|
|
| |
|
Legge 675/96 |
TUTELA DELLA PRIVACY
CAPO I - PRINCIPI GENERALI
Art. 1. Finalita' e definizioni
1. La presente legge garantisce che
il trattamento dei dati personali si
svolga nel rispetto dei diritti,
delle libertà fondamentali, nonché
della dignità delle persone fisiche,
con particolare riferimento alla
riservatezza e all'identità
personale; garantisce altresì i
diritti delle persone giuridiche e
di ogni altro ente o associazione.
2. Ai fini della presente legge si
intende:
a) per "banca di dati", qualsiasi
complesso di dati personali,
ripartito in una o più unità
dislocate in uno o più siti,
organizzato secondo una pluralità di
criteri determinati tali da
facilitarne il trattamento;
b) per "trattamento", qualunque
operazione o complesso di
operazioni, svolti con o senza
l'ausilio di mezzi elettronici o
comunque automatizzati, concernenti
la raccolta, la registrazione,
l'organizzazione, la conservazione,
l'elaborazione, la modificazione, la
selezione, l'estrazione, il
raffronto, l'utilizzo,
l'interconnessione, il blocco, la
comunicazione, la diffusione, la
cancellazione e la distruzione di
dati;
c) per "dato personale", qualunque
informazione relativa a persona
fisica, persona giuridica, ente od
associazione, identificati o
identificabili, anche
indirettamente, mediante riferimento
a qualsiasi altra informazione, ivi
compreso un numero di
identificazione personale;
d) per "titolare", la persona
fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi
altro ente, associazione od
organismo cui competono le decisioni
in ordine alle finalità ed alle
modalità del trattamento di dati
personali, ivi compreso il profilo
della sicurezza;
e) per "responsabile", la persona
fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi
altro ente, associazione od
organismo preposti dal titolare al
trattamento di dati personali;
f) per "interessato", la persona
fisica, la persona giuridica, l'ente
o l'associazione cui si riferiscono
i dati personali;
g) per "comunicazione", il dare
conoscenza dei dati personali a uno
o più soggetti determinati diversi
dall'interessato, in qualunque
forma, anche mediante la loro messa
a disposizione o consultazione;
h) per "diffusione", il dare
conoscenza dei dati personali a
soggetti indeterminati, in qualunque
forma, anche mediante la loro messa
a disposizione o consultazione;
i) per "dato anonimo", il dato che
in origine, o a seguito di
trattamento, non può essere
associato ad un interessato
identificato o identificabile;
l) per "blocco", la conservazione di
dati personali con sospensione
temporanea di ogni altra operazione
del trattamento;
m) per "Garante", l'autorità
istituita ai sensi dell'articolo 30.
Art. 2. Ambito di applicazione
1. La presente legge si applica al
trattamento di dati personali da
chiunque effettuato nel territorio
dello Stato.
1-bis.1 La presente legge si applica
anche al trattamento di dati
personali effettuato da chiunque è
stabilito nel territorio di un Paese
non appartenente all’Unione europea
e impiega, per il trattamento, mezzi
situati nel territorio dello Stato
anche diversi da quelli elettronici
o comunque automatizzati, salvo che
essi siano utilizzati solo ai fini
di transito nel territorio
dell’Unione europea.
1-ter.1 Nei casi di cui al comma
1-bis il titolare stabilito nel
territorio di un Paese non
appartenente all’Unione europea deve
designare ai fini dell’applicazione
della presente legge un proprio
rappresentante stabilito nel
territorio dello Stato.
1 Commi aggiunti dall’art. 1, comma
2, d.lg. 28 dicembre 2001, n. 467.
Art. 3. Trattamento di dati per fini
esclusivamente personali
1. Il trattamento di dati personali
effettuato da persone fisiche per
fini esclusivamente personali non è
soggetto all'applicazione della
presente legge, sempreché i dati non
siano destinati ad una comunicazione
sistematica o alla diffusione.
2.2 Al trattamento di cui al comma 1
si applicano in ogni caso le
disposizioni in tema di sicurezza
dei dati di cui all'articolo 15,
nonché l’articolo 18.
2 Comma così modificato dall’art. 2,
d.lg. 28 dicembre 2001, n. 467.
Art. 4. Particolari trattamenti in
ambito pubblico
1. La presente legge non si applica
al trattamento di dati personali
effettuato:
a) dal Centro elaborazione dati di
cui all'articolo 8 della legge 1°
aprile 1981, n. 121, come modificato
dall'articolo 43, comma 1, della
presente legge, ovvero sui dati
destinati a confluirvi in base alla
legge, nonché in virtù dell'accordo
di adesione alla Convenzione di
applicazione dell'Accordo di
Schengen, reso esecutivo con legge
30 settembre 1993, n. 388;
b) dagli organismi di cui agli
articoli 3, 4 e 6 della legge 24
ottobre 1977, n. 801, ovvero sui
dati coperti da segreto di Stato ai
sensi dell'articolo 12 della
medesima legge;
c) nell'ambito del servizio del
casellario giudiziale di cui al
titolo IV del libro decimo del
codice di procedura penale e al
regio decreto 18 giugno 1931, n.
778, e successive modificazioni, o,
in base alla legge, nell'ambito del
servizio dei carichi pendenti nella
materia penale;
d) in attuazione dell'articolo
371-bis, comma 3, del codice di
procedura penale o, per ragioni di
giustizia, nell'ambito di uffici
giudiziari, del Consiglio superiore
della magistratura e del Ministero
di grazia e giustizia;
e) da altri soggetti pubblici per
finalità di difesa o di sicurezza
dello Stato o di prevenzione,
accertamento o repressione dei
reati, in base ad espresse
disposizioni di legge che prevedano
specificamente il trattamento.
2. Ai trattamenti di cui al comma 1
si applicano in ogni caso le
disposizioni di cui agli articoli 9,
15, 17, 18, 31, 32, commi 6 e 7 e
36, nonché, fatta eccezione per i
trattamenti di cui alla lettera b)
del comma 1, le disposizioni di cui
agli articoli 7 e 34.
Art. 5. Trattamento di dati svolto
senza l'ausilio di mezzi elettronici
1. Il trattamento di dati personali
svolto senza l'ausilio di mezzi
elettronici o comunque automatizzati
è soggetto alla medesima disciplina
prevista per il trattamento
effettuato con l'ausilio di tali
mezzi.
Art. 6. Trattamento di dati detenuti
all'estero
1. Il trattamento nel territorio
dello Stato di dati personali
detenuti all'estero è soggetto alle
disposizioni della presente legge.
2. Se il trattamento di cui al comma
1 consiste in un trasferimento di
dati personali fuori dal territorio
nazionale si applicano in ogni caso
le disposizioni dell'articolo 28.
CAPO II - OBBLIGHI PER IL TITOLARE
DEL TRATTAMENTO
Art. 7. Notificazione3
1.4 Il titolare che intenda
procedere ad un trattamento di dati
personali soggetto al campo di
applicazione della presente legge è
tenuto a darne notificazione al
Garante se il trattamento, in
ragione delle relative modalità o
della natura dei dati personali, sia
suscettibile di recare pregiudizio
ai diritti e alle libertà
dell’interessato, e nei soli casi e
con le modalità individuati con il
regolamento di cui all’articolo 33,
comma 3.
2.5 La notificazione è effettuata
preventivamente ed una sola volta, a
mezzo di lettera raccomandata ovvero
con altro mezzo idoneo a
certificarne la ricezione, a
prescindere dal numero delle
operazioni da svolgere, nonché dalla
durata del trattamento e può
riguardare uno o più trattamenti con
finalità correlate. Una nuova
notificazione è richiesta solo se
muta taluno degli elementi che
devono essere indicati e deve
precedere l'effettuazione della
variazione.
3. La notificazione è sottoscritta
dal notificante e dal responsabile
del trattamento.
4. La notificazione contiene:
a) il nome, la denominazione o la
ragione sociale e il domicilio, la
residenza o la sede del titolare;
b) le finalità e modalità del
trattamento;
c) la natura dei dati, il luogo ove
sono custoditi e le categorie di
interessati cui i dati si
riferiscono;
d) l'ambito di comunicazione e di
diffusione dei dati;
e) i trasferimenti di dati previsti
verso Paesi non appartenenti
all’Unione europea o, qualora
riguardino taluno dei dati di cui
agli articoli 22 e 24, fuori del
territorio nazionale;
f) una descrizione generale che
permetta di valutare l’adeguatezza
delle misure tecniche ed
organizzative adottate per la
sicurezza dei dati;
g) l'indicazione della banca di dati
o delle banche di dati cui si
riferisce il trattamento, nonché
l'eventuale connessione con altri
trattamenti o banche di dati, anche
fuori del territorio nazionale;
h)6 il nome, la denominazione o la
ragione sociale e il domicilio, la
residenza o la sede del
rappresentante del titolare nel
territorio dello Stato e di almeno
un responsabile, da indicare nel
soggetto eventualmente designato ai
fini di cui all’articolo 13; in
mancanza di tale indicazione si
considera responsabile il
notificante;
i) la qualità e la legittimazione
del notificante.
5. I soggetti tenuti ad iscriversi o
che devono essere annotati nel
registro delle imprese di cui
all'articolo 2188 del codice civile,
nonché coloro che devono fornire le
informazioni di cui all'articolo 8,
comma 8, lettera d), della legge 29
dicembre 1993, n. 580, alle camere
di commercio, industria, artigianato
e agricoltura, possono effettuare la
notificazione per il tramite di
queste ultime, secondo le modalità
stabilite con il regolamento di cui
all'articolo 33, comma 3. I piccoli
imprenditori e gli artigiani possono
effettuare la notificazione anche
per il tramite delle rispettive
rappresentanze di categoria; gli
iscritti agli albi professionali
anche per il tramite dei rispettivi
ordini professionali. Resta in ogni
caso ferma la disposizione di cui al
comma 3.
5-bis.7 La notificazione in forma
semplificata può non contenere
taluno degli elementi di cui al
comma 4, lettere b), c), e) e g),
individuati dal Garante ai sensi del
regolamento di cui all’articolo 33,
comma 3, quando il trattamento è
effettuato:
a) da soggetti pubblici, esclusi gli
enti pubblici economici, sulla base
di espressa disposizione di legge ai
sensi degli articoli 22, comma 3 e
24, ovvero del provvedimento di cui
al medesimo articolo 24;
b) nell’esercizio della professione
di giornalista e per l’esclusivo
perseguimento delle relative
finalità, ovvero dai soggetti
indicati nel comma 4-bis
dell’articolo 25, nel rispetto del
codice di deontologia di cui al
medesimo articolo;
c) temporaneamente senza l’ausilio
di mezzi elettronici o comunque
automatizzati, ai soli fini e con le
modalità strettamente collegate
all’organizzazione interna
dell’attività esercitata dal
titolare, relativamente a dati non
registrati in una banca di dati e
diversi da quelli di cui agli
articoli 22 e 24;
c-bis)8 per scopi storici, di
ricerca scientifica e di statistica
in conformità alle leggi, ai
regolamenti, alla normativa
comunitaria e ai codici di
deontologia e di buona condotta
sottoscritti ai sensi dell'articolo
31.
