosto 1991, n. 266, nei limiti di cui alla lettera l) e nel rispetto delle autorizzazioni e delle prescrizioni di legge di cui agli articoli 22 e 23;
n) è effettuato temporaneamente ed è finalizzato esclusivamente alla pubblicazione o diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero, nel rispetto del codice di deontologia di cui all’art. 25;
o) è effettuato, anche con mezzi elettronici o comunque automatizzati, per la redazione di periodici o pubblicazioni aventi finalità di informazione giuridica, relativamente a dati desunti da provvedimenti dell’autorità giudiziaria o di altre autorità;
p) è effettuato temporaneamente per esclusive finalità di raccolta di adesioni a proposte di legge d’iniziativa popolare, a richieste di referendum, a petizioni o ad appelli;
q) è finalizzato unicamente all’amministrazione dei condomini di cui all’art. 1117 e seguenti del codice civile, limitatamente alle categorie di dati, di interessati e di destinatari della comunicazione necessarie per l’amministrazione dei beni comuni, conservando i dati non oltre il periodo necessario per la tutela dei corrispondenti diritti;
q-bis) è compreso nel programma statistico nazionale o in atti di programmazione statistica previsti dalla legge ed è effettuato in conformità alle leggi, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell’art. 31.
5-quater. Il titolare si può avvalere della notificazione semplificata o dell’esonero di cui ai commi 5-bis e 5-ter, sempre che il trattamento riguardi unicamente le finalità, le categorie di dati, di interessati e di destinatari della comunicazione e diffusione, individuate, unitamente al periodo di conservazione dei dati, dai medesimi commi 5-bis e 5-ter, nonchè:
a) nei casi di cui ai commi 5-bis, lettera a) e 5-ter, lettere a) e m), dalle disposizioni di legge o di regolamento o dalla normativa comunitaria ivi indicate;
b) nel caso di cui al comma 5-bis, lettera b), dal codice di deontologia ivi indicato;
c) nei casi residui, dal Garante con le autorizzazioni rilasciate con le modalità previste dall’art. 41, comma 7, ovvero, per i dati diversi da quelli di cui agli articoli 22 e 24, con provvedimenti analoghi.
5-quinquies. Il titolare che si avvale dell’esonero di cui al comma 5-ter deve fornire gli elementi di cui al comma 4 a chiunque ne faccia richiesta.”.
– Per il testo dell’art. 28 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto, vedasi infra in nota all’art. 10.
– Si riporta il testo dell’art. 33 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali):
“Art. 33 (Ufficio del Garante). – 1. Alle dipendenze del Garante è posto un ufficio composto, in sede di prima applicazione della presente legge, da dipendenti dello Stato e di altre amministrazioni pubbliche, collocati fuori ruolo nelle forme previste dai rispettivi ordinamenti, il cui servizio presso il medesimo ufficio è equiparato ad ogni effetto di legge a quello prestato nelle rispettive amministrazioni di provenienza. Il relativo contingente è determinato, in misura non superiore a quarantacinque unità, su proposta del Garante medesimo, con decreto del Presidente del Consiglio dei Ministri, di concerto con i Ministri del tesoro e per la funzione pubblica, entro novanta giorni dalla data di elezione del Garante. Il segretario generale può essere scelto anche tra magistrati ordinari o amministrativi.
1-bis. è istituito il ruolo organico del personale dipendente del Garante. Con proprio regolamento il Garante definisce:
a) l’ordinamento delle carriere e le modalità del reclutamento secondo le procedure previste dall’art. 36 del decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni;
b) le modalità dell’inquadramento in ruolo del personale in servizio alla data di entrata in vigore del regolamento;
c) il trattamento giuridico ed economico del personale, secondo i criteri previsti dalla legge 31 luglio 1997, n. 249, e, per gli incarichi di funzioni dirigenziali, dall’art. 19, comma 6, del citato decreto legislativo n. 29, come sostituito dall’art. 13 del decreto legislativo 31 marzo 1998, n. 80, tenuto conto delle specifiche esigenze funzionali e organizzative. Il regolamento è pubblicato nella Gazzetta Ufficiale. Nelle more della più generale razionalizzazione del trattamento economico delle autorità amministrative indipendenti, al personale è attribuito l’ottanta per cento del trattamento economico del personale dell’Autorità per le garanzie nelle comunicazioni. Per il periodo intercorrente tra l’8 maggio 1997 e la data di entrata in vigore del regolamento, resta ferma l’indennità di cui all’art. 41 del decreto del Presidente della Repubblica 10 luglio 1991, n. 231, corrisposta al personale in servizio. Dal 1 gennaio 1998 e fino alla data di entrata in vigore del medesimo regolamento, è inoltre corrisposta la differenza tra il nuovo trattamento e la retribuzione già in godimento maggiorata della predetta indennità di funzione.
1-ter. L’ufficio può avvalersi, per motivate esigenze, di dipendenti dello Stato o di altre amministrazioni pubbliche o di enti pubblici collocati in posizione di fuori ruolo nelle forme previste dai rispettivi ordinamenti, ovvero in aspettativa ai sensi dell’art. 13 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, e successive modificazioni, in numero non superiore, complessivamente, a venti unità e per non oltre il venti per cento delle qualifiche dirigenziali, lasciando non coperto un corrispondente numero di posti di ruolo. Al personale di cui al presente comma è corrisposta una indennità pari alla eventuale differenza tra il trattamento erogato dall’amministrazione o dall’ente di provenienza e quello spettante al corrispondente personale di ruolo, e comunque non inferiore alla indennità di cui all’art. 41 del citato decreto del Presidente della Repubblica n. 231 del 1991.
1-quater. Con proprio regolamento il Garante ripartisce l’organico, fissato nel limite di cento unità, tra il personale dei diversi livelli e quello delle qualifiche dirigenziali e disciplina l’organizzazione, il funzionamento dell’ufficio, la riscossione e la utilizzazione dei diritti di segreteria, ivi compresi quelli corrisposti dall’8 maggio 1997, e la gestione delle spese, anche in deroga alle norme sulla contabilità generale dello Stato. Il regolamento è pubblicato nella Gazzetta Ufficiale.
1-quinquies. In aggiunta al personale di ruolo, l’ufficio può assumere direttamente dipendenti con contratto a tempo determinato disciplinato dalle norme di diritto privato, in numero non superiore a venti unità, ivi compresi i consulenti assunti con contratto a tempo determinato ai sensi del comma 4.
1-sexies. All’ufficio del Garante, al fine di garantire la responsabilità e l’autonomia ai sensi della legge 7 agosto 1990, n. 241, e successive modificazioni, e del decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni, si applicano i principi riguardanti l’individuazione e le funzioni del responsabile del procedimento, nonchè quelli relativi alla distinzione fra le funzioni di indirizzo e di controllo, attribuite agli organi di vertice, e quelli concernenti le funzioni di gestione attribuite ai dirigenti.
2. Le spese di funzionamento dell’ufficio del Garante sono poste a carico di un fondo stanziato a tale scopo nel bilancio dello Stato e iscritto in apposito capitolo dello stato di previsione del Ministero del tesoro. Il rendiconto della gestione finanziaria è soggetta al controllo della Corte dei conti.
