Gazzetta n. 119 del 24 maggio 2018 (vai al sommario) |
|
DECRETO LEGISLATIVO 18 maggio 2018, n. 51 |
Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio. |
|
|
IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87 della Costituzione; Visto l'articolo 14 della legge 23 agosto 1988, n. 400; Vista la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio; Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE concernente regolamento generale sulla protezione dei dati; Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2016-2017, e in particolare l'articolo 11; Visto il codice in materia di protezione dei dati personali adottato con decreto legislativo 30 giugno 2003, n. 196; Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione dell'8 febbraio 2018; Acquisito il parere del Garante per la protezione dei dati personali, espresso nell'adunanza del 22 febbraio 2018; Acquisito il parere della 2ª Commissione del Senato della Repubblica; Considerato che le competenti Commissioni della Camera dei deputati non hanno espresso il parere entro il termine di cui all'articolo 31, comma 3, della legge 24 dicembre 2012, n. 234; Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 16 maggio 2018; Sulla proposta del Presidente del Consiglio dei ministri e del Ministro della giustizia, di concerto con i Ministri degli affari esteri e della cooperazione internazionale, dell'interno e dell'economia e delle finanze;
Emana il seguente decreto legislativo:
Art. 1
Oggetto e ambito di applicazione
1. Il presente decreto attua nell'ordinamento interno le disposizioni della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati, e che abroga la decisione quadro 2008/977/GAI del Consiglio. 2. Il presente decreto si applica al trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche e al trattamento non automatizzato di dati personali delle persone fisiche contenuti in un archivio o ad esso destinati, svolti dalle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. 3. Il presente decreto non si applica ai trattamenti di dati personali: a) effettuati nello svolgimento di attivita' concernenti la sicurezza nazionale o rientranti nell'ambito di applicazione del titolo V, capo 2, del trattato sull'Unione europea e per tutte le attivita' che non rientrano nell'ambito di applicazione del diritto dell'Unione europea; b) effettuati da istituzioni, organi, uffici e agenzie dell'Unione europea.
N O T E
Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia ai sensi dell'art. 10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con decreto del Presidente della Repubblica 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. Per gli atti dell'Unione europea vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale dell'Unione Europea (GUUE). Note alle premesse: L'art. 76 della Costituzione stabilisce che l'esercizio della funzione legislativa non puo' essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti. L'art. 87 della Costituzione conferisce, tra l'altro, al Presidente della Repubblica il potere di promulgare le leggi e di emanare i decreti aventi valore di legge ed i regolamenti. Il testo dell'art. 14 della legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri), pubblicata nella Gazzetta Ufficiale 12 settembre 1988, n. 214, S.O., cosi' recita: «Art. 14 (Decreti legislativi). - 1. I decreti legislativi adottati dal Governo ai sensi dell'art. 76 della Costituzione sono emanati dal Presidente della Repubblica con la denominazione di «decreto legislativo» e con l'indicazione, nel preambolo, della legge di delegazione, della deliberazione del Consiglio dei ministri e degli altri adempimenti del procedimento prescritti dalla legge di delegazione. 2. L'emanazione del decreto legislativo deve avvenire entro il termine fissato dalla legge di delegazione; il testo del decreto legislativo adottato dal Governo e' trasmesso al Presidente della Repubblica, per la emanazione, almeno venti giorni prima della scadenza. 3. Se la delega legislativa si riferisce ad una pluralita' di oggetti distinti suscettibili di separata disciplina, il Governo puo' esercitarla mediante piu' atti successivi per uno o piu' degli oggetti predetti. In relazione al termine finale stabilito dalla legge di delegazione, il Governo informa periodicamente le Camere sui criteri che segue nell'organizzazione dell'esercizio della delega. 4. In ogni caso, qualora il termine previsto per l'esercizio della delega ecceda i due anni, il Governo e' tenuto a richiedere il parere delle Camere sugli schemi dei decreti delegati. Il parere e' espresso dalle Commissioni permanenti delle due Camere competenti per materia entro sessanta giorni, indicando specificamente le eventuali disposizioni non ritenute corrispondenti alle direttive della legge di delegazione. Il Governo, nei trenta giorni successivi, esaminato il parere, ritrasmette, con le sue osservazioni e con eventuali modificazioni, i testi alle Commissioni per il parere definitivo che deve essere espresso entro trenta giorni.». La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio e' pubblicata nella G.U.U.E. 4 maggio 2016, n. L 119. Il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE concernente regolamento generale sulla protezione dei dati e' pubblicato nella G.U.U.E. 4 maggio 2016, n. L 119. Il testo dell'art. 11 della legge 25 ottobre 2017, n. 163 (delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - legge di delegazione europea 2016 - 2017) pubblicata nella Gazzetta Ufficiale 6 novembre 2017, n. 259, cosi' recita: «Art. 11 (Criterio direttivo per l'attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio). - 1. Nell'esercizio della delega per l'attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, il Governo e' tenuto a seguire, oltre ai principi e criteri direttivi di cui all'art. 1, comma 1, anche il seguente criterio direttivo specifico: prevedere, per le violazioni delle disposizioni adottate a norma della citata direttiva, l'applicazione della pena detentiva non inferiore nel minimo a sei mesi e non superiore nel massimo a cinque anni, ferma restando la disciplina vigente per le fattispecie penali gia' oggetto di previsione. 2. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate provvedono agli adempimenti di cui al presente articolo con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.». Il decreto legislativo 30 giugno 2003, n. 196 (recante il codice in materia di protezione dei dati personali) e' pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n. 174, S.O. Il testo dell'art. 31 della legge 24 dicembre 2012, n. 234 (recante norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea), pubblicata nella Gazzetta Ufficiale 4 gennaio 2013, n. 3, cosi' recita: «Art. 31 (Procedure per l'esercizio delle deleghe legislative conferite al Governo con la legge di delegazione europea). - 1. In relazione alle deleghe legislative conferite con la legge di delegazione europea per il recepimento delle direttive, il Governo adotta i decreti legislativi entro il termine di quattro mesi antecedenti a quello di recepimento indicato in ciascuna delle direttive; per le direttive il cui termine cosi' determinato sia gia' scaduto alla data di entrata in vigore della legge di delegazione europea, ovvero scada nei tre mesi successivi, il Governo adotta i decreti legislativi di recepimento entro tre mesi dalla data di entrata in vigore della medesima legge; per le direttive che non prevedono un termine di recepimento, il Governo adotta i relativi decreti legislativi entro dodici mesi dalla data di entrata in vigore della legge di delegazione europea. 2. I decreti legislativi sono adottati, nel rispetto dell'art. 14 della legge 23 agosto 1988, n. 400, su proposta del Presidente del Consiglio dei ministri o del Ministro per gli affari europei e del Ministro con competenza prevalente nella materia, di concerto con i Ministri degli affari esteri, della giustizia, dell'economia e delle finanze e con gli altri Ministri interessati in relazione all'oggetto della direttiva. I decreti legislativi sono accompagnati da una tabella di concordanza tra le disposizioni in essi previste e quelle della direttiva da recepire, predisposta dall'amministrazione con competenza istituzionale prevalente nella materia. 3. La legge di delegazione europea indica le direttive in relazione alle quali sugli schemi dei decreti legislativi di recepimento e' acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica. In tal caso gli schemi dei decreti legislativi sono trasmessi, dopo l'acquisizione degli altri pareri previsti dalla legge, alla Camera dei deputati e al Senato della Repubblica affinche' su di essi sia espresso il parere delle competenti Commissioni parlamentari. Decorsi quaranta giorni dalla data di trasmissione, i decreti sono emanati anche in mancanza del parere. Qualora il termine per l'espressione del parere parlamentare di cui al presente comma ovvero i diversi termini previsti dai commi 4 e 9 scadano nei trenta giorni che precedono la scadenza dei termini di delega previsti ai commi 1 o 5 o successivamente, questi ultimi sono prorogati di tre mesi. 4. Gli schemi dei decreti legislativi recanti recepimento delle direttive che comportino conseguenze finanziarie sono corredati della relazione tecnica di cui all'art. 17, comma 3, della legge 31 dicembre 2009, n. 196. Su di essi e' richiesto anche il parere delle Commissioni parlamentari competenti per i profili finanziari. Il Governo, ove non intenda conformarsi alle condizioni formulate con riferimento all'esigenza di garantire il rispetto dell'art. 81, quarto comma, della Costituzione, ritrasmette alle Camere i testi, corredati dei necessari elementi integrativi d'informazione, per i pareri definitivi delle Commissioni parlamentari competenti per i profili finanziari, che devono essere espressi entro venti giorni. 5. Entro ventiquattro mesi dalla data di entrata in vigore di ciascuno dei decreti legislativi di cui al comma 1, nel rispetto dei principi e criteri direttivi fissati dalla legge di delegazione europea, il Governo puo' adottare, con la procedura indicata nei commi 2, 3 e 4, disposizioni integrative e correttive dei decreti legislativi emanati ai sensi del citato comma 1, fatto salvo il diverso termine previsto dal comma 6. 6. Con la procedura di cui ai commi 2, 3 e 4 il Governo puo' adottare disposizioni integrative e correttive di decreti legislativi emanati ai sensi del comma 1, al fine di recepire atti delegati dell'Unione europea di cui all'art. 290 del Trattato sul funzionamento dell'Unione europea, che modificano o integrano direttive recepite con tali decreti legislativi. Le disposizioni integrative e correttive di cui al primo periodo sono adottate nel termine di cui al comma 5 o nel diverso termine fissato dalla legge di delegazione europea. Resta ferma la disciplina di cui all'art. 36 per il recepimento degli atti delegati dell'Unione europea che recano meri adeguamenti tecnici. 7. I decreti legislativi di recepimento delle direttive previste dalla legge di delegazione europea, adottati, ai sensi dell'art. 117, quinto comma, della Costituzione, nelle materie di competenza legislativa delle regioni e delle province autonome, si applicano alle condizioni e secondo le procedure di cui all'art. 41, comma 1. 8. I decreti legislativi adottati ai sensi dell'art. 33 e attinenti a materie di competenza legislativa delle regioni e delle province autonome sono emanati alle condizioni e secondo le procedure di cui all'art. 41, comma 1. 9. Il Governo, quando non intende conformarsi ai pareri parlamentari di cui al comma 3, relativi a sanzioni penali contenute negli schemi di decreti legislativi recanti attuazione delle direttive, ritrasmette i testi, con le sue osservazioni e con eventuali modificazioni, alla Camera dei deputati e al Senato della Repubblica. Decorsi venti giorni dalla data di ritrasmissione, i decreti sono emanati anche in mancanza di nuovo parere.». |
| Art. 2
Definizioni
1. Ai fini del presente decreto, si applicano le seguenti definizioni: a) dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); b) trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati, applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; c) limitazione di trattamento: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro; d) pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano piu' essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile; e) profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilita', il comportamento, l'ubicazione o gli spostamenti di detta persona fisica; f) archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico; g) autorita' competente: 1) qualsiasi autorita' pubblica dello Stato, di uno Stato membro dell'Unione europea o di uno Stato terzo competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; 2) qualsiasi altro organismo o entita' incaricato dagli ordinamenti interni di esercitare l'autorita' pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica; h) titolare del trattamento: l'autorita' competente che, singolarmente o insieme ad altri, determina le finalita' e i mezzi del trattamento di dati personali; quando le finalita' e i mezzi di tale trattamento sono determinati dal diritto dell'Unione europea o dello Stato, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere previsti dal diritto dell'Unione europea o dello Stato; i) responsabile del trattamento: la persona fisica o giuridica, l'autorita' pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; l) destinatario: la persona fisica o giuridica, l'autorita' pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorita' pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione europea o dello Stato non sono considerate destinatari; il trattamento di tali dati da parte di tali autorita' pubbliche e' conforme alle norme in materia di protezione dei dati applicabili secondo le finalita' del trattamento; m) violazione dei dati personali: la violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; n) dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione; o) dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; p) dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute; q) file di log: registro degli accessi e delle operazioni; r) autorita' di controllo: l'autorita' pubblica indipendente istituita negli Stati membri ai sensi dell'articolo 41 della direttiva; s) il Garante: autorita' di controllo nell'ordinamento interno, individuata nel Garante per la protezione dei dati personali, istituito dal decreto legislativo 30 giugno 2003, n. 196; t) organizzazione internazionale: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o piu' Stati; u) Codice: Codice in materia di protezione dei dati personali, adottato con il decreto legislativo 30 giugno 2003, n. 196; v) Stato membro: Stato membro dell'Unione europea; z) Paese terzo: Stato non membro dell'Unione europea; aa) direttiva: la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016; bb) regolamento UE: il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016; cc) Forze di polizia: le Forze di polizia di cui all'articolo 16 della legge 1° aprile 1981, n. 121.