5-ter.7 Fuori dei casi di cui
all’articolo 4, il trattamento non è
soggetto a notificazione quando:
a) è necessario per l’assolvimento
di un compito previsto dalla legge,
da un regolamento o dalla normativa
comunitaria, relativamente a dati
diversi da quelli indicati negli
articoli 22 e 24;
b) riguarda dati contenuti o
provenienti da pubblici registri,
elenchi, atti o documenti
conoscibili da chiunque, fermi
restando i limiti e le modalità di
cui all’articolo 20, comma 1,
lettera b);
c) è effettuato per esclusive
finalità di gestione del protocollo,
relativamente ai dati necessari per
la classificazione della
corrispondenza inviata per fini
diversi da quelli di cui
all’articolo 13, comma 1, lettera
e), con particolare riferimento alle
generalità e ai recapiti degli
interessati, alla loro qualifica e
all’organizzazione di appartenenza;
d) riguarda rubriche telefoniche o
analoghe non destinate alla
diffusione, utilizzate unicamente
per ragioni d’ufficio e di lavoro e
comunque per fini diversi da quelli
di cui all’articolo 13, comma 1,
lettera e);
e) è finalizzato unicamente
all’adempimento di specifici
obblighi contabili, retributivi,
previdenziali, assistenziali e
fiscali, ed è effettuato con
riferimento alle sole categorie di
dati, di interessati e di
destinatari della comunicazione e
diffusione strettamente collegate a
tale adempimento, conservando i dati
non oltre il periodo necessario
all’adempimento medesimo;
f) è effettuato, salvo quanto
previsto dal comma 5-bis, lettera
b), da liberi professionisti
iscritti in albi o elenchi
professionali, per le sole finalità
strettamente collegate
all’adempimento di specifiche
prestazioni e fermo restando il
segreto professionale;
g) è effettuato dai piccoli
imprenditori di cui all’articolo
2083 del codice civile per le sole
finalità strettamente collegate allo
svolgimento dell’attività
professionale esercitata, e
limitatamente alle categorie di
dati, di interessati, di destinatari
della comunicazione e diffusione e
al periodo di conservazione dei dati
necessari per il perseguimento delle
finalità medesime;
h) è finalizzato alla tenuta di albi
o elenchi professionali in
conformità alle leggi e ai
regolamenti;
i) è effettuato per esclusive
finalità dell’ordinaria gestione di
biblioteche, musei e mostre, in
conformità alle leggi e ai
regolamenti, ovvero per la
organizzazione di iniziative
culturali o sportive o per la
formazione di cataloghi e
bibliografie;
l) è effettuato da associazioni,
fondazioni, comitati anche a
carattere politico, filosofico,
religioso o sindacale, ovvero da
loro organismi rappresentativi,
istituiti per scopi non di lucro e
per il perseguimento di finalità
lecite, relativamente a dati
inerenti agli associati e ai
soggetti che in relazione a tali
finalità hanno contatti regolari con
l’associazione, la fondazione, il
comitato o l’organismo, fermi
restando gli obblighi di informativa
degli interessati e di acquisizione
del consenso, ove necessario;
m) è effettuato dalle organizzazioni
di volontariato di cui alla legge 11
agosto 1991, n. 266, nei limiti di
cui alla lettera l) e nel rispetto
delle autorizzazioni e delle
prescrizioni di legge di cui agli
articoli 22 e 23;
n) è effettuato temporaneamente ed è
finalizzato esclusivamente alla
pubblicazione o diffusione
occasionale di articoli, saggi e
altre manifestazioni del pensiero,
nel rispetto del codice di
deontologia di cui all’articolo 25;
o) è effettuato, anche con mezzi
elettronici o comunque
automatizzati, per la redazione di
periodici o pubblicazioni aventi
finalità di informazione giuridica,
relativamente a dati desunti da
provvedimenti dell’autorità
giudiziaria o di altre autorità;
p) è effettuato temporaneamente per
esclusive finalità di raccolta di
adesioni a proposte di legge
d’iniziativa popolare, a richieste
di referendum, a petizioni o ad
appelli;
q) è finalizzato unicamente
all’amministrazione dei condomini di
cui all’articolo 1117 e seguenti del
codice civile, limitatamente alle
categorie di dati, di interessati e
di destinatari della comunicazione
necessarie per l’amministrazione dei
beni comuni, conservando i dati non
oltre il periodo necessario per la
tutela dei corrispondenti diritti;
q-bis)9 è compreso nel programma
statistico nazionale o in atti di
programmazione statistica previsti
dalla legge ed è effettuato in
conformità alle leggi, ai
regolamenti, alla normativa
comunitaria e ai codici di
deontologia e di buona condotta
sottoscritti ai sensi dell'articolo
31.
5-quater. 7 Il titolare si può
avvalere della notificazione
semplificata o dell’esonero di cui
ai commi 5-bis e 5-ter, sempre che
il trattamento riguardi unicamente
le finalità, le categorie di dati,
di interessati e di destinatari
della comunicazione e diffusione,
individuate, unitamente al periodo
di conservazione dei dati, dai
medesimi commi 5-bis e 5-ter,
nonché:
a) nei casi di cui ai commi 5-bis,
lettera a) e 5-ter, lettere a) e m),
dalle disposizioni di legge o di
regolamento o dalla normativa
comunitaria ivi indicate;
b) nel caso di cui al comma 5-bis,
lettera b), dal codice di
deontologia ivi indicato;
c) nei casi residui, dal Garante con
le autorizzazioni rilasciate con le
modalità previste dall’articolo 41,
comma 7, ovvero, per i dati diversi
da quelli di cui agli articoli 22 e
24, con provvedimenti analoghi.
5-quinquies. 7 Il titolare che si
avvale dell’esonero di cui al comma
5-ter deve fornire gli elementi di
cui al comma 4 a chiunque ne faccia
richiesta.
3 Per quanto concerne il presente
articolo, si rammenta che l’art. 3,
comma 4, d.lg. 28 dicembre 2001, n.
467, prevede quanto segue: “Le
disposizioni di cui all’articolo 7,
commi 3, 4, 5, 5-bis, 5-ter,
5-quater e 5-quinquies, 13, comma 1,
lett. b) e 28, comma 7, della legge
31 dicembre 1996, n. 675 sono
abrogate a decorrere dalla data di
entrata in vigore delle modifiche
apportate al regolamento di cui
all’articolo 33, comma 3, della
medesima legge in applicazione del
comma 1 del presente articolo.”
4 Comma così modificato dall’art. 3,
comma 1, d.lg. 28 dicembre 2001, n.
467.
5 Comma così modificato dall’art. 3,
comma 2, d.lg28 dicembre 2001, n.
467.
6 Lettera così modificata dall’art.
3, comma 3, d.lg. 28 dicembre 2001,
n. 467. In base all’art. 24, comma
1, di quest’ultimo d.lg., la
disposizione in oggetto si applica a
decorrere dal 1 marzo 2002.
7 Commi aggiunti dall'art. 1, comma
1, d.lg. 28 luglio 1997, n. 255.
8 Lettera inserita dall'art. 2,
comma 1, lett. a), d.lg. 30 luglio
1999, n. 281.
9 Lettera inserita dall'art. 2,
comma 1, lett. b), d.lg. 30 luglio
1999, n. 281.
Art. 8. Responsabile
1. Il responsabile, se designato,
deve essere nominato tra soggetti
che per esperienza, capacità ed
affidabilità forniscano idonea
garanzia del pieno rispetto delle
vigenti disposizioni in materia di
trattamento, ivi compreso il profilo
relativo alla sicurezza.
2. Il responsabile procede al
trattamento attenendosi alle
istruzioni impartite dal titolare il
quale, anche tramite verifiche
periodiche, vigila sulla puntuale
osservanza delle disposizioni di cui
al comma 1 e delle proprie
istruzioni.
3. Ove necessario per esigenze
organizzative, possono essere
designati responsabili più soggetti,
anche mediante suddivisione di
compiti.
4. I compiti affidati al
responsabile devono essere
analiticamente specificati per
iscritto.
5. Gli incaricati del trattamento
devono elaborare i dati personali ai
quali hanno accesso attenendosi alle
istruzioni del titolare o del
responsabile.
CAPO III - TRATTAMENTO DEI DATI
PERSONALI
Sezione I - RACCOLTA E REQUISITI DEI
DATI
Art. 9. Modalità di raccolta e
requisiti dei dati personali
1. I dati personali oggetto di
trattamento devono essere:
a) trattati in modo lecito e secondo
correttezza;
b) raccolti e registrati per scopi
determinati, espliciti e legittimi,
ed utilizzati in altre operazioni
del trattamento in termini non
incompatibili con tali scopi;
c) esatti e, se necessario,
aggiornati;
d) pertinenti, completi e non
eccedenti rispetto alle finalità per
le quali sono raccolti o
successivamente trattati;
e) conservati in una forma che
consenta l'identificazione
dell'interessato per un periodo di
tempo non superiore a quello
necessario agli scopi per i quali
essi sono stati raccolti o
successivamente trattati.
1-bis.10 Il trattamento di dati
personali per scopi storici, di
ricerca scientifica o di statistica
è compatibile con gli scopi per i
quali i dati sono raccolti o
successivamente trattati e può
essere effettuato anche oltre il
periodo necessario a questi ultimi
scopi.
10 Comma aggiunto dall'art. 3, d.lg.
30 luglio 1999, n. 281.
Art. 10. Informazioni rese al
momento della raccolta
1.11 L'interessato o la persona
presso la quale sono raccolti i dati
personali devono essere previamente
informati oralmente o per iscritto
circa:
a) le finalità e le modalità del
trattamento cui sono destinati i
dati;
b) la natura obbligatoria o
facoltativa del conferimento dei
dati;
c) le conseguenze di un eventuale
rifiuto di rispondere;
d) i soggetti o le categorie di
soggetti ai quali i dati possono
essere comunicati e l'ambito di
diffusione dei dati medesimi;
e) i diritti di cui all'articolo 13;
f)12 il nome, la denominazione o la
ragione sociale e il domicilio, la
residenza o la sede del titolare,
del suo rappresentante nel
territorio dello Stato e di almeno
un responsabile, da indicare nel
soggetto eventualmente designato ai
fini di cui all’articolo 13,
indicando il sito della rete di
comunicazione o le modalità
attraverso le quali è altrimenti
conoscibile in modo agevole l’elenco
aggiornato dei responsabili.
2. L'informativa di cui al comma 1
può non comprendere gli elementi già
noti alla persona che fornisce i
dati o la cui conoscenza può
ostacolare l'espletamento di
funzioni pubbliche ispettive o di
controllo, svolte per il
perseguimento delle finalità di cui
agli articoli 4, comma 1, lettera
e), e 14, comma 1, lettera d).
3. Quando i dati personali non sono
raccolti presso l’interessato,
l’informativa di cui al comma 1 è
data al medesimo interessato
all’atto della registrazione dei
dati o, qualora sia prevista la loro
comunicazione, non oltre la prima
comunicazione.
4.13 La disposizione di cui al comma
3 non si applica quando
l’informativa all’interessato
comporta un impiego di mezzi che il
Garante dichiari manifestamente
sproporzionati rispetto al diritto
tutelato, ovvero si rivela, a
giudizio del Garante, impossibile,
ovvero nel caso in cui i dati sono
trattati in base ad un obbligo
previsto dalla legge, da un
regolamento o dalla normativa
comunitaria. La medesima
disposizione non si applica,
altresì, quando i dati sono trattati
ai fini dello svolgimento delle
investigazioni difensive di cui alla
legge 7 dicembre 2000, n. 397, o,
comunque, per far valere o difendere
un diritto in sede giudiziaria,
sempre che i dati siano trattati
esclusivamente per tali finalità e
per il periodo strettamente
necessario al loro perseguimento.
11 Comma così modificato dall'art.
1, d.lg. 9 maggio 1997, n. 123.
12 Lettera così modificata dall’art.
4, d.lg. 28 dicembre 2001, n. 467.
In base all’art. 24, comma 1, di
quest’ultimo d.lg., la disposizione
in oggetto si applica a decorrere
dal 1 marzo 2002.
13 Comma così modificato dall’art.
19, d.lg. 28 dicembre 2001, n. 467.
CAPO III - TRATTAMENTO DEI DATI
PERSONALI
Sezione II - DIRITTI
DELL'INTERESSATO NEL TRATTAMENTO DEI
DATI
Art. 11. Consenso
1. Il trattamento di dati personali
da parte di privati o di enti
pubblici economici è ammesso solo
con il consenso espresso
dell'interessato.
2. Il consenso può riguardare
l'intero trattamento ovvero una o
più operazioni dello stesso.
3. Il consenso è validamente
prestato solo se è espresso
liberamente, in forma specifica e
documentata per iscritto, e se sono
state rese all'interessato le
informazioni di cui all'articolo 10.
Art. 12. Casi di esclusione del
consenso
1. Il consenso non è richiesto
quando il trattamento:
a) riguarda dati raccolti e detenuti
in base ad un obbligo previsto dalla
legge, da un regolamento o dalla
normativa comunitaria;
b)14 è necessario per l'esecuzione
di obblighi derivanti da un
contratto del quale è parte
l'interessato o per l’esecuzione di
misure precontrattuali adottate su
richiesta di quest'ultimo, ovvero
per l'adempimento di un obbligo
legale;
c) riguarda dati provenienti da
pubblici registri, elenchi, atti o
documenti conoscibili da chiunque;
d)15 è finalizzato unicamente a
scopi di ricerca scientifica o di
statistica ed è effettuato nel
rispetto dei codici di deontologia e
di buona condotta sottoscritti ai
sensi dell'articolo 31;
e)16 è effettuato nell'esercizio
della professione di giornalista e
per l'esclusivo perseguimento delle
relative finalità. In tale caso, si
applica il codice di deontologia di
cui all’articolo 25;
f) riguarda dati relativi allo
svolgimento di attività economiche
raccolti anche ai fini indicati
nell’articolo 13, comma 1, lettera
e), nel rispetto della vigente
normativa in materia di segreto
aziendale e industriale;
g) è necessario per la salvaguardia
della vita o dell'incolumità fisica
dell'interessato o di un terzo, nel
caso in cui l’interessato non può
prestare il proprio consenso per
impossibilità fisica, per incapacità
di agire o per incapacità
d’intendere o di volere;
h)17 è necessario ai fini dello
svolgimento delle investigazioni
difensive di cui alla legge 7
dicembre 2000, n. 397, o, comunque,
per far valere o difendere un
diritto in sede giudiziaria, sempre
che i dati siano trattati
esclusivamente per tali finalità e
per il periodo strettamente
necessario al loro perseguimento;
h-bis)18 è necessario, nei casi
individuati dal Garante sulla base
dei principi sanciti dalla legge,
per perseguire un legittimo
interesse del titolare o di un terzo
destinatario dei dati, qualora non
prevalgano i diritti e le libertà
fondamentali, la dignità o un
legittimo interesse
dell’interessato.
14 Lettera così modificata dall’art.
5, comma 1, d.lg28 dicembre 2001, n.
467.
15 Lettera così sostituita dall'art.
4, comma 1, d.lg. 30 luglio 1999, n.
281.
16 Lettera così modificata dall'art.
12, comma 1, d.lg. 13 maggio 1998,
n. 171.
17 Lettera così modificata dall’art.
19, d.lg. 28 dicembre 2001, n. 467.
18 Lettera inserita dall’art. 5,
comma 2, d.lg. 28 dicembre 2001, n.