3. In sede di prima applicazione della presente legge, le norme concernenti l’organizzazione ed il funzionamento dell’ufficio del Garante, nonchè quelle dirette a disciplinare la riscossione dei diritti di segreteria e la gestione delle spese, anche in deroga alle disposizioni sulla contabilità generale dello Stato, sono adottate con regolamento emanato con decreto del Presidente della Repubblica, entro tre mesi dalla data di entrata in vigore della presente legge, previa delibe-razione del Consiglio dei Ministri, sentito il Consiglio di Stato, su proposta del Presidente del Consiglio dei Ministri, di concerto con i Ministri del tesoro, di grazia e giustizia e dell’interno, e su parere conforme del Garante stesso. Nel medesimo regolamento sono determinate le indennità di cui all’art. 30, comma 6, e altresi’ previste le norme concernenti il procedimento dinanzi al Garante di cui all’art. 29, commi da 1 a 5, secondo modalità tali da assicurare, nella speditezza del procedimento medesimo, il pieno rispetto del contrad-dittorio tra le parti interessate, nonchè le norme volte a precisare le modalità per l’esercizio dei diritti di cui all’art. 13, nonchè della notificazione di cui all’art. 7, per via telematica o mediante supporto magnetico o lettera raccomandata con avviso di ricevimento o altro idoneo sistema. Il parere del Consiglio di Stato sullo schema di regolamento è reso entro trenta giorni dalla ricezione della richiesta; decorso tale termine il regolamento può comunque essere emanato.
3-bis. Con effetto dalla data di entrata in vigore del regolamento di cui al comma 1-quater, cessano di avere vigore le norme adottate ai sensi del comma 3, primo periodo.
4. Nei casi in cui la natura tecnica o la delicatezza dei problemi lo richiedano, il Garante può avvalersi dell’opera di consulenti, i quali sono remunerati in base alle vigenti tariffe professionali ovvero sono assunti con contratti a tempo determinato, di durata non superiore a due anni, che possono essere rinnovati per non più di due volte.
5. Per l’espletamento dei propri compiti, l’ufficio del Garante può avvalersi di sistemi automatizzati ad elaborazione informatica e di strumenti telematici propri ovvero, salvaguardando le garanzie previste dalla presente legge, appartenenti all’Autorità per l’informatica nella pubblica amministrazione o, in caso di indisponibilità, ad enti pubblici convenzionali.
6. Il personale addetto all’ufficio del Garante ed i consulenti sono tenuti al segreto su tutto ciò di cui siano venuti a conoscenza, nell’esercizio delle proprie funzioni, in ordine a banche di dati e ad operazioni di trattamento.
6-bis. Il personale dell’ufficio del Garante addetto agli accertamenti di cui all’art. 32 riveste, in numero non superiore a cinque unità, nei limiti del servizio cui è destinato e secondo le rispettive attribuzioni, la qualifica di ufficiale o agente di polizia giudiziaria.”.
Art. 4. Informativa all’interessato
1. Nell’articolo 10, comma 1, lettera f), della legge 31 dicembre 1996, n. 675, le parole: “e, se designato, del responsabile” sono sostituite dalle seguenti: “, del suo rappresentante nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all’articolo 13, indicando il sito della rete di comunicazione o le modalità attraverso le quali è altrimenti conoscibile in modo agevole l’elenco aggiornato dei responsabili.”.
Nota all’art. 4:
– Il testo vigente dell’art. 10 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è il seguente:
“Art. 10 (Informazioni rese al momento della raccolta).
– 1. L’interessato o la persona presso la quale sono raccolti i dati personali devono essere previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi;
e) i diritti di cui all’art. 13;
f) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare, del suo rappresentante nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all’art. 13, indicando il sito della rete di comunicazione o le modalità attraverso le quali è altrimenti conoscibile in modo agevole l’elenco aggiornato dei responsabili.
2. L’informativa di cui al comma 1 può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare l’espletamento di funzioni pubbliche ispettive o di controllo, svolte per il perseguimento delle finalità di cui agli articoli 4, comma 1, lettera e), e 14, comma 1, lettera d).
3. Quando i dati personali non sono raccolti presso l’interessato, l’informativa di cui al comma 1 è data al medesimo interessato all’atto della registrazione dei dati o, qualora sia prevista la loro comunicazione, non oltre la prima comunicazione.
4. La disposizione di cui al comma 3 non si applica quando l’informativa all’interessato comporta un impiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si rivela, a giudizio del Garante, impossibile, ovvero nel caso in cui i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria. La medesima disposizione non si applica, altresi’, quando i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.”.
Art. 5. Misure precontrattuali e bilanciamento di interessi
1. Nell’articolo 12, comma 1, lettera b), della legge 31 dicembre 1996, n. 675, le parole: “per l’acquisizione di informative precontrattuali attivate” sono sostituite dalle seguenti: “per l’esecuzione di misure precontrattuali adottate”.
2. Nell’articolo 12, comma 1, della legge 31 dicembre 1996, n. 675, è inserita in fine la seguente lettera:
“h-bis) è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato.”.
Nota all’art. 5:
– Il testo vigente dell’art. 12 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è il seguente:
“Art. 12 (Casi di esclusione del consenso).
– 1. Il consenso non è richiesto quando il trattamento:
a) riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) è necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo, ovvero per l’adempimento di un obbligo legale;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;
d) è finalizzato unicamente a scopi di ricerca scientifica o di statistica ed è effettuato nel rispetto dei codici di deontologia e di buona condotta sottoscritti ai sensi dell’art. 31;
e) è effettuato nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalità. In tal caso si applica il codice di deontologia di cui all’art. 25;
f) riguarda dati relativi allo svolgimento di attività economiche raccolti anche ai fini indicati nell’art. 13, comma 1, lettera e), nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
g) è necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere;
h) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;
h-bis) è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato.”.
Art. 6. Limiti al diritto di accesso
1. Nell’articolo 14, comma 1, della legge 31 dicembre 1996, n. 675, è aggiunta in fine la seguente lettera:
“e-bis) da fornitori di servizi di telecomunicazioni accessibili al pubblico, limitatamente ai dati personali identificativi di chiamate telefoniche entranti, salvo che possa derivarne pregiudizio per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397.”.
Nota all’art. 6:
– Il testo vigente dell’art. 14 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è il seguente:
“Art. 14 (Limiti all’esercizio dei diritti). – 1. I diritti di cui all’art. 13, comma 1, lettere c) e d), non possono essere esercitati nei confronti dei trattamenti di dati personali raccolti:
a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni;
b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni;
c) da Commissioni parlamentari di inchiesta istituite ai sensi dell’art. 82 della Costituzione;
d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti la politica monetaria e valutaria, il sistema dei pagamenti, il controllo degli intermediari e dei mercati creditizi e finanziari nonchè la tutela della loro stabilità;
e) ai sensi dell’art. 12, comma 1, lettera h), limitatamente al periodo durante il quale potrebbe derivarne pregiudizio per lo svolgimento delle investigazioni o per l’esercizio del diritto di cui alla medesima lettera h);
e-bis) da fornitori di servizi di telecomunicazioni accessibili al pubblico, limitatamente ai dati personali identificativi di chiamate telefoniche entranti, salvo che possa derivarne pregiudizio per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397.
2. Nei casi di cui al comma 1, il Garante, anche su segnalazione dell’interessato ai sensi dell’art. 31, comma 1, lettera d), esegue i necessari accertamenti nei modi di cui all’art. 32, commi 6 e 7, e indica le necessarie modificazioni ed integrazioni, verificandone l’attuazione.”.
Art. 7.
Presupposti per la comunicazione e la diffusione dei dati
1. Nell’articolo 20, comma 1, della legge 31 dicembre 1996, n. 675, dopo la lettera a) è inserita la seguente:
“a-bis) qualora siano necessarie per l’esecuzione di obblighi
derivanti da un contratto del quale è parte l’interessato o per l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo,”.
2. Nell’articolo 20, comma 1, della legge 31 dicembre 1996, n. 675, è inserita in fine la seguente lettera:
“h-bis) limitatamente alla comunicazione, quando questa sia necessaria, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato.”.
