Gazzetta n. 61 del 14 marzo 2018 (vai al sommario)
PRESIDENZA DELLA REPUBBLICA
DECRETO DEL PRESIDENTE DELLA REPUBBLICA 15 gennaio 2018, n. 15
Regolamento a norma dell'articolo 57 del decreto legislativo 30 giugno 2003, n. 196, recante l'individuazione delle modalita' di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalita' di polizia, da organi, uffici e comandi di polizia.


IL PRESIDENTE DELLA REPUBBLICA

Visto l'articolo 87, quinto comma, della Costituzione;
Visto l'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, recante «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri»;
Vista la legge 1° aprile 1981, n, 121, recante «Nuovo ordinamento dell'amministrazione della pubblica sicurezza»;
Vista la Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981, ratificata e resa esecutiva con la legge 21 febbraio 1989, n. 98;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali» e, in particolare, l'articolo 57, il quale prevede che, con decreto del Presidente della Repubblica, siano individuate le modalita' di attuazione dei principi del codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalita' di polizia di cui all'articolo 53, dal centro elaborazione dati e da organi, uffici o comandi di polizia, anche in attuazione della raccomandazione R (87) 15 del Consiglio d'Europa del 17 settembre 1987 e successive modificazioni;
Vista la legge 30 giugno 2009, n. 85, di adesione della Repubblica italiana al Trattato di Prüm, concluso il 27 maggio 2005, e di istituzione della banca dati nazionale del DNA e del laboratorio centrale per la banca dati nazionale del DNA;
Vista la decisione quadro 2006/960/GAI del Consiglio, del 18 dicembre 2006, relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorita' degli Stati membri dell'Unione europea incaricate dell'applicazione della legge;
Visto il decreto legislativo 23 aprile 2015, n. 54, recante «Attuazione della decisione quadro 2006/960/GAI del Consiglio, del 18 dicembre 2006»;
Vista la raccomandazione del Consiglio d'Europa n. R (87) 15, adottata dal Comitato dei ministri il 17 settembre 1987, e successive modificazioni, che disciplina l'uso di dati personali nel settore della polizia;
Visto il protocollo n. 181 dell'8 novembre 2001, aggiuntivo alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale n. 108 del 1981, concernente le autorita' di controllo e i flussi internazionali di dati;
Visto il regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II);
Vista la decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II);
Vista la decisione 2007/845/GAI del Consiglio, del 6 dicembre 2007, concernente la cooperazione tra gli uffici degli Stati membri per il recupero dei beni nel settore del reperimento e dell'identificazione dei proventi di reato o altri beni connessi;
Vista la decisione 2008/615/GAI del Consiglio, del 23 giugno 2008, sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalita' transfrontaliera;
Vista la decisione 2008/616/GAI del Consiglio, del 23 giugno 2008, relativa all'attuazione della decisione 2008/615/GAI sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalita' transfrontaliera;
Vista la decisione 2008/633/GAI del Consiglio, del 23 giugno 2008, relativa all'accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorita' designate degli Stati membri e di Europol ai fini della prevenzione, dell'individuazione e dell'investigazione di reati di terrorismo e altri reati gravi;
Vista la decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale;
Visto il regolamento (UE) n. 603/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, che istituisce l'«Eurodac» per il confronto delle impronte digitali per l'efficace applicazione del regolamento (UE) n. 604/2013 che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide e per le richieste di confronto con i dati Eurodac presentate dalle autorita' di contrasto degli Stati membri e da Europol a fini di contrasto, e che modifica il regolamento (UE) n. 1077/2011 che istituisce un'agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di liberta', sicurezza e giustizia;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995;
Vista la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;
Vista la direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei gravi reati;
Visto il regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, istitutivo dell'Agenzia dell'Unione europea per la cooperazione nell'attivita' di contrasto (Europol), che sostituisce le decisioni ed abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI;
Acquisito il parere del Garante per la protezione dei dati personali del 2 marzo 2017;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 28 luglio 2017;
Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'Adunanza del 31 agosto 2017;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 1° dicembre 2017;
Sulla proposta del Presidente del Consiglio dei ministri e del Ministro dell'interno, di concerto con il Ministro della giustizia;

Emana
il seguente regolamento:

Art. 1

Oggetto e ambito di applicazione

1. Il presente regolamento individua le modalita' di attuazione dei principi del Codice in materia di protezione dei dati personali, adottato con il decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice», relativamente ai trattamenti effettuati, anche senza l'ausilio di strumenti elettronici, da organi, uffici e comandi di polizia, per le finalita' di polizia di cui all'articolo 53 del Codice.
2. Il presente regolamento non si applica ai trattamenti di dati personali effettuati per finalita' amministrative. In conformita' a quanto previsto dall'articolo 54, comma 2, del Codice, tali dati sono conservati separatamente da quelli registrati per finalita' di polizia, salvo che non siano necessari, in casi specifici, nell'ambito di un'attivita' informativa, di sicurezza o di indagine di polizia giudiziaria.
3. Il presente regolamento non si applica ai soggetti pubblici che, pur effettuando il trattamento dei dati personali per le finalita' di polizia di cui all'articolo 3, non rientrano nella categoria degli organi, uffici e comandi di cui all'articolo 57 del Codice.

