Gazzetta n. 13 del 16 gennaio 2002 (vai al sommario) DECRETO LEGISLATIVO 28 dicembre 2001, n. 467 Disposizioni correttive ed integrative della normativa in materia di protezione dei dati personali, a norma dell'articolo 1 della legge 24 marzo 2001, n. 127. IL PRESIDENTE DELLA REPUBBLICA Visti gli articoli 76 e 87 della Costituzione; Vista la legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni; Vista la legge 31 dicembre 1996, n. 676, recante delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali; Vista la direttiva 95/46/CE del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati; Vista la legge 24 marzo 2001, n. 127, recante differimento del termine per l'esercizio della delega prevista dalla legge 31 dicembre 1996, n. 676; Vista la direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni; Vista la raccomandazione del Consiglio d'Europa n. (95) 4 del 7 febbraio 1995, sulla protezione dei dati personali nel settore dei servizi di telecomunicazioni, con particolare riguardo ai servizi telefonici; Visto il decreto legislativo 13 maggio 1998, n. 171, recante disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della direttiva 97/66/CE del Parlamento europeo e del Consiglio; Sentito il Garante per la protezione dei dati personali; Vista la deliberazione preliminare del Consiglio dei Ministri, adottata nella riunione del 21 novembre 2001; Acquisito il parere delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica; Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 21 dicembre 2001; Sulla proposta del Presidente del Consiglio dei Ministri, di concerto con il Ministro della giustizia; E m a n a il seguente decreto legislativo: Art. 1 Definizioni e diritto nazionale applicabile 1. Agli effetti dell'applicazione del presente decreto si applicano le definizioni elencate nell'articolo 1, comma 2, della legge 31 dicembre 1996, n. 675. 2. Nell'articolo 2 della legge 31 dicembre 1996, n. 675, sono aggiunti i seguenti commi: "1-bis. La presente legge si applica anche al trattamento di dati personali effettuato da chiunque e' stabilito nel territorio di un Paese non appartenente al-l'Unione europea e impiega, per il trattamento, mezzi situati nel territorio dello Stato anche diversi da quelli elettronici o comunque automatizzati, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. 1-ter. Nei casi di cui al comma 1-bis il titolare stabilito nel territorio di un Paese non appartenente al-l'Unione europea deve designare ai fini dell'applicazione della presente legge un proprio rappresentante stabilito nel territorio dello Stato.". Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. Note alle premesse: - L'art. 76 della Costituzione regola la delega al Governo dell'esercizio della funzione legislativa e stabilisce che essa non puo' avvenire se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti. - L'art. 87 della Costituzione, tra l'altro, conferisce al Presidente della Repubblica il potere di promulgare le leggi e di emanare i decreti aventi valore di legge e i regolamenti. - Per l'argomento della legge 31 dicembre 1996, n. 675, vedasi nelle note all'art. 1. Note all'art. 1: - Si riporta il testo dell'art. 1 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali): "Art. 1 (Finalita' e definizioni). - 1. La presente legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle liberta' fondamentali, nonche' della dignita' delle persone fisiche, con particolare riferimento alla riservatezza e all'identita' personale; garantisce altresi' i diritti delle persone giuridiche e di ogni altro ente o associazione. 2. Ai fini della presente legge si intende: a) per "banca di dati , qualsiasi complesso di dati personali, ripartito in una o piu' unita' dislocate in uno o piu' siti, organizzato secondo una pluralita' di criteri determinati tali da facilitarne il trattamento; b) per "trattamento , qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati; c) per "dato personale , qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; d) per "titolare , la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalita' ed alle modalita' del trattamento di dati personali, ivi compreso il profilo della sicurezza; e) per "responsabile , la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; f) per "interessato , la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; g) per "comunicazione , il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; h) per "diffusione , il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; i) per "dato anonimo , il dato che in origine, o a seguito di trattamento, non puo' essere associato ad un interessato identificato o identificabile; l) per "blocco , la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; m) per "Garante , l'autorita' istituita ai sensi dell'art. 30.". - Il testo vigente dell'art. 2 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' il seguente: "Art. 2 (Ambito di applicazione). - 1. La presente legge si applica al trattamento di dati personali da chiunque effettuato nel territorio dello Stato. 1-bis. La presente legge si applica anche al trattamento di dati personali effettuato da chiunque e' stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, mezzi situati nel territorio dello Stato anche diversi da quelli elettronici o comunque automatizzati, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. 1-ter. Nei casi di cui al comma 1-bis il titolare stabilito nel territorio di un Paese non appartenente all'Unione europea deve designare ai fini dell'applicazione della presente legge un proprio rappresentante stabilito nel territorio dello Stato.".   Art. 2 Trattamenti per fini esclusivamente personali 1. Nell'articolo 3, comma 2, della legge 31 dicembre 1996, n. 675, le parole: "le disposizioni di cui agli articoli 18 e 36" sono sostituite dalle seguenti: "l'articolo 18". Nota all'art. 2: - Il testo vigente dell'art. 3 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' il seguente: "Art. 3 (Trattamento di dati per fini esclusivamente personali). - 1. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali non e' soggetto all'applicazione della presente legge, sempreche' i dati non siano destinati ad una comunicazione sistematica o alla diffusione. 2. Al trattamento di cui al comma 1 si applicano in ogni caso le disposizioni in tema di sicurezza dei dati di cui all'art. 15, nonche' l'art. 18.".   Art. 3 Semplificazione dei casi e delle modalita' di notificazione 1. Nell'articolo 7, comma 1, della legge 31 dicembre 1996, n. 675, e' aggiunto in fine il seguente periodo: "se il trattamento, in ragione delle relative modalita' o della natura dei dati personali, sia suscettibile di recare pregiudizio ai diritti e alle liberta' dell'interessato, e nei soli casi e con le modalita' individuati con il regolamento di cui all'articolo 33, comma 3.". 2. Nell'articolo 7, comma 2, della legge 31 dicembre 1996, n. 675, le parole: "indicati nel comma 4" sono sostituite dalle seguenti: "che devono essere indicati". 3. Nell'articolo 7, comma 4, lettera h), della legge 31 dicembre 1996, n. 675, le parole: "del responsabile;" sono sostituite dalle seguenti: "del rappresentante del titolare nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all'articolo 13;". 4. Le disposizioni di cui all'articolo 7, commi 3, 4, 5, 5-bis, 5-ter, 5-quater e 5-quinquies, 13, comma 1, lettera b) e 28, comma 7, della legge 31 dicembre 1996, n. 675 sono abrogate a decorrere dalla data di entrata in vigore delle modifiche apportate al regolamento di cui all'articolo 33, comma 3, della medesima legge in applicazione del comma 1 del presente articolo. Note all'art. 3: - Il testo vigente dell'art. 7 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' attualmente il seguente (si veda anche l'abrogazione dei commi 3, 4, 5, 5-bis, 5-ter, 5-quater e 5-quinquies prevista dall'art. 3, comma 4, del decreto medesimo): "Art. 7 (Notificazione). - 1. Il titolare che intenda procedere ad un trattamento di dati personali soggetto al campo di applicazione della presente legge e' tenuto a darne notificazione al Garante se il trattamento, in ragione delle relative modalita' o della natura dei dati personali, sia suscettibile di recare pregiudizio ai diritti e alle liberta' dell'interessato, e nei soli casi e con le modalita' individuati con il regolamento di cui all'art. 33, comma 3. 2. La notificazione e' effettuata preventivamente ed una sola volta, a mezzo di lettera raccomandata ovvero con altro mezzo idoneo a certificarne la ricezione, a prescindere dal numero delle operazioni da svolgere, nonche' dalla durata del trattamento e puo' riguardare uno o piu' trattamenti con finalita' correlate. Una nuova notificazione e' richiesta solo se muta taluno degli elementi che devono essere indicati e deve precedere l'effettuazione della variazione. 3. La notificazione e' sottoscritta dal notificante e dal responsabile del trattamento. 4. La notificazione contiene: a) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare; b) le finalita' e modalita' del trattamento; c) la natura dei dati, il luogo ove sono custoditi e le categorie di interessati cui i dati si riferiscono; d) l'ambito di comunicazione e di diffusione dei dati; e) i trasferimenti di dati previsti verso Paesi non appartenenti all'Unione europea o, qualora riguardino taluno dei dati di cui agli articoli 22 e 24, fuori del territorio nazionale; f) una descrizione generale che permetta di valutare l'adeguatezza delle misure tecniche ed organizzative adottate per la sicurezza dei dati; g) l'indicazione della banca di dati o delle banche di dati cui si riferisce il trattamento, nonche' l'eventuale connessione con altri trattamenti o banche di dati, anche fuori dal territorio nazionale; h) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del rappresentante del titolare nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all'art. 13; in mancanza di tale indicazione si considera responsabile il notificante; i) la qualita' e la legittimazione del notificante. 5. I soggetti tenuti ad iscriversi o che devono essere annotati nel registro delle imprese di cui all'art. 2188 del codice civile, nonche' coloro che devono fornire le informazioni di cui all'art. 8, comma 8, lettera d), della legge 29 dicembre 1993, n. 580, alle camere di commercio, industria, artigianato e agricoltura, possono effettuare la notificazione per il tramite di queste ultime, secondo le modalita' stabilite con il regolamento di cui all'art. 33, comma 3. I piccoli imprenditori e gli artigiani possono effettuare la notificazione anche per il tramite delle rispettive rappresentanze di categoria; gli iscritti agli albi professionali anche per il tramite dei rispettivi ordini professionali. Resta in ogni caso ferma la disposizione di cui al comma 3. 