Nota all’art. 7:
– Il testo vigente dell’art. 20 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è il seguente:
“Art. 20 (Requisiti per la comunicazione e la diffusione dei dati). – 1. La comunicazione e la diffusione dei dati personali da parte di privati e di enti pubblici economici sono ammesse:
a) con il consenso espresso dell’interessato;
a-bis) qualora siano necessarie per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo;
b) se i dati provengono da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi e i regolamenti stabiliscono per la loro conoscibilità e pubblicità;
c) in adempimento di un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
d) nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalità. Restano fermi i limiti del diritto di cronaca posti a tutela della riservatezza ed in particolare dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico. Si applica inoltre il codice di deontologia di cui all’art. 25;
e) se i dati sono relativi allo svolgimento di attività economiche, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
f) qualora siano necessarie per la salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere;
g) limitatamente alla comunicazione, qualora questa sia necessaria ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, nel rispetto della normativa di cui alla lettera e) del presente comma, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;
h) limitatamente alla comunicazione, quando questa sia effettuata nell’ambito dei gruppi bancari di cui all’art. 60 del testo unico delle leggi in materia bancaria e creditizia approvato con decreto legislativo 1 settembre 1993, n. 385, nonchè tra società controllate e società collegate ai sensi dell’art. 2359 del codice civile, i cui trattamenti con finalità correlate sono stati notificati ai sensi dell’art. 7, comma 2, per il perseguimento delle medesime finalità per le quali i dati sono stati raccolti;
h-bis) limitatamente alla comunicazione, quando questa sia necessaria, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato.
2. Alla comunicazione e alla diffusione dei dati personali da parte di soggetti pubblici, esclusi gli enti pubblici economici, si applicano le disposizioni dell’art. 27.”
Art. 8. Dati sensibili
1. Nell’articolo 22 della legge 31 dicembre 1996, n. 675, dopo il comma 1-bis è inserito il seguente:
“1-ter. Il comma 1 non si applica, altresi’, ai dati riguardanti l’adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria”.
2. Nell’articolo 22 della legge 31 dicembre 1996, n. 675, il comma 4 è sostituito dal seguente:
“4. I dati personali indicati al comma 1 possono essere oggetto di trattamento previa autorizzazione del Garante:
a) qualora il trattamento sia effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, confessioni e comunità religiose, per il perseguimento di finalità lecite, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati o diffusi fuori del relativo ambito e l’ente, l’associazione o l’organismo determinino idonee garanzie relativamente ai trattamenti effettuati;
b) qualora il trattamento sia necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità d’intendere o di volere;
c) qualora il trattamento sia necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397 o, comunque, per far valere o difendere in sede giudiziaria un diritto, di rango pari a quello dell’interessato quando i dati siano idonei a rivelare lo stato di salute e la vita sessuale, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Il Garante prescrive le misure e gli accorgimenti di cui al comma 2 e promuove la sottoscrizione di un apposito codice di deontologia e di buona condotta secondo le modalità di cui all’articolo 31, comma 1, lettera h). Resta fermo quanto previsto dall’articolo 43, comma 2.”.
Nota all’art. 8:
– Il testo vigente dell’art. 22 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è il seguente:
“Art. 22 (Dati sensibili). – 1. I dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante.
1-bis. Il comma 1 non si applica ai dati relativi agli aderenti alle confessioni religiose in cui i rapporti con lo Stato siano regolati da accordi o intese ai sensi degli articoli 7 e 8 della Costituzione, nonchè relativi ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, che siano trattati dai relativi organi o enti civilmente riconosciuti, semprechè i dati non siano comunicati o diffusi fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati.
1-ter. Il comma 1 non si applica, altresi’, ai dati riguardanti l’adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro trenta giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.
3. Il trattamento dei dati indicati al comma 1 da parte di soggetti pubblici, esclusi gli enti pubblici economici, è consentito solo se autorizzato da espressa disposizione di legge, nella quale siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite. In mancanza di espressa disposizione di legge, e fuori dai casi previsti dai decreti legislativi di modificazione ed integrazione della presente legge, emanati in attuazione della legge 31 dicembre 1996, n. 676, i soggetti pubblici possono richiedere al Garante, nelle more della specificazione legislativa, l’individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono rilevanti finalità di interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi del comma 2, il trattamento dei dati indicati al comma 1.
3-bis. Nei casi in cui è specificata, a norma del comma 3, la finalità di rilevante interesse pubblico, ma non sono specificati i tipi di dati e le operazioni eseguibili, i soggetti pubblici, in applicazione di quanto previsto dalla presente legge e dai decreti legislativi di attuazione della legge 31 dicembre 1996, n. 676, in materia di dati sensibili, identificano e rendono pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi, aggiornando tale identificazione periodicamente.
4. I dati personali indicati al comma 1, possono essere oggetto di trattamento previa autorizzazione del Garante:
a) qualora il trattamento sia effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, confessioni e comunità religiose, per il perseguimento di finalità lecite, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati o diffusi fuori del relativo ambito e l’ente, l’associazione o l’organismo determinino idonee garanzie relativamente ai trattamenti effettuati;
b) qualora il trattamento sia necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità d’intendere o di volere;
c) qualora il trattamento sia necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, di rango pari a quello dell’interessato quando i dati siano idonei a rivelare lo stato di salute e la vita sessuale, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Il Garante prescrive le misure e gli accorgimenti di cui al comma 2 e promuove la sottoscrizione di un apposito codice di deontologia e di buona condotta secondo le modalità di cui all’art. 31, comma 1, lettera h). Resta fermo quanto previsto dall’art. 43, comma 2.”.
Art. 9.
Verifiche preliminari
1. Dopo l’articolo 24 della legge 31 dicembre 1996, n. 675, è inserito il seguente:
“Art. 24-bis (Altri dati particolari). – 1. Il trattamento dei dati diversi da quelli di cui agli articoli 22 e 24 che presenta rischi specifici per i diritti e le libertà fondamentali, nonchè per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante sulla base dei principi sanciti dalla legge nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, sulla base di un eventuale interpello del titolare.”.
Note all’art. 9:
– Per il testo dell’art. 22 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all’art. 8;
– Si riporta di seguito l’art. 24 della legge 31 dicembre 1996, n. 675:
“Art. 24 (Dati relativi ai provvedimenti di cui all’art. 686 del del codice di procedura penale).
– 1. Il trattamento di dati personali idonei a rivelare provvedimenti di cui all’art. 686, commi 1, lettere a) e
d), 2 e 3, del codice di procedura penale, è ammesso soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e le precise operazioni autorizzate.”
Art. 10. Semplificazione e garanzie per i trasferimenti di dati personali all’estero
1. Nell’articolo 28, comma 1, della legge 31 dicembre 1996, n. 675, le parole: “o riguardi taluno dei dati di cui agli articoli 22 e 24” sono sostituite dalle seguenti: “e ricorra uno dei casi individuati ai sensi dell’articolo 7, comma 1”.
2. Nell’articolo 28, comma 3, della legge 31 dicembre 1996, n. 675, le parole da: “ovvero,” fino alla fine del periodo sono soppresse.
3. Nell’articolo 28, comma 4, lettera b), della legge 31 dicembre 1996, n. 675, le parole: “per l’acquisizione di informative precontrattuali attivate” sono sostituite dalle seguenti: “per l’esecuzione di misure precontrattuali adottate”.
4. Nell’articolo 28, comma 4, lettera g), della legge 31 dicembre 1996, n. 675, sono inserite in fine le seguenti parole: “, ovvero individuate dalla Commissione europea con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995”.
Note all’art. 10:
– Il testo vigente dell’art. 28 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è attualmente il seguente (si veda anche l’abrogazione del comma 7 prevista dall’art. 3, comma 4, del decreto medesimo):
“Art. 28 (Trasferimento di dati personali all’estero).
– 1. Il trasferimento anche temporaneo fuori del territorio nazionale, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento deve essere previamente notificato al Garante, qualora sia diretto verso un Paese non appartenente all’Unione europea e ricorra uno dei casi individuati ai sensi dell’art. 7, comma 1.