NOTE
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con decreto del Presidente della Repubblica 28
dicembre 1985, n. 1092, al solo fine di facilitare la
lettura delle disposizioni di legge alle quali e' operato
il rinvio. Restano invariati il valore e l'efficacia degli
atti legislativi qui trascritti.
- Per le direttive CEE vengono forniti gli estremi di
pubblicazione nella Gazzetta Ufficiale delle Comunita'
europee (GUCE).
Nota al titolo:
- Si riporta il testo dell'art. 57 del decreto
legislativo 30 giugno 2003, n. 196 (Codice in materia di
protezione dei dati personali), pubblicato nella Gazzetta
Ufficiale 29 luglio 2003, n. 174, S.O.:
«Art. 57 (Disposizioni di attuazione). - 1. Con decreto
del Presidente della Repubblica, previa deliberazione del
Consiglio dei ministri, su proposta del Ministro
dell'interno, di concerto con il Ministro della giustizia,
sono individuate le modalita' di attuazione dei principi
del presente codice relativamente al trattamento dei dati
effettuato per le finalita' di cui all'art. 53 dal Centro
elaborazioni dati e da organi, uffici o comandi di polizia,
anche ad integrazione e modifica del decreto del Presidente
della Repubblica 3 maggio 1982, n. 378, e in attuazione
della Raccomandazione R (87) 15 del Consiglio d'Europa del
17 settembre 1987, e successive modificazioni. Le modalita'
sono individuate con particolare riguardo:
a) al principio secondo cui la raccolta dei dati e'
correlata alla specifica finalita' perseguita, in relazione
alla prevenzione di un pericolo concreto o alla repressione
di reati, in particolare per quanto riguarda i trattamenti
effettuati per finalita' di analisi;
b) all'aggiornamento periodico dei dati, anche relativi
a valutazioni effettuate in base alla legge, alle diverse
modalita' relative ai dati trattati senza l'ausilio di
strumenti elettronici e alle modalita' per rendere
conoscibili gli aggiornamenti da parte di altri organi e
uffici cui i dati sono stati in precedenza comunicati;
c) ai presupposti per effettuare trattamenti per
esigenze temporanee o collegati a situazioni particolari,
anche ai fini della verifica dei requisiti dei dati ai
sensi dell'art. 11, dell'individuazione delle categorie di
interessati e della conservazione separata da altri dati
che non richiedono il loro utilizzo;
d) all'individuazione di specifici termini di
conservazione dei dati in relazione alla natura dei dati o
agli strumenti utilizzati per il loro trattamento, nonche'
alla tipologia dei procedimenti nell'ambito dei quali essi
sono trattati o i provvedimenti sono adottati;
e) alla comunicazione ad altri soggetti, anche
all'estero o per l'esercizio di un diritto o di un
interesse legittimo, e alla loro diffusione, ove necessaria
in conformita' alla legge;
f) all'uso di particolari tecniche di elaborazione e di
ricerca delle informazioni, anche mediante il ricorso a
sistemi di indice.».
Note alle premesse:
- L'art. 87 della Costituzione conferisce, tra l'altro,
il potere di promulgare le leggi ed emanare i decreti
aventi valore di legge ed i regolamenti.
- Si riporta il testo dell'art. 17, comma 1, della
legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di
Governo e ordinamento della Presidenza del Consiglio dei
ministri), pubblicata nella Gazzetta Ufficiale 12 settembre
1988, n. 214, S.O.:
«Art. 17 (Regolamenti). - 1. Con decreto del Presidente
della Repubblica, previa deliberazione del Consiglio dei
ministri, sentito il parere del Consiglio di Stato che deve
pronunziarsi entro novanta giorni dalla richiesta, possono
essere emanati regolamenti per disciplinare:
a) l'esecuzione delle leggi e dei decreti legislativi,
nonche' dei regolamenti comunitari;
b) l'attuazione e l'integrazione delle leggi e dei
decreti legislativi recanti norme di principio, esclusi
quelli relativi a materie riservate alla competenza
regionale;
c) le materie in cui manchi la disciplina da parte di
leggi o di atti aventi forza di legge, sempre che non si
tratti di materie comunque riservate alla legge;
d) l'organizzazione ed il funzionamento delle
amministrazioni pubbliche secondo le disposizioni dettate
dalla legge;
e).
(Omissis).».
- La legge 1° aprile 1981, n. 121 (Nuovo ordinamento
dell'amministrazione della pubblica sicurezza) e'
pubblicata nella Gazzetta Ufficiale 10 aprile 1981, n. 100,
S.O.
- La legge 21 febbraio 1989, n. 98 (Ratifica ed
esecuzione della convenzione n. 108 sulla protezione delle
persone rispetto al trattamento automatizzato di dati di
carattere personale, adottata a Strasburgo il 28 gennaio
1981) e' pubblicata nella Gazzetta Ufficiale 20 marzo 1989,
n. 66, S.O.
- Per l'art. 57 del citato decreto legislativo 30
giugno 2003, n. 196 si veda nella nota al titolo.
- Si riporta il testo dell'art. 53 del citato decreto
legislativo 30 giugno 2003, n. 196:
«Art. 53 (Ambito applicativo e titolari dei
trattamenti). - 1. Agli effetti del presente codice si
intendono effettuati per finalita' di polizia i trattamenti
di dati personali direttamente correlati all'esercizio dei
compiti di polizia di prevenzione dei reati, di tutela
dell'ordine e della sicurezza pubblica, nonche' di polizia
giudiziaria, svolti, ai sensi del codice di procedura
penale, per la prevenzione e repressione dei reati.
2. Ai trattamenti di dati personali previsti da
disposizioni di legge, di regolamento, nonche' individuati
dal decreto di cui al comma 3, effettuati dal Centro
elaborazione dati del Dipartimento della pubblica sicurezza
o da forze di polizia sui dati destinati a confluirvi,
ovvero da organi di pubblica sicurezza o altri soggetti
pubblici nell'esercizio delle attribuzioni conferite da
disposizioni di legge o di regolamento non si applicano, se
il trattamento e' effettuato per finalita' di polizia, le
seguenti disposizioni del codice:
a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38,
commi da 1 a 5, e da 39 a 45;
b) articoli da 145 a 151.
3. Con decreto adottato dal Ministro dell'interno,
previa comunicazione alle competenti Commissioni
parlamentari, sono individuati, nell'allegato C) al
presente codice, i trattamenti non occasionali di cui al
comma 2 effettuati con strumenti elettronici e i relativi
titolari.».
- La raccomandazione R (87) 15 del Comitato dei
Ministri agli Stati membri relativa alla disciplina
dell'uso di dati personali nell'ambito della pubblica
sicurezza e' stata adottata dal Comitato dei Ministri il 17
settembre 1987, nel corso della 410ª riunione dei Delegati
dei Ministri.
- La legge 30 giugno 2009, n. 85 (Adesione della
Repubblica italiana al Trattato concluso il 27 maggio 2005
tra il Regno del Belgio, la Repubblica federale di
Germania, il Regno di Spagna, la Repubblica francese, il
Granducato di Lussemburgo, il Regno dei Paesi Bassi e la
Repubblica d'Austria, relativo all'approfondimento della
cooperazione transfrontaliera, in particolare allo scopo di
contrastare il terrorismo, la criminalita' transfrontaliera
e la migrazione illegale (Trattato di Prum). Istituzione
della banca dati nazionale del DNA e del laboratorio
centrale per la banca dati nazionale del DNA. Delega al
Governo per l'istituzione dei ruoli tecnici del Corpo di
polizia penitenziaria. Modifiche al codice di procedura
penale in materia di accertamenti tecnici idonei ad
incidere sulla liberta' personale) e' pubblicata nella
Gazzetta Ufficiale 13 luglio 2009, n. 160, S.O.
- La Decisione quadro n. 2006/960/GAI del Consiglio,
del 18 dicembre 2006, relativa alla semplificazione dello
scambio di informazioni e intelligence tra le autorita'
degli Stati membri dell'Unione europea incaricate
dell'applicazione della legge, e' pubblicata nella Gazzetta
Ufficiale dell'Unione europea 29 dicembre 2006, n. L 386.
- Il decreto legislativo 23 aprile 2015, n. 54
(Attuazione della decisione quadro 2006/960/GAI del
Consiglio del 18 dicembre 2006 relativa alla
semplificazione dello scambio di informazioni e
intelligence tra le Autorita' degli Stati membri
dell'Unione europea incaricate dell'applicazione della
legge) e' pubblicato nella Gazzetta Ufficiale 9 maggio
2015, n. 106.
- Il protocollo addizionale n. 181 dell'8 novembre
2001, aggiuntivo alla Convenzione sulla protezione delle
persone rispetto al trattamento automatizzato dei dati a
carattere personale, concerne le autorita' di controllo ed
i flussi transfrontalieri.
- Il regolamento (CE) n. 1987/2006 del Parlamento
europeo e del Consiglio, del 20 dicembre 2006,
sull'istituzione, l'esercizio e l'uso del sistema
d'informazione Schengen di seconda generazione (SIS II) e'
pubblicato nella Gazzetta Ufficiale dell'Unione europea 28
dicembre 2006, n. L 381/4.
- La decisione n. 2007/533/GAI del Consiglio, del 12
giugno 2007, sull'istituzione, l'esercizio e l'uso del
sistema d'informazione Schengen di seconda generazione (SIS
II) e' pubblicata nella Gazzetta Ufficiale dell'Unione
europea 7 agosto 2007, n. L 205/63.
- La decisione n. 2007/845/GAI del Consiglio, del 6
dicembre 2007, concernente la cooperazione tra gli uffici
degli Stati membri per il recupero dei beni nel settore del
reperimento e dell'identificazione dei proventi di reato o
altri beni connessi, e' pubblicata nella Gazzetta Ufficiale
dell'Unione europea 18 dicembre 2007, n. L 332/103.
- La decisione n. 2008/615/GAI del Consiglio, del 23
giugno 2008, sul potenziamento della cooperazione
transfrontaliera, soprattutto nella lotta al terrorismo e
alla criminalita' transfrontaliera, e' pubblicata nella
Gazzetta Ufficiale dell'Unione europea 6 agosto 2008, n. L
210/1.
- La decisione n. 2008/616/GAI del Consiglio, del 23
giugno 2008, relativa all'attuazione della decisione
2008/615/GAI sul potenziamento della cooperazione
transfrontaliera, soprattutto nella lotta al terrorismo e
alla criminalita' transfrontaliera, e' pubblicata nella
Gazzetta Ufficiale dell'Unione europea 6 agosto 2008, n. L
210/1.
- La decisione n. 2008/633/GAI del Consiglio, del 23
giugno 2008, relativa all'accesso per la consultazione al
sistema di informazione visti (VIS) da parte delle
autorita' designate degli Stati membri e di Europol ai fini
della prevenzione, dell'individuazione e
dell'investigazione di reati di terrorismo e altri reati
gravi, e' pubblicata nella Gazzetta Ufficiale dell'Unione
europea 13 agosto 2008, n. L 218.
- La decisione quadro n. 2008/977/GAI del Consiglio,
del 27 novembre 2008, sulla protezione dei dati personali
trattati nell'ambito della cooperazione giudiziaria e di
polizia in materia penale, e' pubblicata nella Gazzetta
Ufficiale dell'Unione europea 30 dicembre 2008, n. L 350.
- Il regolamento (UE) n. 603/2013 del Parlamento
europeo e del Consiglio, del 26 giugno 2013, che istituisce
l'«Eurodac» per il confronto delle impronte digitali per
l'efficace applicazione del regolamento (UE) n. 604/2013
che stabilisce i criteri e i meccanismi di determinazione
dello Stato membro competente per l'esame di una domanda di
protezione internazionale presentata in uno degli Stati
membri da un cittadino di un paese terzo o da un apolide e
per le richieste di confronto con i dati Eurodac presentate
dalle autorita' di contrasto degli Stati membri e da
Europol a fini di contrasto, e che modifica il regolamento
(UE) n. 1077/2011 che istituisce un'agenzia europea per la
gestione operativa dei sistemi IT su larga scala nello
spazio di liberta', sicurezza e giustizia (rifusione) e'
pubblicato nella Gazzetta Ufficiale dell'Unione europea 29
giugno 2013, n. L 180/1.
- Il regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (regolamento generale
sulla protezione dei dati), e' pubblicato nella Gazzetta
Ufficiale dell'Unione europea 4 maggio 2016, n. L 119/1.
- La direttiva (UE) 2016/680 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativa alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali da parte delle autorita' competenti ai fini di
prevenzione, indagine, accertamento e perseguimento di
reati o esecuzione di sanzioni penali, nonche' alla libera
circolazione di tali dati e che abroga la decisione quadro
2008/977/GAI del Consiglio; e' pubblicata nella Gazzetta
Ufficiale dell'Unione europea 4 maggio 2016, n. L 119/1.
- La direttiva (UE) 2016/681 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, sull'uso dei dati del
codice di prenotazione (PNR) a fini di prevenzione,
accertamento, indagine e azione penale nei confronti dei
reati di terrorismo e dei gravi reati, e' pubblicata nella
Gazzetta Ufficiale dell'Unione europea 4 maggio 2016 n. L
119/1.
- Il regolamento (UE) 2016/794 del Parlamento europeo e
del Consiglio, dell'11 maggio 2016, istitutivo dell'Agenzia
dell'Unione europea per la cooperazione nell'attivita' di
contrasto (Europol), che sostituisce ed abroga le decisioni
del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI,
2009/936/GAI e 2009/968/GAI, e' pubblicato nella Gazzetta
Ufficiale dell'Unione europea 24 maggio 2016, n. L 135.
- La decisione 6 aprile 2009 n. 2009/371/GAI del
Consiglio, che istituisce l'Ufficio europeo di polizia
(Europol), e' pubblicata nella Gazzetta Ufficiale
dell'Unione europea 15 maggio 2009, n. L 121.
- La decisione 30 novembre 2009, n. 2009/934/GAI del
Consiglio, che adotta le norme di attuazione relative alle
relazioni di Europol con i partner, incluso lo scambio di
dati personali e informazioni classificate, e' pubblicata
nella Gazzetta Ufficiale dell'Unione europea 11 dicembre
2009, n. L 325.
- La decisione 30 novembre 2009, n. 2009/935/GAI del
Consiglio, che stabilisce l'elenco dei paesi e delle
organizzazioni terzi con cui Europol stipula accordi, e'
pubblicata nella Gazzetta Ufficiale dell'Unione europea, n.
L 325.
- La decisione 30 novembre 2009, n. 2009/936/GAI del
Consiglio, che adotta le norme di attuazione degli archivi
di lavoro per fini di analisi di Europol, e' pubblicata
nella Gazzetta Ufficiale dell'Unione europea 11 dicembre
2009, n. L 325.
- La decisione 30 novembre 2009, n. 2009/968/GAI del
Consiglio, che adotta le norme sulla protezione del segreto
delle informazioni di Europol, e' pubblicata nella Gazzetta
Ufficiale dell'Unione europea 17 dicembre 2009, n. L 332.

Note all'art. 1:
- Per l'art. 53 del citato decreto legislativo 30
giugno 2003, n. 196 si veda nelle note alle premesse.
- Si riporta il testo dell'art. 54 del citato decreto
legislativo 30 giugno 2003, n. 196:
«Art. 54 (Modalita' di trattamento e flussi di dati). -
1. Nei casi in cui le autorita' di pubblica sicurezza o le
forze di polizia possono acquisire in conformita' alle
vigenti disposizioni di legge o di regolamento dati,
informazioni, atti e documenti da altri soggetti,
l'acquisizione puo' essere effettuata anche per via
telematica. A tal fine gli organi o uffici interessati
possono avvalersi di convenzioni volte ad agevolare la
consultazione da parte dei medesimi organi o uffici,
mediante reti di comunicazione elettronica, di pubblici
registri, elenchi, schedari e banche di dati, nel rispetto
delle pertinenti disposizioni e dei principi di cui agli
articoli 3 e 11. Le convenzioni-tipo sono adottate dal
Ministero dell'interno, su conforme parere del Garante, e
stabiliscono le modalita' dei collegamenti e degli accessi
anche al fine di assicurare l'accesso selettivo ai soli
dati necessari al perseguimento delle finalita' di cui all'
art. 53.
2. I dati trattati per le finalita' di cui al medesimo
art. 53 sono conservati separatamente da quelli registrati
per finalita' amministrative che non richiedono il loro
utilizzo.
3. Fermo restando quanto previsto dall' art. 11 , il
Centro elaborazioni dati di cui all' art. 53 assicura
l'aggiornamento periodico e la pertinenza e non eccedenza
dei dati personali trattati anche attraverso interrogazioni
autorizzate del casellario giudiziale e del casellario dei
carichi pendenti del Ministero della giustizia di cui al
decreto del Presidente della Repubblica 14 novembre 2002,
n. 313 , o di altre banche di dati di forze di polizia,
necessarie per le finalita' di cui all'art. 53.
4. Gli organi, uffici e comandi di polizia verificano
periodicamente i requisiti di cui all'art. 11 in
riferimento ai dati trattati anche senza l'ausilio di
strumenti elettronici, e provvedono al loro aggiornamento
anche sulla base delle procedure adottate dal Centro
elaborazioni dati ai sensi del comma 3, o, per i
trattamenti effettuati senza l'ausilio di strumenti
elettronici, mediante annotazioni o integrazioni dei
documenti che li contengono.».
- Per l'art. 57 del citato decreto legislativo 30
giugno 2003, n. 196 si veda nella nota al titolo.
 