5-bis. La notificazione in forma semplificata puo' non contenere taluno degli elementi di cui al comma 4, lettere b), c), e) e g), individuati dal Garante ai sensi del regolamento di cui all'art. 33, comma 3, quando il trattamento e' effettuato: a) da soggetti pubblici, esclusi gli enti pubblici economici, sulla base di espressa disposizione di legge ai sensi degli articoli 22, comma 3, e 24, ovvero del provvedimento di cui al medesimo art. 24; b) nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalita', ovvero dai soggetti indicati nel comma 4-bis dell'art. 25, nel rispetto del codice di deontologia di cui al medesimo articolo; c) temporaneamente senza l'ausilio di mezzi elettronici o comunque automatizzati, ai soli fini e con le modalita' strettamente collegate all'organizzazione interna dell'attivita' esercitata dal titolare, relativamente a dati non registrati in una banca di dati e diversi da quelli di cui agli articoli 22 e 24; c-bis) per scopi storici, di ricerca scientifica e di statistica in conformita' alle leggi, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'art. 31. 5-ter. Fuori dei casi di cui all'art. 4, il trattamento non e' soggetto a notificazione quando: a) e' necessario per l'assolvimento di un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria, relativamente a dati diversi da quelli indicati negli articoli 22 e 24; b) riguarda dati contenuti o provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalita' di cui all'art. 20, comma 1, lettera b); c) e' effettuato per esclusive finalita' di gestione del protocollo, relativamente ai dati necessari per la classificazione della corrispondenza inviata per fini diversi da quelli di cui all'art. 13, comma 1, lettera e), con particolare riferimento alle generalita' e ai recapiti degli interessati, alla loro qualifica e all'organizzazione di appartenenza; d) riguarda rubriche telefoniche o analoghe non destinate alla diffusione, utilizzate unicamente per ragioni d'ufficio e di lavoro e comunque per fini diversi da quelli di cui all'art. 13, comma l, lettera e); e) e' finalizzato unicamente all'adempimento di specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, ed e' effettuato con riferimento alle sole categorie di dati, di interessati e di destinatari della comunicazione e diffusione strettamente collegate a tale adempimento, conservando i dati non oltre il periodo necessario all'adempimento medesimo; f) e' effettuato, salvo quanto previsto dal comma 5-bis, lettera b), da liberi professionisti iscritti in albi o elenchi professionali, per le sole finalita' strettamente collegate all'adempimento di specifiche prestazioni e fermo restando il segreto professionale; g) e' effettuato dai piccoli imprenditori di cui all'art. 2083 del codice civile per le sole finalita' strettamente collegate allo svolgimento dell'attivita' professionale esercitata e limitatamente alle categorie di dati, di interessati, di destinatari della comunicazione e diffusione e al periodo di conservazione dei dati necessari per il perseguimento delle finalita' medesime; h) e' finalizzato alla tenuta di albi o elenchi professionali in conformita' alle leggi e ai regolamenti; i) e' effettuato per esclusive finalita' dell'ordinaria gestione di biblioteche, musei e mostre, in conformita' alle leggi e ai regolamenti, ovvero per la organizzazione di iniziative culturali o sportive o per la formazione di cataloghi e bibliografie; l) e' effettuato da associazioni, fondazioni, comitati anche a carattere politico, filosofico, religioso o sindacale, ovvero da loro organismi rappresentativi, istituiti per scopi non di lucro e per il perseguimento di finalita' lecite, relativamente a dati inerenti agli associati e ai soggetti che in relazione a tali finalita' hanno contatti regolari con l'associazione, la fondazione, il comitato o l'organismo, fermi restando gli obblighi di informativa degli interessati e di acquisizione del consenso, ove necessario; m) e' effettuato dalle organizzazioni di volontariato di cui alla legge 11 agosto 1991, n. 266, nei limiti di cui alla lettera l) e nel rispetto delle autorizzazioni e delle prescrizioni di legge di cui agli articoli 22 e 23; n) e' effettuato temporaneamente ed e' finalizzato esclusivamente alla pubblicazione o diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero, nel rispetto del codice di deontologia di cui all'art. 25; o) e' effettuato, anche con mezzi elettronici o comunque automatizzati, per la redazione di periodici o pubblicazioni aventi finalita' di informazione giuridica, relativamente a dati desunti da provvedimenti dell'autorita' giudiziaria o di altre autorita'; p) e' effettuato temporaneamente per esclusive finalita' di raccolta di adesioni a proposte di legge d'iniziativa popolare, a richieste di referendum, a petizioni o ad appelli; q) e' finalizzato unicamente all'amministrazione dei condomini di cui all'art. 1117 e seguenti del codice civile, limitatamente alle categorie di dati, di interessati e di destinatari della comunicazione necessarie per l'amministrazione dei beni comuni, conservando i dati non oltre il periodo necessario per la tutela dei corrispondenti diritti; q-bis) e' compreso nel programma statistico nazionale o in atti di programmazione statistica previsti dalla legge ed e' effettuato in conformita' alle leggi, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'art. 31. 5-quater. Il titolare si puo' avvalere della notificazione semplificata o dell'esonero di cui ai commi 5-bis e 5-ter, sempre che il trattamento riguardi unicamente le finalita', le categorie di dati, di interessati e di destinatari della comunicazione e diffusione, individuate, unitamente al periodo di conservazione dei dati, dai medesimi commi 5-bis e 5-ter, nonche': a) nei casi di cui ai commi 5-bis, lettera a) e 5-ter, lettere a) e m), dalle disposizioni di legge o di regolamento o dalla normativa comunitaria ivi indicate; b) nel caso di cui al comma 5-bis, lettera b), dal codice di deontologia ivi indicato; c) nei casi residui, dal Garante con le autorizzazioni rilasciate con le modalita' previste dall'art. 41, comma 7, ovvero, per i dati diversi da quelli di cui agli articoli 22 e 24, con provvedimenti analoghi. 5-quinquies. Il titolare che si avvale dell'esonero di cui al comma 5-ter deve fornire gli elementi di cui al comma 4 a chiunque ne faccia richiesta.". - Per il testo dell'art. 28 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto, vedasi infra in nota all'art. 10. - Si riporta il testo dell'art. 33 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali): "Art. 33 (Ufficio del Garante). - 1. Alle dipendenze del Garante e' posto un ufficio composto, in sede di prima applicazione della presente legge, da dipendenti dello Stato e di altre amministrazioni pubbliche, collocati fuori ruolo nelle forme previste dai rispettivi ordinamenti, il cui servizio presso il medesimo ufficio e' equiparato ad ogni effetto di legge a quello prestato nelle rispettive amministrazioni di provenienza. Il relativo contingente e' determinato, in misura non superiore a quarantacinque unita', su proposta del Garante medesimo, con decreto del Presidente del Consiglio dei Ministri, di concerto con i Ministri del tesoro e per la funzione pubblica, entro novanta giorni dalla data di elezione del Garante. Il segretario generale puo' essere scelto anche tra magistrati ordinari o amministrativi. 1-bis. E' istituito il ruolo organico del personale dipendente del Garante. Con proprio regolamento il Garante definisce: a) l'ordinamento delle carriere e le modalita' del reclutamento secondo le procedure previste dall'art. 36 del decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni; b) le modalita' dell'inquadramento in ruolo del personale in servizio alla data di entrata in vigore del regolamento; c) il trattamento giuridico ed economico del personale, secondo i criteri previsti dalla legge 31 luglio 1997, n. 249, e, per gli incarichi di funzioni dirigenziali, dall'art. 19, comma 6, del citato decreto legislativo n. 29, come sostituito dall'art. 13 del decreto legislativo 31 marzo 1998, n. 80, tenuto conto delle specifiche esigenze funzionali e organizzative. Il regolamento e' pubblicato nella Gazzetta Ufficiale. Nelle more della piu' generale razionalizzazione del trattamento economico delle autorita' amministrative indipendenti, al personale e' attribuito l'ottanta per cento del trattamento economico del personale dell'Autorita' per le garanzie nelle comunicazioni. Per il periodo intercorrente tra l'8 maggio 1997 e la data di entrata in vigore del regolamento, resta ferma l'indennita' di cui all'art. 41 del decreto del Presidente della Repubblica 10 luglio 1991, n. 231, corrisposta al personale in servizio. Dal 1 gennaio 1998 e fino alla data di entrata in vigore del medesimo regolamento, e' inoltre corrisposta la differenza tra il nuovo trattamento e la retribuzione gia' in godimento maggiorata della predetta indennita' di funzione. 1-ter. L'ufficio puo' avvalersi, per motivate esigenze, di dipendenti dello Stato o di altre amministrazioni pubbliche o di enti pubblici collocati in posizione di fuori ruolo nelle forme previste dai rispettivi ordinamenti, ovvero in aspettativa ai sensi dell'art. 13 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, e successive modificazioni, in numero non superiore, complessivamente, a venti unita' e per non oltre il venti per cento delle qualifiche dirigenziali, lasciando non coperto un corrispondente numero di posti di ruolo. Al personale di cui al presente comma e' corrisposta una indennita' pari alla eventuale differenza tra il trattamento erogato dall'amministrazione o dall'ente di provenienza e quello spettante al corrispondente personale di ruolo, e comunque non inferiore alla indennita' di cui all'art. 41 del citato decreto del Presidente della Repubblica n. 231 del 1991. 1-quater. Con proprio regolamento il Garante ripartisce l'organico, fissato nel limite di cento unita', tra il personale dei diversi livelli e quello delle qualifiche dirigenziali e disciplina l'organizzazione, il funzionamento dell'ufficio, la riscossione e la utilizzazione dei diritti di segreteria, ivi compresi quelli corrisposti dall'8 maggio 1997, e la gestione delle spese, anche in deroga alle norme sulla contabilita' generale dello Stato. Il regolamento e' pubblicato nella Gazzetta Ufficiale. 