Note all'art. 2: Per i riferimenti normativi del decreto legislativo 30 giugno 2003, n. 196 si veda nelle note alle premesse. Il testo dell'art. 16 della legge 1° aprile 1981, n. 121 (recante nuovo ordinamento dell'Amministrazione della pubblica sicurezza), pubblicata nella Gazzetta Ufficiale 10 aprile 1981, n. 100, S.O., cosi' recita: «Art. 16 (Forze di polizia). - Ai fini della tutela dell'ordine e della sicurezza pubblica, oltre alla polizia di Stato sono forze di polizia, fermi restando i rispettivi ordinamenti e dipendenze: a) l'Arma dei carabinieri, quale forza armata in servizio permanente di pubblica sicurezza; b) il Corpo della guardia di finanza, per il concorso al mantenimento dell'ordine e della sicurezza pubblica. Fatte salve le rispettive attribuzioni e le normative dei vigenti ordinamenti, sono altresi' forze di polizia e possono essere chiamati a concorrere nell'espletamento di servizi di ordine e sicurezza pubblica il Corpo degli agenti di custodia e il Corpo forestale dello Stato. Le forze di polizia possono essere utilizzate anche per il servizio di pubblico soccorso.». |
| Art. 3
Principi applicabili al trattamento di dati personali
1. I dati personali di cui all'articolo 1, comma 2, sono: a) trattati in modo lecito e corretto; b) raccolti per finalita' determinate, espresse e legittime e trattati in modo compatibile con tali finalita'; c) adeguati, pertinenti e non eccedenti rispetto alle finalita' per le quali sono trattati; d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalita' per le quali sono trattati; e) conservati con modalita' che consentano l'identificazione degli interessati per il tempo necessario al conseguimento delle finalita' per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessita' di conservazione, cancellati o anonimizzati una volta decorso tale termine; f) trattati in modo da garantire un'adeguata sicurezza e protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, mediante l'adozione di misure tecniche e organizzative adeguate. 2. Il trattamento per una delle finalita' di cui all'articolo 1, comma 2, diversa da quella per cui i dati sono raccolti, e' consentito se il titolare del trattamento, anche se diverso da quello che ha raccolto i dati, e' autorizzato a trattarli per detta finalita', conformemente al diritto dell'Unione europea o dell'ordinamento interno e se il trattamento e' necessario e proporzionato a tale diversa finalita', conformemente al diritto dell'Unione europea o dell'ordinamento interno. 3. Il trattamento per le finalita' di cui all'articolo 1, comma 2, puo' comprendere l'archiviazione nel pubblico interesse, l'utilizzo scientifico, storico o statistico, fatte salve le garanzie adeguate per i diritti e le liberta' degli interessati. 4. Il titolare del trattamento e' responsabile del rispetto dei principi di cui ai commi 1, 2 e 3. |
| Art. 4
Conservazione e verifica della qualita' dei dati, distinzione tra categorie di interessati e di dati
1. Il titolare del trattamento, tenuto conto della finalita' del trattamento e per quanto possibile, distingue i dati personali in relazione alle diverse categorie di interessati previste dalla legge e i dati fondati su fatti da quelli fondati su valutazioni. La distinzione in relazione alle diverse categorie di interessati si applica, in particolare, alle seguenti categorie di interessati: persone sottoposte a indagine; imputati; persone sottoposte a indagine o imputate in procedimento connesso o collegato; persone condannate con sentenza definitiva; persone offese dal reato; parti civili; persone informate sui fatti; testimoni. 2. Le autorita' competenti adottano misure adeguate a garantire che i dati personali inesatti, incompleti o non aggiornati non siano trasmessi o resi disponibili. A tal fine ciascuna autorita' competente, per quanto possibile, verifica la qualita' dei dati personali prima che questi siano trasmessi o resi disponibili e correda la loro trasmissione delle informazioni che consentono all'autorita' ricevente di valutarne il grado di esattezza, completezza, aggiornamento e affidabilita'. 3. Quando risulta che i dati personali sono stati trasmessi illecitamente o sono inesatti, il destinatario ne e' tempestivamente informato. In tal caso, i dati personali devono essere rettificati o cancellati o il trattamento deve essere limitato a norma dell'articolo 12. |
| Art. 5
Liceita' del trattamento
1. Il trattamento e' lecito se e' necessario per l'esecuzione di un compito di un'autorita' competente per le finalita' di cui all'articolo 1, comma 2, e si basa sul diritto dell'Unione europea o su disposizioni di legge o, nei casi previsti dalla legge, di regolamento che individuano i dati personali e le finalita' del trattamento. 2. Con decreto del Presidente della Repubblica, adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, sono individuati, per i trattamenti o le categorie di trattamenti non occasionali di cui al comma 1, i termini, ove non gia' stabiliti da disposizioni di legge o di regolamento, e le modalita' di conservazione dei dati, i soggetti legittimati ad accedervi, le condizioni di accesso, le modalita' di consultazione, nonche' le modalita' e le condizioni per l'esercizio dei diritti di cui agli articoli 9, 10, 11 e 13. I termini di conservazione sono determinati in conformita' ai criteri indicati all'articolo 3, comma 1, tenendo conto delle diverse categorie di interessati e delle finalita' perseguite.
Note all'art. 5: Il testo dell'art. 17, comma 1, della legge 23 agosto 1988, n. 400, citato nelle note alle premesse, cosi' recita: «Art. 17 (Regolamenti). - 1. Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, sentito il parere del Consiglio di Stato che deve pronunziarsi entro novanta giorni dalla richiesta, possono essere emanati regolamenti per disciplinare: a) l'esecuzione delle leggi e dei decreti legislativi, nonche' dei regolamenti comunitari; b) l'attuazione e l'integrazione delle leggi e dei decreti legislativi recanti norme di principio, esclusi quelli relativi a materie riservate alla competenza regionale; c) le materie in cui manchi la disciplina da parte di leggi o di atti aventi forza di legge, sempre che non si tratti di materie comunque riservate alla legge; d) l'organizzazione ed il funzionamento delle amministrazioni pubbliche secondo le disposizioni dettate dalla legge; e). 2. Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, sentito il Consiglio di Stato e previo parere delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, sono emanati i regolamenti per la disciplina delle materie, non coperte da riserva assoluta di legge prevista dalla Costituzione, per le quali le leggi della Repubblica, autorizzando l'esercizio della potesta' regolamentare del Governo, determinano le norme generali regolatrici della materia e dispongono l'abrogazione delle norme vigenti, con effetto dall'entrata in vigore delle norme regolamentari. 3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del ministro o di autorita' sottordinate al ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di piu' ministri, possono essere adottati con decreti interministeriali, ferma restando la necessita' di apposita autorizzazione da parte della legge. I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei ministri prima della loro emanazione. 4. I regolamenti di cui al comma 1 ed i regolamenti ministeriali ed interministeriali, che devono recare la denominazione di «regolamento», sono adottati previo parere del Consiglio di Stato, sottoposti al visto ed alla registrazione della Corte dei conti e pubblicati nella Gazzetta Ufficiale. 4-bis. L'organizzazione e la disciplina degli uffici dei Ministeri sono determinate, con regolamenti emanati ai sensi del comma 2, su proposta del Ministro competente d'intesa con il Presidente del Consiglio dei ministri e con il Ministro del tesoro, nel rispetto dei principi posti dal decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni, con i contenuti e con l'osservanza dei criteri che seguono: a) riordino degli uffici di diretta collaborazione con i Ministri ed i Sottosegretari di Stato, stabilendo che tali uffici hanno esclusive competenze di supporto dell'organo di direzione politica e di raccordo tra questo e l'amministrazione; b) individuazione degli uffici di livello dirigenziale generale, centrali e periferici, mediante diversificazione tra strutture con funzioni finali e con funzioni strumentali e loro organizzazione per funzioni omogenee e secondo criteri di flessibilita' eliminando le duplicazioni funzionali; c) previsione di strumenti di verifica periodica dell'organizzazione e dei risultati; d) indicazione e revisione periodica della consistenza delle piante organiche; e) previsione di decreti ministeriali di natura non regolamentare per la definizione dei compiti delle unita' dirigenziali nell'ambito degli uffici dirigenziali generali. 4-ter. Con regolamenti da emanare ai sensi del comma 1 del presente articolo, si provvede al periodico riordino delle disposizioni regolamentari vigenti, alla ricognizione di quelle che sono state oggetto di abrogazione implicita e all'espressa abrogazione di quelle che hanno esaurito la loro funzione o sono prive di effettivo contenuto normativo o sono comunque obsolete.». |
| Art. 6
Condizioni di trattamento specifiche
1. I dati personali raccolti per le finalita' di cui all'articolo 1, comma 2, non possono essere trattati per finalita' diverse, salvo che tale trattamento sia consentito dal diritto dell'Unione europea o dalla legge. 2. Ai trattamenti eseguiti per finalita' diverse da quelle di cui all'articolo 1, comma 2, comprese le attivita' di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per finalita' statistiche, si applica il regolamento UE, salve le disposizioni di cui all'articolo 58 del Codice. 3. Se il diritto dell'Unione europea o le disposizioni legislative o regolamentari prevedono condizioni specifiche per il trattamento dei dati personali, l'autorita' competente che trasmette tali dati informa il destinatario delle condizioni e dell'obbligo di rispettarle. 4. L'autorita' competente che trasmette i dati applica le stesse condizioni previste per le trasmissioni di dati all'interno dello Stato ai destinatari di altri Stati membri o ad agenzie, uffici e organi istituiti a norma del titolo V, capi 4 e 5, del Trattato sul funzionamento dell'Unione europea.