467. Ai sensi dell’art. 24, comma 2,
di quest’ultimo decreto, “I
provvedimenti attuativi delle
disposizioni di cui agli articoli 5,
comma 2, e 9 sono adottati, in sede
di prima applicazione del presente
decreto, entro centoventi giorni a
decorrere dal 1 ottobre 2002.”
Art. 13. Diritti dell'interessato
1. In relazione al trattamento di
dati personali l'interessato ha
diritto:
a) di conoscere, mediante accesso
gratuito al registro di cui
all'articolo 31, comma 1, lettera
a), l'esistenza di trattamenti di
dati che possono riguardarlo;
b) di essere informato su quanto
indicato all'articolo 7, comma 4,
lettere a), b) e h);
c) di ottenere, a cura del titolare
o del responsabile, senza ritardo:
1) la conferma dell'esistenza o meno
di dati personali che lo riguardano,
anche se non ancora registrati, e la
comunicazione in forma intelligibile
dei medesimi dati e della loro
origine, nonché della logica e delle
finalità su cui si basa il
trattamento; la richiesta può essere
rinnovata, salva l'esistenza di
giustificati motivi, con intervallo
non minore di novanta giorni;
2) la cancellazione, la
trasformazione in forma anonima o il
blocco dei dati trattati in
violazione di legge, compresi quelli
di cui non è necessaria la
conservazione in relazione agli
scopi per i quali i dati sono stati
raccolti o successivamente trattati;
3) l'aggiornamento, la
rettificazione ovvero, qualora vi
abbia interesse, l'integrazione dei
dati;
4) l'attestazione che le operazioni
di cui ai numeri 2) e 3) sono state
portate a conoscenza, anche per
quanto riguarda il loro contenuto,
di coloro ai quali i dati sono stati
comunicati o diffusi, eccettuato il
caso in cui tale adempimento si
riveli impossibile o comporti un
impiego di mezzi manifestamente
sproporzionato rispetto al diritto
tutelato;
d) di opporsi, in tutto o in parte,
per motivi legittimi, al trattamento
dei dati personali che lo
riguardano, ancorché pertinenti allo
scopo della raccolta;
e) di opporsi, in tutto o in parte,
al trattamento di dati personali che
lo riguardano, previsto a fini di
informazione commerciale o di invio
di materiale pubblicitario o di
vendita diretta ovvero per il
compimento di ricerche di mercato o
di comunicazione commerciale
interattiva e di essere informato
dal titolare, non oltre il momento
in cui i dati sono comunicati o
diffusi, della possibilità di
esercitare gratuitamente tale
diritto.
2. Per ciascuna richiesta di cui al
comma 1, lettera c), numero 1), può
essere chiesto all'interessato, ove
non risulti confermata l’esistenza
di dati che lo riguardano, un
contributo spese, non superiore ai
costi effettivamente sopportati,
secondo le modalità ed entro i
limiti stabiliti dal regolamento di
cui all'articolo 33, comma 3.
3. I diritti di cui al comma 1
riferiti ai dati personali
concernenti persone decedute possono
essere esercitati da chiunque vi
abbia interesse.
4. Nell'esercizio dei diritti di cui
al comma 1 l'interessato può
conferire, per iscritto, delega o
procura a persone fisiche o ad
associazioni.
5. Restano ferme le norme sul
segreto professionale degli
esercenti la professione di
giornalista, limitatamente alla
fonte della notizia.
Art. 14. Limiti all'esercizio dei
diritti
1. I diritti di cui all'articolo 13,
comma 1, lettere c) e d), non
possono essere esercitati nei
confronti dei trattamenti di dati
personali raccolti:
a) in base alle disposizioni del
decreto-legge 3 maggio 1991, n. 143,
convertito, con modificazioni, dalla
legge 5 luglio 1991, n. 197, e
successive modificazioni;
b) in base alle disposizioni del
decreto-legge 31 dicembre 1991, n.
419, convertito, con modificazioni,
dalla legge 18 febbraio 1992, n. 72,
e successive modificazioni;
c) da Commissioni parlamentari
d'inchiesta istituite ai sensi
dell'articolo 82 della Costituzione;
d) da un soggetto pubblico, diverso
dagli enti pubblici economici, in
base ad espressa disposizione di
legge, per esclusive finalità
inerenti la politica monetaria e
valutaria, il sistema dei pagamenti,
il controllo degli intermediari e
dei mercati creditizi e finanziari
nonché la tutela della loro
stabilità;
e) ai sensi dell’articolo 12, comma
1, lettera h), limitatamente al
periodo durante il quale potrebbe
derivarne pregiudizio per lo
svolgimento delle investigazioni o
per l’esercizio del diritto di cui
alla medesima lettera h);
e-bis)19 da fornitori di servizi di
telecomunicazioni accessibili al
pubblico, limitatamente ai dati
personali identificativi di chiamate
telefoniche entranti, salvo che
possa derivarne pregiudizio per lo
svolgimento delle investigazioni
difensive di cui alla legge 7
dicembre 2000, n. 397.
2. Nei casi di cui al comma 1 il
Garante, anche su segnalazione
dell'interessato ai sensi
dell'articolo 31, comma 1, lettera
d), esegue i necessari accertamenti
nei modi di cui all'articolo 32,
commi 6 e 7, e indica le necessarie
modificazioni ed integrazioni,
verificandone l'attuazione.
19 Lettera inserita dall’art. 6,
d.lg. 28 dicembre 2001, n. 467.
CAPO III - TRATTAMENTO DEI DATI
PERSONALI
Sezione III - SICUREZZA NEL
TRATTAMENTO DEI DATI, LIMITI ALLA
UTILIZZABILITA’ DEI DATI E
RISARCIMENTO DEL DANNO
Art. 15. Sicurezza dei dati
1. I dati personali oggetto di
trattamento devono essere custoditi
e controllati, anche in relazione
alle conoscenze acquisite in base al
progresso tecnico, alla natura dei
dati e alle specifiche
caratteristiche del trattamento, in
modo da ridurre al minimo, mediante
l'adozione di idonee e preventive
misure di sicurezza, i rischi di
distruzione o perdita, anche
accidentale, dei dati stessi, di
accesso non autorizzato o di
trattamento non consentito o non
conforme alle finalità della
raccolta.
2. Le misure minime di sicurezza da
adottare in via preventiva sono
individuate con regolamento emanato
con decreto del Presidente della
Repubblica, ai sensi dell'articolo
17, comma 1, lettera a), della legge
23 agosto 1988, n. 400, entro
centottanta giorni dalla data di
entrata in vigore della presente
legge, su proposta del Ministro di
grazia e giustizia, sentiti
l'Autorità per l'informatica nella
pubblica amministrazione e il
Garante.
3. Le misure di sicurezza di cui al
comma 2 sono adeguate, entro due
anni dalla data di entrata in vigore
della presente legge e
successivamente con cadenza almeno
biennale, con successivi regolamenti
emanati con le modalità di cui al
medesimo comma 2, in relazione
all'evoluzione tecnica del settore e
all'esperienza maturata.
4. Le misure di sicurezza relative
ai dati trattati dagli organismi di
cui all'articolo 4, comma 1, lettera
b), sono stabilite con decreto del
Presidente del Consiglio dei
ministri con l’osservanza delle
norme che regolano la materia.
Art. 16. Cessazione del trattamento
dei dati
1. In caso di cessazione, per
qualsiasi causa, del trattamento dei
dati, il titolare deve notificare
preventivamente al Garante la loro
destinazione.
2. I dati possono essere:
a) distrutti;
b) ceduti ad altro titolare, purché
destinati ad un trattamento per
finalità analoghe agli scopi per i
quali i dati sono raccolti;
c) conservati per fini
esclusivamente personali e non
destinati ad una comunicazione
sistematica o alla diffusione;
c-bis)20 conservati o ceduti ad
altro titolare, per scopi storici,
di ricerca scientifica e di
statistica, in conformità alla
legge, ai regolamenti, alla
normativa comunitaria e ai codici di
deontologia e di buona condotta
sottoscritti ai sensi dell'articolo
31.
3. La cessione dei dati in
violazione di quanto previsto dalla
lettera b) del comma 2 o di altre
disposizioni di legge in materia di
trattamento dei dati personali è
nulla ed è punita ai sensi
dell’articolo 39, comma 1.
20 Lettera inserita dall'art. 5,
d.lg. 30 luglio 1999, n. 281.
Art. 17. Limiti all'utilizzabilità
di dati personali
1. Nessun atto o provvedimento
giudiziario o amministrativo che
implichi una valutazione del
comportamento umano può essere
fondato unicamente su un trattamento
automatizzato di dati personali
volto a definire il profilo o la
personalità dell'interessato.
2. L'interessato può opporsi ad ogni
altro tipo di decisione adottata
sulla base del trattamento di cui al
comma 1 del presente articolo, ai
sensi dell'articolo 13, comma 1,
lettera d), salvo che la decisione
sia stata adottata in occasione
della conclusione o dell’esecuzione
di un contratto, in accoglimento di
una proposta dell’interessato o
sulla base di adeguate garanzie
individuate dalla legge.
Art. 18. Danni cagionati per effetto
del trattamento di dati personali
1. Chiunque cagiona danno ad altri
per effetto del trattamento di dati
personali è tenuto al risarcimento
ai sensi dell'articolo 2050 del
codice civile.
CAPO III - TRATTAMENTO DEI DATI
PERSONALI
Sezione IV - COMUNICAZIONE E
DIFFUSIONE DEI DATI
Art. 19. Incaricati del trattamento
1. Non si considera comunicazione la
conoscenza dei dati personali da
parte delle persone incaricate per
iscritto di compiere le operazioni
del trattamento dal titolare o dal
responsabile, e che operano sotto la
loro diretta autorità.
Art. 20. Requisiti per la
comunicazione e la diffusione dei
dati
1. La comunicazione e la diffusione
dei dati personali da parte di
privati e di enti pubblici economici
sono ammesse:
a) con il consenso espresso
dell'interessato;
a-bis)21 qualora siano necessarie
per l'esecuzione di obblighi
derivanti da un contratto del quale
è parte l'interessato o per
l’esecuzione di misure
precontrattuali adottate su
richiesta di quest'ultimo;
b) se i dati provengono da pubblici
registri, elenchi, atti o documenti
conoscibili da chiunque, fermi
restando i limiti e le modalità che
le leggi e i regolamenti
stabiliscono per la loro
conoscibilità e pubblicità;
c) in adempimento di un obbligo
previsto dalla legge, da un
regolamento o dalla normativa
comunitaria;
d)22 nell'esercizio della
professione di giornalista e per
l'esclusivo perseguimento delle
relative finalità. Restano fermi i
limiti del diritto di cronaca posti
a tutela della riservatezza ed in
particolare dell’essenzialità
dell’informazione riguardo a fatti
di interesse pubblico. Si applica
inoltre il codice di deontologia di
cui all’articolo 25;
e) se i dati sono relativi allo
svolgimento di attività economiche,
nel rispetto della vigente normativa
in materia di segreto aziendale e
industriale;
f) qualora siano necessarie per la
salvaguardia della vita o
dell'incolumità fisica
dell'interessato o di un terzo, nel
caso in cui l’interessato non può
prestare il proprio consenso per
impossibilità fisica, per incapacità
di agire o per incapacità
d’intendere o di volere;
g)23 limitatamente alla
comunicazione, qualora questa sia
necessaria ai fini dello svolgimento
delle investigazioni difensive di
cui alla legge 7 dicembre 2000, n.
397, o, comunque, per far valere o
difendere un diritto in sede
giudiziaria, nel rispetto della
normativa di cui alla lettera e) del
presente comma, sempre che i dati
siano trattati esclusivamente per
tali finalità e per il periodo
strettamente necessario al loro
perseguimento;
h) limitatamente alla comunicazione,
quando questa sia effettuata
nell’ambito dei gruppi bancari di
cui all’articolo 60 del testo unico
delle leggi in materia bancaria e
creditizia approvato con decreto
legislativo 1° settembre 1993, n.
385, nonché tra società controllate
e società collegate ai sensi
dell’articolo 2359 del codice
civile, i cui trattamenti con
finalità correlate sono stati
notificati ai sensi dell’articolo 7,
comma 2, per il perseguimento delle
medesime finalità per le quali i
dati sono stati raccolti;
h-bis)24 limitatamente alla
comunicazione, quando questa sia
necessaria, nei casi individuati dal
Garante sulla base dei principi
sanciti dalla legge, per perseguire
un legittimo interesse del titolare
o di un terzo destinatario dei dati,
qualora non prevalgano i diritti e
le libertà fondamentali, la dignità
o un legittimo interesse
dell’interessato.
2. Alla comunicazione e alla
diffusione dei dati personali da
parte di soggetti pubblici, esclusi
gli enti pubblici economici, si
applicano le disposizioni
dell'articolo 27.
21 Lettera inserita dall’art. 7,
comma 1, d.lg. 28 dicembre 2001, n.
467.
22 Lettera così modificata dall'art.
12, comma 2, d.lg. 13 maggio 1998,
n. 171.
23 Lettera così modificata dall’art.
19, d.lg. 28 dicembre 2001, n. 467.
24 Lettera inserita dall’art. 7,
comma 2, d.lg. 28 dicembre 2001, n.
467.
Art. 21. Divieto di comunicazione e
diffusione
1. Sono vietate la comunicazione e
la diffusione di dati personali per
finalità diverse da quelle indicate
nella notificazione di cui
all'articolo 7.