2. Il trasferimento può avvenire soltanto dopo quindici giorni dalla data della notificazione; il termine è di venti giorni qualora il trasferimento riguardi taluno dei dati di cui agli articoli 22 e 24.
3. Il trasferimento è vietato qualora l’ordinamento dello Stato di destinazione o di transito dei dati non assicuri un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.
4. Il trasferimento è comunque consentito qualora:
a) l’interessato abbia manifestato il proprio consenso espresso ovvero, se il trasferimento riguarda taluno dei dati di cui agli articoli 22 e 24, in forma scritta;
b) sia necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo ovvero per la conclusione o per l’esecuzione di un contratto stipulato a favore dell’interessato;
c) sia necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento, ovvero specificato ai sensi degli articoli 22, comma 3, e 24, se il trasferimento riguarda taluno dei dati ivi previsti;
d) sia necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;
e) sia necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere;
f) sia effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l’osservanza delle norme che regolano la materia;
g) sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato, prestate anche con un contratto, ovvero individuate dalla Commissione europea con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995;
g-bis) il trattamento sia finalizzato unicamente a scopi di ricerca scientifica o di statistica e sia effettuato nel rispetto dei codici di deontologia e di buona condotta sottoscritti ai sensi dell’art. 31.
5. Contro il divieto di cui al comma 3 del presente articolo può essere proposta opposizione ai sensi dell’art. 29, commi 6 e 7.
6. Le disposizioni del presente articolo non si applicano al trasferimento di dati personali effettuato nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalità.
7. La notificazione di cui al comma 1 del presente articolo è effettuata ai sensi dell’art. 7 ed è annotata in apposita sezione del registro previsto dall’art. 31, comma 1, lettera a). La notificazione può essere effettuata con un unico atto unitamente a quella prevista dall’art. 7.”
– La direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo del Consiglio, “relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati”, dispone, rispettivamente, all’art. 25, paragrafo 6 e, all’art. 26, paragrafo 4:
“6. La Commissione può constatare, secondo la procedura di cui all’art. 31, paragrafo 2, che un Paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona. Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.”.
“4. Qualora la Commissione decida, secondo la procedura di cui all’art. 31, paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie sufficienti di cui al paragrafo 2, gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.”.
Art. 11.
Misure per il trattamento illecito o non corretto
1. Nella lettera c) del comma 1 dell’articolo 31 della legge 31 dicembre 1996, n. 675, la parola: “opportune” è sostituita dalle seguenti: “necessarie o opportune”.
2. Nella lettera l) del comma 1 dell’articolo 31 della legge 31 dicembre 1996, n. 675, dopo la parola: “blocco” sono inserite le seguenti: “se il trattamento risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera c), oppure”.
Nota all’art. 11:
– Il testo vigente dell’art. 31 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è il seguente:
“Art. 31 (Compiti del Garante). – 1. Il Garante ha il compito di:
a) istituire e tenere un registro generale dei trattamenti sulla base delle notificazioni ricevute;
b) controllare se i trattamenti sono effettuati nel rispetto delle norme di legge e di regolamento e in conformità alla notificazione;
c) segnalare ai relativi titolari o responsabili le modificazioni necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti;
d) ricevere le segnalazioni ed i reclami degli interessati o delle associazioni che li rappresentano, relativi ad inosservanze di legge o di regolamento, e provvedere sui ricorsi presentati ai sensi dell’art. 29;
e) adottare i provvedimenti previsti dalla legge o dai regolamenti;
f) vigilare sui casi di cessazione, per qualsiasi causa, di un trattamento;
g) denunciare i fatti configurabili come reati perseguibili d’ufficio, dei quali viene a conoscenza nell’esercizio o a causa delle sue funzioni;
h) promuovere nell’ambito delle categorie interessate, nell’osservanza del principio di rappresentatività, la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, verificarne la conformità alle leggi e ai regolamenti anche attraverso l’esame di osservazioni di soggetti interessati e contribuire a garantirne la diffusione e il rispetto;
i) curare la conoscenza tra il pubblico delle norme che regolano la materia e delle relative finalità, nonchè delle misure di sicurezza dei dati di cui all’art. 15;
l) vietare, in tutto o in parte, il trattamento dei dati o disporne il blocco se il trattamento risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera c), oppure quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;
m) segnalare al Governo l’opportunità di provvedimenti normativi richiesti dall’evoluzione del settore;
n) predisporre annualmente una relazione sull’attività svolta e sullo stato di attuazione della presente legge, che è trasmessa al Parlamento e al Governo entro il 30 aprile dell’anno successivo a quello cui si riferisce;
o) curare l’attività di assistenza indicata nel capitolo IV della Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio 1989, n. 98, quale autorità designata ai fini della cooperazione tra Stati ai sensi dell’art. 13 della Convenzione medesima;
p) esercitare il controllo sui trattamenti di cui all’art. 4 e verificare, anche su richiesta dell’interessato, se rispondono ai requisiti stabiliti dalla legge o dai regolamenti.
2. Il Presidente del Consiglio dei Ministri e ciascun Ministro consultano il Garante all’atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere sulle materie disciplinate dalla presente legge.
3. Il registro di cui al comma 1, lettera a), del presente articolo, è tenuto nei modi di cui all’art. 33, comma 5. Entro il termine di un anno dalla data della sua istituzione, il Garante promuove opportune intese con le province ed eventualmente con altre pubbliche amministrazioni al fine di assicurare la consultazione del registro mediante almeno un terminale dislocato su base provinciale, preferibilmente nell’ambito dell’ufficio per le relazioni con il pubblico di cui all’art. 12 del decreto legislativo 3 febbraio 1993, n. 29, e successive modifi-cazioni.
4. Contro il divieto di cui al comma 1, lettera l), del presente articolo, può essere proposta opposizione ai sensi dell’art. 29, commi 6 e 7.
5. Il Garante e l’Autorità per l’informatica nella pubblica ammini-strazione cooperano tra loro nello svolgimento dei rispettivi compiti; a tal fine, invitano il presidente o un suo delegato membro dell’altro organo a partecipare alle riunioni prendendo parte alla discussione di argomenti di comune interesse iscritti all’ordine del giorno; possono richiedere, altresi’, la collaborazione di personale specializzato addetto all’altro organo.
6. Le disposizioni del comma 5 si applicano anche nei rapporti tra il Garante e le autorità di vigilanza competenti per il settore creditizio, per le attività assicurative e per la radiodiffusione e l’editoria.”.
Art. 12. Sanzione in tema di notificazione
1. L’articolo 34 della legge 31 dicembre 1996, n. 675 è sostituito dal seguente:
“Art. 34 (Omessa o incompleta notificazione). – 1. Chiunque, essendovi tenuto, non provvede tempestivamente alle notificazioni in conformità a quanto previsto dagli articoli 7, 16, comma 1, e 28, ovvero indica in esse notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da lire dieci milioni a lire sessanta milioni e con la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione.”.
2. Alle violazioni dell’articolo 34 della legge 31 dicembre 1996, n. 675, commesse prima dell’entrata in vigore del presente decreto si applicano, in quanto compatibili, le disposizioni di cui agli articoli 100, 101 e 102 del decreto legislativo 30 dicembre 1999, n. 507.”.
Nota all’art. 12:
– Il decreto legislativo 30 dicembre 1999, n. 507, recante norme in tema di “Depenalizzazione dei reati minori e riforma del sistema sanzionatorio, ai sensi dell’art. 1 della legge 25 giugno 1999, n. 205” è stato pubblicato nella Gazzetta Ufficiale 31 dicembre 1999, n. 306, supplemento ordinario. Si riporta, di seguito, il testo degli articoli 100, 101 e 102:
“Art. 100 (Applicabilità delle sanzioni amministrative alle violazioni anteriormente commesse). – 1. Le disposizioni del presente decreto legislativo che sostituiscono sanzioni penali con sanzioni amministrative si applicano anche alle violazioni commesse anteriormente alla data di entrata in vigore del decreto stesso, sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.