Art. 2

Definizioni

1. Ai fini del presente regolamento, ferme restando le definizioni di cui all'articolo 4 del Codice, con le parole: «autorita' competente degli Stati membri dell'Unione europea o degli Stati terzi» si intende qualsiasi autorita' pubblica di uno Stato membro dell'Unione europea o di uno Stato terzo che, in base alla legislazione interna, sia competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, ovvero qualsiasi altro organismo o entita' incaricati dal diritto dello Stato membro dell'Unione europea o del Paese terzo di esercitare l'autorita' pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.
 
Art. 3

Finalita' dei trattamenti

1. I trattamenti di dati personali si intendono effettuati per le finalita' di polizia, ai sensi dell'articolo 53 del Codice, quando sono direttamente correlati all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonche' di polizia giudiziaria, svolti, ai sensi del codice di procedura penale, per la prevenzione e repressione dei reati.
2. E' compatibile con le finalita' di polizia, di cui al comma 1, l'ulteriore trattamento, ai sensi dell'articolo 99 del Codice, per finalita' storiche, scientifiche e, previa trasformazione in forma anonima, per finalita' statistiche, anche per le esigenze di analisi dei fenomeni criminali e dei risultati dell'azione di contrasto al crimine, nonche' dell'attivita' di tutela dell'ordine e della sicurezza pubblica.
3. Il trattamento dei dati personali per le finalita' storiche e scientifiche di cui al comma 2 e' consentito ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti.

Note all'art. 3:
- Per l'art. 53 del citato decreto legislativo 30
giugno 2003, n. 196 si veda nelle note alle premesse.
- Si riporta il testo dell'art. 99 del citato decreto
legislativo 30 giugno 2003, n. 196:
«Art. 99 (Compatibilita' tra scopi e durata del
trattamento). - 1. Il trattamento di dati personali
effettuato per scopi storici, statistici o scientifici e'
considerato compatibile con i diversi scopi per i quali i
dati sono stati in precedenza raccolti o trattati.
2. Il trattamento di dati personali per scopi storici,
statistici o scientifici puo' essere effettuato anche oltre
il periodo di tempo necessario per conseguire i diversi
scopi per i quali i dati sono stati in precedenza raccolti
o trattati.
3. Per scopi storici, statistici o scientifici possono
comunque essere conservati o ceduti ad altro titolare i
dati personali dei quali, per qualsiasi causa, e' cessato
il trattamento.».
 
Art. 4

Qualita' dei dati trattati

1. Ai sensi dell'articolo 11 del Codice, i dati personali oggetto di trattamento sono esatti e, se necessario, aggiornati, pertinenti, completi e non eccedenti rispetto alle finalita' di cui all'articolo 3.
2. Gli organi, uffici e comandi di polizia, ai sensi dell'articolo 54, comma 4, del Codice, verificano i requisiti di cui al comma 1, per quanto possibile, in occasione dell'utilizzo dei dati personali effettuato nell'ambito di un'attivita' informativa, di sicurezza o di indagine di polizia giudiziaria.
3. Il titolare o il responsabile del trattamento informano il Garante delle direttive impartite in merito alle verifiche di cui al comma 2.

Note all'art. 4:
- Si riporta il testo dell'art. 11 del citato decreto
legislativo 30 giugno 2003, n. 196:
«Art. 11 (Modalita' del trattamento e requisiti dei
dati). - 1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati,
espliciti e legittimi, ed utilizzati in altre operazioni
del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle
finalita' per le quali sono raccolti o successivamente
trattati;
e) conservati in una forma che consenta
l'identificazione dell'interessato per un periodo di tempo
non superiore a quello necessario agli scopi per i quali
essi sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della
disciplina rilevante in materia di trattamento dei dati
personali non possono essere utilizzati.».
- Per l'art. 54 del citato decreto legislativo 30
giugno 2003, n. 196 si veda nelle note all'art. 1.
 
Art. 5

Configurazione dei sistemi informativi
e dei programmi informatici

1. Ai sensi dell'articolo 3 del Codice, in relazione ai trattamenti automatizzati, i sistemi informativi e i programmi informatici sono configurati in modo da ridurre al minimo l'utilizzo di dati personali e identificativi, escludendone comunque il trattamento quando le finalita' di cui all'articolo 3 possono essere perseguite mediante dati anonimi o modalita' che consentono di identificare la persona interessata solo in caso di necessita'.
2. I nuovi sistemi informativi e programmi informatici sono progettati in modo che i dati personali siano cancellati o resi anonimi, con modalita' automatizzate, allo scadere dei termini di conservazione di cui all'articolo 10. Essi, inoltre, sono progettati in modo da consentire la registrazione in appositi registri degli accessi e delle operazioni, di seguito «file di log», effettuati dagli operatori abilitati.

Note all'art. 5:
- Si riporta il testo dell'art. 3 del citato decreto
legislativo 30 giugno 2003, n. 196:
«Art. 3 (Principio di necessita' nel trattamento dei
dati). - 1. I sistemi informativi e i programmi informatici
sono configurati riducendo al minimo l'utilizzazione di
dati personali e di dati identificativi, in modo da
escluderne il trattamento quando le finalita' perseguite
nei singoli casi possono essere realizzate mediante,
rispettivamente, dati anonimi od opportune modalita' che
permettano di identificare l'interessato solo in caso di
necessita'.».
 
Art. 6

Trattamenti che presentano rischi specifici

1. I trattamenti dei dati personali che implicano maggiori rischi di un danno alla persona interessata, con particolare riguardo alle banche di dati genetici o biometrici, alle tecniche basate su dati relativi all'ubicazione, alle banche dati e ai trattamenti di cui all'articolo 7 basati su particolari tecniche di elaborazione delle informazioni o su particolari tecnologie, sono effettuati nel rispetto delle misure e degli accorgimenti prescritti dal Garante ai sensi dell'articolo 17 del Codice, sulla base di preventiva comunicazione inviata con le modalita' indicate nell'articolo 39 del Codice.
2. Gli accessi e le operazioni effettuati dagli operatori abilitati relativamente ai dati di cui al comma 1, soggetti a trattamento automatizzato, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti da speciali disposizioni.
3. Gli accessi ai file di log di cui al comma 2 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.

Note all'art. 6:
- Si riporta il testo degli articoli 17 e 39 del citato
decreto legislativo 30 giugno 2003, n. 196:
«Art. 17 (Trattamento che presenta rischi specifici). -
1. Il trattamento dei dati diversi da quelli sensibili e
giudiziari che presenta rischi specifici per i diritti e le
liberta' fondamentali, nonche' per la dignita'
dell'interessato, in relazione alla natura dei dati o alle
modalita' del trattamento o agli effetti che puo'
determinare, e' ammesso nel rispetto di misure ed
accorgimenti a garanzia dell'interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono
prescritti dal Garante in applicazione dei principi sanciti
dal presente codice, nell'ambito di una verifica
preliminare all'inizio del trattamento, effettuata anche in
relazione a determinate categorie di titolari o di
trattamenti, anche a seguito di un interpello del
titolare.».
«Art. 39 (Obblighi di comunicazione). - 1. Il titolare
del trattamento e' tenuto a comunicare previamente al
Garante le seguenti circostanze:
a) comunicazione di dati personali da parte di un
soggetto pubblico ad altro soggetto pubblico non prevista
da una norma di legge o di regolamento, effettuata in
qualunque forma anche mediante convenzione;
b) trattamento di dati idonei a rivelare lo stato di
salute previsto dal programma di ricerca biomedica o
sanitaria di cui all'art. 110, comma 1, primo periodo.
2. I trattamenti oggetto di comunicazione ai sensi del
comma 1 possono essere iniziati decorsi quarantacinque
giorni dal ricevimento della comunicazione salvo diversa
determinazione anche successiva del Garante.
3. La comunicazione di cui al comma 1 e' inviata
utilizzando il modello predisposto e reso disponibile dal
Garante, e trasmessa a quest'ultimo per via telematica
osservando le modalita' di sottoscrizione con firma
digitale e conferma del ricevimento di cui all'art. 38,
comma 2, oppure mediante telefax o lettera raccomandata.».
 
Art. 7

Uso di particolari tecniche
di elaborazione delle informazioni

1. L'uso, anche per finalita' di analisi, di particolari tecniche di elaborazione delle informazioni, ivi inclusi i sistemi di indice, e' consentito ai soli operatori a cio' abilitati e designati, secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e nell'ambito di specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria.
2. Gli accessi e le operazioni effettuati dagli operatori abilitati di cui al comma 1, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione.
3. Gli accessi ai file di log di cui al comma 2 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.
 
Art. 8

Trattamento di dati per esigenze temporanee

1. E' consentito il trattamento dei dati personali per esigenze temporanee o in relazione a situazioni particolari che sono direttamente correlate all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonche' di polizia giudiziaria.
2. I dati personali di cui al comma 1 sono trattati nel rispetto dei principi richiamati dagli articoli 4, 5 e 6.
3. I dati personali di cui al comma 1 sono conservati separatamente da quelli registrati permanentemente, per un periodo di tempo non superiore a quello necessario agli scopi specifici per i quali sono stati raccolti e, comunque, non oltre 10 anni dalla cessazione dell'esigenza o della situazione particolare che ne hanno reso necessario il trattamento. Si applicano i termini di conservazione di cui all'articolo 10 se tali dati rientrano nelle categorie dallo stesso previste.
4. Cessata l'esigenza o la situazione particolare, l'accesso ai dati di cui al comma 1 e' consentito ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e nell'ambito di specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria.
 