2. Sono altresì vietate la
comunicazione e la diffusione di
dati personali dei quali sia stata
ordinata la cancellazione, ovvero
quando sia decorso il periodo di
tempo indicato nell'articolo 9,
comma 1, lettera e).
3. Il Garante può vietare la
diffusione di taluno dei dati
relativi a singoli soggetti, od a
categorie di soggetti, quando la
diffusione si pone in contrasto con
rilevanti interessi della
collettività. Contro il divieto può
essere proposta opposizione ai sensi
dell'articolo 29, commi 6 e 7.
4. La comunicazione e la diffusione
dei dati sono comunque permesse:
a)25 qualora siano necessarie per
finalità di ricerca scientifica o di
statistica e siano effettuate nel
rispetto dei codici di deontologia e
di buona condotta sottoscritti ai
sensi dell'articolo 31;
b) quando siano richieste dai
soggetti di cui all'articolo 4,
comma 1, lettere b), d) ed e), per
finalità di difesa o di sicurezza
dello Stato o di prevenzione,
accertamento o repressione di reati,
con l'osservanza delle norme che
regolano la materia.
25 Lettera così sostituita dall'art.
4, comma 2, d.lg. 30 luglio 1999, n.
281.
CAPO IV - TRATTAMENTO DI DATI
PARTICOLARI
Art. 22. Dati sensibili26
1. I dati personali idonei a
rivelare l'origine razziale ed
etnica, le convinzioni religiose,
filosofiche o di altro genere, le
opinioni politiche, l'adesione a
partiti, sindacati, associazioni od
organizzazioni a carattere
religioso, filosofico, politico o
sindacale, nonché i dati personali
idonei a rivelare lo stato di salute
e la vita sessuale, possono essere
oggetto di trattamento solo con il
consenso scritto dell'interessato e
previa autorizzazione del Garante.
1-bis.27 Il comma 1 non si applica
ai dati relativi agli aderenti alle
confessioni religiose i cui rapporti
con lo Stato siano regolati da
accordi o intese ai sensi degli
articoli 7 e 8 della Costituzione,
nonché relativi ai soggetti che con
riferimento a finalità di natura
esclusivamente religiosa hanno
contatti regolari con le medesime
confessioni, che siano trattati dai
relativi organi o enti civilmente
riconosciuti, sempreché i dati non
siano comunicati o diffusi fuori
delle medesime confessioni. Queste
ultime determinano idonee garanzie
relativamente ai trattamenti
effettuati.
1-ter.28 Il comma 1 non si applica,
altresì, ai dati riguardanti
l’adesione di associazioni od
organizzazioni a carattere sindacale
o di categoria ad altre
associazioni, organizzazioni o
confederazioni a carattere sindacale
o di categoria.
2. Il Garante comunica la decisione
adottata sulla richiesta di
autorizzazione entro trenta giorni,
decorsi i quali la mancata pronuncia
equivale a rigetto. Con il
provvedimento di autorizzazione,
ovvero successivamente, anche sulla
base di eventuali verifiche, il
Garante può prescrivere misure e
accorgimenti a garanzia
dell'interessato, che il titolare
del trattamento è tenuto ad
adottare.
3.29 Il trattamento dei dati
indicati al comma 1 da parte di
soggetti pubblici, esclusi gli enti
pubblici economici, è consentito
solo se autorizzato da espressa
disposizione di legge, nella quale
siano specificati i dati che possono
essere trattati, le operazioni
eseguibili e le rilevanti finalità
di interesse pubblico perseguite. In
mancanza di espressa disposizione di
legge, e fuori dai casi previsti dai
decreti legislativi di modificazione
ed integrazione della presente
legge, emanati in attuazione della
legge 31 dicembre 1996, n. 676, i
soggetti pubblici possono richiedere
al Garante, nelle more della
specificazione legislativa,
l'individuazione delle attività, tra
quelle demandate ai medesimi
soggetti dalla legge, che perseguono
rilevanti finalità di interesse
pubblico e per le quali è
conseguentemente autorizzato, ai
sensi del comma 2, il trattamento
dei dati indicati al comma 1.
3-bis.30 Nei casi in cui è
specificata, a norma del comma 3, la
finalità di rilevante interesse
pubblico, ma non sono specificati i
tipi di dati e le operazioni
eseguibili, i soggetti pubblici, in
applicazione di quanto previsto
dalla presente legge e dai decreti
legislativi di attuazione della
legge 31 dicembre 1996, n. 676, in
materia di dati sensibili,
identificano e rendono pubblici,
secondo i rispettivi ordinamenti, i
tipi di dati e di operazioni
strettamente pertinenti e necessari
in relazione alle finalità
perseguite nei singoli casi,
aggiornando tale identificazione
periodicamente.
4.31 I dati personali indicati al
comma 1 possono essere oggetto di
trattamento previa autorizzazione
del Garante:
a) qualora il trattamento sia
effettuato da associazioni, enti od
organismi senza scopo di lucro,
anche non riconosciuti, a carattere
politico, filosofico, religioso o
sindacale, ivi compresi partiti e
movimenti politici, confessioni e
comunità religiose, per il
perseguimento di fnalità lecite,
relativamente ai dati personali
degli aderenti o dei soggetti che in
relazione a tali finalità hanno
contatti regolari con
l’associazione, ente od organismo,
sempre che i dati non siano
comunicati o diffusi fuori del
relativo ambito e l’ente,
l’associazione o l’organismo
determinino idonee garanzie
relativamente ai trattamenti
effettuati;
b) qualora il trattamento sia
necessario per la salvaguardia della
vita o dell'incolumità fisica
dell'interessato o di un terzo, nel
caso in cui l’interessato non può
prestare il proprio consenso per
impossibilità fisica, per incapacità
di agire o per incapacità
d’intendere o di volere;
c) qualora il trattamento sia
necessario ai fini dello svolgimento
delle investigazioni difensive di
cui alla legge 7 dicembre 2000, n.
397 o, comunque, per far valere o
difendere in sede giudiziaria un
diritto, di rango pari a quello
dell’interessato quando i dati siano
idonei a rivelare lo stato di salute
e la vita sessuale, sempre che i
dati siano trattati esclusivamente
per tali finalità e per il periodo
strettamente necessario al loro
perseguimento. Il Garante prescrive
le misure e gli accorgimenti di cui
al comma 2 e promuove la
sottoscrizione di un apposito codice
di deontologia e di buona condotta
secondo le modalità di cui
all'articolo 31, comma 1, lettera
h). Resta fermo quanto previsto
dall'articolo 43, comma 2.
26 Per quanto concerne il presente
articolo, si richiama l'attenzione
sul disposto dell'Articolo 17
("Tutela della salute") del d.lg. 11
maggio 1999, n. 135, recante
"Disposizioni integrative della
legge 31 dicembre 1996, n. 675, sul
trattamento di dati sensibili da
parte dei soggetti pubblici".
27 Comma inserito dall'art. 5, comma
1, d.lg. 11 maggio 1999, n. 135.
28 Comma inserito dall’art. 8, comma
1, d.lg. 28 dicembre 2001, n. 467.
29 Comma così sostituito dall'art.
5, comma 2, d.lg. 11 maggio 1999, n.
135.
30 Comma inserito dall'art. 5, comma
3, d.lg. 11 maggio 1999, n. 135.
31 Comma così sostituito dall’art.
8, comma 2, d.lg. 28 dicembre 2001,
n. 467. Si ricorda, a proposito di
questo comma, quanto previsto
dall’art. 24, comma 3, d.lg. 28
dicembre 2001, n. 467: “In sede di
prima applicazione della
disposizione di cui alla lettera a)
del comma 4 dell’articolo 22 della
legge 31 dicembre 1996, n. 675,
introdotta dall’articolo 8 del
presente decreto, le garanzie
previste nella medesima lettera a)
sono determinate dall’associazione,
dall’ente o dall’organismo entro il
30 giugno 2002.”
Art. 23. Dati inerenti alla salute32
1. Gli esercenti le professioni
sanitarie e gli organismi sanitari
pubblici possono, anche senza
l'autorizzazione del Garante,
trattare i dati personali idonei a
rivelare lo stato di salute,
limitatamente ai dati e alle
operazioni indispensabili per il
perseguimento di finalità di tutela
dell'incolumità fisica e della
salute dell’interessato. Se le
medesime finalità riguardano un
terzo o la collettività, in mancanza
del consenso dell’interessato, il
trattamento può avvenire previa
autorizzazione del Garante.
1-bis.33 Con decreto del Ministro
della sanità adottato ai sensi
dell'articolo 17, comma 3, della
legge 23 agosto 1988, n. 400,
sentiti la Conferenza permanente per
i rapporti tra lo Stato, le regioni
e le province autonome di Trento e
Bolzano e il Garante, sono
individuate modalità semplificate
per le informative di cui
all'articolo 10 e per la prestazione
del consenso nei confronti di
organismi sanitari pubblici, di
organismi sanitari e di esercenti le
professioni sanitarie convenzionati
o accreditati dal Servizio sanitario
nazionale, nonché per il trattamento
dei dati da parte dei medesimi
soggetti, sulla base dei seguenti
criteri:
a) previsione di informative
effettuate da un unico soggetto, in
particolare da parte del medico di
medicina generale scelto
dall'interessato, per conto di più
titolari di trattamento;
b) validità, nei confronti di più
titolari di trattamento, del
consenso prestato ai sensi
dell'articolo 11, comma 3, per conto
di più titolari di trattamento,
anche con riguardo alla richiesta di
prestazioni specialistiche, alla
prescrizione di farmaci, alla
raccolta di dati da parte del medico
di medicina generale detenuti da
altri titolari, e alla pluralità di
prestazioni mediche effettuate da un
medesimo titolare di trattamento;
c) identificazione dei casi di
urgenza nei quali, anche per effetto
delle situazioni indicate nel comma
1-ter, l'informativa e il consenso
possono intervenire successivamente
alla richiesta della prestazione;
d) previsione di modalità di
applicazione del comma 2 del
presente articolo ai professionisti
sanitari, diversi dai medici, che
intrattengono rapporti diretti con i
pazienti;
e) previsione di misure volte ad
assicurare che nell'organizzazione
dei servizi e delle prestazioni sia
garantito il rispetto dei diritti di
cui all'articolo 1.
1-ter.33 Il decreto di cui al comma
1 disciplina anche quanto previsto
dall'articolo 22, comma 3-bis, della
legge.
1-quater.33 In caso di incapacità di
agire, ovvero di impossibilità
fisica o di incapacità di intendere
o di volere, il consenso al
trattamento dei dati idonei a
rivelare lo stato di salute è
validamente manifestato nei
confronti di esercenti le
professioni sanitarie e di organismi
sanitari, rispettivamente, da chi
esercita legalmente la potestà
ovvero da un familiare, da un
prossimo congiunto, da un
convivente, o, in loro assenza, dal
responsabile della struttura presso
cui dimori.
2.34 I dati personali idonei a
rivelare lo stato di salute possono
essere resi noti all'interessato o
ai soggetti di cui al comma 1-ter
solo per il tramite di un medico
designato dall'interessato o dal
titolare.
3. L'autorizzazione di cui al comma
1 è rilasciata, salvi i casi di
particolare urgenza, sentito il
Consiglio superiore di sanità. E’
vietata la comunicazione dei dati
ottenuti oltre i limiti fissati con
l'autorizzazione.
4. La diffusione dei dati idonei a
rivelare lo stato di salute è
vietata, salvo nel caso in cui sia
necessaria per finalità di
prevenzione, accertamento o
repressione dei reati, con
l'osservanza delle norme che
regolano la materia.
32 Si richiama l'attenzione sul
disposto dell'art. 17 ("Tutela della
salute") del d.lg. 11 maggio 1999,
n. 135, recante "Disposizioni
integrative della legge 31 dicembre
1996, n. 675, sul trattamento di
dati sensibili da parte dei soggetti
pubblici".
33 Commi inseriti dall'art. 2, comma
1, d.lg. 30 luglio 1999, n. 282.
34 Comma così modificato dall'art.
2, comma 2, d.lg. 30 luglio 1999, n.
282.
Art. 24. Dati relativi ai
provvedimenti di cui all'articolo
686 del codice di procedura penale
1. Il trattamento di dati personali
idonei a rivelare provvedimenti di
cui all'articolo 686, commi 1,
lettere a) e d), 2 e 3, del codice
di procedura penale, è ammesso
soltanto se autorizzato da espressa
disposizione di legge o
provvedimento del Garante che
specifichino le rilevanti finalità
di interesse pubblico del
trattamento, i tipi di dati trattati
e le precise operazioni autorizzate.
Art. 24-bis. Altri dati
particolari35
1. Il trattamento dei dati diversi
da quelli di cui agli articoli 22 e
24 che presenta rischi specifici per
i diritti e le libertà fondamentali,
nonché per la dignità
dell’interessato, in relazione alla
natura dei dati o alle modalità del
trattamento o agli effetti che può
determinare, è ammesso nel rispetto
di misure ed accorgimenti a garanzia
dell’interessato, ove prescritti.
2. Le misure e gli accorgimenti di
cui al comma 1 sono prescritti dal
Garante sulla base dei principi
sanciti dalla legge nell’ambito di
una verifica preliminare all’inizio
del trattamento, effettuata anche in
relazione a determinate categorie di
titolari o di trattamenti, sulla
base di un eventuale interpello del
titolare.