2. A tali violazioni non si applicano, tuttavia, le sanzioni amministrative accessorie introdotte dal presente decreto legislativo, salvo che le stesse sostituiscano corrispondenti pene accessorie.”.
“Art. 101 (Procedimenti definiti con sentenza irrevocabile). – 1. Se i procedimenti penali per le violazioni depenalizzate dal presente decreto legislativo sono stati definiti, prima della sua entrata in vigore, con sentenza di condanna o decreto irrevocabili, il giudice dell’esecuzione revoca la sentenza o il decreto, salvo quanto previsto dai commi 2 e 3, dichiarando che il fatto non è previsto dalla legge come reato e adotta i provvedimenti conseguenti. Il giudice dell’esecuzione provvede con l’osservanza delle disposizioni dell’art. 667, comma 4, del codice di procedura penale.
2. Le multe e le ammende inflitte con le sentenze o i decreti indicati nel comma 1 sono riscosse, insieme alle spese del procedimento, con l’osservanza delle norme sull’esecuzione delle pene pecuniarie. (La Corte costituzionale, con sentenza 23-31 maggio 2001, n. 169, ha dichiarato, tra l’altro, l’illegittimità del presente comma).
3. Restano salve la confisca nonchè le pene accessorie, nei casi in cui queste ultime sono applicabili alle violazioni depenalizzate come sanzioni amministrative.”.
“Art. 102 (Trasmissione degli atti all’autorità amministrativa e procedimento sanzionatorio).
– 1. Nei casi previsti dall’art. 100, comma 1, l’autorità giudiziaria entro novanta giorni dalla data di entrata in vigore del presente decreto legislativo, dispone la trasmissione all’autorità amministrativa competente degli atti dei procedimenti penali relativi ai reati trasformati in illeciti amministrativi, salvo che il reato risulti prescritto o estinto per altra causa alla medesima data.
– 2. Se l’azione penale non è stata ancora esercitata, la trasmissione degli atti è disposta direttamente dal pubblico ministero, che, in caso di procedimento già iscritto, annota la trasmissione nel registro delle notizie di reato. Se il reato risulta estinto per qualunque causa, il pubblico ministero richiede l’archiviazione a norma del codice di procedura penale; la richiesta ed il decreto del giudice che la accoglie possono avere ad oggetto anche elenchi cumulativi di procedimenti.
– 3. Se l’azione penale è stata esercitata, il giudice, ove l’imputato o il pubblico ministero non si oppongano, pronuncia, in camera di consiglio, sentenza inappellabile di assoluzione o di non luogo a procedere perchè il fatto non è previsto dalla legge come reato, disponendo la trasmissione degli atti a norma del comma 1.
– 4. L’autorità amministrativa notifica gli estremi della violazione agli interessati residenti nel territorio della Repubblica entro il termine di novanta giorni e a quelli residenti all’estero entro il termine di trecentosessanta giorni dalla ricezione degli atti.
– 5. Entro il termine di sessanta giorni dalla notificazione degli estremi della violazione, l’interessato è ammesso al pagamento in misura ridotta a norma dell’art. 16 della legge 24 novembre 1981, n. 689, ovvero, se si tratta di violazione al codice della strada o in materia finanziaria, dell’art. 202, commi 1 e 2, del decreto legislativo 30 aprile 1992, n. 285, o dell’art. 16, comma 3, del decreto legislativo 18 dicembre 1997, n. 472. Il pagamento in misura ridotta è ammesso anche in deroga ad eventuali esclusioni o limitazioni previste dalla legge.
– 6. Il pagamento determina l’estinzione del procedimento.
– 7. Si applicano, per quanto non stabilito dal presente articolo , le disposizioni delle sezioni I e II del capo I della legge 24 novembre 1981, n. 689, in quanto compatibili.
– 8. Nei casi previsti dal presente articolo la prescrizione della sanzione o del diritto alla riscossione delle somme dovute a titolo di sanzione amministrativa non determina responsabilità contabile.”.
Art. 13.
Trattamento illecito di dati personali
1. Nell’articolo 35, comma 2, della legge 31 dicembre 1996, n. 675, le parole: “comunica o diffonde” sono sostituite dalle seguenti: “procede al trattamento di” e le parole: “e 24, ovvero” sono sostituite dalle parole: “, 24 e 24-bis, ovvero”.
Nota all’art. 13:
– Il testo vigente dell’art. 35 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è il seguente:
“Art. 35 (Trattamento illecito di dati personali).
– 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 11, 20 e 27, è punito con la reclusione sino a due anni o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da tre mesi a due anni.
– 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 21, 22, 23, 24 e 24-bis, ovvero del divieto di cui all’art. 28, comma 3, è punito con la reclusione da tre mesi a due anni.
– 3. Se dai fatti di cui ai commi 1 e 2 deriva nocumento, la reclusione è da uno a tre anni.”.
Art. 14.
Omessa adozione di misure minime di sicurezza
1. L’articolo 36 della legge 31 dicembre 1996, n. 675, è sostituito dal seguente:
“Art. 36 (Omessa adozione di misure necessarie alla sicurezza dei dati).
– 1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell’articolo 15, è punito con l’arresto sino a due anni o con l’ammenda da lire dieci milioni a lire ottanta milioni.
– 2. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, in quanto applicabili.”.
2. Per i procedimenti penali per il reato di cui all’articolo 36 della legge 31 dicembre 1996, n. 675 in corso, entro quaranta giorni, dall’entrata in vigore del presente decreto l’autore del reato può fare richiesta all’autorità giudiziaria di essere ammesso alla procedura indicata all’articolo 36, comma 2, della medesima legge n. 675 del 1996, come sostituito dal presente decreto. L’Autorità giudiziaria dispone la sospensione del procedimento e trasmette gli atti al Garante per la protezione dei dati personali che provvede ai sensi del medesimo articolo 36, comma 2.
Nota all’art. 14:
– Il decreto legislativo 19 dicembre 1994, n. 758, recante “Modificazioni alla disciplina sanzionatoria in materia di lavoro” è stato pubblicato nella Gazzetta Ufficiale 26 gennaio 1995, n. 21, supplemento ordinario. Si riporta, di seguito, il testo degli articoli da 21 a 24:
“Art. 21 (Verifica dell’adempimento). – 1. Entro e non oltre sessanta giorni dalla scadenza del termine fissato nella prescrizione, l’organo di vigilanza verifica se la violazione è stata eliminata secondo le modalità e nel termine indicati dalla prescrizione.
2. Quando risulta l’adempimento alla prescrizione, l’organo di vigilanza ammette il contravventore a pagare in sede amministrativa, nel termine di trenta giorni, una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione commessa. Entro centoventi giorni dalla scadenza del termine fissato nella prescrizione, l’organo di vigilanza comunica al pubblico ministero l’adempimento alla prescrizione, nonchè l’eventuale pagamento della predetta somma.
3. Quando risulta l’inadempimento alla prescrizione, l’organo di vigilanza ne dà comunicazione al pubblico ministero e al contravventore entro novanta giorni dalla scadenza del termine fissato nella prescrizione.”.
“Art. 22 (Notizie di reato non pervenute dall’organo di vigilanza). – 1. Se il pubblico ministero prende notizia di una contravvenzione di propria iniziativa ovvero la riceve da privati o da pubblici ufficiali o incaricati di un pubblico servizio diversi dall’organo di vigilanza, ne dà immediata comunicazione all’organo di vigilanza per le determinazioni inerenti alla prescrizione che si renda necessaria allo scopo di eliminare la contravvenzione.
2. Nel caso previsto dal comma 1, l’organo di vigilanza informa il pubblico ministero delle proprie determinazioni entro sessanta giorni dalla data in cui ha ricevuto comunicazione della notizia di reato dal pubblico ministero.”.