Art. 9

Collegamenti con altre banche dati

1. Per l'acquisizione di dati, informazioni, atti e documenti, e' consentita l'attivazione di collegamenti telematici con banche dati di pubbliche amministrazioni o di privati, in conformita' alle disposizioni di legge o di regolamento e nel rispetto dei principi richiamati dagli articoli 4 e 5.
2. I dati e le informazioni sono acquisiti attraverso consultazione per mezzo di tecnologie dell'informazione e della comunicazione senza duplicazione di archivi e banche dati.
3. Il collegamento e' attivato con modalita' tali da consentire l'accesso selettivo ai soli dati e informazioni necessari per il conseguimento delle finalita' di cui all'articolo 3.
4. Per l'attivazione dei collegamenti gli organi, uffici e comandi di polizia possono avvalersi, ai sensi dell'articolo 54 del Codice, di convenzioni sottoscritte sulla base di schemi adottati dal Ministero dell'interno, su conforme parere del Garante.

Note all'art. 9:
- Per l'art. 54 del citato decreto legislativo 30
giugno 2003, n. 196 si veda nelle note all'art. 1.
 
Art. 10

Termini di conservazione dei dati

1. I dati personali oggetto di trattamento sono conservati per un periodo di tempo non superiore a quello necessario per il conseguimento delle finalita' di polizia di cui all'articolo 3.
2. I dati personali soggetti a trattamento automatizzato, trascorsa la meta' del tempo massimo di conservazione di cui al comma 3, se uguale o superiore a quindici anni, sono accessibili ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e in relazione a specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria.
3. Fatto salvo quanto previsto dai commi 6 e 7, i dati personali non possono essere conservati oltre il termine massimo fissato come segue:
a) dati relativi a provvedimenti di natura interdittiva, di sicurezza e cautelare, nonche' a misure restrittive della liberta' personale conseguenti ad una sentenza di condanna - 20 anni dalla cessazione della loro efficacia;
b) dati relativi a misure di prevenzione di carattere personale e patrimoniale - 25 anni dalla cessazione della loro efficacia;
c) dati relativi a procedimenti, misure e provvedimenti su cui interviene una procedura di annullamento, invalidazione o revoca - 3 anni dalla data di inoppugnabilita' del provvedimento di annullamento, invalidazione o revoca;
d) dati relativi a provvedimenti che dichiarano l'estinzione della pena o del reato - 8 anni dall'inoppugnabilita' del provvedimento;
e) dati derivanti da attivita' informativa e ispettiva svolta per le finalita' di cui all'articolo 3 - 15 anni dall'ultimo trattamento;
f) dati relativi ad attivita' di polizia giudiziaria conclusa con provvedimento di archiviazione - 20 anni dall'emissione del provvedimento;
g) dati relativi ad attivita' di polizia giudiziaria conclusa con sentenza di assoluzione o di non doversi procedere - 20 anni dal passaggio in giudicato della sentenza;
h) dati relativi ad attivita' di polizia giudiziaria conclusa con sentenza di condanna - 25 anni dal passaggio in giudicato della sentenza;
i) dati relativi ad attivita' di indagine o polizia giudiziaria che non hanno dato luogo a procedimento penale - 15 anni dall'ultimo trattamento;
l) dati relativi ad attivita' di prevenzione generale e soccorso pubblico - 5 anni dalla raccolta;
m) dati relativi a controlli di polizia - 20 anni dalla raccolta;
n) dati raccolti per l'analisi criminale e di prevenzione - 10 anni dall'elaborazione dell'analisi;
o) dati relativi a provvedimenti di espulsione e rimpatrio di stranieri - 30 anni dall'esecuzione;
p) dati relativi a nulla osta, licenze, autorizzazioni di polizia - 5 anni dalla scadenza o dalla revoca del titolo;
q) dati relativi alla detenzione delle armi o parti di esse, di munizioni finite e di materie esplodenti di qualsiasi genere - 5 anni dalla cessazione della detenzione;
r) dati relativi a persone detenute negli istituti penitenziari - 30 anni dalla scarcerazione a seguito di espiazione della pena in caso di condanna - 5 anni dalla scarcerazione a seguito di decreto di archiviazione o non luogo a procedere o di sentenza di assoluzione;
s) dati relativi a persone sottoposte a misure di sicurezza detentive - 25 anni dalla scadenza del termine di efficacia della misura;
t) dati relativi alla gestione delle attivita' operative - 10 anni dall'ultimo trattamento;
u) dati raccolti mediante sistemi di ripresa fotografica, audio e video nei servizi di ordine pubblico e di polizia giudiziaria - 3 anni dalla raccolta; dati raccolti mediante sistemi di videosorveglianza o di ripresa fotografica, audio e video di documentazione dell'attivita' operativa - 18 mesi dalla raccolta. Si applicano i diversi termini di conservazione di cui alla lettera b), quando i dati personali sono confluiti in un procedimento per l'applicazione di una misura di prevenzione, o quelli di cui alle lettere a), f), g), h) e i), quando i dati personali sono confluiti in un procedimento penale.
4. I termini di conservazione di cui al comma 3 sono aumentati di due terzi quando i dati personali sono trattati nell'ambito di attivita' preventiva o repressiva relativa ai delitti di cui all'articolo 51, commi 3-bis, 3-quater e 3-quinquies, del codice di procedura penale, nonche' per le ulteriori ipotesi indicate dall'articolo 407, comma 2, lettera a), del codice di procedura penale.
5. Il capo dell'ufficio o il comandante del reparto, prima della scadenza dei termini di cui al comma 3, ove sia strettamente necessario per il conseguimento delle finalita' di polizia di cui all'articolo 3, puo' decidere, sulla base dei criteri definiti dal Capo della polizia - direttore generale della pubblica sicurezza ovvero, su sua delega, dal vice direttore generale di cui all'articolo 4, comma 6, del decreto-legge 29 ottobre 1991, n. 345, convertito, con modificazioni, dalla legge 30 dicembre 1991, n. 410, di aumentare la durata di conservazione, indicandone i motivi in relazione al caso specifico e l'ulteriore periodo di trattamento, che non puo' comunque superare i due terzi di quelli fissati al comma 3.
6. I dati personali soggetti a trattamento non automatizzato, sono conservati per il periodo di tempo previsto dalle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni se superiore a quello di cui al comma 3.
7. Sono fatti salvi i diversi termini e modalita' di conservazione dei dati personali previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale in relazione a specifici trattamenti effettuati per le finalita' di cui all'articolo 3.
8. Decorsi i termini di cui ai commi 1, 3, 4, 5 e 7, i dati personali soggetti a trattamento automatizzato sono cancellati o resi anonimi, i dati personali non soggetti a trattamento automatizzato restano assoggettati alle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni.

Note all'art. 10:
- Si riporta il testo degli articoli 51, commi 3-bis,
3-quater e 3-quinquies, e 407, comma 2, lettera a), del
codice di procedura penale:
«Art. 51 (Uffici del pubblico ministero. Attribuzioni
del procuratore della Repubblica distrettuale). - Omissis.
3-bis. Quando si tratta dei procedimenti per i delitti,
consumati o tentati, di cui agli articoli 416, sesto e
settimo comma, 416, realizzato allo scopo di commettere
taluno dei delitti di cui all'art. 12, commi 3 e 3-ter, del
testo unico delle disposizioni concernenti la disciplina
dell'immigrazione e norme sulla condizione dello straniero,
di cui al decreto legislativo 25 luglio 1998, n. 286, 416,
realizzato allo scopo di commettere delitti previsti dagli
articoli 473 e 474, 600, 601, 602, 416-bis, 416-ter e 630
del codice penale, per i delitti commessi avvalendosi delle
condizioni previste dal predetto art. 416-bis ovvero al
fine di agevolare l'attivita' delle associazioni previste
dallo stesso articolo, nonche' per i delitti previsti
dall'art. 74 del testo unico approvato con decreto del
Presidente della Repubblica 9 ottobre 1990, n. 309,
dall'art. 291-quater del testo unico approvato con decreto
del Presidente della Repubblica 23 gennaio 1973, n. 43, e
dall'art. 260 del decreto legislativo 3 aprile 2006, n.
152, le funzioni indicate nel comma 1 lettera a) sono
attribuite all'ufficio del pubblico ministero presso il
tribunale del capoluogo del distretto nel cui ambito ha
sede il giudice competente.
(Omissis).
3-quater. Quando si tratta di procedimenti per i
delitti consumati o tentati con finalita' di terrorismo le
funzioni indicate nel comma 1, lettera a), sono attribuite
all'ufficio del pubblico ministero presso il tribunale del
capoluogo del distretto nel cui ambito ha sede il giudice
competente.
3-quinquies. Quando si tratta di procedimenti per i
delitti, consumati o tentati, di cui agli articoli 414-bis,
600-bis, 600-ter, 600-quater, 600-quater.1, 600-quinquies,
609-undecies, 615-ter, 615-quater, 615-quinquies, 617-bis,
617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis,
635-ter, 635-quater, 640-ter e 640-quinquies del codice
penale, le funzioni indicate nel comma 1, lettera a), del
presente articolo sono attribuite all'ufficio del pubblico
ministero presso il tribunale del capoluogo del distretto
nel cui ambito ha sede il giudice competente.»
«Art. 407 (Termini di durata massima delle indagini
preliminari). - Omissis.
2. La durata massima e' tuttavia di due anni se le
indagini preliminari riguardano:
a) i delitti appresso indicati:
1) delitti di cui agli articoli 285, 286, 416-bis e 422
del codice penale, 291-ter, limitatamente alle ipotesi
aggravate previste dalle lettere a), d) ed e) del comma 2,
e 291-quater, comma 4, del testo unico approvato con
decreto del Presidente della Repubblica 23 gennaio 1973, n.
43;
2) delitti consumati o tentati di cui agli articoli
575, 628, terzo comma, 629, secondo comma, e 630 dello
stesso codice penale;
3) delitti commessi avvalendosi delle condizioni
previste dall'art. 416-bis del codice penale ovvero al fine
di agevolare l'attivita' delle associazioni previste dallo
stesso articolo;
4) delitti commessi per finalita' di terrorismo o di
eversione dell'ordinamento costituzionale per i quali la
legge stabilisce la pena della reclusione non inferiore nel
minimo a cinque anni o nel massimo a dieci anni, nonche'
delitti di cui agli articoli 270, terzo comma e 306,
secondo comma, del codice penale;
5) delitti di illegale fabbricazione, introduzione
nello Stato, messa in vendita, cessione, detenzione e porto
in luogo pubblico o aperto al pubblico di armi da guerra o
tipo guerra o parti di esse, di esplosivi, di armi
clandestine nonche' di piu' armi comuni da sparo escluse
quelle previste dall'art. 2, comma terzo, della legge 18
aprile 1975, n. 110;
6) delitti di cui agli articoli 73, limitatamente alle
ipotesi aggravate ai sensi dell'art. 80, comma 2, e 74 del
testo unico delle leggi in materia di disciplina degli
stupefacenti e sostanze psicotrope, prevenzione, cura e
riabilitazione dei relativi stati di tossicodipendenza,
approvato con decreto del Presidente della Repubblica 9
ottobre 1990, n. 309, e successive modificazioni;
7) delitto di cui all'art. 416 del codice penale nei
casi in cui e' obbligatorio l'arresto in flagranza;
7-bis) dei delitti previsto dagli articoli 600,
600-bis, primo comma, 600-ter, primo e secondo comma, 601,
602, 609-bis nelle ipotesi aggravate previste dall'art.
609-ter, 609-quater, 609-octies del codice penale, nonche'
dei delitti previsti dall'art. 12, comma 3, del testo unico
di cui al decreto legislativo 25 luglio 1998, n. 286, e
successive modificazioni;
(Omissis).».
- Si riporta il testo dell'art. 4, comma 6, del
decreto-legge 29 ottobre 1991, n. 345, convertito, con
modificazioni, dalla legge 30 dicembre 1991, n. 410
(Disposizioni urgenti per il coordinamento delle attivita'
informative e investigative nella lotta contro la
criminalita' organizzata):
«Art. 4 (Disposizioni concernenti il personale). -
(Omissis).
6. Al fine di assicurare i collegamenti tra la D.I.A. e
gli altri uffici, reparti e strutture delle forze di
polizia, ivi compresi i servizi di cui all'art. 12 del
decreto-legge 13 maggio 1991, n. 152 , convertito, con
modificazioni, dalla legge 12 luglio 1991, n. 203, la
dotazione organica dei prefetti di prima classe e'
incrementata di un'unita' da assegnarsi al Dipartimento di
pubblica sicurezza con funzioni di vice direttore generale,
direttore centrale della polizia criminale.».
 