35 Articolo inserito dall’art. 9,
d.lg. 28 dicembre 2001, n. 467. Ai
sensi dell’art. 24, comma 2, di
quest’ultimo decreto, “I
provvedimenti attuativi delle
disposizioni di cui agli articoli 5,
comma 2, e 9 sono adottati, in sede
di prima applicazione del presente
decreto, entro centoventi giorni a
decorrere dal 1 ottobre 2002.”
Art. 25. Trattamento di dati
particolari nell'esercizio della
professione di giornalista
1.36 Le disposizioni relative al
consenso dell'interessato e
all'autorizzazione del Garante,
nonché il limite previsto
dall'articolo 24,non si applicano
quando il trattamento dei dati di
cui agli articoli 22 e 24 è
effettuato nell'esercizio della
professione di giornalista e per
l'esclusivo perseguimento delle
relative finalità. Il giornalista
rispetta i limiti del diritto di
cronaca, in particolare quello
dell'essenzialità dell'informazione
riguardo a fatti di interesse
pubblico, ferma restando la
possibilità di trattare i dati
relativi a circostanze o fatti resi
noti direttamente dall'interessato o
attraverso i suoi comportamenti in
pubblico.
2.37 Il Garante promuove, nei modi
di cui all'articolo 31, comma 1,
lettera h), l'adozione, da parte del
Consiglio nazionale dell'ordine dei
giornalisti, di un apposito codice
di deontologia relativo al
trattamento dei dati di cui al comma
1 del presente articolo effettuato
nell'esercizio della professione di
giornalista, che preveda misure ed
accorgimenti a garanzia degli
interessati rapportate alla natura
dei dati, in particolare per quanto
riguarda quelli idonei a rivelare lo
stato di salute e la vita sessuale.
Nella fase di formazione del codice,
ovvero successivamente, il Garante
in cooperazione con il Consiglio,
prescrive eventuali misure e
accorgimenti a garanzia degli
interessati, che il Consiglio è
tenuto a recepire. Il Codice è
pubblicato sulla Gazzetta Ufficiale
a cura del Garante, e diviene
efficace quindici giorni dopo la sua
pubblicazione.
3. Ove entro sei mesi dalla proposta
del Garante il codice di deontologia
di cui al comma 2 non sia stato
adottato dal Consiglio nazionale
dell'Ordine dei giornalisti, esso è
adottato in via sostitutiva dal
Garante ed è efficace sino alla
adozione di un diverso codice
secondo la procedura di cui al comma
2. In caso di violazione delle
prescrizioni contenute nel codice di
deontologia, il Garante può vietare
il trattamento ai sensi
dell'articolo 31, comma 1, lettera
l).
4.38 Nel codice di cui ai commi 2 e
3 sono inserite, altresì,
prescrizioni concernenti i dati
personali diversi da quelli indicati
negli articoli 22 e 24. Il codice
può prevedere forme semplificate per
le informative di cui all’articolo
10.
4-bis.39 Le disposizioni della
presente legge che attengono
all’esercizio della professione di
giornalista si applicano anche ai
trattamenti effettuati dai soggetti
iscritti nell’elenco dei pubblicisti
o nel registro dei praticanti di cui
agli articoli 26 e 33 della legge 3
febbraio 1963, n. 69, nonché ai
trattamenti temporanei finalizzati
esclusivamente alla pubblicazione
occasionale di articoli, saggi e
altre manifestazioni del pensiero.
36 Comma così sostituito dall'art.
12, comma 3, d.lg. 13 maggio 1998,
n. 171.
37 Comma così modificato dall'art.
12, comma 4, d.lg. 13 maggio 1998,
n. 171.
38 Comma così modificato dall'art.
2, comma 1, d.lg. 9 maggio 1997, n.
123.
39 Comma aggiunto dall'art. 2, comma
2, d.lg. 9 maggio 1997, n. 123.
Art. 26. Dati concernenti persone
giuridiche
1. Il trattamento nonché la
cessazione del trattamento di dati
concernenti persone giuridiche, enti
o associazioni non sono soggetti a
notificazione.
2. Ai dati riguardanti persone
giuridiche, enti o associazioni non
si applicano le disposizioni
dell'articolo 28.
CAPO V - TRATTAMENTI SOGGETTI A
REGIME SPECIALE
Art. 27. Trattamento da parte di
soggetti pubblici
1. Salvo quanto previsto al comma 2,
il trattamento di dati personali da
parte di soggetti pubblici, esclusi
gli enti pubblici economici, è
consentito soltanto per lo
svolgimento delle funzioni
istituzionali, nei limiti stabiliti
dalla legge e dai regolamenti.
2. La comunicazione e la diffusione
a soggetti pubblici, esclusi gli
enti pubblici economici, dei dati
trattati sono ammesse quando siano
previste da norme di legge o di
regolamento, o risultino comunque
necessarie per lo svolgimento delle
funzioni istituzionali. In tale
ultimo caso deve esserne data previa
comunicazione nei modi di cui
all’articolo 7, commi 2 e 3 al
Garante che vieta, con provvedimento
motivato, la comunicazione o la
diffusione se risultano violate le
disposizioni della presente legge.
3. La comunicazione e la diffusione
dei dati personali da parte di
soggetti pubblici a privati o a enti
pubblici economici sono ammesse solo
se previste da norme di legge o di
regolamento.
4. I criteri di organizzazione delle
amministrazioni pubbliche di cui
all'articolo 5 del decreto
legislativo 3 febbraio 1993, n. 29,
sono attuati nel pieno rispetto
delle disposizioni della presente
legge.
Art. 28. Trasferimento di dati
personali all'estero
1.40 Il trasferimento anche
temporaneo fuori del territorio
nazionale, con qualsiasi forma o
mezzo, di dati personali oggetto di
trattamento deve essere previamente
notificato al Garante, qualora sia
diretto verso un Paese non
appartenente all’Unione europea e
ricorra uno dei casi individuati ai
sensi dell’articolo 7, comma 1.
2. Il trasferimento può avvenire
soltanto dopo quindici giorni dalla
data della notificazione; il termine
è di venti giorni qualora il
trasferimento riguardi taluno dei
dati di cui agli articoli 22 e 24.
3.41 Il trasferimento è vietato
qualora l’ordinamento dello Stato di
destinazione o di transito dei dati
non assicuri un livello di tutela
delle persone adeguato. Sono
valutate anche le modalità del
trasferimento e dei trattamenti
previsti, le relative finalità, la
natura dei dati e le misure di
sicurezza.
4. Il trasferimento è comunque
consentito qualora:
a) l'interessato abbia manifestato
il proprio consenso espresso ovvero,
se il trasferimento riguarda taluno
dei dati di cui agli articoli 22 e
24, in forma scritta;
b)42 sia necessario per l'esecuzione
di obblighi derivanti da un
contratto del quale è parte
l'interessato o per l’esecuzione di
misure precontrattuali adottate su
richiesta di quest'ultimo, ovvero
per la conclusione o per
l'esecuzione di un contratto
stipulato a favore dell'interessato;
c) sia necessario per la
salvaguardia di un interesse
pubblico rilevante individuato con
legge o con regolamento, ovvero
specificato ai sensi degli articoli
22, comma 3 e 24, se il
trasferimento riguarda taluno dei
dati ivi previsti;
d)43 sia necessario ai fini dello
svolgimento delle investigazioni
difensive di cui alla legge 7
dicembre 2000, n. 397, o, comunque,
per far valere o difendere un
diritto in sede giudiziaria, sempre
che i dati siano trasferiti
esclusivamente per tali finalità e
per il periodo strettamente
necessario al loro perseguimento;
e) sia necessario per la
salvaguardia della vita o
dell'incolumità fisica
dell'interessato o di un terzo, nel
caso in cui l’interessato non può
prestare il proprio consenso per
impossibilità fisica, per incapacità
di agire o per incapacità
d’intendere o di volere;
f) sia effettuato in accoglimento di
una richiesta di accesso ai
documenti amministrativi, ovvero di
una richiesta di informazioni
estraibili da un pubblico registro,
elenco, atto o documento conoscibile
da chiunque, con l'osservanza delle
norme che regolano la materia;
g)44 sia autorizzato dal Garante
sulla base di adeguate garanzie per
i diritti dell'interessato, prestate
anche con un contratto, ovvero
individuate dalla Commissione
europea con le decisioni previste
dagli articoli 25, paragrafo 6, e
26, paragrafo 4, della direttiva n.
95/46/CE del Parlamento europeo e
del Consiglio del 24 ottobre 1995;
g-bis)45 il trattamento sia
finalizzato unicamente a scopi di
ricerca scientifica o di statistica
e sia effettuato nel rispetto dei
codici di deontologia e di buona
condotta sottoscritti ai sensi
dell'articolo 31.
5. Contro il divieto di cui al comma
3 del presente articolo può essere
proposta opposizione ai sensi
dell'articolo 29, commi 6 e 7.
6. Le disposizioni del presente
articolo non si applicano al
trasferimento di dati personali
effettuato nell'esercizio della
professione di giornalista e per
l'esclusivo perseguimento delle
relative finalità.
7. La notificazione di cui al comma
1 del presente articolo è effettuata
ai sensi dell'articolo 7 ed è
annotata in apposita sezione del
registro previsto dall'articolo 31,
comma 1, lettera a). La
notificazione può essere effettuata
con un unico atto unitamente a
quella prevista dall’articolo 7.
40 Comma così modificato dall’art.
10, comma 1, d.lg. 28 dicembre 2001,
n. 467.
41 Comma così modificato dall’art.
10, comma 2, d.lg. 28 dicembre 2001,
n. 467, che ha soppresso in fine le
parole “ovvero, se si tratta dei
dati di cui agli articoli 22 e 24,
di grado pari a quello assicurato
dall'ordinamento italiano.”
42 Lettera così modificata dall’art.
10, comma 3, d.lg. 28 dicembre 2001,
n. 467.
43 Lettera così modificata dall’art.
19, d.lg. 28 dicembre 2001, n. 467.
44 Lettera così modificata dall’art.
10, comma 4, d.lg. 28 dicembre 2001,
n. 467.
45 Lettera inserita dall'art. 4,
comma 3, d.lg. 30 luglio 1999, n.
281.
CAPO VI - TUTELA AMMINISTRATIVA E
GIURISDIZIONALE
Art. 29. Tutela
1. I diritti di cui all'articolo 13,
comma 1, possono essere fatti valere
dinanzi all'autorità giudiziaria o
con ricorso al Garante. Il ricorso
al Garante non può essere proposto
qualora, per il medesimo oggetto e
tra le stesse parti, sia stata già
adita l'autorità giudiziaria.
2. Salvi i casi in cui il decorso
del termine esporrebbe taluno a
pregiudizio imminente ed
irreparabile, il ricorso al Garante
può essere proposto solo dopo che
siano decorsi cinque giorni dalla
richiesta avanzata sul medesimo
oggetto al responsabile. La
presentazione del ricorso rende
improponibile un'ulteriore domanda
dinanzi all'autorità giudiziaria tra
le stesse parti e per il medesimo
oggetto.
3. Nel procedimento dinanzi al
Garante il titolare, il responsabile
e l'interessato hanno diritto di
essere sentiti, personalmente o a
mezzo di procuratore speciale, e
hanno facoltà di presentare memorie
o documenti. Il Garante può
disporre, anche d'ufficio,
l'espletamento di perizie.
4. Assunte le necessarie
informazioni il Garante, se ritiene
fondato il ricorso, ordina al
titolare e al responsabile, con
decisione motivata, la cessazione
del comportamento illegittimo,
indicando le misure necessarie a
tutela dei diritti dell'interessato
e assegnando un termine per la loro
adozione. Il provvedimento è
comunicato senza ritardo alle parti
interessate, a cura dell'ufficio del
Garante. La mancata pronuncia sul
ricorso, decorsi trenta46 giorni
dalla data di presentazione,
equivale a rigetto.
5. Se la particolarità del caso lo
richiede, il Garante può disporre in
via provvisoria il blocco in tutto o
in parte di taluno dei dati ovvero
l'immediata sospensione di una o più
operazioni del trattamento. Il
provvedimento cessa di avere ogni
effetto se, entro i successivi venti
giorni, non è adottata la decisione
di cui al comma 4 ed è impugnabile
unitamente a tale decisione.
6. Avverso il provvedimento espresso
o il rigetto tacito di cui al comma
4, il titolare o l'interessato
possono proporre opposizione al
tribunale del luogo ove risiede il
titolare, entro il termine di trenta
giorni dalla data di comunicazione
del provvedimento o dalla data del
rigetto tacito. L'opposizione non
sospende l'esecuzione del
provvedimento.
6-bis.47 Il decorso dei termini
previsti dai commi 4, 5 e 6 è
sospeso di diritto dal 1° al 30
agosto di ciascun anno e riprende a
decorrere dalla fine del periodo di
sospensione. Ove il decorso abbia
inizio durante tale periodo,
l'inizio stesso è differito alla
fine del periodo medesimo. La
sospensione non opera nei casi in
cui sussista il pregiudizio di cui
al comma 2 e non preclude l'adozione
dei provvedimenti di cui al comma 5.
7. Il tribunale provvede nei modi di
cui agli articoli 737 e seguenti del
codice di procedura civile, anche in
deroga al divieto di cui
all'articolo 4 della legge 20 marzo
1865, n. 2248, allegato E), e può
sospendere, a richiesta,
l'esecuzione del provvedimento.