“Art. 23 (Sospensione del procedimento penale).
– 1. Il procedimento per la contravvenzione è sospeso dal momento dell’iscrizione della notizia di reato nel registro di cui all’art. 335 del codice di procedura penale fino al momento in cui il pubblico ministero riceve una delle comunicazioni di cui all’art. 21, commi 2 e 3
– 2. Nel caso previsto dall’art. 22, comma 1, il procedimento riprende il suo corso quando l’organo di vigilanza informa il pubblico ministero che non ritiene di dover impartire una prescrizione, e comunque alla scadenza del termine di cui all’art. 22, comma 2, se l’organo di vigilanza omette di informare il pubblico ministero delle proprie determinazioni inerenti alla prescrizione. Qualora nel predetto termine l’organo di vigilanza informi il pubblico ministero d’aver impartito una prescrizione, il procedimento rimane sospeso fino al termine indicato dal comma 1.
– 3. La sospensione del procedimento non preclude la richiesta di archiviazione. Non impedisce, inoltre, l’assunzione delle prove con incidente probatorio, nè gli atti urgenti di indagine preliminare, nè il sequestro preventivo ai sensi degli articoli 321 e seguenti del codice di procedura penale.”.
“Art. 24 (Estinzione del reato).
– 1. La contravvenzione si estingue se il contravventore adempie alla prescrizione impartita dall’organo di vigilanza nel termine ivi fissato e provvede al pagamento previsto dall’art. 21, comma 2.
– 2. Il pubblico ministero richiede l’archiviazione se la contravvenzione è estinta ai sensi del comma 1. 3. L’adempimento in un tempo superiore a quello indicato nella prescrizione, ma che comunque risulta congruo a norma dell’art. 20, comma 1, ovvero l’eliminazione delle conseguenze dannose o pericolose della contravvenzione con modalità diverse da quelle indicate dall’organo di vigilanza, sono valutati ai fini dell’applicazione dell’art. 162-bis del codice penale. In tal caso, la somma da versare è ridotta al quarto del massimo dell’ammenda stabilita per la contravvenzione commessa.”.
Art. 15.
Inosservanza di provvedimenti di divieto o di blocco
1. Nell’articolo 37, comma 1, della legge 31 dicembre 1996, n. 675, le parole: “o dell’articolo 29, commi 4 e 5,” sono sostituite dalle seguenti: “o degli articoli 29, commi 4 e 5, e 31, comma 1, lettera l),”.
Nota all’art. 15:
– Il testo vigente dell’art. 37 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è il seguente:
“Art. 37 (Inosservanza dei provvedimenti del Garante). – 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell’art. 22, comma 2, o degli articoli 29, commi 4 e 5, e 31, comma 1, lettera l), è punito con la reclusione da tre mesi a due anni.”.
Art. 16.
False comunicazioni e dichiarazioni
1. Dopo l’articolo 37 della legge 31 dicembre 1996, n. 675, è inserito il seguente: “Art. 37-bis (Falsità nelle dichiarazioni e nelle notificazioni al Garante).
– 1. Chiunque, nelle notificazioni di cui agli articoli 7, 16, comma 1, e 28 o in atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.”.
Art. 17.
Adeguamento di sanzioni amministrative
1. Nell’articolo 39, comma 1, della legge 31 dicembre 1996, n. 675, le parole: “da lire un milione a lire sei milioni” sono sostituite dalle seguenti: “da lire cinquemilioni a lire trentamilioni”.
2. L’articolo 39, comma 2, della legge 31 dicembre 1996, n. 675, è sostituito dal seguente:
“2. La violazione delle disposizioni di cui all’articolo 10 è punita con la sanzione amministrativa del pagamento di una somma da lire tre milioni a lire diciotto milioni o, nei casi di cui agli articoli 22, 24 e 24-bis o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da lire cinque milioni a lire trenta milioni. La somma può essere aumentata sino al triplo quando essa risulti inefficace in ragione delle condizioni economiche del contravventore. La violazione della disposizione di cui all’articolo 23, comma 2, è punita con la sanzione amministrativa del pagamento di una somma da lire cinquecentomila a lire tre milioni.”.
3. Nell’articolo 39, comma 3, della legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni, le parole: “presente articolo” sono sostituite dalle seguenti: “presente capo”.
Nota all’art. 17:
– Il testo vigente dell’art. 39 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è il seguente:
“Art. 39 (Sanzioni amministrative). – 1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 29, comma 4, e 32, comma 1, è punito con la sanzione amministrativa del pagamento di una somma da lire cinquemilioni a lire trentamilioni.
2. La violazione delle disposizioni di cui all’art. 10 è punita con la sanzione amministrativa del pagamento di una somma da lire tre milioni a lire diciotto milioni o, nei casi di cui agli articoli 22, 24 e 24-bis o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da lire cinque milioni a lire trenta milioni. La somma può essere aumentata sino al triplo quando essa risulti inefficace in ragione delle condizioni economiche del contravventore. La violazione della disposizione di cui all’art. 23, comma 2, è punita con la sanzione amministrativa del pagamento di una somma da lire cinquecentomila a lire tre milioni.
3. L’organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni. I proventi, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all’art. 33, comma 2, e sono utilizzati unicamente per l’esercizio dei compiti di cui agli articoli 31, comma 1, lettera i) e 32.”.
Art. 18.
Adeguamento dei trattamenti alla disciplina comunitaria
1. Nell’articolo 41, comma 1, della legge 31 dicembre 1996, n. 675, è aggiunto in fine il seguente periodo: “Le disposizioni del presente comma restano in vigore sino alla data del 30 giugno 2003.”.
Nota all’art. 18:
– Il testo vigente dell’art. 41 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, è il seguente:
“Art. 41 (Disposizioni transitorie). – 1. Fermo restando l’esercizio dei diritti di cui agli articoli 13 e 29, le disposizioni della presente legge che prescrivono il consenso dell’interessato non si applicano in riferimento ai dati personali raccolti precedentemente alla data di entrata in vigore della legge stessa, o il cui trattamento sia iniziato prima di tale data. Resta salva l’applicazione delle disposizioni relative alla comunicazione e alla diffusione dei dati previste dalla presente legge. Le disposizioni del presente comma restano in vigore sino alla data del 30 giugno 2003.
2. Per i trattamenti di dati personali iniziati prima del 1 gennaio 1998, le notificazioni prescritte dagli articoli 7 e 28 sono effettuate dal 1 gennaio 1998 al 31 marzo 1998 ovvero, per i trattamenti di cui all’art. 5 riguardanti dati diversi da quelli di cui agli articoli 22 e 24, nonchè per quelli di cui all’art. 4, comma 1, lettere c), d) ed e), dal 1 aprile 1998 al 30 giugno 1998.
3. Le misure minime di sicurezza di cui all’art. 15, comma 2, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore del regolamento ivi previsto. Fino al decorso di tale termine, i dati personali devono essere custoditi in maniera tale da evitare un incremento dei rischi di cui all’art. 15, comma 1.
4. Le misure di cui all’art. 15, comma 3, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore dei regolamenti ivi previsti.
5. Nei ventiquattro mesi successivi alla data di entrata in vigore della presente legge, i trattamenti dei dati di cui all’art. 22, comma 3, ad opera di soggetti pubblici, esclusi gli enti pubblici economici, e all’art. 24, possono essere proseguiti anche in assenza delle disposizioni di legge ivi indicate, previa comunicazione al Garante.
6. In sede di prima applicazione della presente legge, fino alla elezione del Garante ai sensi dell’art. 30, le funzioni del Garante sono svolte dal presidente dell’Autorità per l’informatica nella pubblica amministrazione, fatta eccezione per l’esame dei ricorsi di cui all’art. 29.