Note all'art. 6: Il testo dell'art. 58 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, cosi' recita: «Art. 58 (Disposizioni applicabili). - 1. Ai trattamenti effettuati dagli organismi di cui agli articoli 3, 4 e 6 della legge 24 ottobre 1977, n. 801, ovvero sui dati coperti da segreto di Stato ai sensi dell'art. 12 della medesima legge, le disposizioni del presente codice si applicano limitatamente a quelle previste negli articoli da 1 a 6, 11, 14, 15, 31, 33, 58, 154, 160 e 169. 2. Ai trattamenti effettuati da soggetti pubblici per finalita' di difesa o di sicurezza dello Stato, in base ad espresse disposizioni di legge che prevedano specificamente il trattamento, le disposizioni del presente codice si applicano limitatamente a quelle indicate nel comma 1, nonche' alle disposizioni di cui agli articoli 37, 38 e 163. 3. Le misure di sicurezza relative ai dati trattati dagli organismi di cui al comma 1 sono stabilite e periodicamente aggiornate con decreto del Presidente del Consiglio dei ministri, con l'osservanza delle norme che regolano la materia. 4. Con decreto del Presidente del Consiglio dei ministri sono individuate le modalita' di applicazione delle disposizioni applicabili del presente codice in riferimento alle tipologie di dati, di interessati, di operazioni di trattamento eseguibili e di incaricati, anche in relazione all'aggiornamento e alla conservazione.». |
| Art. 7
Trattamento di categorie particolari di dati personali
1. Il trattamento di dati di cui all'articolo 9 del regolamento UE e' autorizzato solo se strettamente necessario e assistito da garanzie adeguate per i diritti e le liberta' dell'interessato e specificamente previsto dal diritto dell'Unione europea o da legge o, nei casi previsti dalla legge, da regolamento, ovvero, ferme le garanzie dei diritti e delle liberta', se necessario per salvaguardare un interesse vitale dell'interessato o di un'altra persona fisica o se ha ad oggetto dati resi manifestamente pubblici dall'interessato. |
| Art. 8
Processo decisionale automatizzato relativo alle persone fisiche
1. Sono vietate le decisioni basate unicamente su un trattamento automatizzato, compresa la profilazione, che producono effetti negativi nei confronti dell'interessato, salvo che siano autorizzate dal diritto dell'Unione europea o da specifiche disposizioni di legge. 2. Le disposizioni di legge devono prevedere garanzie adeguate per i diritti e le liberta' dell'interessato. In ogni caso e' garantito il diritto di ottenere l'intervento umano da parte del titolare del trattamento. 3. Le decisioni di cui al comma 1 non possono basarsi sulle categorie particolari di dati personali di cui all'articolo 9 del regolamento UE, salvo che siano in vigore misure adeguate a salvaguardia dei diritti, delle liberta' e dei legittimi interessi dell'interessato. 4. Fermo il divieto di cui all'articolo 21 della Carta dei diritti fondamentali dell'Unione europea, e' vietata la profilazione finalizzata alla discriminazione di persone fisiche sulla base di categorie particolari di dati personali di cui all'articolo 9 del regolamento UE.
Note all'art. 8: Il testo dell'art. 21 della Carta dei diritti fondamentali dell'Unione europea, pubblicata nella G.U.U.E. 14 dicembre 2007, n. C 303, cosi' recita: «Art. 21 (Non discriminazione). - 1. E' vietata qualsiasi forma di discriminazione fondata, in particolare, sul sesso, la razza, il colore della pelle o l'origine etnica o sociale, le caratteristiche genetiche, la lingua, la religione o le convinzioni personali, le opinioni politiche o di qualsiasi altra natura, l'appartenenza ad una minoranza nazionale, il patrimonio, la nascita, la disabilita', l'eta' o l'orientamento sessuale. 2. Nell'ambito d'applicazione dei trattati e fatte salve disposizioni specifiche in essi contenute, e' vietata qualsiasi discriminazione in base alla nazionalita'.». |
| Art. 9
Comunicazioni e modalita' per l'esercizio dei diritti dell'interessato
1. Il titolare del trattamento adotta misure adeguate a fornire all'interessato tutte le informazioni di cui all'articolo 10 ed effettua le comunicazioni relative al trattamento di cui agli articoli 8, 11, 12, 13, 14 e 27, in forma concisa, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite con qualsiasi mezzo adeguato, anche per via elettronica, se possibile con le stesse modalita' della richiesta. 2. Il titolare del trattamento facilita l'esercizio dei diritti di cui agli articoli 8, 11, 12, 13 e 14 da parte dell'interessato. 3. Il titolare del trattamento informa l'interessato senza ingiustificato ritardo e per iscritto dell'esito della sua richiesta. 4. E' assicurata la gratuita' del rilascio di informazioni ai sensi dell'articolo 10 e dell'esercizio dei diritti previsti dagli articoli 8, 11, 12, 13, 14 e 27. Si applicano le disposizioni di cui all'articolo 12, paragrafo 5, secondo periodo, del regolamento UE. 5. Fermo quanto previsto dall'articolo 5, comma 1, con decreto adottato dal Ministro competente sono individuati, ove necessario anche per categorie, i trattamenti non occasionali effettuati con strumenti elettronici per le finalita' di cui all'articolo 1, comma 2, previsti da disposizioni di legge o di regolamento, nonche' i relativi titolari. |
| Art. 10
Informazioni da rendere disponibili o da fornire all'interessato
1. Il titolare del trattamento mette a disposizione dell'interessato, anche sul proprio sito internet, le seguenti informazioni: a) l'identita' e i dati di contatto del titolare del trattamento; b) i dati di contatto del responsabile della protezione dei dati, se previsto; c) le finalita' del trattamento cui sono destinati i dati personali; d) la sussistenza del diritto di proporre reclamo al Garante e i relativi dati di contatto; e) la sussistenza del diritto di chiedere al titolare del trattamento l'accesso ai dati e la rettifica o la cancellazione dei dati personali e la limitazione del trattamento dei dati personali che lo riguardano. 2. In aggiunta alle informazioni di cui al comma 1, il titolare del trattamento, quando previsto da disposizioni di legge o di regolamento, fornisce all'interessato le seguenti ulteriori informazioni, funzionali all'esercizio dei propri diritti: a) il titolo giuridico del trattamento; b) il periodo di conservazione dei dati personali o, se non e' possibile, i criteri per determinare tale periodo; c) le categorie di destinatari dei dati personali, anche in Paesi terzi o in seno a organizzazioni internazionali; d) le ulteriori informazioni ritenute utili all'esercizio dei diritti, in particolare nel caso in cui i dati personali siano stati raccolti all'insaputa dell'interessato. |
| Art. 11
Diritto di accesso dell'interessato
1. L'interessato ha il diritto di ottenere dal titolare del trattamento conferma dell'esistenza di un trattamento in corso di dati personali che lo riguardano e, in tal caso, l'accesso ai dati e alle seguenti informazioni: a) le finalita' e il titolo giuridico del trattamento; b) le categorie di dati personali trattati; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati comunicati; d) il periodo di conservazione dei dati personali o, se non e' possibile, i criteri per determinare tale periodo; e) il diritto di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano; f) il diritto di proporre reclamo al Garante, con i relativi dati di contatto; g) la comunicazione dei dati personali oggetto del trattamento e di tutte le informazioni disponibili sulla loro origine. 2. Nei casi di cui all'articolo 14, comma 2, il titolare del trattamento informa l'interessato, senza ingiustificato ritardo e per iscritto, di ogni rifiuto o limitazione dell'accesso e dei relativi motivi, nonche' del diritto di proporre reclamo dinanzi al Garante o di proporre ricorso giurisdizionale. 3. Il titolare del trattamento documenta i motivi di fatto o di diritto su cui si basa la decisione di cui al comma 2. Tali informazioni sono rese disponibili al Garante. |
| Art. 12
Diritto di rettifica o cancellazione di dati personali e limitazione di trattamento
1. L'interessato ha il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che lo riguardano. Tenuto conto delle finalita' del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa. 2. Fermo quanto previsto dall'articolo 14, comma 1 e 2, il titolare del trattamento cancella senza ingiustificato ritardo i dati personali, quando il trattamento si pone in contrasto con le disposizioni di cui agli articoli 3, 5 o 7 e in ogni altro caso previsto dalla legge. 3. In luogo della cancellazione, il titolare del trattamento limita il trattamento quando l'esattezza dei dati, contestata dall'interessato, non puo' essere accertata o se i dati devono essere conservati a fini probatori. 4. Quando il trattamento e' limitato per l'impossibilita' di accertare l'esattezza dei dati, il titolare del trattamento informa l'interessato prima di revocare la limitazione. 5. L'interessato ha diritto di essere informato per iscritto dal titolare del trattamento del rifiuto di rettifica, di cancellazione o di limitazione del trattamento e dei relativi motivi, nonche' del diritto di proporre reclamo dinanzi al Garante o di proporre ricorso giurisdizionale. 7. Il titolare del trattamento comunica le rettifiche dei dati personali inesatti all'autorita' competente da cui provengono. 8. Qualora i dati personali siano stati rettificati o cancellati o il trattamento sia stato limitato ai sensi dei commi 1, 2 e 3, il titolare del trattamento ne informa i destinatari e questi provvedono, sotto la propria responsabilita', alla rettifica o cancellazione dei dati personali ovvero alla limitazione del trattamento. |
| Art. 13
Esercizio dei diritti dell'interessato e verifica da parte del Garante
1. Al di fuori dei casi di trattamento effettuato dall'autorita' giudiziaria per le finalita' di cui all'articolo 1, comma 2, i diritti dell'interessato possono essere esercitati anche tramite il Garante con le modalita' di cui all'articolo 160 del codice. 2. Il titolare del trattamento informa l'interessato della facolta' di cui al comma 1. 3. Nei casi di cui al comma 1, il Garante informa l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonche' del diritto dell'interessato di proporre ricorso giurisdizionale.