Avverso il decreto del tribunale è
ammesso unicamente il ricorso per
cassazione.
8. Tutte le controversie, ivi
comprese quelle inerenti il rilascio
dell'autorizzazione di cui
all'articolo 22, comma 1, o che
riguardano, comunque, l'applicazione
della presente legge, sono di
competenza dell'autorità giudiziaria
ordinaria.
9. Il danno non patrimoniale è
risarcibile anche nei casi di
violazione dell'articolo 9.
46 Parola così sostituita dall'art.
13, comma 1, lett. a), d.lg. 30
luglio 1999, n. 281
47 Comma inserito dall'art. 13,
comma 1, lett. b), d.lg. 30 luglio
1999, n. 281.
CAPO VII - GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
48[Denominazione così modificata
dall'art. 3, comma 1, d.lg. 9 maggio
1997, n. 123]
Art. 30. Istituzione del Garante
1.49 E’ istituito il Garante per la
protezione dei dati personali.
2. Il Garante opera in piena
autonomia e con indipendenza di
giudizio e di valutazione.
3. Il Garante è organo collegiale
costituito da quattro membri, eletti
due dalla Camera dei deputati e due
dal Senato della Repubblica con voto
limitato. Essi eleggono nel loro
ambito un presidente, il cui voto
prevale in caso di parità. I membri
sono scelti tra persone che
assicurino indipendenza e che siano
esperti di riconosciuta competenza
delle materie del diritto o
dell’informatica, garantendo la
presenza di entrambe le
qualificazioni.
4. Il presidente e i membri durano
in carica quattro anni e non possono
essere confermati per più di una
volta; per tutta la durata
dell’incarico il presidente e i
membri non possono esercitare, a
pena di decadenza, alcuna attività
professionale o di consulenza, né
essere amministratori o dipendenti
di enti pubblici o privati, né
ricoprire cariche elettive.
5. All’atto dell’accettazione della
nomina il presidente e i membri sono
collocati fuori ruolo se dipendenti
di pubbliche amministrazioni o
magistrati in attività di servizio;
se professori universitari di ruolo,
sono collocati in aspettativa senza
assegni ai sensi dell’articolo 13
del decreto del Presidente della
Repubblica 11 luglio 1980, n. 382, e
successive modificazioni. Il
personale collocato fuori ruolo o in
aspettativa non può essere
sostituito.
6. Al presidente compete una
indennità di funzione non eccedente,
nel massimo, la retribuzione
spettante al primo presidente della
Corte di cassazione. Ai membri
compete un’indennità di funzione non
eccedente, nel massimo, i due terzi
di quella spettante al presidente.
Le predette indennità di funzione
sono determinate, con il regolamento
di cui all’articolo 33, comma 3, in
misura tale da poter essere
corrisposte a carico degli ordinari
stanziamenti.
49 Comma così modificato dall'art.
3, comma 1, d.lg. 9 maggio 1997, n.
123.
Art. 31. Compiti del Garante
1. Il Garante ha il compito di:
a) istituire e tenere un registro
generale dei trattamenti sulla base
delle notificazioni ricevute;
b) controllare se i trattamenti sono
effettuati nel rispetto delle norme
di legge e di regolamento e in
conformità alla notificazione;
c)50 segnalare ai relativi titolari
o responsabili le modificazioni
necessarie o opportune al fine di
rendere il trattamento conforme alle
disposizioni vigenti;
d) ricevere le segnalazioni ed i
reclami degli interessati o delle
associazioni che li rappresentano,
relativi ad inosservanze di legge o
di regolamento, e provvedere sui
ricorsi presentati ai sensi
dell’articolo 29;
e) adottare i provvedimenti previsti
dalla legge o dai regolamenti;
f) vigilare sui casi di cessazione,
per qualsiasi causa, di un
trattamento;
g) denunciare i fatti configurabili
come reati perseguibili d’ufficio,
dei quali viene a conoscenza
nell’esercizio o a causa delle sue
funzioni;
h) promuovere nell’ambito delle
categorie interessate,
nell’osservanza del principio di
rappresentatività, la sottoscrizione
di codici di deontologia e di buona
condotta per determinati settori,
verificarne la conformità alle leggi
e ai regolamenti anche attraverso
l’esame di osservazioni di soggetti
interessati e contribuire a
garantirne la diffusione e il
rispetto;
i) curare la conoscenza tra il
pubblico delle norme che regolano la
materia e delle relative finalità,
nonché delle misure di sicurezza dei
dati di cui all’articolo 15;
l)51 vietare, in tutto o in parte,
il trattamento dei dati o disporne
il blocco se il trattamento risulta
illecito o non corretto anche per
effetto della mancata adozione delle
misure necessarie di cui alla
lettera c), oppure quando, in
considerazione della natura dei dati
o, comunque, delle modalità del
trattamento o degli effetti che esso
può determinare, vi è il concreto
rischio del verificarsi di un
pregiudizio rilevante per uno o più
interessati;
m) segnalare al Governo
l’opportunità di provvedimenti
normativi richiesti dall’evoluzione
del settore;
n) predisporre annualmente una
relazione sull’attività svolta e
sullo stato di attuazione della
presente legge, che è trasmessa al
Parlamento e al Governo entro il 30
aprile dell’anno successivo a quello
cui si riferisce;
o) curare l’attività di assistenza
indicata nel capitolo IV della
Convenzione n. 108 sulla protezione
delle persone rispetto al
trattamento automatizzato di dati di
carattere personale, adottata a
Strasburgo il 28 gennaio 1981 e resa
esecutiva con legge 21 febbraio
1989, n. 98, quale autorità
designata ai fini della cooperazione
tra Stati ai sensi dell’articolo 13
della Convenzione medesima;
p) esercitare il controllo sui
trattamenti di cui all’articolo 4 e
verificare, anche su richiesta
dell’interessato, se rispondono ai
requisiti stabiliti dalla legge o
dai regolamenti.
2. Il Presidente del Consiglio dei
ministri e ciascun ministro
consultano il Garante all’atto della
predisposizione delle norme
regolamentari e degli atti
amministrativi suscettibili di
incidere sulle materie disciplinate
dalla presente legge.
3. Il registro di cui al comma 1,
lettera a), del presente articolo, è
tenuto nei modi di cui all’articolo
33, comma 5. Entro il termine di un
anno dalla data della sua
istituzione, il Garante promuove
opportune intese con le province ed
eventualmente con altre pubbliche
amministrazioni al fine di
assicurare la consultazione del
registro mediante almeno un
terminale dislocato su base
provinciale, preferibilmente
nell’ambito dell’ufficio per le
relazioni con il pubblico di cui
all’articolo 12 del decreto
legislativo 3 febbraio 1993, n. 29,
e successive modificazioni.
4. Contro il divieto di cui al comma
1, lettera l), del presente
articolo, può essere proposta
opposizione ai sensi dell’articolo
29, commi 6 e 7.
5. Il Garante e l’Autorità per
l’informatica nella pubblica
amministrazione cooperano tra loro
nello svolgimento dei rispettivi
compiti; a tal fine, invitano il
presidente o un suo delegato membro
dell’altro organo a partecipare alle
riunioni prendendo parte alla
discussione di argomenti di comune
interesse iscritti all’ordine del
giorno; possono richiedere, altresì,
la collaborazione di personale
specializzato addetto all’altro
organo.
6. Le disposizioni del comma 5 si
applicano anche nei rapporti tra il
Garante e le autorità di vigilanza
competenti per il settore
creditizio, per le attività
assicurative e per la
radiodiffusione e l’editoria.
50 Lettera così modificata dall’art.
11, comma 1, d.lg. 28 dicembre 2001,
n. 467.
51 Lettera così modificata dall’art.
11, comma 2, d.lg28 dicembre 2001,
n. 467.
Art. 32. Accertamenti e controlli
1. Per l’espletamento dei propri
compiti il Garante può richiedere al
responsabile, al titolare,
all’interessato o anche a terzi di
fornire informazioni e di esibire
documenti.
2. Il Garante, qualora ne ricorra la
necessità ai fini del controllo del
rispetto delle disposizioni in
materia di trattamento dei dati
personali, può disporre accessi alle
banche di dati o altre ispezioni e
verifiche nei luoghi ove si svolge
il trattamento o nei quali occorre
effettuare rilevazioni comunque
utili al medesimo controllo,
avvalendosi, ove necessario, della
collaborazione di altri organi dello
Stato.
3. Gli accertamenti di cui al comma
2 sono disposti previa
autorizzazione del presidente del
tribunale competente per territorio
in relazione al luogo
dell’accertamento, il quale provvede
senza ritardo sulla richiesta del
Garante, con decreto motivato; le
relative modalità di svolgimento
sono individuate con il regolamento
di cui all’articolo 33, comma 3.
4. I soggetti interessati agli
accertamenti sono tenuti a farli
eseguire.
5. Resta fermo quanto previsto
dall’articolo 220 delle norme di
attuazione, di coordinamento e
transitorie del codice di procedura
penale, approvate con decreto
legislativo 28 luglio 1989, n. 271.
6. Per i trattamenti di cui agli
articoli 4 e 14, comma 1, gli
accertamenti sono effettuati per il
tramite di un membro designato dal
Garante. Se il trattamento non
risulta conforme alle disposizioni
di legge o di regolamento, il
Garante indica al titolare o al
responsabile le necessarie
modificazioni ed integrazioni e ne
verifica l’attuazione. Se
l’accertamento è stato richiesto
dall’interessato, a quest’ultimo è
fornito in ogni caso un riscontro
circa il relativo esito, salvo che
ricorrano i motivi di cui
all’articolo 10, comma 4, della
legge 1° aprile 1981, n. 121, come
sostituito dall’articolo 42, comma
1, della presente legge, o motivi di
difesa o di sicurezza dello Stato.
7. Gli accertamenti di cui al comma
6 non sono delegabili. Qualora
risulti necessario in ragione della
specificità della verifica, il
membro designato può farsi assistere
da personale specializzato che è
tenuto al segreto ai sensi
dell’articolo 33, comma 6. Gli atti
e i documenti acquisiti sono
custoditi secondo modalità tali da
assicurarne la segretezza e sono
conoscibili dal presidente e dai
membri del Garante e, se necessario
per lo svolgimento delle funzioni
dell’organo, da un numero delimitato
di addetti al relativo ufficio
individuati dal Garante sulla base
di criteri definiti dal regolamento
di cui all’articolo 33, comma 3. Per
gli accertamenti relativi agli
organismi e ai dati di cui
all’articolo 4, comma 1, lettera b),
il membro designato prende visione
degli atti e dei documenti rilevanti
e riferisce oralmente nelle riunioni
del Garante.
Art. 33. Ufficio del Garante
1. Alle dipendenze del Garante è
posto un ufficio composto, in sede
di prima applicazione della presente
legge,52 da dipendenti dello Stato e
di altre amministrazioni pubbliche,
collocati fuori ruolo nelle forme
previste dai rispettivi ordinamenti,
il cui servizio presso il medesimo
ufficio è equiparato ad ogni effetto
di legge a quello prestato nelle
rispettive amministrazioni di
provenienza. Il relativo contingente
è determinato, in misura non
superiore a quarantacinque unità, su
proposta del Garante medesimo, con
decreto del Presidente del Consiglio
dei ministri, di concerto con i
Ministri del tesoro e per la
funzione pubblica, entro novanta
giorni dalla data di elezione del
Garante. Il segretario generale può
essere scelto anche tra magistrati
ordinari o amministrativi.53
1-bis.54 E’ istituito il ruolo
organico del personale dipendente
del Garante. Con proprio regolamento
il Garante definisce: a)
l’ordinamento delle carriere e le
modalità del reclutamento secondo le
procedure previste dall’articolo 36
del decreto legislativo 3 febbraio
1993, n. 29, e successive
modificazioni; b) le modalità
dell’inquadramento in ruolo del
personale in servizio alla data
dell’entrata in vigore del
regolamento; c) il trattamento
giuridico ed economico del personale
secondo i criteri previsti dalla
legge 31 luglio 1997, n. 249, e, per
gli incarichi di funzioni
dirigenziali, dall’articolo 19,
comma 6, del citato decreto
legislativo n. 29, come sostituito
dall’articolo 13 del decreto
legislativo 31 marzo 1998, n. 80,
tenuto conto delle specifiche
esigenze funzionali e organizzative.
Il regolamento è pubblicato nella
Gazzetta ufficiale. Nelle more della
più generale razionalizzazione del
trattamento economico delle autorità
amministrative indipendenti, al
personale è attribuito l’ottanta per
cento del trattamento economico del
personale dell’Autorità per le
garanzie nelle comunicazioni. Per il
periodo intercorrente tra l’8 maggio
1997 e la data di entrata in vigore
del regolamento, resta ferma
l’indennità di cui all’articolo 41
del decreto del Presidente della
Repubblica 10 luglio 1991, n. 231,
corrisposta al personale in
servizio. Dal 1° gennaio 1998 e fino
alla data di entrata in vigore del
medesimo regolamento, è inoltre
corrisposta la differenza tra il
nuovo trattamento e la retribuzione
già in godimento maggiorata della
predetta indennità di funzione.