Art. 11

Limitazioni alla raccolta dei dati

1. E' vietata la raccolta e il trattamento dei dati sulle persone, inclusi quelli genetici e biometrici, per il solo fatto della loro origine razziale o etnica, fede religiosa, opinione politica, orientamento sessuale, stato di salute e delle loro convinzioni filosofiche o di altro genere o della loro adesione ai principi di movimenti sindacali, nonche' per la legittima attivita' che svolgono come appartenenti ad organizzazioni legalmente operanti nei settori sopraindicati.
2. La raccolta e il trattamento dei dati personali di cui al comma 1 sono consentiti quando e' necessario per le esigenze di un'attivita' informativa, di sicurezza o di indagine di polizia giudiziaria o di tutela dell'ordine e della sicurezza ad integrazione di altri dati personali.
3. Resta fermo il divieto, di cui all'articolo 14 del Codice, di basare sul solo trattamento automatizzato di dati personali atti e decisioni che implicano una valutazione del comportamento umano.

Note all'art. 11:
- Si riporta il testo dell'art. 14 del citato decreto
legislativo 30 giugno 2003, n. 196:
«Art. 14 (Definizione di profili e della personalita'
dell'interessato). - 1. Nessun atto o provvedimento
giudiziario o amministrativo che implichi una valutazione
del comportamento umano puo' essere fondato unicamente su
un trattamento automatizzato di dati personali volto a
definire il profilo o la personalita' dell'interessato.
2. L'interessato puo' opporsi ad ogni altro tipo di
determinazione adottata sulla base del trattamento di cui
al comma 1, ai sensi dell'art. 7, comma 4, lettera a),
salvo che la determinazione sia stata adottata in occasione
della conclusione o dell'esecuzione di un contratto, in
accoglimento di una proposta dell'interessato o sulla base
di adeguate garanzie individuate dal presente codice o da
un provvedimento del Garante ai sensi dell'art. 17.».
 
Art. 12

Comunicazione dei dati tra Forze di polizia

1. La comunicazione dei dati tra organi, uffici e comandi delle Forze di polizia di cui all'articolo 16 della legge n. 121 del 1981, per le finalita' di polizia di cui all'articolo 3, e' consentita quando e' necessaria per lo svolgimento dei compiti istituzionali, fermi restando gli obblighi di segretezza che incombono sugli ufficiali e agenti di polizia giudiziaria in relazione alle indagini svolte, come stabilito dal codice di procedura penale.

Note all'art. 12:
- Si riporta il testo dell'art. 16 della citata legge
1° aprile 1981, n. 121:
«Art. 16 (Forze di polizia). - 1. Ai fini della tutela
dell'ordine e della sicurezza pubblica, oltre alla polizia
di Stato sono forze di polizia, fermi restando i rispettivi
ordinamenti e dipendenze:
a) l'Arma dei carabinieri, quale forza armata in
servizio permanente di pubblica sicurezza;
b) il Corpo della guardia di finanza, per il concorso
al mantenimento dell'ordine e della sicurezza pubblica.
Fatte salve le rispettive attribuzioni e le normative
dei vigenti ordinamenti, sono altresi' forze di polizia e
possono essere chiamati a concorrere nell'espletamento di
servizi di ordine e sicurezza pubblica il Corpo degli
agenti di custodia e il Corpo forestale dello Stato.
Le forze di polizia possono essere utilizzate anche per
il servizio di pubblico soccorso.».
 
Art. 13

Comunicazione dei dati a pubbliche amministrazioni
o enti pubblici e a privati

1. La comunicazione di dati personali a pubbliche amministrazioni o enti pubblici e' consentita esclusivamente nei casi previsti da disposizioni di legge o di regolamento o, nel rispetto dei principi richiamati dall'articolo 4, quando e' necessaria per l'adempimento di uno specifico compito istituzionale dell'organo, ufficio o comando e i dati personali sono necessari per lo svolgimento dei compiti istituzionali del ricevente.
2. La comunicazione di dati personali a privati e' consentita quando e' necessaria per l'adempimento di uno specifico compito istituzionale da parte dell'organo, ufficio o comando per le finalita' di polizia di cui all'articolo 3.
3. La comunicazione dei dati personali a pubbliche amministrazioni o enti pubblici e a privati e', altresi', consentita quando risponde all'interesse della persona cui i dati si riferiscono e, comunque, nei singoli casi in cui e' necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica, o per la salvaguardia della vita e dell'incolumita' fisica di un terzo.
4. Sono fatti salvi, in ogni caso, l'obbligo del segreto di cui all'articolo 329 del codice di procedura penale e i divieti previsti da altre disposizioni di legge o di regolamento.

Note all'art. 13:
- Si riporta il testo dell'art. 329 del codice di
procedura penale:
«Art. 329 (Obbligo del segreto). - 1. Gli atti
d'indagine compiuti dal pubblico ministero e dalla polizia
giudiziaria sono coperti dal segreto fino a quando
l'imputato non ne possa avere conoscenza e, comunque, non
oltre la chiusura delle indagini preliminari.
2. Quando e' necessario per la prosecuzione delle
indagini, il pubblico ministero puo', in deroga a quanto
previsto dall'art. 114, consentire, con decreto motivato,
la pubblicazione di singoli atti o di parti di essi. In tal
caso, gli atti pubblicati sono depositati presso la
segreteria del pubblico ministero.
3. Anche quando gli atti non sono piu' coperti dal
segreto a norma del comma 1, il pubblico ministero, in caso
di necessita' per la prosecuzione delle indagini, puo'
disporre con decreto motivato:
a) l'obbligo del segreto per singoli atti, quando
l'imputato lo consente o quando la conoscenza dell'atto
puo' ostacolare le indagini riguardanti altre persone;
b) il divieto di pubblicare il contenuto di singoli
atti o notizie specifiche relative a determinate
operazioni.».
 
Art. 14

Diffusione dei dati e delle immagini personali

1. La diffusione di dati personali e' consentita quando e' necessaria per le finalita' di polizia di cui all'articolo 3, fermo restando l'obbligo del segreto di cui all'articolo 329 del codice di procedura penale e fatti salvi i divieti previsti da altre disposizioni di legge o di regolamento; essa e' comunque effettuata nel rispetto della dignita' della persona.
2. La diffusione di immagini personali e' consentita quando la persona interessata ha espresso il proprio consenso o e' necessaria per la salvaguardia della vita o dell'incolumita' fisica o e' giustificata da necessita' di giustizia o di polizia; essa e' comunque effettuata con modalita' tali da non recare pregiudizio alla dignita' della persona.
3. Il Garante e' informato delle direttive generali adottate in ambito nazionale sulla diffusione dei dati o delle immagini personali.

Note all'art. 14:
- Per il testo dell'art. 329 del codice di procedura
penale si veda nella nota all'art. 13.
 
Art. 15

Condizioni della comunicazione
e della diffusione dei dati

1. La comunicazione e la diffusione dei dati personali nei casi previsti dagli articoli 12, 13 e 14 sono effettuate previa verifica della loro esattezza, aggiornamento e completezza.
2. Gli organi, uffici e comandi di polizia, nel caso in cui verificano che i dati personali oggetto di comunicazione ai sensi degli articoli 12 e 13 sono inesatti o non aggiornati o incompleti, provvedono a rettificarli e, ove possibile e necessario, ad aggiornarli e completarli. Le operazioni di cui al precedente periodo sono portate a conoscenza, anche per quanto riguarda il loro contenuto, dei destinatari della comunicazione.
3. Gli organi, uffici e comandi di polizia, nel caso in cui verificano che i dati personali oggetto di diffusione ai sensi dell'articolo 14 sono inesatti o non aggiornati o incompleti, provvedono a rettificarli e, ove possibile e necessario, ad aggiornarli e completarli. Le operazioni di cui al precedente periodo sono portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati diffusi, salvo che tale adempimento risulti impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. In ogni caso, il dato personale rettificato, aggiornato o completato e' diffuso nella stessa forma con la quale e' stato diffuso il dato inesatto, non aggiornato o incompleto.
 
Art. 16
Scambio di dati con autorita' competenti degli Stati membri
dell'Unione europea e con organismi dell'Unione europea

1. Lo scambio di dati e informazioni personali con le autorita' competenti degli Stati membri dell'Unione europea e con gli organismi dell'Unione europea e' consentito, nell'ambito delle attivita' di cooperazione internazionale di polizia, esclusivamente nei casi, alle condizioni e con le modalita' stabilite da disposizioni di legge o di regolamento o da atti normativi dell'Unione europea.
2. Sono fatti salvi gli accordi o le intese in materia di cooperazione internazionale di polizia sottoscritti e resi esecutivi con Stati membri dell'Unione europea o con organismi dell'Unione europea, qualora non in contrasto con gli atti normativi interni o dell'Unione europea.
3. L'elenco degli accordi e delle intese di cui al comma 2 e' comunicato dal competente Dipartimento del Ministero dell'interno al Garante entro sessanta giorni dall'entrata in vigore del presente regolamento e successivamente aggiornato.
 