1-quinquies. In aggiunta al personale di ruolo, l'ufficio puo' assumere direttamente dipendenti con contratto a tempo determinato disciplinato dalle norme di diritto privato, in numero non superiore a venti unita', ivi compresi i consulenti assunti con contratto a tempo determinato ai sensi del comma 4. 1-sexies. All'ufficio del Garante, al fine di garantire la responsabilita' e l'autonomia ai sensi della legge 7 agosto 1990, n. 241, e successive modificazioni, e del decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni, si applicano i principi riguardanti l'individuazione e le funzioni del responsabile del procedimento, nonche' quelli relativi alla distinzione fra le funzioni di indirizzo e di controllo, attribuite agli organi di vertice, e quelli concernenti le funzioni di gestione attribuite ai dirigenti. 2. Le spese di funzionamento dell'ufficio del Garante sono poste a carico di un fondo stanziato a tale scopo nel bilancio dello Stato e iscritto in apposito capitolo dello stato di previsione del Ministero del tesoro. Il rendiconto della gestione finanziaria e' soggetta al controllo della Corte dei conti. 3. In sede di prima applicazione della presente legge, le norme concernenti l'organizzazione ed il funzionamento dell'ufficio del Garante, nonche' quelle dirette a disciplinare la riscossione dei diritti di segreteria e la gestione delle spese, anche in deroga alle disposizioni sulla contabilita' generale dello Stato, sono adottate con regolamento emanato con decreto del Presidente della Repubblica, entro tre mesi dalla data di entrata in vigore della presente legge, previa delibe-razione del Consiglio dei Ministri, sentito il Consiglio di Stato, su proposta del Presidente del Consiglio dei Ministri, di concerto con i Ministri del tesoro, di grazia e giustizia e dell'interno, e su parere conforme del Garante stesso. Nel medesimo regolamento sono determinate le indennita' di cui all'art. 30, comma 6, e altresi' previste le norme concernenti il procedimento dinanzi al Garante di cui all'art. 29, commi da 1 a 5, secondo modalita' tali da assicurare, nella speditezza del procedimento medesimo, il pieno rispetto del contrad-dittorio tra le parti interessate, nonche' le norme volte a precisare le modalita' per l'esercizio dei diritti di cui all'art. 13, nonche' della notificazione di cui all'art. 7, per via telematica o mediante supporto magnetico o lettera raccomandata con avviso di ricevimento o altro idoneo sistema. Il parere del Consiglio di Stato sullo schema di regolamento e' reso entro trenta giorni dalla ricezione della richiesta; decorso tale termine il regolamento puo' comunque essere emanato. 3-bis. Con effetto dalla data di entrata in vigore del regolamento di cui al comma 1-quater, cessano di avere vigore le norme adottate ai sensi del comma 3, primo periodo. 4. Nei casi in cui la natura tecnica o la delicatezza dei problemi lo richiedano, il Garante puo' avvalersi dell'opera di consulenti, i quali sono remunerati in base alle vigenti tariffe professionali ovvero sono assunti con contratti a tempo determinato, di durata non superiore a due anni, che possono essere rinnovati per non piu' di due volte. 5. Per l'espletamento dei propri compiti, l'ufficio del Garante puo' avvalersi di sistemi automatizzati ad elaborazione informatica e di strumenti telematici propri ovvero, salvaguardando le garanzie previste dalla presente legge, appartenenti all'Autorita' per l'informatica nella pubblica amministrazione o, in caso di indisponibilita', ad enti pubblici convenzionali. 6. Il personale addetto all'ufficio del Garante ed i consulenti sono tenuti al segreto su tutto cio' di cui siano venuti a conoscenza, nell'esercizio delle proprie funzioni, in ordine a banche di dati e ad operazioni di trattamento. 6-bis. Il personale dell'ufficio del Garante addetto agli accertamenti di cui all'art. 32 riveste, in numero non superiore a cinque unita', nei limiti del servizio cui e' destinato e secondo le rispettive attribuzioni, la qualifica di ufficiale o agente di polizia giudiziaria.".   Art. 4 Informativa all'interessato 1. Nell'articolo 10, comma 1, lettera f), della legge 31 dicembre 1996, n. 675, le parole: "e, se designato, del responsabile" sono sostituite dalle seguenti: ", del suo rappresentante nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all'articolo 13, indicando il sito della rete di comunicazione o le modalita' attraverso le quali e' altrimenti conoscibile in modo agevole l'elenco aggiornato dei responsabili.". Nota all'art. 4: - Il testo vigente dell'art. 10 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' il seguente: "Art. 10 (Informazioni rese al momento della raccolta). - 1. L'interessato o la persona presso la quale sono raccolti i dati personali devono essere previamente informati oralmente o per iscritto circa: a) le finalita' e le modalita' del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'art. 13; f) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare, del suo rappresentante nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all'art. 13, indicando il sito della rete di comunicazione o le modalita' attraverso le quali e' altrimenti conoscibile in modo agevole l'elenco aggiornato dei responsabili. 2. L'informativa di cui al comma 1 puo' non comprendere gli elementi gia' noti alla persona che fornisce i dati o la cui conoscenza puo' ostacolare l'espletamento di funzioni pubbliche ispettive o di controllo, svolte per il perseguimento delle finalita' di cui agli articoli 4, comma 1, lettera e), e 14, comma 1, lettera d). 3. Quando i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1 e' data al medesimo interessato all'atto della registrazione dei dati o, qualora sia prevista la loro comunicazione, non oltre la prima comunicazione. 4. La disposizione di cui al comma 3 non si applica quando l'informativa all'interessato comporta un impiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si rivela, a giudizio del Garante, impossibile, ovvero nel caso in cui i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria. La medesima disposizione non si applica, altresi', quando i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento.".   Art. 5 Misure precontrattuali e bilanciamento di interessi 1. Nell'articolo 12, comma 1, lettera b), della legge 31 dicembre 1996, n. 675, le parole: "per l'acquisizione di informative precontrattuali attivate" sono sostituite dalle seguenti: "per l'esecuzione di misure precontrattuali adottate". 2. Nell'articolo 12, comma 1, della legge 31 dicembre 1996, n. 675, e' inserita in fine la seguente lettera: "h-bis) e' necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le liberta' fondamentali, la dignita' o un legittimo interesse dell'interessato.". Nota all'art. 5: - Il testo vigente dell'art. 12 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' il seguente: "Art. 12 (Casi di esclusione del consenso). - 1. Il consenso non e' richiesto quando il trattamento: a) riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) e' necessario per l'esecuzione di obblighi derivanti da un contratto del quale e' parte l'interessato o per l'esecuzione di misure precontrattuali adottate su richiesta di quest'ultimo, ovvero per l'adempimento di un obbligo legale; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque; d) e' finalizzato unicamente a scopi di ricerca scientifica o di statistica ed e' effettuato nel rispetto dei codici di deontologia e di buona condotta sottoscritti ai sensi dell'art. 31; e) e' effettuato nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalita'. In tal caso si applica il codice di deontologia di cui all'art. 25; f) riguarda dati relativi allo svolgimento di attivita' economiche raccolti anche ai fini indicati nell'art. 13, comma 1, lettera e), nel rispetto della vigente normativa in materia di segreto aziendale e industriale; g) e' necessario per la salvaguardia della vita o dell'incolumita' fisica dell'interessato o di un terzo, nel caso in cui l'interessato non puo' prestare il proprio consenso per impossibilita' fisica, per incapacita' di agire o per incapacita' di intendere o di volere; h) e' necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento; h-bis) e' necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le liberta' fondamentali, la dignita' o un legittimo interesse dell'interessato.".   Art. 6 Limiti al diritto di accesso 1. Nell'articolo 14, comma 1, della legge 31 dicembre 1996, n. 675, e' aggiunta in fine la seguente lettera: "e-bis) da fornitori di servizi di telecomunicazioni accessibili al pubblico, limitatamente ai dati personali identificativi di chiamate telefoniche entranti, salvo che possa derivarne pregiudizio per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397.". Nota all'art. 6: - Il testo vigente dell'art. 14 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' il seguente: "Art. 14 (Limiti all'esercizio dei diritti). - 1. I diritti di cui all'art. 13, comma 1, lettere c) e d), non possono essere esercitati nei confronti dei trattamenti di dati personali raccolti: a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni; b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni; c) da Commissioni parlamentari di inchiesta istituite ai sensi dell'art. 82 della Costituzione; d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalita' inerenti la politica monetaria e valutaria, il sistema dei pagamenti, il controllo degli intermediari e dei mercati creditizi e finanziari nonche' la tutela della loro stabilita'; e) ai sensi dell'art. 12, comma 1, lettera h), limitatamente al periodo durante il quale potrebbe derivarne pregiudizio per lo svolgimento delle investigazioni o per l'esercizio del diritto di cui alla medesima lettera h); e-bis) da fornitori di servizi di telecomunicazioni accessibili al pubblico, limitatamente ai dati personali identificativi di chiamate telefoniche entranti, salvo che possa derivarne pregiudizio per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397. 2. Nei casi di cui al comma 1, il Garante, anche su segnalazione dell'interessato ai sensi dell'art. 31, comma 1, lettera d), esegue i necessari accertamenti nei modi di cui all'art. 32, commi 6 e 7, e indica le necessarie modificazioni ed integrazioni, verificandone l'attuazione.".   Art. 7 Presupposti per la comunicazione e la diffusione dei dati 1. Nell'articolo 20, comma 1, della legge 31 dicembre 1996, n. 675, dopo la lettera a) e' inserita la seguente: "a-bis) qualora siano necessarie per l'esecuzione di obblighi derivanti da un contratto del quale e' parte l'interessato o per l'esecuzione di misure precontrattuali adottate su richiesta di quest'ultimo,". 