Note all'art. 13: Il testo dell'art. 160 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, cosi' recita: «Art. 160 (Particolari accertamenti). - 1. Per i trattamenti di dati personali indicati nei titoli I, II e III della Parte II gli accertamenti sono effettuati per il tramite di un componente designato dal Garante. 2. Se il trattamento non risulta conforme alle disposizioni di legge o di regolamento, il Garante indica al titolare o al responsabile le necessarie modificazioni ed integrazioni e ne verifica l'attuazione. Se l'accertamento e' stato richiesto dall'interessato, a quest'ultimo e' fornito in ogni caso un riscontro circa il relativo esito, se cio' non pregiudica azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione di reati o ricorrono motivi di difesa o di sicurezza dello Stato. 3. Gli accertamenti non sono delegabili. Quando risulta necessario in ragione della specificita' della verifica, il componente designato puo' farsi assistere da personale specializzato tenuto al segreto ai sensi dell'art. 156, comma 8. Gli atti e i documenti acquisiti sono custoditi secondo modalita' tali da assicurarne la segretezza e sono conoscibili dal presidente e dai componenti del Garante e, se necessario per lo svolgimento delle funzioni dell'organo, da un numero delimitato di addetti all'Ufficio individuati dal Garante sulla base di criteri definiti dal regolamento di cui all'art. 156, comma 3, lettera a). 4. Per gli accertamenti relativi agli organismi di informazione e di sicurezza e ai dati coperti da segreto di Stato il componente designato prende visione degli atti e dei documenti rilevanti e riferisce oralmente nelle riunioni del Garante. 5. Nell'effettuare gli accertamenti di cui al presente articolo nei riguardi di uffici giudiziari, il Garante adotta idonee modalita' nel rispetto delle reciproche attribuzioni e della particolare collocazione istituzionale dell'organo procedente. Gli accertamenti riferiti ad atti di indagine coperti dal segreto sono differiti, se vi e' richiesta dell'organo procedente, al momento in cui cessa il segreto. 6. La validita', l'efficacia e l'utilizzabilita' di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale.». |
| Art. 14
Limitazioni dell'esercizio dei diritti dell'interessato
1. I diritti di cui agli articoli 10, 11 e 12, relativamente ai dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, sono esercitati conformemente a quanto previsto dalle disposizioni di legge o di regolamento che disciplinano tali atti e procedimenti. Chiunque vi abbia interesse, durante il procedimento penale o dopo la sua definizione, puo' chiedere, con le modalita' di cui all'articolo 116 del codice di procedura penale, la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano. Il giudice provvede con le forme dell'articolo 130 del codice di procedura penale. 2. Fermo quanto previsto dal comma 1, l'esercizio dei diritti di cui agli articoli 11, commi 1 e 2, e 12, comma 5, nonche' l'adempimento dell'obbligo di cui all'articolo 10, comma 2, possono essere ritardati, limitati o esclusi, con disposizione di legge o di regolamento adottato ai sensi dell'articolo 5, comma 2, nella misura e per il tempo in cui cio' costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata al fine di: a) non compromettere il buon esito dell'attivita' di prevenzione, indagine, accertamento e perseguimento di reati o l'esecuzione di sanzioni penali, nonche' l'applicazione delle misure di prevenzione personali e patrimoniali e delle misure di sicurezza; b) tutelare la sicurezza pubblica; c) tutelare la sicurezza nazionale; d) tutelare i diritti e le liberta' altrui.
Note all'art. 14: Il testo dell'articolo dell'art. 130 del codice di procedura penale, cosi' recita: «Art. 130 (Correzione di errori materiali). - 1. La correzione delle sentenze, delle ordinanze e dei decreti inficiati da errori od omissioni che non determinano nullita', e la cui eliminazione non comporta una modificazione essenziale dell'atto, e' disposta, anche di ufficio, dal giudice che ha emesso il provvedimento. Se questo e' impugnato, e l'impugnazione non e' dichiarata inammissibile, la correzione e' disposta dal giudice competente a conoscere dell'impugnazione. 1-bis. Quando nella sentenza di applicazione della pena su richiesta delle parti si devono rettificare solo la specie e la quantita' della pena per errore di denominazione o di computo, la correzione e' disposta, anche d'ufficio, dal giudice che ha emesso il provvedimento. Se questo e' impugnato, alla rettificazione provvede la corte di cassazione a norma dell'art. 619, comma 2. 2. Il giudice provvede in camera di consiglio a norma dell'art. 127. Dell'ordinanza che ha disposto la correzione e' fatta annotazione sull'originale dell'atto.». |
| Art. 15
Obblighi del titolare del trattamento
1. Il titolare del trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalita' del trattamento, nonche' dei rischi per i diritti e le liberta' delle persone fisiche, mette in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato in conformita' alle norme del presente decreto. 2. Le misure di cui al comma 1 sono riesaminate e aggiornate qualora necessario e, ove proporzionato rispetto all'attivita' di trattamento, includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento. |
| Art. 16
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
1. Il titolare del trattamento, tenuto conto delle cognizioni tecniche disponibili e dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalita' del trattamento, nonche' dei rischi per i diritti e le liberta' delle persone fisiche, mette in atto misure tecniche e organizzative adeguate, quale la pseudonimizzazione, per garantire la protezione dei dati e per tutelare i diritti degli interessati, in conformita' alle norme del presente decreto. 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalita' del trattamento. Tale obbligo vale per la quantita' dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilita'. In particolare, tali misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. |
| Art. 17
Contitolari del trattamento
1. Due o piu' titolari del trattamento che determinano congiuntamente le finalita' e i mezzi del trattamento sono contitolari del trattamento. 2. I contitolari del trattamento determinano mediante accordo con modalita' trasparenti gli ambiti delle rispettive responsabilita' per l'osservanza delle norme di cui al presente decreto, salvo che detti ambiti siano determinati dal diritto dell'Unione europea o da disposizioni legislative o regolamentari. 3. Con l'accordo di cui al comma 2 e' designato il punto di contatto per gli interessati. Indipendentemente dalle disposizioni di tale accordo, l'interessato puo' esercitare i diritti nei confronti di e contro ciascun titolare del trattamento. |
| Art. 18
Responsabile del trattamento
1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre a responsabili del trattamento che garantiscono misure tecniche e organizzative adeguate ad assicurare la protezione dei dati personali e la tutela dei diritti dell'interessato. 2. Il responsabile del trattamento non puo' ricorrere a un altro responsabile senza preventiva autorizzazione scritta del titolare del trattamento. 3. L'esecuzione dei trattamenti da parte di un responsabile del trattamento e' disciplinata da un contratto o da altro atto giuridico che prevede l'oggetto, la durata, la natura e la finalita' del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Tale contratto o diverso atto giuridico prevede anche che il responsabile del trattamento: a) agisca soltanto su istruzione del titolare del trattamento; b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; c) assista il titolare del trattamento con ogni mezzo adeguato per garantire il rispetto delle disposizioni relative ai diritti dell'interessato; d) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che e' terminata la prestazione dei servizi di trattamento di dati e cancelli le copie esistenti, salvo che il diritto dell'Unione europea o la legge preveda la conservazione dei dati personali; e) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto delle condizioni di cui al presente articolo; f) rispetti le condizioni di cui ai commi 2 e 3 nel caso di ricorso ad altro responsabile del trattamento. 4. Il contratto o il diverso atto di cui al comma 3 e' stipulato per iscritto, anche in formato elettronico. 5. Se un responsabile del trattamento determina, in violazione del presente decreto, le finalita' e i mezzi del trattamento, e' considerato titolare del trattamento. |
| Art. 19
Trattamento sotto l'autorita' del titolare del trattamento o del responsabile del trattamento
1. Il responsabile del trattamento o chiunque agisca sotto la sua autorita' o sotto quella del titolare del trattamento puo' trattare i dati personali cui ha accesso solo in conformita' alle istruzioni del titolare del trattamento, salvo che sia diversamente previsto dal diritto dell'Unione europea o da disposizioni di legge o, nei casi previsti dalla legge, di regolamento. |
| Art. 20
Registri delle attivita' di trattamento
1. I titolari del trattamento tengono un registro di tutte le categorie di attivita' di trattamento sotto la propria responsabilita'. Tale registro contiene le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e, se previsti, di ogni contitolare del trattamento e del responsabile della protezione dei dati; b) le finalita' del trattamento; c) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi o presso organizzazioni internazionali; d) una descrizione delle categorie di interessati e delle categorie di dati personali; e) se previsto, il ricorso alla profilazione; f) se previste, le categorie di trasferimenti di dati personali verso un Paese terzo o verso organizzazioni internazionali; g) un'indicazione del titolo giuridico del trattamento cui sono destinati i dati personali, anche in caso di trasferimento; h) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati personali; i) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 25, comma 1. 2. I responsabili del trattamento tengono un registro di tutte le categorie di attivita' di trattamento svolte per conto di un titolare del trattamento, contenente le seguenti informazioni: a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agiscono e, se esistente, del responsabile della protezione dei dati; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) i trasferimenti di dati personali effettuati su istruzione del titolare del trattamento verso un Paese terzo o verso un'organizzazione internazionale; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 25, comma 1. 3. I registri di cui ai commi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico. Su richiesta, il titolare del trattamento e il responsabile del trattamento mettono tali registri a disposizione del Garante. |
| Art. 21
Registrazione
1. Le operazioni di raccolta, modifica, consultazione, comunicazione, trasferimento, interconnessione e cancellazione di dati, eseguite in sistemi di trattamento automatizzati, sono registrate in appositi file di log, da conservare per la durata stabilita con il decreto di cui all'articolo 5, comma 2. 2. Le registrazioni delle operazioni di cui al comma 1 debbono consentire di conoscere i motivi, la data e l'ora di tali operazioni e, se possibile, di identificare la persona che ha eseguito le operazioni e i destinatari. 3. Le registrazioni sono usate ai soli fini della verifica della liceita' del trattamento, per finalita' di controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito di procedimenti penali. 4. Su richiesta e fatto salvo quanto previsto dall'articolo 37, comma 3, il titolare del trattamento e il responsabile del trattamento mettono le registrazioni a disposizione del Garante. |
| Art. 22
Cooperazione con il Garante
1. Salvo quanto previsto dall'articolo 37, comma 3, il titolare del trattamento e il responsabile del trattamento cooperano, su richiesta, con il Garante. |
| Art. 23
Valutazione d'impatto sulla protezione dei dati
1. Se il trattamento, per l'uso di nuove tecnologie e per la sua natura, per l'ambito di applicazione, per il contesto e per le finalita', presenta un rischio elevato per i diritti e le liberta' delle persone fisiche, il titolare del trattamento, prima di procedere al trattamento, effettua una valutazione del suo impatto sulla protezione dei dati personali. 2. La valutazione di cui al comma 1 contiene una descrizione generale dei trattamenti previsti, una valutazione dei rischi per i diritti e le liberta' degli interessati, le misure previste per affrontare tali rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e il rispetto delle norme del presente decreto. |
| Art. 24
Consultazione preventiva del Garante