Art. 17

Comunicazione di dati alle autorita' competenti
degli Stati terzi o ad organismi internazionali

1. La comunicazione di dati personali alle autorita' competenti degli Stati terzi o ad organismi ed organizzazioni internazionali e' consentita, nell'ambito delle attivita' di cooperazione internazionale di polizia, in conformita' agli accordi o alle intese sottoscritti e resi esecutivi con tali Stati o con organismi e organizzazioni internazionali, qualora non in contrasto con atti normativi interni o dell'Unione europea.
2. La comunicazione di dati personali alle autorita' competenti degli Stati terzi o ad organismi e organizzazioni internazionali e' comunque consentita quando e' necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica di uno Stato membro o di un Paese terzo, o agli interessi essenziali di uno Stato membro, o per la salvaguardia della vita e dell'incolumita' fisica di un terzo.
3. La comunicazione di dati personali puo' essere effettuata in modalita' automatizzata, o secondo i canali di comunicazione codificati a livello internazionale, assicurando l'adozione di misure appropriate, compresa la cifratura, per garantire la riservatezza e l'integrita' dei dati trasmessi.
4. Le comunicazioni di dati personali effettuate ai sensi del presente articolo dagli operatori abilitati sono registrate in appositi file di log, non modificabili che sono conservati per 5 anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti dagli accordi o dalle intese di cui al comma 1.
5. Gli accessi ai file di log di cui al comma 4 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.
 
Art. 18
Verifica della qualita' dei dati comunicati alle autorita' competenti
degli Stati terzi o ad organismi internazionali e di quelli
trasmessi dalle autorita' competenti degli Stati terzi o da
organismi internazionali

1. La comunicazione dei dati personali nei casi previsti dall'articolo 17 e' effettuata previa verifica della loro esattezza, aggiornamento e completezza.
2. L'organo, ufficio o comando di polizia, nel caso in cui verifica che i dati personali trasmessi ad un'autorita' competente di uno Stato terzo o ad un organismo o organizzazione internazionale sono inesatti o non aggiornati o incompleti, provvede ad informare senza ritardo il destinatario della comunicazione. I dati personali sono rettificati se inesatti e, ove possibile e necessario, aggiornati e completati.
3. L'organo, ufficio o comando di polizia, nel caso in cui ha motivo di ritenere che i dati personali ricevuti da un'autorita' competente di uno Stato terzo o da un organismo o organizzazione internazionale sono inesatti, o non aggiornati o incompleti, provvede ad informare, con le modalita' di cui all'articolo 17, comma 3, l'autorita' competente dello Stato terzo o l'organismo o organizzazione internazionale che ha comunicato i medesimi dati personali. Se i dati personali sono stati trasmessi senza essere stati richiesti, l'organo, ufficio o comando di polizia ricevente valuta immediatamente se tali dati sono necessari per lo scopo per il quale sono stati trasmessi.
4. L'organo, ufficio o comando di polizia, cancella i dati personali che non avrebbero dovuto essere ricevuti.
5. L'organo, ufficio o comando di polizia, cancella o rende anonimi i dati personali lecitamente ricevuti:
a) nel caso in cui essi non sono o non sono piu' necessari per le finalita' per cui sono stati trasmessi;
b) al termine del periodo massimo di conservazione indicato dall'autorita' competente dello Stato terzo o dall'organismo o organizzazione internazionale. Non si fa luogo alla cancellazione nel caso in cui, alla scadenza del predetto periodo massimo di conservazione, i dati personali sono necessari per lo svolgimento di specifiche attivita' informative o di indagine finalizzate alla prevenzione e repressione di reati. In nessun caso i dati sono conservati oltre i termini di conservazione di cui all'articolo 10.
6. L'organo, ufficio o comando di polizia procede al blocco dei dati personali ricevuti quando vi sono motivi per ritenere che la cancellazione degli stessi pregiudicherebbe un legittimo interesse della persona interessata ai sensi delle vigenti disposizioni di legge. I dati bloccati possono essere utilizzati o trasmessi per le sole finalita' che ne hanno impedito la cancellazione.
 
Art. 19
Trattamento dei dati personali trasmessi dalle autorita' competenti
degli Stati terzi o da organismi internazionali

1. I dati personali trasmessi dalle autorita' competenti degli Stati terzi o da organismi o organizzazioni internazionali sono trattati esclusivamente per le finalita' per le quali sono stati trasmessi ovvero, previa acquisizione del parere delle predette autorita', o organismi e organizzazioni internazionali, per le diverse finalita' previste da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.
2. L'organo, ufficio o comando di polizia ricevente assicura il rispetto delle limitazioni al trattamento dei dati personali comunicate dall'autorita' competente dello Stato terzo o dall'organismo o organizzazione internazionale che li ha trasmessi. Sono fatte salve le deroghe previste da disposizioni di legge, da atti normativi dell'Unione europea o dal diritto internazionale.
 
Art. 20
Trasferimento dei dati ad autorita' competenti degli Stati membri
dell'Unione europea o di altri Stati terzi o ad organismi
dell'Unione europea o altri organismi internazionali

1. Il trasferimento dei dati personali trasmessi dalle autorita' competenti degli Stati terzi o da organismi e organizzazioni internazionali ad autorita' competenti degli Stati membri dell'Unione europea o di altri Stati terzi o ad organismi dell'Unione europea o ad altri organismi e organizzazioni internazionali e' consentito esclusivamente nei casi previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.
 
Art. 21
Trasmissione dei dati ricevuti dalle autorita' competenti degli Stati
terzi o da organismi internazionali a privati

1. La trasmissione di dati personali ricevuti dalle autorita' competenti degli Stati terzi o da organismi e organizzazioni internazionali a privati e' consentito esclusivamente nei casi previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.
 
Art. 22

Sistemi di videosorveglianza

1. L'utilizzo di sistemi di videosorveglianza e' consentito ove necessario per le finalita' di polizia di cui all'articolo 3 e a condizione che non comporti un'ingerenza ingiustificata nei diritti e nelle liberta' fondamentali delle persone interessate.
2. Gli organi, uffici e comandi di polizia, nel rispetto dei principi richiamati dagli articoli 4, 5 e 6, raccolgono solo i dati strettamente necessari per il raggiungimento delle finalita' di cui all'articolo 3, registrando esclusivamente le immagini indispensabili.
 
Art. 23

Sistemi di ripresa fotografica, video e audio

1. L'utilizzo di sistemi di ripresa fotografica, video e audio per le finalita' di polizia di cui all'articolo 3, e' consentito ove necessario per documentare: una specifica attivita' preventiva o repressiva di fatti di reato, situazioni dalle quali possano derivare minacce per l'ordine e la sicurezza pubblica o un pericolo per la vita e l'incolumita' dell'operatore, o specifiche attivita' poste in essere durante il servizio che siano espressione di poteri autoritativi degli organi, uffici e comandi di polizia.
2. Gli organi, uffici e comandi di polizia, nel rispetto dei principi richiamati dagli articoli 4, 5 e 6, raccolgono solo i dati strettamente necessari per il raggiungimento delle finalita' di polizia di cui all'articolo 3, registrando quelli indispensabili.
3. Il trattamento di dati personali raccolti tramite aeromobili a pilotaggio remoto, in considerazione della loro potenziale invasivita', e' ricompreso tra quelli che presentano rischi specifici di cui all'articolo 6.
4. L'utilizzo di sistemi di ripresa fotografica, video e audio, installati su aeromobili a pilotaggio remoto, e' autorizzato al livello gerarchico non inferiore a quello di capo ufficio o comandante di reparto.
 
Art. 24
Speciali misure di sicurezza relative al trattamento di dati
attraverso sistemi di videosorveglianza e di ripresa fotografica,
audio e video

1. I sistemi informativi e i programmi informatici destinati alla registrazione e alla conservazione dei dati personali raccolti attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video, sono configurati, in conformita' al criterio di necessita' del trattamento dei dati personali di cui all'articolo 5, in modo da ridurre al minimo l'utilizzazione di dati relativi a persone identificabili.
2. Sono adottati diversificati livelli di visibilita' e di trattamento delle immagini da parte degli incaricati del trattamento i quali sono autorizzati, attraverso il rilascio di credenziali di autenticazione, a compiere le sole operazioni di trattamento correlate ai compiti assegnati.
3. Sono adottate specifiche misure di sicurezza contro i rischi di accesso abusivo di cui all'articolo 615-ter del codice penale nei confronti degli apparati di ripresa digitale utilizzati ai fini della registrazione delle immagini qualora connessi a reti informatiche.
4. Gli accessi e le operazioni, effettuati dagli operatori abilitati in relazione ai sistemi informativi di cui al comma 1, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti da speciali disposizioni.
5. Gli accessi ai file di log di cui al comma 4 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.
6. Ai trattamenti di dati personali che implicano maggiori rischi di un danno alla persona interessata in ragione della natura dei dati, delle modalita' del trattamento o degli effetti che esso puo' determinare, si applica la disposizione di cui all'articolo 6, comma 1.

Note all'art. 24:
- Si riporta il testo dell'art. 615-ter del codice
penale:
«Art. 615-ter (Accesso abusivo ad un sistema
informatico o telematico). - Chiunque abusivamente si
introduce in un sistema informatico o telematico protetto
da misure di sicurezza ovvero vi si mantiene contro la
volonta' espressa o tacita di chi ha il diritto di
escluderlo, e' punito con la reclusione fino a tre anni.
La pena e' della reclusione da uno a cinque anni:
1) se il fatto e' commesso da un pubblico ufficiale o
da un incaricato di un pubblico servizio, con abuso dei
poteri o con violazione dei doveri inerenti alla funzione o
al servizio, o da chi esercita anche abusivamente la
professione di investigatore privato, o con abuso della
qualita' di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza
sulle cose o alle persone, ovvero se e' palesemente armato;
3) se dal fatto deriva la distruzione o il
danneggiamento del sistema o l'interruzione totale o
parziale del suo funzionamento, ovvero la distruzione o il
danneggiamento dei dati, delle informazioni o dei programmi
in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo
riguardino sistemi informatici o telematici di interesse
militare o relativi all'ordine pubblico o alla sicurezza
pubblica o alla sanita' o alla protezione civile o comunque
di interesse pubblico, la pena e', rispettivamente, della
reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto e'
punibile a querela della persona offesa; negli altri casi
si procede d'ufficio.».
 
Art. 25

Obblighi di sicurezza

1. Il titolare o il responsabile del trattamento dei dati personali assicurano l'adozione di misure di sicurezza preventive, individuate anche in relazione al progresso tecnologico, alla natura dei dati e alle caratteristiche del singolo trattamento, idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' di cui all'articolo 3 ed a garantirne, nel contempo, un'agevole fruibilita'.
2. Fermo restando quanto previsto dal comma 1, o da speciali disposizioni, il titolare o il responsabile del trattamento assicurano l'adozione delle misure minime di sicurezza previste dagli articoli 33, 34 e 35 del Codice e dal disciplinare tecnico di cui al relativo allegato B) con riferimento ai trattamenti automatizzati o non automatizzati di dati personali.