2. Nell'articolo 20, comma 1, della legge 31 dicembre 1996, n. 675, e' inserita in fine la seguente lettera: "h-bis) limitatamente alla comunicazione, quando questa sia necessaria, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le liberta' fondamentali, la dignita' o un legittimo interesse dell'interessato.". Nota all'art. 7: - Il testo vigente dell'art. 20 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' il seguente: "Art. 20 (Requisiti per la comunicazione e la diffusione dei dati). - 1. La comunicazione e la diffusione dei dati personali da parte di privati e di enti pubblici economici sono ammesse: a) con il consenso espresso dell'interessato; a-bis) qualora siano necessarie per l'esecuzione di obblighi derivanti da un contratto del quale e' parte l'interessato o per l'esecuzione di misure precontrattuali adottate su richiesta di quest'ultimo; b) se i dati provengono da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalita' che le leggi e i regolamenti stabiliscono per la loro conoscibilita' e pubblicita'; c) in adempimento di un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; d) nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalita'. Restano fermi i limiti del diritto di cronaca posti a tutela della riservatezza ed in particolare dell'essenzialita' dell'informazione riguardo a fatti di interesse pubblico. Si applica inoltre il codice di deontologia di cui all'art. 25; e) se i dati sono relativi allo svolgimento di attivita' economiche, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; f) qualora siano necessarie per la salvaguardia della vita o dell'incolumita' fisica dell'interessato o di un terzo, nel caso in cui l'interessato non puo' prestare il proprio consenso per impossibilita' fisica, per incapacita' di agire o per incapacita' di intendere o di volere; g) limitatamente alla comunicazione, qualora questa sia necessaria ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, nel rispetto della normativa di cui alla lettera e) del presente comma, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento; h) limitatamente alla comunicazione, quando questa sia effettuata nell'ambito dei gruppi bancari di cui all'art. 60 del testo unico delle leggi in materia bancaria e creditizia approvato con decreto legislativo 1 settembre 1993, n. 385, nonche' tra societa' controllate e societa' collegate ai sensi dell'art. 2359 del codice civile, i cui trattamenti con finalita' correlate sono stati notificati ai sensi dell'art. 7, comma 2, per il perseguimento delle medesime finalita' per le quali i dati sono stati raccolti; h-bis) limitatamente alla comunicazione, quando questa sia necessaria, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le liberta' fondamentali, la dignita' o un legittimo interesse dell'interessato. 2. Alla comunicazione e alla diffusione dei dati personali da parte di soggetti pubblici, esclusi gli enti pubblici economici, si applicano le disposizioni dell'art. 27."   Art. 8 Dati sensibili 1. Nell'articolo 22 della legge 31 dicembre 1996, n. 675, dopo il comma 1-bis e' inserito il seguente: "1-ter. Il comma 1 non si applica, altresi', ai dati riguardanti l'adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria". 2. Nell'articolo 22 della legge 31 dicembre 1996, n. 675, il comma 4 e' sostituito dal seguente: "4. I dati personali indicati al comma 1 possono essere oggetto di trattamento previa autorizzazione del Garante: a) qualora il trattamento sia effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, confessioni e comunita' religiose, per il perseguimento di finalita' lecite, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalita' hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati o diffusi fuori del relativo ambito e l'ente, l'associazione o l'organismo determinino idonee garanzie relativamente ai trattamenti effettuati; b) qualora il trattamento sia necessario per la salvaguardia della vita o dell'incolumita' fisica dell'interessato o di un terzo, nel caso in cui l'interessato non puo' prestare il proprio consenso per impossibilita' fisica, per incapacita' di agire o per incapacita' d'intendere o di volere; c) qualora il trattamento sia necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397 o, comunque, per far valere o difendere in sede giudiziaria un diritto, di rango pari a quello dell'interessato quando i dati siano idonei a rivelare lo stato di salute e la vita sessuale, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento. Il Garante prescrive le misure e gli accorgimenti di cui al comma 2 e promuove la sottoscrizione di un apposito codice di deontologia e di buona condotta secondo le modalita' di cui all'articolo 31, comma 1, lettera h). Resta fermo quanto previsto dall'articolo 43, comma 2.". Nota all'art. 8: - Il testo vigente dell'art. 22 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' il seguente: "Art. 22 (Dati sensibili). - 1. I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante. 1-bis. Il comma 1 non si applica ai dati relativi agli aderenti alle confessioni religiose in cui i rapporti con lo Stato siano regolati da accordi o intese ai sensi degli articoli 7 e 8 della Costituzione, nonche' relativi ai soggetti che con riferimento a finalita' di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, che siano trattati dai relativi organi o enti civilmente riconosciuti, sempreche' i dati non siano comunicati o diffusi fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati. 1-ter. Il comma 1 non si applica, altresi', ai dati riguardanti l'adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro trenta giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante puo' prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento e' tenuto ad adottare. 3. Il trattamento dei dati indicati al comma 1 da parte di soggetti pubblici, esclusi gli enti pubblici economici, e' consentito solo se autorizzato da espressa disposizione di legge, nella quale siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalita' di interesse pubblico perseguite. In mancanza di espressa disposizione di legge, e fuori dai casi previsti dai decreti legislativi di modificazione ed integrazione della presente legge, emanati in attuazione della legge 31 dicembre 1996, n. 676, i soggetti pubblici possono richiedere al Garante, nelle more della specificazione legislativa, l'individuazione delle attivita', tra quelle demandate ai medesimi soggetti dalla legge, che perseguono rilevanti finalita' di interesse pubblico e per le quali e' conseguentemente autorizzato, ai sensi del comma 2, il trattamento dei dati indicati al comma 1. 3-bis. Nei casi in cui e' specificata, a norma del comma 3, la finalita' di rilevante interesse pubblico, ma non sono specificati i tipi di dati e le operazioni eseguibili, i soggetti pubblici, in applicazione di quanto previsto dalla presente legge e dai decreti legislativi di attuazione della legge 31 dicembre 1996, n. 676, in materia di dati sensibili, identificano e rendono pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalita' perseguite nei singoli casi, aggiornando tale identificazione periodicamente. 4. I dati personali indicati al comma 1, possono essere oggetto di trattamento previa autorizzazione del Garante: a) qualora il trattamento sia effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, confessioni e comunita' religiose, per il perseguimento di finalita' lecite, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalita' hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati o diffusi fuori del relativo ambito e l'ente, l'associazione o l'organismo determinino idonee garanzie relativamente ai trattamenti effettuati; b) qualora il trattamento sia necessario per la salvaguardia della vita o dell'incolumita' fisica dell'interessato o di un terzo, nel caso in cui l'interessato non puo' prestare il proprio consenso per impossibilita' fisica, per incapacita' di agire o per incapacita' d'intendere o di volere; c) qualora il trattamento sia necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, di rango pari a quello dell'interessato quando i dati siano idonei a rivelare lo stato di salute e la vita sessuale, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento. Il Garante prescrive le misure e gli accorgimenti di cui al comma 2 e promuove la sottoscrizione di un apposito codice di deontologia e di buona condotta secondo le modalita' di cui all'art. 31, comma 1, lettera h). Resta fermo quanto previsto dall'art. 43, comma 2.".   Art. 9 Verifiche preliminari 1. Dopo l'articolo 24 della legge 31 dicembre 1996, n. 675, e' inserito il seguente: "Art. 24-bis (Altri dati particolari). - 1. Il trattamento dei dati diversi da quelli di cui agli articoli 22 e 24 che presenta rischi specifici per i diritti e le liberta' fondamentali, nonche' per la dignita' dell'interessato, in relazione alla natura dei dati o alle modalita' del trattamento o agli effetti che puo' determinare, e' ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante sulla base dei principi sanciti dalla legge nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, sulla base di un eventuale interpello del titolare.". Note all'art. 9: - Per il testo dell'art. 22 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all'art. 8; - Si riporta di seguito l'art. 24 della legge 31 dicembre 1996, n. 675: "Art. 24 (Dati relativi ai provvedimenti di cui all'art. 686 del del codice di procedura penale). - 1. Il trattamento di dati personali idonei a rivelare provvedimenti di cui all'art. 686, commi 1, lettere a) e d), 2 e 3, del codice di procedura penale, e' ammesso soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalita' di interesse pubblico del trattamento, i tipi di dati trattati e le precise operazioni autorizzate."   Art. 10 Semplificazione e garanzie per i trasferimenti di dati personali all'estero 1. Nell'articolo 28, comma 1, della legge 31 dicembre 1996, n. 675, le parole: "o riguardi taluno dei dati di cui agli articoli 22 e 24" sono sostituite dalle seguenti: "e ricorra uno dei casi individuati ai sensi dell'articolo 7, comma 1". 2. Nell'articolo 28, comma 3, della legge 31 dicembre 1996, n. 675, le parole da: "ovvero," fino alla fine del periodo sono soppresse. 3. Nell'articolo 28, comma 4, lettera b), della legge 31 dicembre 1996, n. 675, le parole: "per l'acquisizione di informative precontrattuali attivate" sono sostituite dalle seguenti: "per l'esecuzione di misure precontrattuali adottate". 