7. Le disposizioni della presente legge che prevedono un’autorizzazione del Garante si applicano, limitatamente alla medesima autorizzazione e fatta eccezione per la disposizione di cui all’art. 28, comma 4, lettera g), a decorrere dal 30 novembre 1997. Le medesime disposizioni possono essere applicate dal Garante anche mediante il rilascio di autorizzazioni relative a determinate categorie di titolari o di trattamenti.
7-bis. In sede di prima applicazione della presente legge, le informative e le comunicazioni di cui agli articoli 10, comma 3, e 27, comma 2, possono essere date entro il 30 novembre 1997.”.
Art. 19. Investigazioni difensive
1. Negli articoli 10, comma 4, 12, comma 1, lettera h), 20, comma 1, lettera g) e 28, comma 4, lettera d)&D,;, della legge 31 dicembre 1996, n. 675, le parole: “investigazioni di cui all’articolo 38 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271, e successive modificazioni,” sono sostituite dalle parole: “investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397,”.
Note all’art. 19:
– Per il testo dell’art. 10 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all’art. 4.
– Per il testo dell’art. 12 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all’art. 5.
– Per il testo dell’art. 20 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all’art. 7.
– Per il testo dell’art. 28 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all’art. 10.
Capo II
Attuazione dei principi di protezione dei dati in determinati settori
Art. 20.
Codici di deontologia e di buona condotta
1. Al fine di garantire la piena attuazione dei principi previsti dalla disciplina in materia di trattamento dei dati personali, ai sensi dell’articolo 31, comma 1, lettera h), della legge 31 dicembre 1996, n. 675, il Garante promuove entro il 30 giugno 2002 la sottoscrizione di codici di deontologia e di buona condotta per i soggetti pubblici e privati interessati al trattamento dei dati personali nei settori indicati al comma 2, tenendo conto della specificità dei trattamenti nei diversi ambiti, nonchè dei criteri direttivi delle raccomandazioni del Consiglio d’Europa indicate nell’articolo 1, comma 1, lettera b), della legge 31 dicembre 1996, n. 676.
2. I codici di cui al comma 1 riguardano il trattamento di dati personali:
a) effettuati da fornitori di servizi di comunicazione e informazione offerti per via telematica, con particolare riguardo ai criteri per assicurare ed uniformare una più adeguata informazione e consapevolezza degli utenti delle reti di telecomunicazione gestite da soggetti pubblici e privati rispetto ai tipi di dati personali trattati e alle modalità del loro trattamento, in particolare attraverso informative fornite in linea in modo agevole ed interattivo, per favorire una più ampia trasparenza e correttezza nei confronti dei medesimi utenti e il pieno rispetto dei principi di cui all’articolo 9 della legge 31 dicembre 1996, n. 675, anche ai fini dell’eventuale rilascio di certificazioni attestanti la qualità delle modalità prescelte e il livello di sicurezza assicurato;
b) necessari per finalità previdenziali o per la gestione del rapporto di lavoro, prevedendo anche specifiche modalità per l’informativa all’interessato e per l’eventuale prestazione del consenso relativamente alla pubblicazione di annunci per finalità di occupazione e alla ricezione di curricula contenenti dati personali anche sensibili;
c) effettuato a fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva, prevedendo anche, per i casi in cui il trattamento non presuppone il consenso dell’interessato, forme semplificate per manifestare e rendere meglio conoscibile l’eventuale dichiarazione di non voler ricevere determinate comunicazioni;
d) svolto a fini di informazione commerciale, prevedendo anche, in correlazione con quanto previsto dall’articolo 10, comma 4, della legge 31 dicembre 1996, n. 675, modalità semplificate per l’informativa all’interessato e idonei meccanismi per favorire la qualità e l’esattezza dei dati raccolti e comunicati;
e) effettuato nell’ambito di sistemi informativi di cui sono titolari soggetti privati, utilizzati a fini di concessione di crediti al consumo o comunque riguardanti l’affidabilità e la puntualità nei pagamenti da parte degli interessati, individuando anche specifiche modalità per favorire la comunicazione di dati personali esatti e aggiornati nel rispetto dei diritti dell’interessato;
f) provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, anche individuando i casi in cui debba essere indicata la fonte di acquisizione dei dati e prevedendo garanzie appropriate per l’associazione di dati provenienti da più archivi, tenendo presente quanto previsto dalla raccomandazione del Consiglio d’Europa N. R (91) 10 in relazione all’articolo 9 della legge 31 dicembre 1996, n. 675;
g) effettuato con strumenti automatizzati di rilevazione di immagini, prevedendo specifiche modalità di trattamento e forme semplificate di informativa all’interessato per garantirne la liceità e la correttezza anche in riferimento a quanto previsto dall’articolo 9 della legge 31 dicembre 1996, n. 675.
3. Il rispetto delle disposizioni in essi contenute costituisce condizione essenziale per la liceità del trattamento dei dati.
4. I codici sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante e riportati in allegato al testo unico delle disposizioni in materia previsto dall’articolo 1, comma 4, della legge 24 marzo 2001, n. 127.
Note all’art. 20:
– Per il testo dell’art. 31 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all’art. 11.
– La legge 31 dicembre 1996, n. 676, recante “Delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”, è stata pubblicata nella Gazzetta Ufficiale n. 5 dell’8 gennaio 1997, supplemento ordinario.
– Si riporta il testo dell’art. 9 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali): “Art. 9 (Modalità di raccolta e requisiti dei dati personali). – 1. I dati personali oggetto di trattamento devono essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello neces-sario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
1-bis. Il trattamento di dati personali per scopi storici, di ricerca scientifica o di statistica è compatibile con gli scopi per i quali i dati sono raccolti o successivamente trattati e può essere effettuato anche oltre il periodo necessario a questi ultimi scopi.”.
– Per il testo dell’art. 10 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all’art. 4.
– La raccomandazione del Consiglio d’Europa n. R. [91] 10, del 9 settembre 1991, concerne la comunicazione a terzi di dati personali detenuti da organismi pubblici.
– Si riporta il testo dell’art. 1 della legge 24 marzo 2001, n. 127, pubblicata nella Gazzetta Ufficiale 19 aprile 2001, n. 91, recante: “Differimento del termine per l’esercizio della delega prevista dalla legge 31 dicembre 1996, n. 676, in materia di trattamento dei dati personali”:
“Art. 1. – 1. I decreti legislativi di cui all’art. 1, comma 1, lettere b), numeri 2), 3), 4), 5) e 6), c), d), e), i), l), n), ed o), e all’art. 2 della legge 31 dicembre 1996, n. 676, e successive modificazioni, in materia di trattamento dei dati personali, sono emanati entro il 31 dicembre 2001, sulla base dei principi e dei criteri direttivi indicati nella medesima legge.
2. I decreti legislativi di cui al comma 1, sono emanati previo parere delle Commissioni permanenti del Senato della Repubblica e della Camera dei deputati competenti per materia. Il parere è espresso entro trenta giorni dalla richiesta, indicando specificamente le eventuali disposizioni non ritenute corrispondenti ai principi e ai criteri direttivi contenuti nella legge di delegazione.
3. Il Governo procede comunque alla emanazione dei decreti legislativi qualora il parere non sia espresso entro trenta giorni dalla richiesta.
4. Il Governo emana, entro dodici mesi dallo scadere del termine di cui al comma 1 e previa acquisizione dei pareri previsti nel comma 2, da esprimersi entro sessanta giorni dalla richiesta, un testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e delle disposizioni connesse, coordinandovi le norme vigenti ed apportando alle medesime le integrazioni e modificazioni necessarie al predetto coordinamento o per assicurarne la migliore attuazione.
5. Il Governo procede comunque alla emanazione del testo unico qualora il parere non sia espresso entro sessanta giorni dalla richiesta.”.
Capo III
Modificazioni ed integrazioni al decreto legislativo n. 171/1998
Art. 21.