Note all'art. 25:
- Si riporta il testo degli articoli 33, 34 e 35,
nonche' dell'Allegato B del citato decreto legislativo 30
giugno 2003, n. 196:
«Art. 33 (Misure minime). - 1. Nel quadro dei piu'
generali obblighi di sicurezza di cui all'art. 31, o
previsti da speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad adottare le misure
minime individuate nel presente capo o ai sensi dell'art.
58, comma 3, volte ad assicurare un livello minimo di
protezione dei dati personali.».
«Art. 34 (Trattamenti con strumenti elettronici). - 1.
Il trattamento di dati personali effettuato con strumenti
elettronici e' consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell'allegato
B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali
di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilita' dei dati e
dei sistemi;
g).
h) adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di dati idonei a
rivelare lo stato di salute o la vita sessuale effettuati
da organismi sanitari.
1-bis.
1-ter. Ai fini dell'applicazione delle disposizioni in
materia di protezione dei dati personali, i trattamenti
effettuati per finalita' amministrativo-contabili sono
quelli connessi allo svolgimento delle attivita' di natura
organizzativa, amministrativa, finanziaria e contabile, a
prescindere dalla natura dei dati trattati. In particolare,
perseguono tali finalita' le attivita' organizzative
interne, quelle funzionali all'adempimento di obblighi
contrattuali e precontrattuali, alla gestione del rapporto
di lavoro in tutte le sue fasi, alla tenuta della
contabilita' e all'applicazione delle norme in materia
fiscale, sindacale, previdenziale-assistenziale, di salute,
igiene e sicurezza sul lavoro.».
«Art. 35 (Trattamenti senza l'ausilio di strumenti
elettronici). - 1. Il trattamento di dati personali
effettuato senza l'ausilio di strumenti elettronici e'
consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato B), le
seguenti misure minime:
a) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati o alle unita' organizzative;
b) previsione di procedure per un'idonea custodia di
atti e documenti affidati agli incaricati per lo
svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di
determinati atti in archivi ad accesso selezionato e
disciplina delle modalita' di accesso finalizzata
all'identificazione degli incaricati.».

«Allegato B

Disciplinare tecnico in materia di misure minime di
sicurezza
(articoli da 33 a 36 del codice)

Trattamenti con strumenti elettronici
Modalita' tecniche da adottare a cura del titolare, del
responsabile ove designato e dell'incaricato, in caso di
trattamento con strumenti elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti
elettronici e' consentito agli incaricati dotati di
credenziali di autenticazione che consentano il superamento
di una procedura di autenticazione relativa a uno specifico
trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un
codice per l'identificazione dell'incaricato associato a
una parola chiave riservata conosciuta solamente dal
medesimo oppure in un dispositivo di autenticazione in
possesso e uso esclusivo dell'incaricato, eventualmente
associato a un codice identificativo o a una parola chiave,
oppure in una caratteristica biometrica dell'incaricato,
eventualmente associata a un codice identificativo o a una
parola chiave.
3. Ad ogni incaricato sono assegnate o associate
individualmente una o piu' credenziali per
l'autenticazione.
4. Con le istruzioni impartite agli incaricati e'
prescritto di adottare le necessarie cautele per assicurare
la segretezza della componente riservata della credenziale
e la diligente custodia dei dispositivi in possesso ed uso
esclusivo dell'incaricato.
5. La parola chiave, quando e' prevista dal sistema di
autenticazione, e' composta da almeno otto caratteri
oppure, nel caso in cui lo strumento elettronico non lo
permetta, da un numero di caratteri pari al massimo
consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed e' modificata da
quest'ultimo al primo utilizzo e, successivamente, almeno
ogni sei mesi. In caso di trattamento di dati sensibili e
di dati giudiziari la parola chiave e' modificata almeno
ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato,
non puo' essere assegnato ad altri incaricati, neppure in
tempi diversi.
7. Le credenziali di autenticazione non utilizzate da
almeno sei mesi sono disattivate, salvo quelle
preventivamente autorizzate per soli scopi di gestione
tecnica.
8. Le credenziali sono disattivate anche in caso di
perdita della qualita' che consente all'incaricato
l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non
lasciare incustodito e accessibile lo strumento elettronico
durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti
elettronici e' consentito esclusivamente mediante uso della
componente riservata della credenziale per
l'autenticazione, sono impartite idonee e preventive
disposizioni scritte volte a individuare chiaramente le
modalita' con le quali il titolare puo' assicurare la
disponibilita' di dati o strumenti elettronici in caso di
prolungata assenza o impedimento dell'incaricato che renda
indispensabile e indifferibile intervenire per esclusive
necessita' di operativita' e di sicurezza del sistema. In
tal caso la custodia delle copie delle credenziali e'
organizzata garantendo la relativa segretezza e
individuando preventivamente per iscritto i soggetti
incaricati della loro custodia, i quali devono informare
tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di
cui ai precedenti punti e quelle sul sistema di
autorizzazione non si applicano ai trattamenti dei dati
personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili
di autorizzazione di ambito diverso e' utilizzato un
sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato
o per classi omogenee di incaricati, sono individuati e
configurati anteriormente all'inizio del trattamento, in
modo da limitare l'accesso ai soli dati necessari per
effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, e'
verificata la sussistenza delle condizioni per la
conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con
cadenza almeno annuale dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici,
la lista degli incaricati puo' essere redatta anche per
classi omogenee di incarico e dei relativi profili di
autorizzazione.
16. I dati personali sono protetti contro il rischio di
intrusione e dell'azione di programmi di cui all'art.
615-quinquies del codice penale, mediante l'attivazione di
idonei strumenti elettronici da aggiornare con cadenza
almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per
elaboratore volti a prevenire la vulnerabilita' di
strumenti elettronici e a correggerne difetti sono
effettuati almeno annualmente. In caso di trattamento di
dati sensibili o giudiziari l'aggiornamento e' almeno
semestrale.
18. Sono impartite istruzioni organizzative e tecniche
che prevedono il salvataggio dei dati con frequenza almeno
settimanale.
Ulteriori misure in caso di trattamento di dati sensibili o
giudiziari
20. I dati sensibili o giudiziari sono protetti contro
l'accesso abusivo, di cui all'art. 615-ter del codice
penale, mediante l'utilizzo di idonei strumenti
elettronici.
21. Sono impartite istruzioni organizzative e tecniche
per la custodia e l'uso dei supporti rimovibili su cui sono
memorizzati i dati al fine di evitare accessi non
autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o
giudiziari se non utilizzati sono distrutti o resi
inutilizzabili, ovvero possono essere riutilizzati da altri
incaricati, non autorizzati al trattamento degli stessi
dati, se le informazioni precedentemente in essi contenute
non sono intelligibili e tecnicamente in alcun modo
ricostruibili.
23. Sono adottate idonee misure per garantire il
ripristino dell'accesso ai dati in caso di danneggiamento
degli stessi o degli strumenti elettronici, in tempi certi
compatibili con i diritti degli interessati e non superiori
a sette giorni.
24. Gli organismi sanitari e gli esercenti le
professioni sanitarie effettuano il trattamento dei dati
idonei a rivelare lo stato di salute e la vita sessuale
contenuti in elenchi, registri o banche di dati con le
modalita' di cui all'art. 22, comma 6, del codice, anche al
fine di consentire il trattamento disgiunto dei medesimi
dati dagli altri dati personali che permettono di
identificare direttamente gli interessati. I dati relativi
all'identita' genetica sono trattati esclusivamente
all'interno di locali protetti accessibili ai soli
incaricati dei trattamenti ed ai soggetti specificatamente
autorizzati ad accedervi; il trasporto dei dati all'esterno
dei locali riservati al loro trattamento deve avvenire in
contenitori muniti di serratura o dispositivi equipollenti;
il trasferimento dei dati in formato elettronico e'
cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza
avvalendosi di soggetti esterni alla propria struttura, per
provvedere alla esecuzione riceve dall'installatore una
descrizione scritta dell'intervento effettuato che ne
attesta la conformita' alle disposizioni del presente
disciplinare tecnico.
Trattamenti senza l'ausilio di strumenti elettronici
Modalita' tecniche da adottare a cura del titolare, del
responsabile, ove designato, e dell'incaricato, in caso di
trattamento con strumenti diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte
finalizzate al controllo ed alla custodia, per l'intero
ciclo necessario allo svolgimento delle operazioni di
trattamento, degli atti e dei documenti contenenti dati
personali. Nell'ambito dell'aggiornamento periodico con
cadenza almeno annuale dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati, la lista
degli incaricati puo' essere redatta anche per classi
omogenee di incarico e dei relativi profili di
autorizzazione.
28. Quando gli atti e i documenti contenenti dati
personali sensibili o giudiziari sono affidati agli
incaricati del trattamento per lo svolgimento dei relativi
compiti, i medesimi atti e documenti sono controllati e
custoditi dagli incaricati fino alla restituzione in
maniera che ad essi non accedano persone prive di
autorizzazione, e sono restituiti al termine delle
operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o
giudiziari e' controllato. Le persone ammesse, a qualunque
titolo, dopo l'orario di chiusura, sono identificate e
registrate. Quando gli archivi non sono dotati di strumenti
elettronici per il controllo degli accessi o di incaricati
della vigilanza, le persone che vi accedono sono
preventivamente autorizzate.».
 
Art. 26

Accesso ai dati personali

1. La persona interessata puo' chiedere all'organo, ufficio o comando di polizia titolare del trattamento la conferma dell'esistenza di dati personali che la riguardano, la loro comunicazione in forma intelligibile e, se i dati sono trattati in violazione di vigenti disposizioni di legge o di regolamento, il loro aggiornamento, rettifica, cancellazione, blocco o trasformazione in forma anonima.
2. L'istanza e' sottoscritta dalla persona interessata in presenza dell'operatore addetto dell'organo, ufficio o comando di polizia, ovvero sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di identita'.
3. L'istanza puo' essere presentata anche per via telematica con le modalita' di cui all'articolo 65, comma 1, del decreto legislativo 7 marzo 2005, n. 82.
4. Il soggetto che agisce per conto della persona interessata esibisce o allega copia della procura ovvero della delega conferita con le modalita' di cui ai commi 2 e 3.
5. Esperiti i necessari accertamenti, l'organo, ufficio o comando di polizia, entro trenta giorni dalla ricezione della richiesta, comunica alla persona interessata le determinazioni assunte.
6. L'organo, ufficio o comando di polizia puo' omettere di provvedere in merito alla richiesta di cui al comma 1, dandone informazione al Garante, se cio' puo' pregiudicare azioni o operazioni a tutela dell'ordine o della sicurezza pubblica o di prevenzione e repressione dei reati o la sicurezza dello Stato, la persona interessata o i diritti e le liberta' di terzi.