4. Nell'articolo 28, comma 4, lettera g), della legge 31 dicembre 1996, n. 675, sono inserite in fine le seguenti parole: ", ovvero individuate dalla Commissione europea con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995". Note all'art. 10: - Il testo vigente dell'art. 28 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' attualmente il seguente (si veda anche l'abrogazione del comma 7 prevista dall'art. 3, comma 4, del decreto medesimo): "Art. 28 (Trasferimento di dati personali all'estero). - 1. Il trasferimento anche temporaneo fuori del territorio nazionale, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento deve essere previamente notificato al Garante, qualora sia diretto verso un Paese non appartenente all'Unione europea e ricorra uno dei casi individuati ai sensi dell'art. 7, comma 1. 2. Il trasferimento puo' avvenire soltanto dopo quindici giorni dalla data della notificazione; il termine e' di venti giorni qualora il trasferimento riguardi taluno dei dati di cui agli articoli 22 e 24. 3. Il trasferimento e' vietato qualora l'ordinamento dello Stato di destinazione o di transito dei dati non assicuri un livello di tutela delle persone adeguato. Sono valutate anche le modalita' del trasferimento e dei trattamenti previsti, le relative finalita', la natura dei dati e le misure di sicurezza. 4. Il trasferimento e' comunque consentito qualora: a) l'interessato abbia manifestato il proprio consenso espresso ovvero, se il trasferimento riguarda taluno dei dati di cui agli articoli 22 e 24, in forma scritta; b) sia necessario per l'esecuzione di obblighi derivanti da un contratto del quale e' parte l'interessato o per l'esecuzione di misure precontrattuali adottate su richiesta di quest'ultimo ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato; c) sia necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento, ovvero specificato ai sensi degli articoli 22, comma 3, e 24, se il trasferimento riguarda taluno dei dati ivi previsti; d) sia necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento; e) sia necessario per la salvaguardia della vita o dell'incolumita' fisica dell'interessato o di un terzo, nel caso in cui l'interessato non puo' prestare il proprio consenso per impossibilita' fisica, per incapacita' di agire o per incapacita' di intendere o di volere; f) sia effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia; g) sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, prestate anche con un contratto, ovvero individuate dalla Commissione europea con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995; g-bis) il trattamento sia finalizzato unicamente a scopi di ricerca scientifica o di statistica e sia effettuato nel rispetto dei codici di deontologia e di buona condotta sottoscritti ai sensi dell'art. 31. 5. Contro il divieto di cui al comma 3 del presente articolo puo' essere proposta opposizione ai sensi dell'art. 29, commi 6 e 7. 6. Le disposizioni del presente articolo non si applicano al trasferimento di dati personali effettuato nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalita'. 7. La notificazione di cui al comma 1 del presente articolo e' effettuata ai sensi dell'art. 7 ed e' annotata in apposita sezione del registro previsto dall'art. 31, comma 1, lettera a). La notificazione puo' essere effettuata con un unico atto unitamente a quella prevista dall'art. 7." - La direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo del Consiglio, "relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati", dispone, rispettivamente, all'art. 25, paragrafo 6 e, all'art. 26, paragrafo 4: "6. La Commissione puo' constatare, secondo la procedura di cui all'art. 31, paragrafo 2, che un Paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle liberta' e dei diritti fondamentali della persona. Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.". "4. Qualora la Commissione decida, secondo la procedura di cui all'art. 31, paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie sufficienti di cui al paragrafo 2, gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.".   Art. 11 Misure per il trattamento illecito o non corretto 1. Nella lettera c) del comma 1 dell'articolo 31 della legge 31 dicembre 1996, n. 675, la parola: "opportune" e' sostituita dalle seguenti: "necessarie o opportune". 2. Nella lettera l) del comma 1 dell'articolo 31 della legge 31 dicembre 1996, n. 675, dopo la parola: "blocco" sono inserite le seguenti: "se il trattamento risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera c), oppure". Nota all'art. 11: - Il testo vigente dell'art. 31 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' il seguente: "Art. 31 (Compiti del Garante). - 1. Il Garante ha il compito di: a) istituire e tenere un registro generale dei trattamenti sulla base delle notificazioni ricevute; b) controllare se i trattamenti sono effettuati nel rispetto delle norme di legge e di regolamento e in conformita' alla notificazione; c) segnalare ai relativi titolari o responsabili le modificazioni necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti; d) ricevere le segnalazioni ed i reclami degli interessati o delle associazioni che li rappresentano, relativi ad inosservanze di legge o di regolamento, e provvedere sui ricorsi presentati ai sensi dell'art. 29; e) adottare i provvedimenti previsti dalla legge o dai regolamenti; f) vigilare sui casi di cessazione, per qualsiasi causa, di un trattamento; g) denunciare i fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a causa delle sue funzioni; h) promuovere nell'ambito delle categorie interessate, nell'osservanza del principio di rappresentativita', la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, verificarne la conformita' alle leggi e ai regolamenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuire a garantirne la diffusione e il rispetto; i) curare la conoscenza tra il pubblico delle norme che regolano la materia e delle relative finalita', nonche' delle misure di sicurezza dei dati di cui all'art. 15; l) vietare, in tutto o in parte, il trattamento dei dati o disporne il blocco se il trattamento risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera c), oppure quando, in considerazione della natura dei dati o, comunque, delle modalita' del trattamento o degli effetti che esso puo' determinare, vi e' il concreto rischio del verificarsi di un pregiudizio rilevante per uno o piu' interessati; m) segnalare al Governo l'opportunita' di provvedimenti normativi richiesti dall'evoluzione del settore; n) predisporre annualmente una relazione sull'attivita' svolta e sullo stato di attuazione della presente legge, che e' trasmessa al Parlamento e al Governo entro il 30 aprile dell'anno successivo a quello cui si riferisce; o) curare l'attivita' di assistenza indicata nel capitolo IV della Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio 1989, n. 98, quale autorita' designata ai fini della cooperazione tra Stati ai sensi dell'art. 13 della Convenzione medesima; p) esercitare il controllo sui trattamenti di cui all'art. 4 e verificare, anche su richiesta dell'interessato, se rispondono ai requisiti stabiliti dalla legge o dai regolamenti. 2. Il Presidente del Consiglio dei Ministri e ciascun Ministro consultano il Garante all'atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere sulle materie disciplinate dalla presente legge. 3. Il registro di cui al comma 1, lettera a), del presente articolo, e' tenuto nei modi di cui all'art. 33, comma 5. Entro il termine di un anno dalla data della sua istituzione, il Garante promuove opportune intese con le province ed eventualmente con altre pubbliche amministrazioni al fine di assicurare la consultazione del registro mediante almeno un terminale dislocato su base provinciale, preferibilmente nell'ambito dell'ufficio per le relazioni con il pubblico di cui all'art. 12 del decreto legislativo 3 febbraio 1993, n. 29, e successive modifi-cazioni. 4. Contro il divieto di cui al comma 1, lettera l), del presente articolo, puo' essere proposta opposizione ai sensi dell'art. 29, commi 6 e 7. 5. Il Garante e l'Autorita' per l'informatica nella pubblica ammini-strazione cooperano tra loro nello svolgimento dei rispettivi compiti; a tal fine, invitano il presidente o un suo delegato membro dell'altro organo a partecipare alle riunioni prendendo parte alla discussione di argomenti di comune interesse iscritti all'ordine del giorno; possono richiedere, altresi', la collaborazione di personale specializzato addetto all'altro organo. 6. Le disposizioni del comma 5 si applicano anche nei rapporti tra il Garante e le autorita' di vigilanza competenti per il settore creditizio, per le attivita' assicurative e per la radiodiffusione e l'editoria.".   Art. 12 Sanzione in tema di notificazione 1. L'articolo 34 della legge 31 dicembre 1996, n. 675 e' sostituito dal seguente: "Art. 34 (Omessa o incompleta notificazione). - 1. Chiunque, essendovi tenuto, non provvede tempestivamente alle notificazioni in conformita' a quanto previsto dagli articoli 7, 16, comma 1, e 28, ovvero indica in esse notizie incomplete, e' punito con la sanzione amministrativa del pagamento di una somma da lire dieci milioni a lire sessanta milioni e con la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione.". 2. Alle violazioni dell'articolo 34 della legge 31 dicembre 1996, n. 675, commesse prima dell'entrata in vigore del presente decreto si applicano, in quanto compatibili, le disposizioni di cui agli articoli 100, 101 e 102 del decreto legislativo 30 dicembre 1999, n. 507.". Nota all'art. 12: - Il decreto legislativo 30 dicembre 1999, n. 507, recante norme in tema di "Depenalizzazione dei reati minori e riforma del sistema sanzionatorio, ai sensi dell'art. 1 della legge 25 giugno 1999, n. 205" e' stato pubblicato nella Gazzetta Ufficiale 31 dicembre 1999, n. 306, supplemento ordinario. Si riporta, di seguito, il testo degli articoli 100, 101 e 102: "Art. 100 (Applicabilita' delle sanzioni amministrative alle violazioni anteriormente commesse). - 1. Le disposizioni del presente decreto legislativo che sostituiscono sanzioni penali con sanzioni amministrative si applicano anche alle violazioni commesse anteriormente alla data di entrata in vigore del decreto stesso, sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili. 2. A tali violazioni non si applicano, tuttavia, le sanzioni amministrative accessorie introdotte dal presente decreto legislativo, salvo che le stesse sostituiscano corrispondenti pene accessorie.". "Art. 101 (Procedimenti definiti con sentenza irrevocabile). - 1. Se i procedimenti penali per le violazioni depenalizzate dal presente decreto legislativo sono stati definiti, prima della sua entrata in vigore, con sentenza di condanna o decreto irrevocabili, il giudice dell'esecuzione revoca la sentenza o il decreto, salvo quanto previsto dai commi 2 e 3, dichiarando che il fatto non e' previsto dalla legge come reato e adotta i provvedimenti conseguenti. Il giudice dell'esecuzione provvede con l'osservanza delle disposizioni dell'art. 667, comma 4, del codice di procedura penale. 