1. Salvo quanto previsto dall'articolo 37, comma 6, il titolare del trattamento o il responsabile del trattamento consultano il Garante prima del trattamento di dati personali che figureranno in un nuovo archivio di prossima creazione se: a) una valutazione d'impatto sulla protezione dei dati di cui all'articolo 23 indica che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio; oppure b) il tipo di trattamento presenta un rischio elevato per i diritti e le liberta' degli interessati anche in ragione dell'utilizzo di tecnologie, procedure o meccanismi nuovi ovvero di dati genetici o biometrici. 2. Il Garante e' consultato nel corso dell'esame di un progetto di legge o di uno schema di decreto legislativo ovvero di uno schema di regolamento o decreto non avente carattere regolamentare, suscettibile di rilevare ai fini della garanzia del diritto alla protezione dei dati personali. 3. Il Garante puo' stabilire un elenco di trattamenti soggetti a consultazione preventiva ai sensi del comma 1. 4. Il titolare del trattamento trasmette al Garante la valutazione d'impatto sulla protezione dei dati di cui all'articolo 23 e, su richiesta, ogni altra informazione, al fine di consentire a detta autorita' di effettuare una valutazione della conformita' del trattamento, dei rischi per la protezione dei dati personali dell'interessato e delle relative garanzie. 5. Ove ritenga che il trattamento di cui al comma 1 violi le disposizioni del presente decreto, il Garante fornisce, entro un termine di sei settimane dal ricevimento della richiesta di consultazione, un parere per iscritto al titolare del trattamento e, se esistente, al responsabile del trattamento. Il Garante si avvale dei poteri di cui all'articolo 37, comma 3. 6. Il termine di cui al comma 5 puo' essere prorogato di un mese nel caso di trattamento complesso. Il Garante informa della proroga e dei motivi del ritardo il titolare del trattamento e, se esistente, il responsabile del trattamento, entro un mese dal ricevimento della richiesta di consultazione. |
| Art. 25
Sicurezza del trattamento
1. Il titolare del trattamento e il responsabile del trattamento, tenuto conto delle cognizioni tecniche disponibili, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalita' del trattamento, nonche' del grado di rischio per i diritti e le liberta' delle persone fisiche, mettono in atto misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio di violazione dei dati. 2. Per il trattamento automatizzato il titolare o il responsabile del trattamento, previa valutazione dei rischi, adottano misure volte a: a) vietare alle persone non autorizzate l'accesso alle attrezzature utilizzate per il trattamento («controllo dell'accesso alle attrezzature»); b) impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate («controllo dei supporti di dati»); c) impedire che i dati personali siano inseriti senza autorizzazione e che i dati personali conservati siano visionati, modificati o cancellati senza autorizzazione («controllo della conservazione»); d) impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato mediante attrezzature per la trasmissione di dati («controllo dell'utente»); e) garantire che le persone autorizzate a usare un sistema di trattamento automatizzato abbiano accesso solo ai dati personali cui si riferisce la loro autorizzazione d'accesso («controllo dell'accesso ai dati»); f) garantire la possibilita' di individuare i soggetti ai quali siano stati o possano essere trasmessi o resi disponibili i dati personali utilizzando attrezzature per la trasmissione di dati («controllo della trasmissione»); g) garantire la possibilita' di verificare e accertare a posteriori quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato, il momento della loro introduzione e la persona che l'ha effettuata («controllo dell'introduzione»); h) impedire che i dati personali possano essere letti, copiati, modificati o cancellati in modo non autorizzato durante i trasferimenti di dati personali o il trasporto di supporti di dati («controllo del trasporto»); i) garantire che, in caso di interruzione, i sistemi utilizzati possano essere ripristinati («recupero»); l) garantire che le funzioni del sistema siano operative, che eventuali errori di funzionamento siano segnalati («affidabilita'») e che i dati personali conservati non possano essere falsati da un errore di funzionamento del sistema («integrita'»). |
| Art. 26
Notifica al Garante di una violazione di dati personali
1. Salvo quanto previsto dall'articolo 37, comma 6, in caso di violazione di dati personali, il titolare del trattamento notifica la violazione al Garante con le modalita' di cui all'articolo 33 del regolamento UE. 2. Se la violazione dei dati personali riguarda dati personali che sono stati trasmessi dal o al titolare del trattamento di un altro Stato membro, le informazioni previste dal citato articolo 33 del regolamento UE sono comunicate, senza ingiustificato ritardo, al titolare del trattamento di tale Stato membro. |
| Art. 27
Comunicazione di una violazione di dati personali all'interessato
1. Quando la violazione di dati personali e' suscettibile di presentare un rischio elevato per i diritti e le liberta' delle persone fisiche, si osservano le disposizioni in tema di comunicazioni di cui all'articolo 34 del regolamento UE. 2. La comunicazione all'interessato di cui al comma 1 puo' essere ritardata, limitata od omessa alle condizioni e per i motivi di cui all'articolo 14, comma 2. |
| Art. 28
Designazione del responsabile della protezione dei dati
1. Il titolare del trattamento designa un responsabile della protezione dei dati. 2. Il responsabile della protezione dei dati e' designato in funzione delle qualita' professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacita' di assolvere i compiti di cui all'articolo 30. 3. Puo' essere designato un unico responsabile della protezione dei dati per piu' autorita' competenti, tenuto conto della loro struttura organizzativa e dimensione. 4. Il titolare del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e, salvo quanto previsto dall'articolo 37, comma 6, li comunica al Garante. |
| Art. 29
Posizione del responsabile della protezione dei dati
1. Il titolare del trattamento si assicura che il responsabile della protezione dei dati sia coinvolto adeguatamente e tempestivamente in tutte le questioni riguardanti la protezione dei dati personali. 2. Il titolare del trattamento coadiuva il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 30 fornendogli le risorse necessarie per assolvere tali compiti, per accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica. |
| Art. 30
Compiti del responsabile della protezione dei dati
1. Il titolare del trattamento conferisce al responsabile della protezione dei dati almeno i seguenti compiti: a) informare il titolare del trattamento e i dipendenti che effettuano il trattamento degli obblighi derivanti dal presente decreto nonche' da altre disposizioni dell'Unione europea o dello Stato relative alla protezione dei dati; b) vigilare sull'osservanza del presente decreto e di altre disposizioni dell'Unione europea o dello Stato relative alla protezione dei dati nonche' delle previsioni di programma del titolare del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilita', la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attivita' di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 23; d) cooperare con il Garante; e) fungere da punto di contatto per il Garante per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 24, ed effettuare, ove necessario, consultazioni relativamente a qualunque altra questione. |
| Art. 31
Principi generali in materia di trasferimento di dati personali
1. Il trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un Paese terzo o un'organizzazione internazionale, compresi trasferimenti successivi verso un altro Paese terzo o un'altra organizzazione internazionale e' consentito se: a) il trasferimento e' necessario per le finalita' di cui all'articolo 1, comma 2; b) i dati personali sono trasferiti al titolare del trattamento in un Paese terzo o a un'organizzazione internazionale che sia un'autorita' competente per le finalita' di cui all'articolo 1, comma 2; c) qualora i dati personali siano trasmessi o resi disponibili da uno Stato membro, tale Stato ha fornito la propria autorizzazione preliminare al trasferimento conformemente al proprio diritto nazionale; d) la Commissione europea ha adottato una decisione di adeguatezza, a norma dell'articolo 32 o, in mancanza, sono state fornite o esistono garanzie adeguate ai sensi dell'articolo 33; in assenza di una decisione di adeguatezza e di garanzie adeguate, si applicano deroghe per situazioni specifiche ai sensi dell'articolo 34; e e) in caso di trasferimento successivo a un altro Paese terzo o a un'altra organizzazione internazionale, l'autorita' competente che ha effettuato il trasferimento originario o un'altra autorita' competente dello stesso Stato membro autorizza il trasferimento successivo dopo avere valutato tutti i fattori pertinenti, tra cui la gravita' del reato, la finalita' per la quale i dati personali sono stati trasferiti e il livello di protezione dei dati personali previsto nel Paese terzo o nell'organizzazione internazionale verso i quali i dati personali sono successivamente trasferiti. 2. In assenza dell'autorizzazione preliminare di un altro Stato membro di cui al comma 1, lettera c), il trasferimento di dati personali e' consentito solo se necessario per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un Paese terzo o agli interessi vitali di uno Stato membro e l'autorizzazione preliminare non puo' essere ottenuta tempestivamente. L'autorita' competente a rilasciare l'autorizzazione preliminare e' informata senza ritardo. |
| Art. 32
Trasferimento sulla base di una decisione di adeguatezza
1. Il trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale e' consentito se la Commissione europea ha deciso che il Paese terzo, un territorio o uno o piu' settori specifici all'interno del Paese terzo, o l'organizzazione internazionale garantiscono un livello di protezione adeguato. In tal caso non sono necessarie autorizzazioni specifiche. |
| Art. 33
Trasferimenti soggetti a garanzie adeguate
1. In mancanza o in caso di revoca, modifica o sospensione di una decisione di adeguatezza di cui all'articolo 32, il trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale e' consentito se: a) sono fornite garanzie adeguate per la protezione dei dati personali attraverso uno strumento giuridicamente vincolante; o b) il titolare del trattamento, valutate tutte le circostanze relative allo specifico trasferimento, ritiene che sussistano garanzie adeguate per la protezione dei dati personali. 2. Il titolare del trattamento informa il Garante dei trasferimenti effettuati ai sensi del comma 1, lettera b), e ne conserva documentazione che, su richiesta, mette a disposizione del Garante, con l'indicazione della data e dell'ora del trasferimento, dell'autorita' competente ricevente, della motivazione del trasferimento e dei dati personali trasferiti. |
| Art. 34
Deroghe in situazioni specifiche
1. In mancanza o in caso di revoca, modifica o sospensione di una decisione di adeguatezza ai sensi dell'articolo 32 o di garanzie adeguate di cui all'articolo 33, il trasferimento o una categoria di trasferimenti di dati personali verso un Paese terzo o un'organizzazione internazionale sono consentiti se necessari per una delle seguenti finalita': a) per tutelare un interesse vitale dell'interessato o di un'altra persona; b) per salvaguardare i legittimi interessi dell'interessato quando lo preveda il diritto dello Stato membro che trasferisce i dati personali; c) per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un Paese terzo; d) in singoli casi, per le finalita' di cui all'articolo 1, comma 2; e) in singoli casi, per accertare, esercitare o difendere un diritto in sede giudiziaria in relazione alle finalita' di cui all'articolo 1, comma 2. 2. Nei casi di cui al comma 1, lettere d) ed e), i dati personali non sono trasferiti se l'autorita' competente che effettua il trasferimento valuta i diritti e le liberta' fondamentali dell'interessato prevalenti rispetto all'interesse pubblico al trasferimento. 3. Il trasferimento effettuato ai sensi del comma 1 deve essere documentato e, su richiesta, la documentazione deve essere messa a disposizione del Garante con l'indicazione della data e dell'ora del trasferimento, dell'autorita' competente ricevente, della motivazione del trasferimento e dei dati personali trasferiti. |
| Art. 35
Trasferimenti di dati personali a destinatari stabiliti in Paesi terzi