Note all'art. 26:
- Si riporta il testo dell'art. 65, comma 1, del
decreto legislativo 7 marzo 2005, n. 82 (Codice
dell'amministrazione digitale):
«Art. 65 (Istanze e dichiarazioni presentate alle
pubbliche amministrazioni per via telematica). - 1. Le
istanze e le dichiarazioni presentate per via telematica
alle pubbliche amministrazioni e ai gestori dei servizi
pubblici ai sensi dell'art. 38, commi 1 e 3, del decreto
del Presidente della Repubblica 28 dicembre 2000, n. 445,
sono valide:
a) se sottoscritte mediante la firma digitale o la
firma elettronica qualificata, il cui certificato e'
rilasciato da un certificatore qualificato;
b) ovvero, quando l'istante o il dichiarante e'
identificato attraverso il sistema pubblico di identita'
digitale (SPID), nonche' attraverso uno degli altri
strumenti di cui all'art. 64, comma 2-novies, nei limiti
ivi previsti;
c) ovvero sono sottoscritte e presentate unitamente
alla copia del documento d'identita';
c-bis) ovvero se trasmesse dall'istante o dal
dichiarante mediante la propria casella di posta
elettronica certificata purche' le relative credenziali di
accesso siano state rilasciate previa identificazione del
titolare, anche per via telematica secondo modalita'
definite con regole tecniche adottate ai sensi dell'art.
71, e cio' sia attestato dal gestore del sistema nel
messaggio o in un suo allegato. In tal caso, la
trasmissione costituisce dichiarazione vincolante ai sensi
dell'art. 6, comma 1, secondo periodo. Sono fatte salve le
disposizioni normative che prevedono l'uso di specifici
sistemi di trasmissione telematica nel settore tributario.
(Omissis).».
 
Art. 27

Accertamenti dell'autorita' giudiziaria

1. Chiunque viene a conoscenza dell'esistenza di dati personali che lo riguardano, trattati da organi, uffici o comandi di polizia in violazione di disposizioni di legge o di regolamento, puo' chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare l'aggiornamento, la rettifica, l'integrazione, la cancellazione, il blocco o la trasformazione in forma anonima dei dati medesimi. Si applica la disposizione di cui all'articolo 152, comma 1-bis, del Codice.
2. L'organo, ufficio o comando di polizia, qualora abbia notizia della controversia instaurata innanzi all'autorita' giudiziaria di cui al comma 1, dispone l'immediata verifica dei dati e delle informazioni di cui la persona interessata affermi l'erroneita', l'incompletezza e l'illegittima raccolta, ai fini dell'eventuale aggiornamento, rettifica, integrazione, cancellazione, blocco o trasformazione in forma anonima degli stessi. L'esito dell'accertamento e' comunicato all'autorita' giudiziaria.

Note all'art. 27:
- Si riporta il testo vigente dell'art. 152 del citato
decreto legislativo 30 giugno 2003, n. 196:
«Art. 152 (Autorita' giudiziaria ordinaria). - 1. Tutte
le controversie che riguardano, comunque, l'applicazione
delle disposizioni del presente codice, comprese quelle
inerenti ai provvedimenti del Garante in materia di
protezione dei dati personali o alla loro mancata adozione,
nonche' le controversie previste dall'art. 10, comma 5,
della legge 1° aprile 1981, n. 121, e successive
modificazioni, sono attribuite all'autorita' giudiziaria
ordinaria.
1-bis. Le controversie di cui al comma 1 sono
disciplinate dall'art. 10 del decreto legislativo 1°
settembre 2011, n. 150.».
 
Art. 28
Trattamento dei dati relativi a procedimenti penali, sanzionatori e
di prevenzione

1. Le disposizioni di cui agli articoli 26 e 27 non si applicano ai dati personali comunicati all'autorita' giudiziaria per le esigenze del procedimento penale o per le finalita' di applicazione o esecuzione della pena, o comunicati all'autorita' amministrativa per le esigenze del procedimento sanzionatorio, ne' a quelli comunicati all'autorita' competente per le esigenze dei procedimenti di applicazione di misure di sicurezza o di prevenzione.
2. Nei procedimenti di cui al comma 1 la tutela della persona interessata rispetto al trattamento dei dati personali e' garantita nelle forme previste per ciascuno dei procedimenti stessi.
 
Art. 29

Controlli

1. I controlli sui trattamenti di dati personali effettuati degli organi, uffici e comandi di polizia sono effettuati dal Garante con le modalita' di cui all'articolo 160 del Codice.
2. Il titolare o il responsabile del trattamento adottano le iniziative occorrenti a dare tempestiva attuazione alle indicazioni del Garante.

Note all'art. 29:
- Si riporta il testo dell'art. 160 del citato decreto
legislativo 30 giugno 2003, n. 196:
«Art. 160 (Particolari accertamenti). - 1. Per i
trattamenti di dati personali indicati nei titoli I, II e
III della Parte II gli accertamenti sono effettuati per il
tramite di un componente designato dal Garante.
2. Se il trattamento non risulta conforme alle
disposizioni di legge o di regolamento, il Garante indica
al titolare o al responsabile le necessarie modificazioni
ed integrazioni e ne verifica l'attuazione. Se
l'accertamento e' stato richiesto dall'interessato, a
quest'ultimo e' fornito in ogni caso un riscontro circa il
relativo esito, se cio' non pregiudica azioni od operazioni
a tutela dell'ordine e della sicurezza pubblica o di
prevenzione e repressione di reati o ricorrono motivi di
difesa o di sicurezza dello Stato.
3. Gli accertamenti non sono delegabili. Quando risulta
necessario in ragione della specificita' della verifica, il
componente designato puo' farsi assistere da personale
specializzato tenuto al segreto ai sensi dell'art. 156,
comma 8. Gli atti e i documenti acquisiti sono custoditi
secondo modalita' tali da assicurarne la segretezza e sono
conoscibili dal presidente e dai componenti del Garante e,
se necessario per lo svolgimento delle funzioni
dell'organo, da un numero delimitato di addetti all'Ufficio
individuati dal Garante sulla base di criteri definiti dal
regolamento di cui all'art. 156, comma 3, lettera a).
4. Per gli accertamenti relativi agli organismi di
informazione e di sicurezza e ai dati coperti da segreto di
Stato il componente designato prende visione degli atti e
dei documenti rilevanti e riferisce oralmente nelle
riunioni del Garante.
5. Nell'effettuare gli accertamenti di cui al presente
articolo nei riguardi di uffici giudiziari, il Garante
adotta idonee modalita' nel rispetto delle reciproche
attribuzioni e della particolare collocazione istituzionale
dell'organo procedente. Gli accertamenti riferiti ad atti
di indagine coperti dal segreto sono differiti, se vi e'
richiesta dell'organo procedente, al momento in cui cessa
il segreto.
6. La validita', l'efficacia e l'utilizzabilita' di
atti, documenti e provvedimenti nel procedimento
giudiziario basati sul trattamento di dati personali non
conforme a disposizioni di legge o di regolamento restano
disciplinate dalle pertinenti disposizioni processuali
nella materia civile e penale.».
 
Art. 30

Disposizioni transitorie

1. Fermo restando quanto previsto dall'articolo 5, comma 2, primo periodo, gli organi, uffici e comandi di polizia che alla data di entrata in vigore del presente regolamento dispongono di sistemi informativi e programmi informatici che, per obiettive ragioni tecniche, non consentono, in tutto o in parte, l'immediata applicazione, con modalita' automatizzate, della misura della cancellazione o dell'anonimizzazione dei dati personali oggetto di trattamento allo scadere dei termini di conservazione di cui all'articolo 10, commi 1, 3, 4, 5 e 7, o non consentono la segnalazione con modalita' automatizzate del decorso del termine di cui all'articolo 10, comma 2, adottano, in relazione ai sistemi e programmi detenuti, ogni possibile misura organizzativa, logistica o procedurale idonea a prevenire o limitare il rischio di utilizzo dei dati oltre i termini di conservazione di cui all'articolo 10, commi 1, 3 e 5, o di accesso ai dati in violazione della disposizione di cui all'articolo 10, comma 2. I predetti sistemi e programmi sono adeguati alle disposizioni del presente regolamento entro 5 anni dalla sua entrata in vigore, quando i medesimi siano stati istituiti anteriormente al 6 maggio 2016 e cio' comporti sforzi sproporzionati. Il termine di adeguamento dei sistemi e dei programmi e' di 8 anni dalla entrata in vigore del presente regolamento, qualora cio' causi altrimenti gravi difficolta' per il loro funzionamento, previa comunicazione alla Commissione europea, da parte delle competenti strutture del Dipartimento della pubblica sicurezza, dei motivi di tali gravi difficolta'.
2. Fermo restando quanto previsto dall'articolo 5, comma 2, secondo periodo, gli organi, uffici e comandi di polizia che alla data di entrata in vigore del presente regolamento dispongono di sistemi informativi e programmi informatici che, per obiettive ragioni tecniche, non consentono, in tutto o in parte, l'immediata applicazione delle disposizioni concernenti la registrazione in appositi file di log effettuati dagli operatori abilitati, adeguano i medesimi sistemi e programmi entro 5 anni dall'entrata in vigore del presente regolamento, quando i medesimi siano stati istituiti anteriormente al 6 maggio 2016 e cio' comporti sforzi sproporzionati. Il termine di adeguamento dei sistemi e dei programmi e' di 8 anni dall'entrata in vigore del presente regolamento, qualora cio' causi altrimenti gravi difficolta' per il loro funzionamento, previa comunicazione alla Commissione europea, da parte delle competenti strutture del Dipartimento della pubblica sicurezza, dei motivi di tali gravi difficolta'.
3. I titolari del trattamento, entro un anno dall'entrata in vigore del presente regolamento, informano il Garante sulla adozione delle misure di cui al comma 1. Al Garante e' data periodica informazione sull'adeguamento dei sistemi e programmi di cui ai commi 1 e 2.
 
Art. 31

Clausola di invarianza finanziaria

1. Dall'attuazione delle disposizioni del presente regolamento non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le Amministrazioni provvedono agli adempimenti di cui al presente regolamento con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.
Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Dato a Roma, addi' 15 gennaio 2018

MATTARELLA

Gentiloni Silveri, Presidente del
Consiglio dei ministri

Minniti, Ministro dell'interno

Orlando, Ministro della giustizia Visto, il Guardasigilli: Orlando

Registrato alla Corte dei conti il 7 marzo 2018 Interno, foglio n. 586
 
Gazzetta Ufficiale Serie Generale per iPhone