2. Le multe e le ammende inflitte con le sentenze o i decreti indicati nel comma 1 sono riscosse, insieme alle spese del procedimento, con l'osservanza delle norme sull'esecuzione delle pene pecuniarie. (La Corte costituzionale, con sentenza 23-31 maggio 2001, n. 169, ha dichiarato, tra l'altro, l'illegittimita' del presente comma). 3. Restano salve la confisca nonche' le pene accessorie, nei casi in cui queste ultime sono applicabili alle violazioni depenalizzate come sanzioni amministrative.". "Art. 102 (Trasmissione degli atti all'autorita' amministrativa e procedimento sanzionatorio). - 1. Nei casi previsti dall'art. 100, comma 1, l'autorita' giudiziaria entro novanta giorni dalla data di entrata in vigore del presente decreto legislativo, dispone la trasmissione all'autorita' amministrativa competente degli atti dei procedimenti penali relativi ai reati trasformati in illeciti amministrativi, salvo che il reato risulti prescritto o estinto per altra causa alla medesima data. 2. Se l'azione penale non e' stata ancora esercitata, la trasmissione degli atti e' disposta direttamente dal pubblico ministero, che, in caso di procedimento gia' iscritto, annota la trasmissione nel registro delle notizie di reato. Se il reato risulta estinto per qualunque causa, il pubblico ministero richiede l'archiviazione a norma del codice di procedura penale; la richiesta ed il decreto del giudice che la accoglie possono avere ad oggetto anche elenchi cumulativi di procedimenti. 3. Se l'azione penale e' stata esercitata, il giudice, ove l'imputato o il pubblico ministero non si oppongano, pronuncia, in camera di consiglio, sentenza inappellabile di assoluzione o di non luogo a procedere perche' il fatto non e' previsto dalla legge come reato, disponendo la trasmissione degli atti a norma del comma 1. 4. L'autorita' amministrativa notifica gli estremi della violazione agli interessati residenti nel territorio della Repubblica entro il termine di novanta giorni e a quelli residenti all'estero entro il termine di trecentosessanta giorni dalla ricezione degli atti. 5. Entro il termine di sessanta giorni dalla notificazione degli estremi della violazione, l'interessato e' ammesso al pagamento in misura ridotta a norma dell'art. 16 della legge 24 novembre 1981, n. 689, ovvero, se si tratta di violazione al codice della strada o in materia finanziaria, dell'art. 202, commi 1 e 2, del decreto legislativo 30 aprile 1992, n. 285, o dell'art. 16, comma 3, del decreto legislativo 18 dicembre 1997, n. 472. Il pagamento in misura ridotta e' ammesso anche in deroga ad eventuali esclusioni o limitazioni previste dalla legge. 6. Il pagamento determina l'estinzione del procedimento. 7. Si applicano, per quanto non stabilito dal presente articolo , le disposizioni delle sezioni I e II del capo I della legge 24 novembre 1981, n. 689, in quanto compatibili. 8. Nei casi previsti dal presente articolo la prescrizione della sanzione o del diritto alla riscossione delle somme dovute a titolo di sanzione amministrativa non determina responsabilita' contabile.".   Art. 13 Trattamento illecito di dati personali 1. Nell'articolo 35, comma 2, della legge 31 dicembre 1996, n. 675, le parole: "comunica o diffonde" sono sostituite dalle seguenti: "procede al trattamento di" e le parole: "e 24, ovvero" sono sostituite dalle parole: ", 24 e 24-bis, ovvero". Nota all'art. 13: - Il testo vigente dell'art. 35 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' il seguente: "Art. 35 (Trattamento illecito di dati personali). - 1. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 11, 20 e 27, e' punito con la reclusione sino a due anni o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da tre mesi a due anni. 2. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 21, 22, 23, 24 e 24-bis, ovvero del divieto di cui all'art. 28, comma 3, e' punito con la reclusione da tre mesi a due anni. 3. Se dai fatti di cui ai commi 1 e 2 deriva nocumento, la reclusione e' da uno a tre anni.".   Art. 14 Omessa adozione di misure minime di sicurezza 1. L'articolo 36 della legge 31 dicembre 1996, n. 675, e' sostituito dal seguente: "Art. 36 (Omessa adozione di misure necessarie alla sicurezza dei dati). - 1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, e' punito con l'arresto sino a due anni o con l'ammenda da lire dieci milioni a lire ottanta milioni. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, e' impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessita' o per l'oggettiva difficolta' dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato e' ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, in quanto applicabili.". 2. Per i procedimenti penali per il reato di cui all'articolo 36 della legge 31 dicembre 1996, n. 675 in corso, entro quaranta giorni, dall'entrata in vigore del presente decreto l'autore del reato puo' fare richiesta all'autorita' giudiziaria di essere ammesso alla procedura indicata all'articolo 36, comma 2, della medesima legge n. 675 del 1996, come sostituito dal presente decreto. L'Autorita' giudiziaria dispone la sospensione del procedimento e trasmette gli atti al Garante per la protezione dei dati personali che provvede ai sensi del medesimo articolo 36, comma 2. Nota all'art. 14: - Il decreto legislativo 19 dicembre 1994, n. 758, recante "Modificazioni alla disciplina sanzionatoria in materia di lavoro" e' stato pubblicato nella Gazzetta Ufficiale 26 gennaio 1995, n. 21, supplemento ordinario. Si riporta, di seguito, il testo degli articoli da 21 a 24: "Art. 21 (Verifica dell'adempimento). - 1. Entro e non oltre sessanta giorni dalla scadenza del termine fissato nella prescrizione, l'organo di vigilanza verifica se la violazione e' stata eliminata secondo le modalita' e nel termine indicati dalla prescrizione. 2. Quando risulta l'adempimento alla prescrizione, l'organo di vigilanza ammette il contravventore a pagare in sede amministrativa, nel termine di trenta giorni, una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione commessa. Entro centoventi giorni dalla scadenza del termine fissato nella prescrizione, l'organo di vigilanza comunica al pubblico ministero l'adempimento alla prescrizione, nonche' l'eventuale pagamento della predetta somma. 3. Quando risulta l'inadempimento alla prescrizione, l'organo di vigilanza ne da' comunicazione al pubblico ministero e al contravventore entro novanta giorni dalla scadenza del termine fissato nella prescrizione.". "Art. 22 (Notizie di reato non pervenute dall'organo di vigilanza). - 1. Se il pubblico ministero prende notizia di una contravvenzione di propria iniziativa ovvero la riceve da privati o da pubblici ufficiali o incaricati di un pubblico servizio diversi dall'organo di vigilanza, ne da' immediata comunicazione all'organo di vigilanza per le determinazioni inerenti alla prescrizione che si renda necessaria allo scopo di eliminare la contravvenzione. 2. Nel caso previsto dal comma 1, l'organo di vigilanza informa il pubblico ministero delle proprie determinazioni entro sessanta giorni dalla data in cui ha ricevuto comunicazione della notizia di reato dal pubblico ministero.". "Art. 23 (Sospensione del procedimento penale). - 1. Il procedimento per la contravvenzione e' sospeso dal momento dell'iscrizione della notizia di reato nel registro di cui all'art. 335 del codice di procedura penale fino al momento in cui il pubblico ministero riceve una delle comunicazioni di cui all'art. 21, commi 2 e 3. 2. Nel caso previsto dall'art. 22, comma 1, il procedimento riprende il suo corso quando l'organo di vigilanza informa il pubblico ministero che non ritiene di dover impartire una prescrizione, e comunque alla scadenza del termine di cui all'art. 22, comma 2, se l'organo di vigilanza omette di informare il pubblico ministero delle proprie determinazioni inerenti alla prescrizione. Qualora nel predetto termine l'organo di vigilanza informi il pubblico ministero d'aver impartito una prescrizione, il procedimento rimane sospeso fino al termine indicato dal comma 1. 3. La sospensione del procedimento non preclude la richiesta di archiviazione. Non impedisce, inoltre, l'assunzione delle prove con incidente probatorio, ne' gli atti urgenti di indagine preliminare, ne' il sequestro preventivo ai sensi degli articoli 321 e seguenti del codice di procedura penale.". "Art. 24 (Estinzione del reato). - 1. La contravvenzione si estingue se il contravventore adempie alla prescrizione impartita dall'organo di vigilanza nel termine ivi fissato e provvede al pagamento previsto dall'art. 21, comma 2. 2. Il pubblico ministero richiede l'archiviazione se la contravvenzione e' estinta ai sensi del comma 1. 3. L'adempimento in un tempo superiore a quello indicato nella prescrizione, ma che comunque risulta congruo a norma dell'art. 20, comma 1, ovvero l'eliminazione delle conseguenze dannose o pericolose della contravvenzione con modalita' diverse da quelle indicate dall'organo di vigilanza, sono valutati ai fini dell'applicazione dell'art. 162-bis del codice penale. In tal caso, la somma da versare e' ridotta al quarto del massimo dell'ammenda stabilita per la contravvenzione commessa.".   Art. 15 Inosservanza di provvedimenti di divieto o di blocco 1. Nell'articolo 37, comma 1, della legge 31 dicembre 1996, n. 675, le parole: "o dell'articolo 29, commi 4 e 5," sono sostituite dalle seguenti: "o degli articoli 29, commi 4 e 5, e 31, comma 1, lettera l),". Nota all'art. 15: - Il testo vigente dell'art. 37 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' il seguente: "Art. 37 (Inosservanza dei provvedimenti del Garante). - 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell'art. 22, comma 2, o degli articoli 29, commi 4 e 5, e 31, comma 1, lettera l), e' punito con la reclusione da tre mesi a due anni.".   Art. 16 False comunicazioni e dichiarazioni 1. Dopo l'articolo 37 della legge 31 dicembre 1996, n. 675, e' inserito il seguente: "Art. 37-bis (Falsita' nelle dichiarazioni e nelle notificazioni al Garante). - 1. Chiunque, nelle notificazioni di cui agli articoli 7, 16, comma 1, e 28 o in atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, e' punito, salvo che il fatto costituisca piu' grave reato, con la reclusione da sei mesi a tre anni.".   