Modalità di pagamento alternative alla fatturazione
1. All’articolo 5, comma 1, del decreto legislativo 13 maggio 1998, n. 171, le parole: “consentono che” sono sostituite dalle seguenti: “sono tenuti a predisporre ogni misura idonea affinchè”.
2. Dopo il comma 1 dell’articolo 5 del decreto legislativo 13 maggio 1998, n. 171, è inserito il seguente:
“1-bis. I fornitori di cui al comma 1 sono tenuti a documentare al Garante, entro il 30 giugno 2002, le misure predisposte. In caso di mancata documentazione si applica la sanzione amministrativa prevista dall’articolo 39, comma 1, della legge 31 dicembre 1996, n. 675. In mancanza di idonee misure il Garante provvede altresi’ ai sensi dell’articolo 31, comma 1, lettere c) ed l), della medesima legge.”.
Nota all’art. 21:
– Il testo vigente dell’art. 5 del decreto legislativo 13 maggio 1998, n. 171, recante “Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della direttiva 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attività giorna-listica”, come modificato dal presente decreto legislativo, è il seguente:
“Art. 5 (Modalità di pagamento e fatturazione dettagliata). – 1. I fornitori di servizi di telecomunicazioni accessibili al pubblico sono tenuti a predisporre ogni misura idonea affinchè i servizi richiesti e le chiamate effettuate da qualsiasi terminale possano essere pagate con modalità alternative alla fatturazione, anche anonime, quali le carte di pagamento o prepagate.
1-bis. I fornitori di cui al comma 1 sono tenuti a documentare al Garante, entro il 30 giugno 2002, le misure predisposte. In caso di mancata documentazione si applica la sanzione amministrativa prevista dall’art. 39, comma 1, della legge 31 dicembre 1996, n. 675. In mancanza di idonee misure il Garante provvede altresi’ ai sensi dell’art. 31, comma 1, lettere c) ed l), della medesima legge.
2. Nella documentazione relativa alle chiamate effettuate inviate agli abbonati non vengono evidenziati i servizi e le chiamate di cui al comma 1.
3. Gli abbonati hanno diritto di ricevere in dettaglio, a richiesta e senza alcun aggravio di spesa, la dimostrazione degli elementi che compongono la fattura, relativi, in particolare, alla data e all’ora di inizio della conversazione, al numero selezionato, al tipo, alla località, alla durata e al numero di scatti addebitati per ciascuna conversazione. In ogni caso, nella documentazione fornita all’abbonato non sono evidenziate le ultime tre cifre del numero chiamato.”.
Art. 22.
Informazione al pubblico sull’identificazione della linea chiamante e collegata
1. All’articolo 6, comma 6, del decreto legislativo 13 maggio 1998, n. 171, le parole “di tale servizio” sono sostituite dalle seguenti: “di tale servizio e delle possibilità previste ai commi 1, 2, 3 e 4”.
Nota all’art. 22:
– Il testo vigente dell’art. 6 del decreto legislativo 13 maggio 1998, n. 171, recante “Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della direttiva 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attività giorna-listica”, come modificato dal presente decreto legislativo, è il seguente: “Art. 6 (Identificazione della linea). – 1. Se è disponibile la presentazione dell’identificazione della linea chiamante, l’utente chiamante deve avere la possibilità di eliminare, gratuitamente e mediante una funzione semplice, la presentazione della identificazione della linea chiamante chiamata per chiamata. L’abbonato chiamante deve avere la stessa possibilità linea per linea.
2. Se è disponibile la presentazione dell’identificazione della linea chiamante, l’abbonato chiamato deve avere la possibilità, gratuitamente e mediante una funzione semplice, di impedire la presentazione dell’identificazione delle chiamate entranti.
3. Se è disponibile la presentazione della linea chiamante e tale identificazione è presentata prima che la comunicazione è stabilita, l’abbonato chiamato deve avere la possibilità, gratuitamente e mediante una funzione semplice, di respingere le chiamate entranti se la presentazione dell’identificazione della linea chiamante è stata eliminata dall’utente o abbonato chiamante.
4. Se è disponibile la presentazione dell’identificazione della linea collegata, l’abbonato chiamato deve avere la possibilità di eliminare, gratuitamente e mediante una funzione semplice, la presentazione dell’identificazione della linea collegata all’utente chiamante.
5. Le disposizioni di cui al comma 1 si applicano alle chiamate dirette verso altri Paesi; quelle di cui ai commi 2, 3 e 4 si applicano anche alle chiamate in arrivo da altri Paesi.
6. Se è disponibile la presentazione dell’identificazione della linea chiamante o di quella collegata, il fornitore di una rete di telecomunicazioni pubblica o di un servizio di telecomunicazioni accessibili al pubblico deve informare gli abbonati e gli utenti dell’esistenza di tale servizio e delle possibilità previste ai commi 1,2,3 e 4.”.
Art. 23.
Chiamate di emergenza
1. L’articolo 7 del decreto legislativo 13 maggio 1998, n. 171, è cosi’ modificato:
“a) la rubrica è sostituita dalla seguente: “(Chiamate di disturbo e di emergenza)”;
b) dopo il comma 2, è aggiunto il seguente:
“2-bis. Il fornitore di una rete di telecomunicazioni pubblica o di un servizio di telecomunicazioni accessibili al pubblico deve predisporre procedure adeguate e trasparenti per garantire, linea per linea, l’annullamento della soppressione dell’identificazione della linea chiamante da parte dei servizi abilitati a ricevere chiamate d’emergenza.”
Nota all’art. 23:
– Il testo vigente dell’art. 7 del decreto legislativo 13 maggio 1998, n. 171, recante “Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della direttiva 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attività giorna-listica”, come modificato dal presente decreto legislativo, è il seguente:
“Art. 7 (Chiamate di disturbo e di emergenza). – 1. L’abbonato che riceve chiamate di disturbo può richiedere, a proprie spese ed anche telefonicamente in caso di urgenza, che il fornitore del servizio di telecomunicazioni accessibile al pubblico renda inefficace la soppressione dell’identificazione della linea chiamante e conservi i dati relativi alla provenienza della chiamata ricevuta. L’inefficacia della soppressione può essere disposta per i soli orari durante i quali si verificano le chiamate di disturbo e per un periodo non superiore a quindici giorni.
2. L’istanza formulata per iscritto dall’abbonato deve specificare le modalità di ricezione delle chiamate di disturbo e, nel caso in cui sia preceduta da una richiesta telefonica, deve essere inviata entro ventiquattro ore.
2-bis. Il fornitore di una rete di telecomunicazioni pubblica o di un servizio di telecomunicazioni accessibili al pubblico deve predisporre procedure adeguate e trasparenti per garantire, linea per linea, l’annul-lamento della soppressione dell’identificazione della linea chiamante da parte dei servizi abilitati a ricevere chiamate d’emergenza.”.
Art. 24.
Disposizioni transitorie
1. Le disposizioni di cui agli articoli 3, comma 3, 4, 22 e 23 del presente decreto si applicano a decorrere dal 1 marzo 2002.
2. I provvedimenti attuativi delle disposizioni di cui agli articoli 5, comma 2, e 9 sono adottati, in sede di prima applicazione del presente decreto, entro centoventi giorni a decorrere dal 1 ottobre 2002.
3. In sede di prima applicazione della disposizione di cui alla lettera a) del comma 4 dell’articolo 22 della legge 31 dicembre 1996, n. 675, introdotta dall’articolo 8 del presente decreto, le garanzie previste nella medesima lettera a)sono determinate dall’associazione, dall’ente o dall’organismo entro il 30 giugno 2002.
Art. 25.
Entrata in vigore
1. Le disposizioni di cui al presente decreto entrano in vigore il 1 febbraio 2002. Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. è fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Dato a Roma, addi’ 28 dicembre 2001
CIAMPI
Berlusconi, Presidente del Consiglio dei Ministri Castelli, Ministro della giustizia Visto, il Guardasigilli: Castelli