1. In deroga a quanto previsto dall'articolo 31, comma 1, lettera b), e fatti salvi eventuali accordi internazionali di cui al comma 2, le autorita' competenti di cui all'articolo 2, comma 1, lettera g), numero 1), possono, in singoli e specifici casi previsti da norme di legge o di regolamento o dal diritto dell'Unione europea, trasferire dati personali direttamente a destinatari stabiliti in Paesi terzi se: a) il trasferimento e' strettamente necessario per l'assolvimento di un compito previsto dal diritto dell'Unione europea o dall'ordinamento interno, per le finalita' di cui all'articolo 1, comma 2; b) l'autorita' competente che effettua il trasferimento valuta che i diritti e le liberta' fondamentali dell'interessato non prevalgono sull'interesse pubblico che rende necessario il trasferimento; c) l'autorita' competente che effettua il trasferimento ritiene che il trasferimento a un'autorita' per le finalita' di cui all'articolo 1, comma 2, nel Paese terzo sia inefficace o inidoneo, in particolare in quanto non puo' essere effettuato tempestivamente; d) l'autorita' competente ai fini di cui all'articolo 1, comma 2, nel Paese terzo e' informata senza ingiustificato ritardo, salvo che cio' pregiudichi la finalita' per cui il trasferimento e' effettuato; e) l'autorita' competente che effettua il trasferimento informa il destinatario della finalita' specifica o delle finalita' specifiche per le quali i dati personali devono essere trattati, a condizione che tale trattamento sia necessario. 2. Per accordo internazionale di cui al comma 1 si intende qualsiasi accordo internazionale bilaterale o multilaterale in vigore tra gli Stati membri e Paesi terzi nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia. 3. L'autorita' competente informa il Garante dei trasferimenti previsti dal presente articolo. 4. Il trasferimento effettuato ai sensi del comma 1 e' documentato. |
| Art. 36 Cooperazione internazionale per la protezione dei dati personali e accordi internazionali precedentemente conclusi
1. In relazione ai Paesi terzi e alle organizzazioni internazionali, sono adottate misure appropriate per le finalita' di cui all'articolo 50 del regolamento UE. 2. Restano in vigore, fino alla loro modifica, sostituzione o revoca, gli accordi internazionali relativi al trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali conclusi anteriormente al 6 maggio 2016 e che sono conformi al diritto dell'Unione europea applicabile a tale data. |
| Art. 37
Autorita' di controllo
1. Il Garante e' l'autorita' di controllo incaricata di vigilare sull'applicazione delle norme di cui al presente decreto, al fine di tutelare i diritti e le liberta' fondamentali delle persone fisiche con riguardo al trattamento di dati personali e di agevolare la libera circolazione dei dati all'interno dell'Unione europea. 2. Ai fini di cui al comma 1 sono attribuite al Garante le funzioni di cui all'articolo 154 del Codice, nonche' le seguenti: a) promozione di una diffusa conoscenza e della consapevolezza circa i rischi, le norme, le garanzie e i diritti in relazione al trattamento; b) promozione della consapevolezza in capo ai titolari e responsabili del trattamento dell'importanza degli obblighi previsti dal presente decreto; c) espressione di pareri nei casi previsti dalla legge; d) rilascio, su richiesta dell'interessato, di informazioni in merito all'esercizio dei diritti previsti dal presente decreto e, se del caso, cooperazione, a tal fine, con le autorita' di controllo di altri Stati membri; e) trattazione dei reclami proposti da un interessato, da un organismo, un'organizzazione o un'associazione ai sensi dell'articolo 40 e compimento delle indagini sull'oggetto del reclamo, informando il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un'altra autorita' di controllo; f) supporto agli interessati nella proposizione dei reclami; g) accertamento della liceita' del trattamento ai sensi dell'articolo 13 e informazione all'interessato entro un termine ragionevole dell'esito della verifica ai sensi del comma 3 di detto articolo, o dei motivi per cui non e' stata effettuata; h) collaborazione, anche tramite scambi di informazioni, con le altre autorita' di controllo e attivita' di assistenza reciproca, al fine di garantire l'applicazione e l'attuazione del presente decreto; i) verifica degli sviluppi tecnologici e sociali che presentano un interesse, se ed in quanto incidenti sulla protezione dei dati personali, in particolare l'evoluzione delle tecnologie dell'informazione e della comunicazione; l) prestazione di consulenza in merito ai trattamenti di cui all'articolo 24; m) contribuzione alle attivita' del comitato di cui all'articolo 68 del regolamento UE; 3. Ai fini di cui al comma 1 sono attribuiti al Garante i seguenti poteri: a) svolgere indagini sull'applicazione del presente decreto, anche sulla base di informazioni ricevute da un'altra autorita' di controllo o da un'altra autorita' pubblica. Lo svolgimento delle indagini e' disciplinato dalle disposizioni del Codice; b) ottenere, dal titolare del trattamento e dal responsabile del trattamento, l'accesso a tutti i dati personali oggetto del trattamento e a tutte le informazioni necessarie per l'adempimento dei suoi compiti; c) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento in ordine alle possibili violazioni delle norme del presente decreto; d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente decreto, se del caso, con specifiche modalita' ed entro un determinato termine, ordinando in particolare la rettifica o la cancellazione di dati personali o la limitazione del trattamento ai sensi dell'articolo 12; e) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto e il blocco dello stesso; f) promuovere la segnalazione riservata di violazioni del presente decreto; g) denunciare i reati dei quali viene a conoscenza nell'esercizio o a causa delle funzioni; h) predisporre annualmente una relazione sull'attivita' svolta, da trasmettere al Parlamento e al Governo, ai sensi dell'articolo 154, comma 1, del Codice e da mettere a disposizione del pubblico, della Commissione europea e del comitato di cui all'articolo 68 del regolamento UE, in cui puo' figurare un elenco delle tipologie di violazioni notificate e di sanzioni imposte. 4. I poteri di cui al comma 3 sono esercitati nei modi, nelle forme e con le garanzie previste dalla legge. 5. Le funzioni e i poteri di cui ai commi 2 e 3 sono esercitati senza spese per l'interessato o per il responsabile della protezione dati. Il Garante non provvede in ordine alle richieste manifestamente infondate o inammissibili in quanto ripropongono, senza nuovi elementi, richieste gia' rigettate. 6. Il Garante non e' competente in ordine al controllo del rispetto delle norme del presente decreto, limitatamente ai trattamenti effettuati dall'autorita' giudiziaria nell'esercizio delle funzioni giurisdizionali, nonche' di quelle giudiziarie del pubblico ministero.
Note all'art. 37: Il testo dell'art. 154 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, cosi' recita: «Art. 154 (Compiti). - 1. Oltre a quanto previsto da specifiche disposizioni, il Garante, anche avvalendosi dell'Ufficio e in conformita' al presente codice, ha il compito di: a) controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile e in conformita' alla notificazione, anche in caso di loro cessazione e con riferimento alla conservazione dei dati di traffico; b) esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati o dalle associazioni che li rappresentano; c) prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'art. 143; d) vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell'art. 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali; e) promuovere la sottoscrizione di codici ai sensi dell'art. 12 e dell'art. 139; f) segnalare al Parlamento e al Governo l'opportunita' di interventi normativi richiesti dalla necessita' di tutelare i diritti di cui all'art. 2 anche a seguito dell'evoluzione del settore; g) esprimere pareri nei casi previsti; h) curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalita', nonche' delle misure di sicurezza dei dati; i) denunciare i fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a causa delle funzioni; l) tenere il registro dei trattamenti formato sulla base delle notificazioni di cui all'art. 37; m) predisporre annualmente una relazione sull'attivita' svolta e sullo stato di attuazione del presente codice, che e' trasmessa al Parlamento e al Governo entro il 30 aprile dell'anno successivo a quello cui si riferisce. 2. Il Garante svolge altresi', ai sensi del comma 1, la funzione di controllo o assistenza in materia di trattamento dei dati personali prevista da leggi di ratifica di accordi o convenzioni internazionali o da regolamenti comunitari e, in particolare: a) dalla legge 30 settembre 1993, n. 388, e successive modificazioni, di ratifica ed esecuzione dei protocolli e degli accordi di adesione all'accordo di Schengen e alla relativa convenzione di applicazione; b) dalla legge 23 marzo 1998, n. 93, e successive modificazioni, di ratifica ed esecuzione della convenzione istitutiva dell'Ufficio europeo di polizia (Europol); c) dal regolamento (Ce) n. 515/97 del Consiglio, del 13 marzo 1997, e dalla legge 30 luglio 1998, n. 291, e successive modificazioni, di ratifica ed esecuzione della convenzione sull'uso dell'informatica nel settore doganale; d) dal regolamento (Ce) n. 2725/2000 del Consiglio, dell'11 dicembre 2000, che istituisce l'«Eurodac» per il confronto delle impronte digitali e per l'efficace applicazione della convenzione di Dublino; e) nel capitolo IV della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio 1989, n. 98, quale autorita' designata ai fini della cooperazione tra Stati ai sensi dell'art. 13 della convenzione medesima. 3. Il Garante coopera con altre autorita' amministrative indipendenti nello svolgimento dei rispettivi compiti. A tale fine, il Garante puo' anche invitare rappresentanti di un'altra autorita' a partecipare alle proprie riunioni, o essere invitato alle riunioni di altra autorita', prendendo parte alla discussione di argomenti di comune interesse; puo' richiedere, altresi', la collaborazione di personale specializzato addetto ad altra autorita'. 4. Il Presidente del Consiglio dei ministri e ciascun ministro consultano il Garante all'atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere sulle materie disciplinate dal presente codice. 5. Fatti salvi i termini piu' brevi previsti per legge, il parere del Garante e' reso nei casi previsti nel termine di quarantacinque giorni dal ricevimento della richiesta. Decorso il termine, l'amministrazione puo' procedere indipendentemente dall'acquisizione del parere. Quando, per esigenze istruttorie, non puo' essere rispettato il termine di cui al presente comma, tale termine puo' essere interrotto per una sola volta e il parere deve essere reso definitivamente entro venti giorni dal ricevimento degli elementi istruttori da parte delle amministrazioni interessate. 6. Copia dei provvedimenti emessi dall'autorita' giudiziaria in relazione a quanto previsto dal presente codice o in materia di criminalita' informatica e' trasmessa, a cura della cancelleria, al Garante.». |
| Art. 38
Assistenza reciproca
1. Il Garante coopera con la Commissione europea al fine di contribuire alla coerente applicazione del diritto dell'Unione in materia di protezione dei dati personali, scambia con le autorita' di controllo degli altri Stati membri le informazioni utili e presta assistenza reciproca al fine di attuare e applicare il presente decreto in maniera coerente, e di cooperare efficacemente con loro. L'assistenza reciproca comprende le richieste di informazioni e le misure di controllo, quali le richieste di effettuare consultazioni, ispezioni e indagini. 2. Il Garante adotta, con proprio provvedimento, le misure di cui all'articolo 61, paragrafo 2, del regolamento UE. 3. Le richieste di assistenza sono conformi alle modalita' di cui all'articolo 61, paragrafo 3, del regolamento UE. 4. Il Garante non puo' rifiutare di dare seguito alla richiesta, salvo che sia incompetente o l'intervento richiesto violi il diritto interno o dell'Unione europea. 5. Il Garante osserva le disposizioni di cui all'articolo 61, paragrafi 5, 6 e 7, del regolamento UE. |
| Art. 39
Reclamo al Garante e ricorso giurisdizionale
1. Fermo quanto previsto dall'articolo 37, comma 6, l'interessato, se ritiene che il trattamento dei dati personali che lo riguardano violi le disposizioni del presente decreto, puo' proporre reclamo al Garante, con le modalita' di cui agli articoli 142 e 143 del Codice. 2. Il Garante informa l'interessato dello stato o dell'esito del reclamo, compresa la possibilita' del ricorso giurisdizionale. 3. Per l'inosservanza delle disposizioni del presente decreto in violazione dei suoi diritti, l'interessato puo' proporre ricorso giurisdizionale secondo quanto previsto e regolato dalla disciplina contenuta nella parte III, titolo I, capo II del Codice.