1-ter.54 L’ufficio può avvalersi,
per motivate esigenze, di dipendenti
dello Stato o di altre
amministrazioni pubbliche o di enti
pubblici collocati in posizione di
fuori ruolo nelle forme previste dai
rispettivi ordinamenti, ovvero in
aspettativa ai sensi dell’articolo
13 del decreto del Presidente della
Repubblica 11 luglio 1980, n. 382, e
successive modificazioni, in numero
non superiore, complessivamente, a
venti unità e per non oltre il venti
per cento delle qualifiche
dirigenziali, lasciando non coperto
un corrispondente numero di posti di
ruolo. Al personale di cui al
presente comma è corrisposta una
indennità pari alla eventuale
differenza tra il trattamento
erogato dall’amministrazione o
dall’ente di provenienza e quello
spettante al corrispondente
personale di ruolo, e comunque non
inferiore alla indennità di cui
all’articolo 41 del citato decreto
del Presidente della Repubblica n.
231.
1-quater.55 Con proprio regolamento
il Garante ripartisce l'organico,
fissato nel limite di cento unità,
tra il personale dei diversi livelli
e quello delle qualifiche
dirigenziali e disciplina
l’organizzazione, il funzionamento
dell’ufficio, la riscossione e la
utilizzazione dei diritti di
segreteria, ivi compresi quelli
corrisposti dall'8 maggio 1997, e la
gestione delle spese, anche in
deroga alle norme sulla contabilità
generale dello Stato. Il regolamento
è pubblicato nella Gazzetta
ufficiale.
1-quinquies.55 In aggiunta al
personale di ruolo, l’ufficio può
assumere direttamente dipendenti con
contratto a tempo determinato
disciplinato dalle norme di diritto
privato, in numero non superiore a
venti unità, ivi compresi i
consulenti assunti con contratto a
tempo determinato ai sensi del comma
4.
1-sexies.55 All’ufficio del Garante,
al fine di garantire la
responsabilità e l’autonomia ai
sensi della legge 7 agosto 1990, n.
241, e successive modificazioni, e
del decreto legislativo 3 febbraio
1993, n. 29, e successive
modificazioni, si applicano i
principi riguardanti
l’individuazione e le funzioni del
responsabile del procedimento,
nonché quelli relativi alla
distinzione fra le funzioni di
indirizzo e di controllo, attribuite
agli organi di vertice, e quelli
concernenti le funzioni di gestione
attribuite ai dirigenti.
2. Le spese di funzionamento
dell’ufficio del Garante sono poste
a carico di un fondo stanziato a
tale scopo nel bilancio dello Stato
e iscritto in apposito capitolo
dello stato di previsione del
Ministero del tesoro. Il rendiconto
della gestione finanziaria è
soggetto al controllo della Corte
dei conti.
3.56 In sede di prima applicazione
della presente legge, le norme
concernenti l'organizzazione ed il
funzionamento dell’ufficio del
Garante, nonché quelle dirette a
disciplinare la riscossione dei
diritti di segreteria e la gestione
delle spese, anche in deroga alle
disposizioni sulla contabilità
generale dello Stato, sono adottate
con regolamento emanato con decreto
del Presidente della Repubblica,
entro tre mesi dalla data di entrata
in vigore della presente legge,
previa deliberazione del Consiglio
dei ministri, sentito il Consiglio
di Stato, su proposta del Presidente
del Consiglio dei ministri, di
concerto con i Ministri del tesoro,
di grazia e giustizia e
dell’interno, e su parere conforme
del Garante stesso. Nel medesimo
regolamento sono determinate le
indennità di cui all'articolo 30,
comma 6, e altresì previste le norme
concernenti il procedimento dinanzi
al Garante di cui all’articolo 29,
commi da 1 a 5, secondo modalità
tali da assicurare, nella speditezza
del procedimento medesimo, il pieno
rispetto del contraddittorio tra le
parti interessate, nonché le norme
volte a precisare le modalità per
l'esercizio dei diritti di cui
all'articolo 13, nonché della
notificazione di cui all’articolo 7,
per via telematica o mediante
supporto magnetico o lettera
raccomandata con avviso di
ricevimento o altro idoneo sistema.
Il parere del Consiglio di Stato
sullo schema di regolamento è reso
entro trenta giorni dalla ricezione
della richiesta; decorso tale
termine il regolamento può comunque
essere emanato.57
3-bis.58 Con effetto dalla data di
entrata in vigore del regolamento di
cui al comma 1-quater, cessano di
avere vigore le norme adottate ai
sensi del comma 3, primo periodo.
4.59 Nei casi in cui la natura
tecnica o la delicatezza dei
problemi lo richiedano, il Garante
può avvalersi dell’opera di
consulenti, i quali sono remunerati
in base alle vigenti tariffe
professionali ovvero sono assunti
con contratti a tempo determinato,
di durata non superiore a due anni,
che possono essere rinnovati per non
più di due volte.
5. Per l’espletamento dei propri
compiti, l’ufficio del Garante può
avvalersi di sistemi automatizzati
ad elaborazione informatica e di
strumenti telematici propri ovvero,
salvaguardando le garanzie previste
dalla presente legge, appartenenti
all’Autorità per l’informatica nella
pubblica amministrazione o, in caso
di indisponibilità, ad enti pubblici
convenzionati.
6. Il personale addetto all’ufficio
del Garante ed i consulenti sono
tenuti al segreto su tutto ciò di
cui siano venuti a conoscenza,
nell’esercizio delle proprie
funzioni, in ordine a banche di dati
e ad operazioni di trattamento.
6-bis.60 Il personale dell'ufficio
del Garante addetto agli
accertamenti di cui all'articolo 32
riveste, in numero non superiore a
cinque unità, nei limiti del
servizio cui è destinato e secondo
le rispettive attribuzioni, la
qualifica di ufficiale o agente di
polizia giudiziaria.
52 Parole inserite dall'art. 1,
comma 1, d.lg. 26 febbraio 1999, n.
51.
53 Parole aggiunte dall'art. 3,
comma 2, d.lg. 9 maggio 1997, n.
123.
54 Commi aggiunti dall'art. 1, comma
2, d.lg. 26 febbraio 1999, n. 51.
55 Commi aggiunti dall'art. 2, comma
1, d.lg. 26 febbraio 1999, n. 51.
56 Comma così modificato dall'art.
2, comma 2, d.lg. 26 febbraio 1999,
n. 51.
57 L’art. 5, comma 3, del decreto
legislativo 9 maggio 1997, n. 123,
prevede che “Fino alla data di
entrata in vigore del decreto di cui
all’articolo 33, comma 3, della
legge 31 dicembre 1996, n. 675, per
la gestione delle spese dell’ufficio
del Garante per la protezione dei
dati personali si osservano, in
quanto compatibili, le disposizioni
contenute nel regolamento per la
gestione delle spese occorrenti per
il funzionamento dell’Autorità per
l’informatica nella pubblica
amministrazione, approvate con
decreto del Presidente del Consiglio
dei Ministri 6 ottobre 1994, n. 769,
pubblicato nella Gazzetta Ufficiale
n. 78 del 2 aprile 1995.”
58 Comma inserito dall'art. 2, comma
3, d.lg. 26 febbraio 1999, n. 51.
59 Comma così modificato dall'art.
2, comma 4, d.lg. 26 febbraio 1999,
n. 51.
60 Comma aggiunto dall'art. 2, comma
5, d.lg. 26 febbraio 1999, n. 51.
CAPO VIII -SANZIONI
Art. 34. Omessa o incompleta
notificazione61
1.61bis Chiunque, essendovi tenuto,
non provvede tempestivamente alle
notificazioni in conformità a quanto
previsto dagli articoli 7, 16, comma
1, e 28, ovvero indica in esse
notizie incomplete, è punito con la
sanzione amministrativa del
pagamento di una somma da lire dieci
milioni a lire sessanta milioni e
con la sanzione amministrativa
accessoria della pubblicazione
dell’ordinanza-ingiunzione.
61 Articolo così sostituito
dall’art. 12, d.lg. 28 dicembre
2001, n. 467.
61bis In relazione al presente
articolo, si rammenta il disposto
dell'art. 12, comma 2, d. lg. 28
dicembre 2001, n. 467: "Alle
violazioni dell’articolo 34 della
legge 31 dicembre 1996, n. 675,
commesse prima dell’entrata in
vigore del presente decreto si
applicano, in quanto compatibili, le
disposizioni di cui agli articoli
100, 101 e 102 del decreto
legislativo 30 dicembre 1999, n.
507."
Art. 35. Trattamento illecito di
dati personali
1. Salvo che il fatto costituisca
più grave reato, chiunque, al fine
di trarne per sé o per altri
profitto o di recare ad altri un
danno, procede al trattamento di
dati personali in violazione di
quanto disposto dagli articoli 11,
20 e 27, è punito con la reclusione
sino a due anni o, se il fatto
consiste nella comunicazione o
diffusione, con la reclusione da tre
mesi a due anni.
2.62 Salvo che il fatto costituisca
più grave reato, chiunque, al fine
di trarne per sé o per altri
profitto o di recare ad altri un
danno, procede al trattamento di
dati personali in violazione di
quanto disposto dagli articoli 21,
22, 23, 24 e 24-bis, ovvero del
divieto di cui all’articolo 28,
comma 3, è punito con la reclusione
da tre mesi a due anni.
3. Se dai fatti di cui ai commi 1 e
2 deriva nocumento, la reclusione è
da uno a tre anni.
62 Comma così modificato dall’art.
13, d.lg. 28 dicembre 2001, n. 467.
Art. 36. Omessa adozione di misure
necessarie alla sicurezza dei dati63
1. Chiunque, essendovi tenuto,
omette di adottare le misure
necessarie a garantire la sicurezza
dei dati personali, in violazione
delle disposizioni dei regolamenti
di cui ai commi 2 e 3 dell'articolo
15, è punito con l'arresto sino a
due anni o con l'ammenda da lire
dieci milioni a lire ottanta
milioni.
2. All’autore del reato, all’atto
dell’accertamento o, nei casi
complessi, anche con successivo atto
del Garante, è impartita una
prescrizione fissando un termine per
la regolarizzazione non eccedente il
periodo di tempo tecnicamente
necessario, prorogabile in caso di
particolare complessità o per
l’oggettiva difficoltà
dell’adempimento e comunque non
superiore a sei mesi. Nei sessanta
giorni successivi allo scadere del
termine, se risulta l’adempimento
alla prescrizione, l'autore del
reato è ammesso dal Garante a pagare
una somma pari al quarto del massimo
dell'ammenda stabilita per la
contravvenzione. L'adempimento e il
pagamento estinguono il reato.
L’organo che impartisce la
prescrizione e il pubblico ministero
provvedono nei modi di cui agli
articoli 21, 22, 23 e 24 del decreto
legislativo 19 dicembre 1994, n.
758, in quanto applicabili.
63 Articolo così sostituito
dall’art. 14, comma 1, d.lg. 28
dicembre 2001, n. 467. L’art. 14,
comma 2, di quest’ultimo d.lg.
prevede, inoltre, che “Per i
procedimenti penali per il reato di
cui all’articolo 36 della legge 31
dicembre 1996, n. 675 in corso,
entro quaranta giorni dall’entrata
in vigore del presente decreto
l’autore del reato può fare
richiesta all’autorità giudiziaria
di essere ammesso alla procedura
indicata all’articolo 36, comma 2,
della medesima legge n. 675 del
1996, come sostituito dal presente
decreto. L’Autorità giudiziaria
dispone la sospensione del
procedimento e trasmette gli atti al
Garante per la protezione dei dati
personali che provvede ai sensi del
medesimo articolo 36, comma 2”.
Art. 37. Inosservanza dei
provvedimenti del Garante
1.64 Chiunque, essendovi tenuto, non
osserva il provvedimento adottato
dal Garante ai sensi dell’articolo
22, comma 2, o degli articoli 29,
commi 4 e 5, e 31, comma 1, lettera
l), è punito con la reclusione da
tre mesi a due anni.
64 Comma così modificato dall’art.
15, d.lg. 28 dicembre 2001, n. 467.
Art. 37-bis Falsità nelle
dichiarazioni e nelle notificazioni
al Garante65
1. Chiunque, nelle notificazioni di
cui agli articoli 7, 16, comma 1, e
28 o in atti, documenti o
dichiarazioni resi o esibiti in un
procedimento dinanzi al Garante o
nel corso di accertamenti, dichiara
o attesta falsamente notizie o
circostanze o produce atti o
documenti falsi, è punito, salvo che
il fatto costituisca più grave
reato, con la reclusione da sei mesi
a tre anni.
65 Articolo inserito dall’art. 16,
d.lg. 28 dicembre 2001, n. 467.
Art. 38. Pena accessoria
1. La condanna per uno dei delitti
previsti dalla presente legge
importa la pubblicazione della
sentenza.
Art. 39. Sanzioni amministrative
1.66 Chiunque omette di fornire le
informazioni o di esibire i
documenti richiesti dal Garante ai
sensi degli articoli 29, comma 4, e
32, comma 1, è punito con la
sanzione amministrativa del
pagamento di una somma da lire
cinquemilioni a lire trentamilioni.
2.67 La violazione delle
disposizioni di cui all’articolo 10
è punita con la sanzione
amministrativa del pagamento di una
somma da lire tre milioni a lire
diciotto milioni o, nei casi di cui
agli articoli 22, 24 e 24-bis o,
comunque, di maggiore rilevanza del
pregiudizio per uno o più
interessati, da lire cinque milioni
a lire trenta milioni. La somma può
essere aumentata sino al triplo
quando essa risulti inefficace in
ragione delle condizioni economiche
del contravventore. La violazione
della disposizione di cui
all’articolo 23, comma 2, è punita
con la sanzione amministrativa del
pagamento di una somma da lire
cinquecentomila a lire tre milioni.