Art. 17 Adeguamento di sanzioni amministrative 1. Nell'articolo 39, comma 1, della legge 31 dicembre 1996, n. 675, le parole: "da lire un milione a lire sei milioni" sono sostituite dalle seguenti: "da lire cinquemilioni a lire trentamilioni". 2. L'articolo 39, comma 2, della legge 31 dicembre 1996, n. 675, e' sostituito dal seguente: "2. La violazione delle disposizioni di cui all'articolo 10 e' punita con la sanzione amministrativa del pagamento di una somma da lire tre milioni a lire diciotto milioni o, nei casi di cui agli articoli 22, 24 e 24-bis o, comunque, di maggiore rilevanza del pregiudizio per uno o piu' interessati, da lire cinque milioni a lire trenta milioni. La somma puo' essere aumentata sino al triplo quando essa risulti inefficace in ragione delle condizioni economiche del contravventore. La violazione della disposizione di cui all'articolo 23, comma 2, e' punita con la sanzione amministrativa del pagamento di una somma da lire cinquecentomila a lire tre milioni.". 3. Nell'articolo 39, comma 3, della legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni, le parole: "presente articolo" sono sostituite dalle seguenti: "presente capo". Nota all'art. 17: - Il testo vigente dell'art. 39 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' il seguente: "Art. 39 (Sanzioni amministrative). - 1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 29, comma 4, e 32, comma 1, e' punito con la sanzione amministrativa del pagamento di una somma da lire cinquemilioni a lire trentamilioni. 2. La violazione delle disposizioni di cui all'art. 10 e' punita con la sanzione amministrativa del pagamento di una somma da lire tre milioni a lire diciotto milioni o, nei casi di cui agli articoli 22, 24 e 24-bis o, comunque, di maggiore rilevanza del pregiudizio per uno o piu' interessati, da lire cinque milioni a lire trenta milioni. La somma puo' essere aumentata sino al triplo quando essa risulti inefficace in ragione delle condizioni economiche del contravventore. La violazione della disposizione di cui all'art. 23, comma 2, e' punita con la sanzione amministrativa del pagamento di una somma da lire cinquecentomila a lire tre milioni. 3. L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo e' il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni. I proventi, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all'art. 33, comma 2, e sono utilizzati unicamente per l'esercizio dei compiti di cui agli articoli 31, comma 1, lettera i) e 32.".   Art. 18 Adeguamento dei trattamenti alla disciplina comunitaria 1. Nell'articolo 41, comma 1, della legge 31 dicembre 1996, n. 675, e' aggiunto in fine il seguente periodo: "Le disposizioni del presente comma restano in vigore sino alla data del 30 giugno 2003.". Nota all'art. 18: - Il testo vigente dell'art. 41 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), come modificato dal presente decreto legislativo, e' il seguente: "Art. 41 (Disposizioni transitorie). - 1. Fermo restando l'esercizio dei diritti di cui agli articoli 13 e 29, le disposizioni della presente legge che prescrivono il consenso dell'interessato non si applicano in riferimento ai dati personali raccolti precedentemente alla data di entrata in vigore della legge stessa, o il cui trattamento sia iniziato prima di tale data. Resta salva l'applicazione delle disposizioni relative alla comunicazione e alla diffusione dei dati previste dalla presente legge. Le disposizioni del presente comma restano in vigore sino alla data del 30 giugno 2003. 2. Per i trattamenti di dati personali iniziati prima del 1 gennaio 1998, le notificazioni prescritte dagli articoli 7 e 28 sono effettuate dal 1 gennaio 1998 al 31 marzo 1998 ovvero, per i trattamenti di cui all'art. 5 riguardanti dati diversi da quelli di cui agli articoli 22 e 24, nonche' per quelli di cui all'art. 4, comma 1, lettere c), d) ed e), dal 1 aprile 1998 al 30 giugno 1998. 3. Le misure minime di sicurezza di cui all'art. 15, comma 2, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore del regolamento ivi previsto. Fino al decorso di tale termine, i dati personali devono essere custoditi in maniera tale da evitare un incremento dei rischi di cui all'art. 15, comma 1. 4. Le misure di cui all'art. 15, comma 3, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore dei regolamenti ivi previsti. 5. Nei ventiquattro mesi successivi alla data di entrata in vigore della presente legge, i trattamenti dei dati di cui all'art. 22, comma 3, ad opera di soggetti pubblici, esclusi gli enti pubblici economici, e all'art. 24, possono essere proseguiti anche in assenza delle disposizioni di legge ivi indicate, previa comunicazione al Garante. 6. In sede di prima applicazione della presente legge, fino alla elezione del Garante ai sensi dell'art. 30, le funzioni del Garante sono svolte dal presidente dell'Autorita' per l'informatica nella pubblica amministrazione, fatta eccezione per l'esame dei ricorsi di cui all'art. 29. 7. Le disposizioni della presente legge che prevedono un'autorizzazione del Garante si applicano, limitatamente alla medesima autorizzazione e fatta eccezione per la disposizione di cui all'art. 28, comma 4, lettera g), a decorrere dal 30 novembre 1997. Le medesime disposizioni possono essere applicate dal Garante anche mediante il rilascio di autorizzazioni relative a determinate categorie di titolari o di trattamenti. 7-bis. In sede di prima applicazione della presente legge, le informative e le comunicazioni di cui agli articoli 10, comma 3, e 27, comma 2, possono essere date entro il 30 novembre 1997.".   Art. 19 Investigazioni difensive 1. Negli articoli 10, comma 4, 12, comma 1, lettera h), 20, comma 1, lettera g) e 28, comma 4, lettera d)&D,;, della legge 31 dicembre 1996, n. 675, le parole: "investigazioni di cui all'articolo 38 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271, e successive modificazioni," sono sostituite dalle parole: "investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397,". Note all'art. 19: - Per il testo dell'art. 10 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all'art. 4. - Per il testo dell'art. 12 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all'art. 5. - Per il testo dell'art. 20 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all'art. 7. - Per il testo dell'art. 28 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all'art. 10.   Art. 20 Codici di deontologia e di buona condotta 1. Al fine di garantire la piena attuazione dei principi previsti dalla disciplina in materia di trattamento dei dati personali, ai sensi dell'articolo 31, comma 1, lettera h), della legge 31 dicembre 1996, n. 675, il Garante promuove entro il 30 giugno 2002 la sottoscrizione di codici di deontologia e di buona condotta per i soggetti pubblici e privati interessati al trattamento dei dati personali nei settori indicati al comma 2, tenendo conto della specificita' dei trattamenti nei diversi ambiti, nonche' dei criteri direttivi delle raccomandazioni del Consiglio d'Europa indicate nell'articolo 1, comma 1, lettera b), della legge 31 dicembre 1996, n. 676. 2. I codici di cui al comma 1 riguardano il trattamento di dati personali: a) effettuati da fornitori di servizi di comunicazione e informazione offerti per via telematica, con particolare riguardo ai criteri per assicurare ed uniformare una piu' adeguata informazione e consapevolezza degli utenti delle reti di telecomunicazione gestite da soggetti pubblici e privati rispetto ai tipi di dati personali trattati e alle modalita' del loro trattamento, in particolare attraverso informative fornite in linea in modo agevole ed interattivo, per favorire una piu' ampia trasparenza e correttezza nei confronti dei medesimi utenti e il pieno rispetto dei principi di cui all'articolo 9 della legge 31 dicembre 1996, n. 675, anche ai fini dell'eventuale rilascio di certificazioni attestanti la qualita' delle modalita' prescelte e il livello di sicurezza assicurato; b) necessari per finalita' previdenziali o per la gestione del rapporto di lavoro, prevedendo anche specifiche modalita' per l'informativa all'interessato e per l'eventuale prestazione del consenso relativamente alla pubblicazione di annunci per finalita' di occupazione e alla ricezione di curricula contenenti dati personali anche sensibili; c) effettuato a fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva, prevedendo anche, per i casi in cui il trattamento non presuppone il consenso dell'interessato, forme semplificate per manifestare e rendere meglio conoscibile l'eventuale dichiarazione di non voler ricevere determinate comunicazioni; d) svolto a fini di informazione commerciale, prevedendo anche, in correlazione con quanto previsto dall'articolo 10, comma 4, della legge 31 dicembre 1996, n. 675, modalita' semplificate per l'informativa all'interessato e idonei meccanismi per favorire la qualita' e l'esattezza dei dati raccolti e comunicati; e) effettuato nell'ambito di sistemi informativi di cui sono titolari soggetti privati, utilizzati a fini di concessione di crediti al consumo o comunque riguardanti l'affidabilita' e la puntualita' nei pagamenti da parte degli interessati, individuando anche specifiche modalita' per favorire la comunicazione di dati personali esatti e aggiornati nel rispetto dei diritti dell'interessato; f) provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, anche individuando i casi in cui debba essere indicata la fonte di acquisizione dei dati e prevedendo garanzie appropriate per l'associazione di dati provenienti da piu' archivi, tenendo presente quanto previsto dalla raccomandazione del Consiglio d'Europa N. R (91) 10 in relazione all'articolo 9 della legge 31 dicembre 1996, n. 675; g) effettuato con strumenti automatizzati di rilevazione di immagini, prevedendo specifiche modalita' di trattamento e forme semplificate di informativa all'interessato per garantirne la liceita' e la correttezza anche in riferimento a quanto previsto dall'articolo 9 della legge 31 dicembre 1996, n. 675. 