Note all'art. 39: Il testo degli articoli 142 e 143 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, cosi' recita: «Art. 142 (Proposizione dei reclami). - 1. Il reclamo contiene un'indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste, nonche' gli estremi identificativi del titolare, del responsabile, ove conosciuto, e dell'istante. 2. Il reclamo e' sottoscritto dagli interessati, o da associazioni che li rappresentano anche ai sensi dell'art. 9, comma 2, ed e' presentato al Garante senza particolari formalita'. Il reclamo reca in allegato la documentazione utile ai fini della sua valutazione e l'eventuale procura, e indica un recapito per l'invio di comunicazioni anche tramite posta elettronica, telefax o telefono. 3. Il Garante puo' predisporre un modello per il reclamo da pubblicare nel Bollettino e di cui favorisce la disponibilita' con strumenti elettronici. Art. 143 (Procedimento per i reclami). - 1. Esaurita l'istruttoria preliminare, se il reclamo non e' manifestamente infondato e sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della definizione del procedimento: a) prima di prescrivere le misure di cui alla lettera b), ovvero il divieto o il blocco ai sensi della lettera c), puo' invitare il titolare, anche in contraddittorio con l'interessato, ad effettuare il blocco spontaneamente; b) prescrive al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti; c) dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera b), oppure quando, in considerazione della natura dei dati o, comunque, delle modalita' del trattamento o degli effetti che esso puo' determinare, vi e' il concreto rischio del verificarsi di un pregiudizio rilevante per uno o piu' interessati; d) puo' vietare in tutto o in parte il trattamento di dati relativi a singoli soggetti o a categorie di soggetti che si pone in contrasto con rilevanti interessi della collettivita'. 2. I provvedimenti di cui al comma 1 sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana se i relativi destinatari non sono facilmente identificabili per il numero o per la complessita' degli accertamenti.». La parte III, titolo I, capo II del Codice e' cosi' rubricata: «PARTE III Tutela dell'interessato e sanzioni TITOLO I Tutela amministrativa e giurisdizionale CAPO II Tutela giurisdizionale». |
| Art. 40
Rappresentanza degli interessati
1. L'interessato puo' dare mandato a un ente del terzo settore soggetto alla disciplina del decreto legislativo 3 luglio 2017, n. 117, che sia attivo nel settore della tutela dei diritti e delle liberta' degli interessati con riguardo alla protezione dei dati personali, al fine di esercitare per suo conto i diritti di cui all'articolo 39, ferme le disposizioni in materia di patrocinio previste dal codice di procedura civile.
Note all'art. 40: Il decreto legislativo 3 luglio 2017, n. 117 (recante Codice del Terzo settore, a norma dell'art. 1, comma 2, lettera b), della legge 6 giugno 2016, n. 106) e' pubblicato nella Gazzetta Ufficiale 2 agosto 2017, n. 179, S.O. |
| Art. 41
Diritto al risarcimento
1. Il titolare o il responsabile del trattamento sono tenuti, a norma dell'articolo 82 del regolamento UE, al risarcimento del danno patrimoniale o non patrimoniale cagionato da un trattamento o da qualsiasi altro atto compiuti in violazione delle disposizioni del presente decreto. |
| Art. 42
Sanzioni amministrative
1. Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario, la violazione delle disposizioni di cui all'articolo 3, comma 1, lettere a), b), d), e) ed f), all'articolo 4, commi 2 e 3, all'articolo 6, commi 3 e 4, all'articolo 7, all'articolo 8, e' punita con la sanzione amministrativa del pagamento di una somma da 50.000 euro a 150.000 euro. La medesima sanzione amministrativa si applica al trasferimento dei dati personali verso un Paese terzo o un'organizzazione internazionale in assenza della decisione di adeguatezza della Commissione europea, salvo quanto previsto dagli articoli 33 e 34. 2. Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario, e' punita con la sanzione amministrativa del pagamento di una somma da 20.000 euro a 80.000 euro la violazione delle disposizioni di cui all'articolo 14, comma 2. Con la medesima sanzione e' punita la violazione delle disposizioni di cui all'articolo 17, comma 2, all'articolo 18, commi 1, 2, 3 e 4, all'articolo 19, all'articolo 20, all'articolo 21, all'articolo 22, all'articolo 23, all'articolo 24, commi 1 e 4, all'articolo 26, all'articolo 27, all'articolo 28, commi 1 e 4, all'articolo 29, comma 2. 3. Nella determinazione della sanzione amministrativa da applicare secondo quanto previsto dai commi 1 e 2 si tiene conto dei criteri di cui all'articolo 83, paragrafo 2, lettere a), b), c), d), e), f), g), h), i), k), del regolamento UE. 4. Il procedimento per l'applicazione delle sanzioni e' regolato dall'articolo 166 del Codice. Si applica altresi' l'articolo 165 del Codice.
Note all'art. 42: Il testo degli articoli 166 e 165 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, cosi' recita: «Art. 166 (Procedimento di applicazione). - 1. L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo e all'art. 179, comma 3, e' il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni. I proventi, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all'art. 156, comma 10, e sono utilizzati unicamente per l'esercizio dei compiti di cui agli articoli 154, comma 1, lettera h), e 158.». «Art. 165 (Pubblicazione del provvedimento del Garante). - 1. Nei casi di cui agli articoli del presente Capo puo' essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o piu' giornali indicati nel provvedimento che la applica. La pubblicazione ha luogo a cura e spese del contravventore.». |
| Art. 43
Trattamento illecito di dati
1. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall'articolo 5, comma 1, e' punito, se dal fatto deriva nocumento, con la reclusione da sei mesi a un anno e sei mesi o, se la condotta comporta comunicazione o diffusione dei dati, con la reclusione da sei mesi a due anni. 2. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall'articolo 7 o dall'articolo 8, comma 4, e' punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. |
| Art. 44
Falsita' in atti e dichiarazioni al Garante
1. Salvo che il fatto costituisca piu' grave reato, chiunque, in un procedimento dinanzi al Garante riguardante il trattamento dei dati di cui all'articolo 1, comma 2, o nel corso di accertamenti riguardanti i medesimi dati, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, e' punito con la reclusione da sei mesi a tre anni. |
| Art. 45
Inosservanza di provvedimenti del Garante
1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell'articolo 143, comma 1, lettera c), del Codice, in un procedimento riguardante il trattamento dei dati di cui all'articolo 1, comma 2, e' punito con la reclusione da tre mesi a due anni.
Note all'art. 45: Per il testo dell'art. 143 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, si veda nelle note all'art. 39. |
| Art. 46
Pene accessorie
1. La condanna per uno dei delitti previsti dal presente decreto importa la pubblicazione della sentenza, ai sensi dell'articolo 36, secondo e terzo comma, del codice penale.
Note all'art. 46: Il testo dell'art. 36, secondo e terzo comma, del codice penale, cosi' recita: «Art. 36 (Pubblicazione della sentenza penale di condanna). - La sentenza di condanna alla pena di morte o all'ergastolo e' pubblicata mediante affissione nel comune ove e' stata pronunciata, in quello ove il delitto fu commesso, e in quello ove il condannato aveva l'ultima residenza. La sentenza di condanna e' inoltre pubblicata nel sito internet del Ministero della giustizia. La durata della pubblicazione nel sito e' stabilita dal giudice in misura non superiore a trenta giorni. In mancanza, la durata e' di quindici giorni. La pubblicazione e' fatta per estratto, salvo che il giudice disponga la pubblicazione per intero; essa e' eseguita d'ufficio e a spese del condannato. La legge determina gli altri casi nei quali la sentenza di condanna deve essere pubblicata. In tali casi la pubblicazione ha luogo nei modi stabiliti nei due capoversi precedenti.». |
| Art. 47
Modalita' di trattamento e flussi di dati da parte delle Forze di polizia
1. Nei casi in cui le autorita' di pubblica sicurezza o le Forze di polizia possono acquisire in conformita' alle vigenti disposizioni di legge o di regolamento dati, informazioni, atti e documenti da altri soggetti, l'acquisizione puo' essere effettuata anche per via telematica. A tal fine gli organi o uffici interessati possono avvalersi di convenzioni volte ad agevolare la consultazione da parte dei medesimi organi o uffici, mediante reti di comunicazione elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle pertinenti disposizioni e dei principi di cui agli articoli da 3 a 8. Le convenzioni-tipo sono adottate dal Ministero dell'interno, su conforme parere del Garante, e stabiliscono le modalita' dei collegamenti e degli accessi anche al fine di assicurare l'accesso selettivo ai soli dati necessari al perseguimento delle finalita' di cui all'articolo 1, comma 2. 2. I dati trattati dalle Forze di polizia per le finalita' di cui all'articolo 1, comma 2, sono conservati separatamente da quelli registrati per finalita' amministrative che non richiedono il loro utilizzo. 3. Fermo restando quanto previsto dagli articoli da 2 a 7, il Centro elaborazione dati del Dipartimento della pubblica sicurezza assicura l'aggiornamento periodico, la proporzionalita', la pertinenza e la non eccedenza dei dati personali trattati anche attraverso interrogazioni autorizzate del casellario giudiziale e del casellario dei carichi pendenti del Ministero della giustizia di cui al decreto del Presidente della Repubblica 14 novembre 2002, n. 313, o di altre banche di dati delle Forze di polizia, necessarie per le finalita' di cui all'articolo 1, comma 1. 4. Gli organi, uffici e comandi di polizia verificano periodicamente i requisiti di cui agli articoli da 2 a 7 in riferimento ai dati trattati anche senza l'ausilio di strumenti elettronici, e provvedono al loro aggiornamento anche sulla base delle procedure adottate dal Centro elaborazione dati ai sensi del comma 3, o, per i trattamenti effettuati senza l'ausilio di strumenti elettronici, mediante annotazioni o integrazioni dei documenti che li contengono.