3.68 L’organo competente a ricevere
il rapporto e ad irrogare le
sanzioni di cui al presente capo69 è
il Garante. Si osservano, in quanto
applicabili, le disposizioni della
legge 24 novembre 1981, n. 689, e
successive modificazioni. I
proventi, nella misura del cinquanta
per cento del totale annuo, sono
riassegnati al fondo di cui
all'articolo 33, comma 2, e sono
utilizzati unicamente per
l'esercizio dei compiti di cui agli
articoli 31, comma 1, lettera i) e
32.
66 Comma così modificato dall’art.
17, comma 1, d.lg. 28 dicembre 2001,
n. 467.
67 Comma così sostituito dall’art.
14, comma 2, d.lg. 28 dicembre 2001,
n. 467.
68 Comma così modificato dall'art.
14, d.lg. 30 luglio 1999, n. 281.
69 Parole così sostituite dall’art.
14, comma 3, d.lg. 28 dicembre 2001,
n. 467.
CAPO IX - DISPOSIZIONI TRANSITORIE E
FINALI ED ABROGAZIONI
Art. 40. Comunicazioni al Garante
1. Copia dei provvedimenti emessi
dall’autorità giudiziaria in
relazione a quanto previsto dalla
presente legge e dalla legge 23
dicembre 1993, n. 547, è trasmessa,
a cura della cancelleria, al
Garante.
Art. 41. Disposizioni transitorie
1.70 Fermo restando l’esercizio dei
diritti di cui agli articoli 13 e
29, le disposizioni della presente
legge che prescrivono il consenso
dell’interessato non si applicano in
riferimento ai dati personali
raccolti precedentemente alla data
di entrata in vigore della legge
stessa, o il cui trattamento sia
iniziato prima di tale data. Resta
salva l’applicazione delle
disposizioni relative alla
comunicazione e alla diffusione dei
dati previste dalla presente legge.
Le disposizioni del presente comma
restano in vigore sino alla data del
30 giugno 2003.
2.71 Per i trattamenti di dati
personali iniziati prima del 1
gennaio 1998, le notificazioni
prescritte dagli articoli 7 e 28
sono effettuate dal 1 gennaio 1998
al 31 marzo 1998 ovvero, per i
trattamenti di cui all’articolo 5
riguardanti dati diversi da quelli
di cui agli articoli 22 e 24, nonché
per quelli di cui all’articolo 4,
comma 1, lettere c), d) ed e), dal 1
aprile 1998 al 30 giugno 1998.
3. Le misure minime di sicurezza di
cui all’articolo 15, comma 2, devono
essere adottate entro il termine di
sei mesi dalla data di entrata in
vigore del regolamento ivi previsto.
Fino al decorso di tale termine, i
dati personali devono essere
custoditi in maniera tale da evitare
un incremento dei rischi di cui
all’articolo 15, comma 1.
4. Le misure di cui all’articolo 15,
comma 3, devono essere adottate
entro il termine di sei mesi dalla
data di entrata in vigore dei
regolamenti ivi previsti.
5.72 Nei ventiquattro mesi
successivi alla data di entrata in
vigore della presente legge, i
trattamenti dei dati di cui
all’articolo 22, comma 3, ad opera
di soggetti pubblici, esclusi gli
enti pubblici economici, e
all’articolo 24, possono essere
proseguiti anche in assenza delle
disposizioni di legge ivi indicate,
previa comunicazione al Garante.
6. In sede di prima applicazione
della presente legge, fino alla
elezione del Garante ai sensi
dell’articolo 30, le funzioni del
Garante sono svolte dal presidente
dell’Autorità per l’informatica
nella pubblica amministrazione,
fatta eccezione per l’esame dei
ricorsi di cui all’articolo 29.
7.73 Le disposizioni della presente
legge che prevedono
un’autorizzazione del Garante si
applicano limitatamente alla
medesima autorizzazione e fatta
eccezione per la disposizione di cui
all’articolo 28, comma 4, lettera
g), a decorrere dal 30 novembre
1997. Le medesime disposizioni
possono essere applicate dal Garante
anche mediante il rilascio di
autorizzazioni relative a
determinate categorie di titolari o
di trattamenti.
7-bis.74 In sede di prima
applicazione della presente legge,
le informative e le comunicazioni di
cui agli articoli 10, comma 3, e 27,
comma 2, possono essere date entro
il 30 novembre 1997.
70 Comma così modificato dall’art.
18, d.lg. 28 dicembre 2001, n. 467.
71 Comma così sostituito dall'art.
2, d.lg. 28 luglio 1997, n. 255.
72 Comma da ultimo così modificato
dall'art. 1, comma 1, d.lg. 6
novembre 1998, n. 389.
73 Comma così sostituito dall'art.
4, comma 1, d.lg. 9 maggio 1997, n.
123.
74 Comma aggiunto dall'art. 4, comma
2, d.lg. 9 maggio 1997, n. 123.
Art. 42. Modifiche a disposizioni
vigenti
1. L’articolo 10 della legge 1°
aprile 1981, n. 121, è sostituito
dal seguente:
"Art. 10. - (Controlli)
1.75 Il controllo sul Centro
elaborazione dati è esercitato dal
Garante per la protezione dei dati
personali, nei modi previsti dalla
legge e dai regolamenti.
2.75 I dati e le informazioni
conservati negli archivi del Centro
possono essere utilizzati in
procedimenti giudiziari o
amministrativi soltanto attraverso
l’acquisizione delle fonti
originarie indicate nel primo comma
dell’articolo 7, fermo restando
quanto stabilito dall’articolo 240
del codice di procedura penale.
Quando nel corso di un procedimento
giurisdizionale o amministrativo
viene rilevata l’erroneità o
l’incompletezza dei dati e delle
informazioni, o l’illegittimità del
loro trattamento, l’autorità
procedente ne dà notizia al Garante
per la protezione dei dati
personali.
3. La persona alla quale si
riferiscono i dati può chiedere
all’ufficio di cui alla lettera a)
del primo comma dell’articolo 5 la
conferma dell’esistenza di dati
personali che lo riguardano, la loro
comunicazione in forma intelligibile
e, se i dati risultano trattati in
violazione di vigenti disposizioni
di legge o di regolamento, la loro
cancellazione o trasformazione in
forma anonima.
4.75 Esperiti i necessari
accertamenti, l’ufficio comunica al
richiedente, non oltre venti giorni
dalla richiesta, le determinazioni
adottate. L’ufficio può omettere di
provvedere sulla richiesta se ciò
può pregiudicare azioni od
operazioni a tutela dell’ordine e
della sicurezza pubblica o di
prevenzione e repressione della
criminalità, dandone informazione al
Garante per la protezione dei dati
personali.
5. Chiunque viene a conoscenza
dell’esistenza di dati personali che
lo riguardano, trattati anche in
forma non automatizzata in
violazione di disposizioni di legge
o di regolamento, può chiedere al
tribunale del luogo ove risiede il
titolare del trattamento di compiere
gli accertamenti necessari e di
ordinare la rettifica,
l’integrazione, la cancellazione o
la trasformazione in forma anonima
dei dati medesimi. Il tribunale
provvede nei modi di cui agli
articoli 737 e seguenti del codice
di procedura civile.".
2. Il comma 1 dell’articolo 4 del
decreto legislativo 12 febbraio
1993, n. 39, è sostituito dal
seguente: "1. E’ istituita
l’Autorità per l’informatica nella
pubblica amministrazione, denominata
Autorità ai fini del presente
decreto; tale Autorità opera in
piena autonomia e con indipendenza
di giudizio e di valutazione.".
3. Il comma 1 dell’articolo 5 del
decreto legislativo 12 febbraio
1993, n. 39, è sostituito dal
seguente: "1. Le norme concernenti
l’organizzazione ed il funzionamento
dell’Autorità, l’istituzione del
ruolo del personale, il relativo
trattamento giuridico ed economico e
l’ordinamento delle carriere, nonché
la gestione delle spese nei limiti
previsti dal presente decreto, anche
in deroga alle disposizioni sulla
contabilità generale dello Stato,
sono adottate con regolamento
emanato con decreto del Presidente
della Repubblica, previa
deliberazione del Consiglio dei
ministri, sentito il Consiglio di
Stato, su proposta del Presidente
del Consiglio dei ministri, di
concerto con il Ministro del tesoro
e su parere conforme dell’Autorità
medesima. Il parere del Consiglio di
Stato sullo schema di regolamento è
reso entro trenta giorni dalla
ricezione della richiesta, decorsi i
quali il regolamento può comunque
essere emanato. Si applica il
trattamento economico previsto per
il personale del Garante per
l’editoria e la radiodiffusione
ovvero dell’organismo che dovesse
subentrare nelle relative funzioni,
fermo restando il limite massimo
complessivo di centocinquanta unità.
Restano altresì fermi gli
stanziamenti dei capitoli di cui al
comma 2, così come determinati per
il 1995 e tenendo conto dei limiti
di incremento previsti per la
categoria IV per il triennio
1996-1998.".
4.75 Negli articoli 9, comma 2 e 10,
comma 2, della legge 30 settembre
1993, n. 388, le parole: "Garante
per la protezione dei dati" sono
sostituite dalle seguenti: "Garante
per la protezione dei dati
personali".
75 Commi così modificati dall'art.
5, comma 1, d.lg. 9 maggio 1997, n.
123.
Art. 43. Abrogazioni
1. Sono abrogate le disposizioni di
legge o di regolamento incompatibili
con la presente legge e, in
particolare, il quarto comma
dell’articolo 8 ed il quarto comma
dell’articolo 9 della legge 1°
aprile 1981, n. 121. Entro sei mesi
dalla data di emanazione del decreto
di cui all’articolo 33, comma 1,
della presente legge, il Ministro
dell’interno trasferisce all’ufficio
del Garante il materiale informativo
raccolto a tale data in attuazione
del citato articolo 8 della legge n.
121 del 1981.
2. Restano ferme le disposizioni
della legge 20 maggio 1970, n. 300,
e successive modificazioni, nonché,
in quanto compatibili, le
disposizioni della legge 5 giugno
1990, n. 135, e successive
modificazioni, del decreto
legislativo 6 settembre 1989, n.
322, nonché le vigenti norme in
materia di accesso ai documenti
amministrativi ed agli archivi di
Stato. Restano altresì ferme le
disposizioni di legge che
stabiliscono divieti o limiti più
restrittivi in materia di
trattamento di taluni dati
personali.
3. Per i trattamenti di cui
all’articolo 4, comma 1, lettera e),
della presente legge, resta fermo
l’obbligo di conferimento di dati ed
informazioni di cui all’articolo 6,
primo comma, lettera a), della legge
1° aprile 1981, n. 121.
CAPO X - COPERTURA FINANZIARIA ED
ENTRATA IN VIGORE
Art. 44. Copertura finanziaria
1. All’onere derivante
dall’attuazione della presente
legge, valutato in lire 8.029
milioni per il 1997 ed in lire
12.045 milioni a decorrere dal 1998,
si provvede mediante corrispondente
riduzione dello stanziamento
iscritto, ai fini del bilancio
triennale 1997-1999, al capitolo
6856 dello stato di previsione del
Ministero del tesoro per l’anno
1997, all’uopo utilizzando per il
1997, quanto a lire 4.553 milioni,
l’accantonamento riguardante il
Ministero degli affari esteri e,
quanto a lire 3.476 milioni,
l’accantonamento riguardante la
Presidenza del Consiglio dei
ministri e, per gli anni 1998 e
1999, quanto a lire 6.830 milioni,
le proiezioni per gli stessi anni
dell’accantonamento riguardante il
Ministero degli affari esteri e,
quanto a lire 5.215 milioni, le
proiezioni per gli stessi anni
dell’accantonamento riguardante la
Presidenza del Consiglio dei
ministri.
2.Il Ministro del tesoro è
autorizzato ad apportare, con propri
decreti, le occorrenti variazioni di
bilancio.
Art. 45. Entrata in vigore
1. La presente legge entra in vigore
centoventi giorni dopo la sua
pubblicazione nella Gazzetta
Ufficiale. Per i trattamenti svolti
senza l’ausilio di mezzi elettronici
o comunque automatizzati che non
riguardano taluno dei dati di cui
agli articoli 22 e 24, le
disposizioni della presente legge si
applicano a decorrere dal 1° gennaio
1998. Fermo restando quanto previsto
dall’articolo 9, comma 2, della
legge 30 settembre 1993, n. 388, la
presente legge entra in vigore il
giorno successivo a quello della sua
pubblicazione nella Gazzetta
Ufficiale, limitatamente ai
trattamenti di dati effettuati in
esecuzione dell’accordo di cui
all’articolo 4, comma 1, lettera a)
e alla nomina del Garante.
Testo aggiornato in base ai seguenti
decreti legislativi
n. 467 del 28 dicembre 2001
n. 282 del 30 luglio 1999
n. 281 del 30 luglio 1999
n. 135 dell'11 maggio 1999
n. 51 del 26 febbraio 1999
n. 389 del 06 novembre 1998
n. 171 del 13 maggio 1998
n. 135 dello 08 maggio 1998
n. 255 del 28 luglio 1997
n. 123 del 09 maggio 1997 |
|
|
|
|
|
|
|
|
| |
 |
|