3. Il rispetto delle disposizioni in essi contenute costituisce condizione essenziale per la liceita' del trattamento dei dati. 4. I codici sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante e riportati in allegato al testo unico delle disposizioni in materia previsto dall'articolo 1, comma 4, della legge 24 marzo 2001, n. 127. Note all'art. 20: - Per il testo dell'art. 31 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all'art. 11. - La legge 31 dicembre 1996, n. 676, recante "Delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali", e' stata pubblicata nella Gazzetta Ufficiale n. 5 dell'8 gennaio 1997, supplemento ordinario. - Si riporta il testo dell'art. 9 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali): "Art. 9 (Modalita' di raccolta e requisiti dei dati personali). - 1. I dati personali oggetto di trattamento devono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello neces-sario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 1-bis. Il trattamento di dati personali per scopi storici, di ricerca scientifica o di statistica e' compatibile con gli scopi per i quali i dati sono raccolti o successivamente trattati e puo' essere effettuato anche oltre il periodo necessario a questi ultimi scopi.". - Per il testo dell'art. 10 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), vedasi supra in nota all'art. 4. - La raccomandazione del Consiglio d'Europa n. R. [91] 10, del 9 settembre 1991, concerne la comunicazione a terzi di dati personali detenuti da organismi pubblici. - Si riporta il testo dell'art. 1 della legge 24 marzo 2001, n. 127, pubblicata nella Gazzetta Ufficiale 19 aprile 2001, n. 91, recante: "Differimento del termine per l'esercizio della delega prevista dalla legge 31 dicembre 1996, n. 676, in materia di trattamento dei dati personali": "Art. 1. - 1. I decreti legislativi di cui all'art. 1, comma 1, lettere b), numeri 2), 3), 4), 5) e 6), c), d), e), i), l), n), ed o), e all'art. 2 della legge 31 dicembre 1996, n. 676, e successive modificazioni, in materia di trattamento dei dati personali, sono emanati entro il 31 dicembre 2001, sulla base dei principi e dei criteri direttivi indicati nella medesima legge. 2. I decreti legislativi di cui al comma 1, sono emanati previo parere delle Commissioni permanenti del Senato della Repubblica e della Camera dei deputati competenti per materia. Il parere e' espresso entro trenta giorni dalla richiesta, indicando specificamente le eventuali disposizioni non ritenute corrispondenti ai principi e ai criteri direttivi contenuti nella legge di delegazione. 3. Il Governo procede comunque alla emanazione dei decreti legislativi qualora il parere non sia espresso entro trenta giorni dalla richiesta. 4. Il Governo emana, entro dodici mesi dallo scadere del termine di cui al comma 1 e previa acquisizione dei pareri previsti nel comma 2, da esprimersi entro sessanta giorni dalla richiesta, un testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e delle disposizioni connesse, coordinandovi le norme vigenti ed apportando alle medesime le integrazioni e modificazioni necessarie al predetto coordinamento o per assicurarne la migliore attuazione. 5. Il Governo procede comunque alla emanazione del testo unico qualora il parere non sia espresso entro sessanta giorni dalla richiesta.".   Art. 21 Modalita' di pagamento alternative alla fatturazione 1. All'articolo 5, comma 1, del decreto legislativo 13 maggio 1998, n. 171, le parole: "consentono che" sono sostituite dalle seguenti: "sono tenuti a predisporre ogni misura idonea affinche'". 2. Dopo il comma 1 dell'articolo 5 del decreto legislativo 13 maggio 1998, n. 171, e' inserito il seguente: "1-bis. I fornitori di cui al comma 1 sono tenuti a documentare al Garante, entro il 30 giugno 2002, le misure predisposte. In caso di mancata documentazione si applica la sanzione amministrativa prevista dall'articolo 39, comma 1, della legge 31 dicembre 1996, n. 675. In mancanza di idonee misure il Garante provvede altresi' ai sensi dell'articolo 31, comma 1, lettere c) ed l), della medesima legge.". Nota all'art. 21: - Il testo vigente dell'art. 5 del decreto legislativo 13 maggio 1998, n. 171, recante "Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della direttiva 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attivita' giorna-listica", come modificato dal presente decreto legislativo, e' il seguente: "Art. 5 (Modalita' di pagamento e fatturazione dettagliata). - 1. I fornitori di servizi di telecomunicazioni accessibili al pubblico sono tenuti a predisporre ogni misura idonea affinche' i servizi richiesti e le chiamate effettuate da qualsiasi terminale possano essere pagate con modalita' alternative alla fatturazione, anche anonime, quali le carte di pagamento o prepagate. 1-bis. I fornitori di cui al comma 1 sono tenuti a documentare al Garante, entro il 30 giugno 2002, le misure predisposte. In caso di mancata documentazione si applica la sanzione amministrativa prevista dall'art. 39, comma 1, della legge 31 dicembre 1996, n. 675. In mancanza di idonee misure il Garante provvede altresi' ai sensi dell'art. 31, comma 1, lettere c) ed l), della medesima legge. 2. Nella documentazione relativa alle chiamate effettuate inviate agli abbonati non vengono evidenziati i servizi e le chiamate di cui al comma 1. 3. Gli abbonati hanno diritto di ricevere in dettaglio, a richiesta e senza alcun aggravio di spesa, la dimostrazione degli elementi che compongono la fattura, relativi, in particolare, alla data e all'ora di inizio della conversazione, al numero selezionato, al tipo, alla localita', alla durata e al numero di scatti addebitati per ciascuna conversazione. In ogni caso, nella documentazione fornita all'abbonato non sono evidenziate le ultime tre cifre del numero chiamato.".   Art. 22 Informazione al pubblico sull'identificazione della linea chiamante e collegata 1. All'articolo 6, comma 6, del decreto legislativo 13 maggio 1998, n. 171, le parole "di tale servizio" sono sostituite dalle seguenti: "di tale servizio e delle possibilita' previste ai commi 1, 2, 3 e 4". Nota all'art. 22: - Il testo vigente dell'art. 6 del decreto legislativo 13 maggio 1998, n. 171, recante "Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della direttiva 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attivita' giorna-listica", come modificato dal presente decreto legislativo, e' il seguente: "Art. 6 (Identificazione della linea). - 1. Se e' disponibile la presentazione dell'identificazione della linea chiamante, l'utente chiamante deve avere la possibilita' di eliminare, gratuitamente e mediante una funzione semplice, la presentazione della identificazione della linea chiamante chiamata per chiamata. L'abbonato chiamante deve avere la stessa possibilita' linea per linea. 2. Se e' disponibile la presentazione dell'identificazione della linea chiamante, l'abbonato chiamato deve avere la possibilita', gratuitamente e mediante una funzione semplice, di impedire la presentazione dell'identificazione delle chiamate entranti. 3. Se e' disponibile la presentazione della linea chiamante e tale identificazione e' presentata prima che la comunicazione e' stabilita, l'abbonato chiamato deve avere la possibilita', gratuitamente e mediante una funzione semplice, di respingere le chiamate entranti se la presentazione dell'identificazione della linea chiamante e' stata eliminata dall'utente o abbonato chiamante. 4. Se e' disponibile la presentazione dell'identificazione della linea collegata, l'abbonato chiamato deve avere la possibilita' di eliminare, gratuitamente e mediante una funzione semplice, la presentazione dell'identificazione della linea collegata all'utente chiamante. 5. Le disposizioni di cui al comma 1 si applicano alle chiamate dirette verso altri Paesi; quelle di cui ai commi 2, 3 e 4 si applicano anche alle chiamate in arrivo da altri Paesi. 6. Se e' disponibile la presentazione dell'identificazione della linea chiamante o di quella collegata, il fornitore di una rete di telecomunicazioni pubblica o di un servizio di telecomunicazioni accessibili al pubblico deve informare gli abbonati e gli utenti dell'esistenza di tale servizio e delle possibilita' previste ai commi 1,2,3 e 4.".   Art. 23 Chiamate di emergenza 1. L'articolo 7 del decreto legislativo 13 maggio 1998, n. 171, e' cosi' modificato: "a) la rubrica e' sostituita dalla seguente: "(Chiamate di disturbo e di emergenza)"; b) dopo il comma 2, e' aggiunto il seguente: "2-bis. Il fornitore di una rete di telecomunicazioni pubblica o di un servizio di telecomunicazioni accessibili al pubblico deve predisporre procedure adeguate e trasparenti per garantire, linea per linea, l'annullamento della soppressione dell'identificazione della linea chiamante da parte dei servizi abilitati a ricevere chiamate d'emergenza.". Nota all'art. 23: - Il testo vigente dell'art. 7 del decreto legislativo 13 maggio 1998, n. 171, recante "Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della direttiva 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attivita' giorna-listica", come modificato dal presente decreto legislativo, e' il seguente: "Art. 7 (Chiamate di disturbo e di emergenza). - 1. L'abbonato che riceve chiamate di disturbo puo' richiedere, a proprie spese ed anche telefonicamente in caso di urgenza, che il fornitore del servizio di telecomunicazioni accessibile al pubblico renda inefficace la soppressione dell'identificazione della linea chiamante e conservi i dati relativi alla provenienza della chiamata ricevuta. L'inefficacia della soppressione puo' essere disposta per i soli orari durante i quali si verificano le chiamate di disturbo e per un periodo non superiore a quindici giorni. 2. L'istanza formulata per iscritto dall'abbonato deve specificare le modalita' di ricezione delle chiamate di disturbo e, nel caso in cui sia preceduta da una richiesta telefonica, deve essere inviata entro ventiquattro ore. 2-bis. Il fornitore di una rete di telecomunicazioni pubblica o di un servizio di telecomunicazioni accessibili al pubblico deve predisporre procedure adeguate e trasparenti per garantire, linea per linea, l'annul-lamento della soppressione dell'identificazione della linea chiamante da parte dei servizi abilitati a ricevere chiamate d'emergenza.".   Art. 24 Disposizioni transitorie 1. Le disposizioni di cui agli articoli 3, comma 3, 4, 22 e 23 del presente decreto si applicano a decorrere dal 1 marzo 2002. 2. I provvedimenti attuativi delle disposizioni di cui agli articoli 5, comma 2, e 9 sono adottati, in sede di prima applicazione del presente decreto, entro centoventi giorni a decorrere dal 1 ottobre 2002. 3. In sede di prima applicazione della disposizione di cui alla lettera a) del comma 4 dell'articolo 22 della legge 31 dicembre 1996, n. 675, introdotta dall'articolo 8 del presente decreto, le garanzie previste nella medesima lettera a)sono determinate dall'associazione, dall'ente o dall'organismo entro il 30 giugno 2002.   Art. 25 Entrata in vigore 1. Le disposizioni di cui al presente decreto entrano in vigore il 1 febbraio 2002. Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Dato a Roma, addi' 28 dicembre 2001 CIAMPI Berlusconi, Presidente del Consiglio dei Ministri Castelli, Ministro della giustizia Visto, il Guardasigilli: Castelli