Note all'art. 47: Il decreto del Presidente della Repubblica 14 novembre 2002, n. 313, recante «Testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti - Testo A)», e' pubblicato nella Gazzetta Ufficiale 13 febbraio 2003, n. 36, S.O. |
| Art. 48
Tutela dell'interessato
1. Restano ferme le disposizioni di cui dall'articolo 10, commi 3, 4 e 5, della legge 1° aprile 1981, n. 121, e successive modificazioni, concernenti i controlli sul Centro elaborazione dati del Dipartimento della pubblica sicurezza. 2. Le disposizioni di cui all'articolo 10, commi 3, 4 e 5, della legge n. 121 del 1981, si applicano, oltre ai dati destinati a confluire nel Centro elaborazione dati di cui al comma 1, ai dati trattati con l'ausilio di strumenti elettronici da organi, uffici o comandi delle Forze di polizia di cui all'articolo 16 della predetta legge n. 121 del 1981.
Note all'art. 48: Il testo dell'art. 10 della legge 1° aprile 1981, n. 121, recante «Nuovo ordinamento dell'Amministrazione della pubblica sicurezza», pubblicata nella Gazzetta Ufficiale 10 aprile 1981, n. 100, S.O., cosi' recita: «Art. 10 (Controlli). - 1. Il controllo sul Centro elaborazione dati e' esercitato dal Garante per la protezione dei dati personali, nei modi previsti dalla legge e dai regolamenti. 2. I dati e le informazioni conservati negli archivi del Centro possono essere utilizzati in procedimenti giudiziari o amministrativi soltanto attraverso l'acquisizione delle fonti originarie indicate nel primo comma dell'art. 7, fermo restando quanto stabilito dall'art. 240 del codice di procedura penale. Quando nel corso di un procedimento giurisdizionale o amministrativo viene rilevata l'erroneita' o l'incompletezza dei dati e delle informazioni, o l'illegittimita' del loro trattamento, l'autorita' precedente ne da' notizia al Garante per la protezione dei dati personali. 3. La persona alla quale si riferiscono i dati puo' chiedere all'ufficio di cui alla lettera c) del primo comma dell'art. 5 la conferma dell'esistenza di dati personali che lo riguardano, la loro comunicazione in forma intellegibile e, se i dati risultano trattati in violazione di vigenti disposizioni di legge o di regolamento, la loro cancellazione o trasformazione in forma anonima. 4. Esperiti i necessari accertamenti, l'ufficio comunica al richiedente, non oltre trenta giorni dalla richiesta, le determinazioni adottate. L'ufficio puo' omettere di provvedere sulla richiesta se cio' puo' pregiudicare azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione della criminalita', dandone informazione al Garante per la protezione dei dati personali. 5. Chiunque viene a conoscenza dell'esistenza di dati personali che lo riguardano, trattati anche in forma non automatizzata in violazione di disposizioni di legge o di regolamento, puo' chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare la rettifica, l'integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi.». |
| Art. 49
Abrogazioni e disposizioni di coordinamento
1. Gli articoli 53, 54, 55 e 56 del Codice sono abrogati. 2. L'articolo 57 del Codice e' abrogato decorso un anno dalla data di entrata in vigore del presente decreto. 3. I decreti adottati in attuazione degli articoli 53 e 57 del Codice continuano ad applicarsi fino all'adozione di diversa disciplina ai sensi degli articoli 5, comma 2, e 9, comma 5.
Note all'art. 49: Il testo degli articoli 53, 54, 55, 56 e 57 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, cosi' recita: «Art. 53 (Ambito applicativo e titolari dei trattamenti). - 1. Agli effetti del presente codice si intendono effettuati per finalita' di polizia i trattamenti di dati personali direttamente correlati all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonche' di polizia giudiziaria, svolti, ai sensi del codice di procedura penale, per la prevenzione e repressione dei reati. 2. Ai trattamenti di dati personali previsti da disposizioni di legge, di regolamento, nonche' individuati dal decreto di cui al comma 3, effettuati dal Centro elaborazione dati del Dipartimento della pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi, ovvero da organi di pubblica sicurezza o altri soggetti pubblici nell'esercizio delle attribuzioni conferite da disposizioni di legge o di regolamento non si applicano, se il trattamento e' effettuato per finalita' di polizia, le seguenti disposizioni del codice: a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45; b) articoli da 145 a 151. 3. Con decreto adottato dal Ministro dell'interno, previa comunicazione alle competenti Commissioni parlamentari, sono individuati, nell'allegato C) al presente codice, i trattamenti non occasionali di cui al comma 2 effettuati con strumenti elettronici e i relativi titolari. Art. 54 (Modalita' di trattamento e flussi di dati). - 1. Nei casi in cui le autorita' di pubblica sicurezza o le forze di polizia possono acquisire in conformita' alle vigenti disposizioni di legge o di regolamento dati, informazioni, atti e documenti da altri soggetti, l'acquisizione puo' essere effettuata anche per via telematica. A tal fine gli organi o uffici interessati possono avvalersi di convenzioni volte ad agevolare la consultazione da parte dei medesimi organi o uffici, mediante reti di comunicazione elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle pertinenti disposizioni e dei principi di cui agli articoli 3 e 11. Le convenzioni-tipo sono adottate dal Ministero dell'interno, su conforme parere del Garante, e stabiliscono le modalita' dei collegamenti e degli accessi anche al fine di assicurare l'accesso selettivo ai soli dati necessari al perseguimento delle finalita' di cui all'art. 53. 2. I dati trattati per le finalita' di cui al medesimo art. 53 sono conservati separatamente da quelli registrati per finalita' amministrative che non richiedono il loro utilizzo. 3. Fermo restando quanto previsto dall'art. 11, il Centro elaborazioni dati di cui all'art. 53 assicura l'aggiornamento periodico e la pertinenza e non eccedenza dei dati personali trattati anche attraverso interrogazioni autorizzate del casellario giudiziale e del casellario dei carichi pendenti del Ministero della giustizia di cui al decreto del Presidente della Repubblica 14 novembre 2002, n. 313, o di altre banche di dati di forze di polizia, necessarie per le finalita' di cui all'art. 53. 4. Gli organi, uffici e comandi di polizia verificano periodicamente i requisiti di cui all'art. 11 in riferimento ai dati trattati anche senza l'ausilio di strumenti elettronici, e provvedono al loro aggiornamento anche sulla base delle procedure adottate dal Centro elaborazioni dati ai sensi del comma 3, o, per i trattamenti effettuati senza l'ausilio di strumenti elettronici, mediante annotazioni o integrazioni dei documenti che li contengono. Art. 55 (Particolari tecnologie). - 1. Il trattamento di dati personali che implica maggiori rischi di un danno all'interessato, con particolare riguardo a banche di dati genetici o biometrici, a tecniche basate su dati relativi all'ubicazione, a banche di dati basate su particolari tecniche di elaborazione delle informazioni e all'introduzione di particolari tecnologie, e' effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell'interessato prescritti ai sensi dell'art. 17 sulla base di preventiva comunicazione ai sensi dell'art. 39. Art. 56 (Tutela dell'interessato). - 1. Le disposizioni di cui all'art. 10, commi 3, 4 e 5, della legge 1° aprile 1981, n. 121, e successive modificazioni, si applicano anche, oltre che ai dati destinati a confluire nel Centro elaborazione dati di cui all'art. 53, a dati trattati con l'ausilio di strumenti elettronici da organi, uffici o comandi di polizia. Art. 57 (Disposizioni di attuazione). - 1. Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, su proposta del Ministro dell'interno, di concerto con il Ministro della giustizia, sono individuate le modalita' di attuazione dei principi del presente codice relativamente al trattamento dei dati effettuato per le finalita' di cui all'art. 53 dal Centro elaborazioni dati e da organi, uffici o comandi di polizia, anche ad integrazione e modifica del decreto del Presidente della Repubblica 3 maggio 1982, n. 378, e in attuazione della Raccomandazione R (87) 15 del Consiglio d'Europa del 17 settembre 1987, e successive modificazioni. Le modalita' sono individuate con particolare riguardo: a) al principio secondo cui la raccolta dei dati e' correlata alla specifica finalita' perseguita, in relazione alla prevenzione di un pericolo concreto o alla repressione di reati, in particolare per quanto riguarda i trattamenti effettuati per finalita' di analisi; b) all'aggiornamento periodico dei dati, anche relativi a valutazioni effettuate in base alla legge, alle diverse modalita' relative ai dati trattati senza l'ausilio di strumenti elettronici e alle modalita' per rendere conoscibili gli aggiornamenti da parte di altri organi e uffici cui i dati sono stati in precedenza comunicati; c) ai presupposti per effettuare trattamenti per esigenze temporanee o collegati a situazioni particolari, anche ai fini della verifica dei requisiti dei dati ai sensi dell'art. 11, dell'individuazione delle categorie di interessati e della conservazione separata da altri dati che non richiedono il loro utilizzo; d) all'individuazione di specifici termini di conservazione dei dati in relazione alla natura dei dati o agli strumenti utilizzati per il loro trattamento, nonche' alla tipologia dei procedimenti nell'ambito dei quali essi sono trattati o i provvedimenti sono adottati; e) alla comunicazione ad altri soggetti, anche all'estero o per l'esercizio di un diritto o di un interesse legittimo, e alla loro diffusione, ove necessaria in conformita' alla legge; f) all'uso di particolari tecniche di elaborazione e di ricerca delle informazioni, anche mediante il ricorso a sistemi di indice.». |
| Art. 50
Clausola di invarianza finanziaria
1. Dall'attuazione delle disposizioni di cui al presente decreto non devono derivare nuovi o maggiori oneri per la finanza pubblica. Le amministrazioni interessate provvedono agli adempimenti previsti dal presente decreto con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente. Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Dato a Roma, addi' 18 maggio 2018
MATTARELLA
Gentiloni Silveri, Presidente del Consiglio dei ministri
Orlando, Ministro della giustizia
Alfano, Ministro degli affari esteri e della cooperazione internazionale
Minniti, Ministro dell'interno
Padoan, Ministro dell'economia e delle finanze Visto, il Guardasigilli: Orlando |
|
|
|