QUESTA NON E' LA VERSIONE COMPLETA DEL DECRETO LEGISLATIVO
IN MATERIA DI PROTEZIONE DEI DATI PERSONALI, www.garanteprivacy.it,
per
la versione completa clicca quì.
Normativa - 27 febbraio 2004
Decreto legislativo 30 giugno 2003, n. 196 - Codice
in materia di protezione dei dati personali
Vigenza 27 febbraio 2004 - Consolidato con la legge
26 febbraio 2004, n. 45 di conversione con modifiche
dell'art. 3 del d.l. 24 dicembre 2003, n. 354.
PARTE I - DISPOSIZIONI GENERALI
Titolo I - PRINCIPI GENERALI
Art. 1. Diritto alla protezione dei dati personali
1. Chiunque ha diritto alla protezione dei dati personali
che lo riguardano.
Art. 2. Finalità
1. Il presente testo unico, di seguito denominato "codice",
garantisce che il trattamento dei dati personali si
svolga nel rispetto dei diritti e delle libertà
fondamentali, nonchè della dignità dell'interessato,
con particolare riferimento alla riservatezza, all'identità
personale e al diritto alla protezione dei dati personali.
2. Il trattamento dei dati personali è disciplinato
assicurando un elevato livello di tutela dei diritti
e delle libertà di cui al comma 1 nel rispetto
dei principi di semplificazione, armonizzazione ed efficacia
delle modalità previste per il loro esercizio
da parte degli interessati, nonchè per l'adempimento
degli obblighi da parte dei titolari del trattamento.
Art. 3. Principio di necessità nel trattamento
dei dati
1. I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l'utilizzazione di dati
personali e di dati identificativi, in modo da escluderne
il trattamento quando le finalità perseguite
nei singoli casi possono essere realizzate mediante,
rispettivamente, dati anonimi od opportune modalità
che permettano di identificare l'interessato solo in
caso di necessità.
Art. 4. Definizioni
1. Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o
complesso di operazioni, effettuati anche senza l'ausilio
di strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione,
il blocco, la comunicazione, la diffusione, la cancellazione
e la distruzione di dati, anche se non registrati in
una banca di dati;
b) "dato personale", qualunque informazione
relativa a persona fisica, persona giuridica, ente od
associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione,
ivi compreso un numero di identificazione personale;
c) "dati identificativi", i dati personali
che permettono l'identificazione diretta dell'interessato;
d) "dati sensibili", i dati personali idonei
a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni
od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonchè i dati personali
idonei a rivelare lo stato di salute e la vita sessuale;
e) "dati giudiziari", i dati personali idonei
a rivelare provvedimenti di cui all'articolo 3, comma
1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre
2002, n. 313, in materia di casellario giudiziale, di
anagrafe delle sanzioni amministrative dipendenti da
reato e dei relativi carichi pendenti, o la qualità
di imputato o di indagato ai sensi degli articoli 60
e 61 del codice di procedura penale;
f) "titolare", la persona fisica, la persona
giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo cui competono, anche
unitamente ad altro titolare, le decisioni in ordine
alle finalità, alle modalità del trattamento
di dati personali e agli strumenti utilizzati, ivi compreso
il profilo della sicurezza;
g) "responsabile", la persona fisica, la
persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo preposti dal titolare
al trattamento di dati personali;
h) "incaricati", le persone fisiche autorizzate
a compiere operazioni di trattamento dal titolare o
dal responsabile;
i) "interessato", la persona fisica, la persona
giuridica, l'ente o l'associazione cui si riferiscono
i dati personali;
l) "comunicazione", il dare conoscenza dei
dati personali a uno o più soggetti determinati
diversi dall'interessato, dal rappresentante del titolare
nel territorio dello Stato, dal responsabile e dagli
incaricati, in qualunque forma, anche mediante la loro
messa a disposizione o consultazione;
m) "diffusione", il dare conoscenza dei dati
personali a soggetti indeterminati, in qualunque forma,
anche mediante la loro messa a disposizione o consultazione;
n) "dato anonimo", il dato che in origine,
o a seguito di trattamento, non può essere associato
ad un interessato identificato o identificabile;
o) "blocco", la conservazione di dati personali
con sospensione temporanea di ogni altra operazione
del trattamento;
p) "banca di dati", qualsiasi complesso organizzato
di dati personali, ripartito in una o più unità
dislocate in uno o più siti;
q) "Garante", l'autorità di cui all'articolo
153, istituita dalla legge 31 dicembre 1996, n. 675.
2. Ai fini del presente codice si intende, inoltre,
per:
a) "comunicazione elettronica", ogni informazione
scambiata o trasmessa tra un numero finito di soggetti
tramite un servizio di comunicazione elettronica accessibile
al pubblico. Sono escluse le informazioni trasmesse
al pubblico tramite una rete di comunicazione elettronica,
come parte di un servizio di radiodiffusione, salvo
che le stesse informazioni siano collegate ad un abbonato
o utente ricevente, identificato o identificabile;
b) "chiamata", la connessione istituita da
un servizio telefonico accessibile al pubblico, che
consente la comunicazione bidirezionale in tempo reale;
c) "reti di comunicazione elettronica", i
sistemi di trasmissione, le apparecchiature di commutazione
o di instradamento e altre risorse che consentono di
trasmettere segnali via cavo, via radio, a mezzo di
fibre ottiche o con altri mezzi elettromagnetici, incluse
le reti satellitari, le reti terrestri mobili e fisse
a commutazione di circuito e a commutazione di pacchetto,
compresa Internet, le reti utilizzate per la diffusione
circolare dei programmi sonori e televisivi, i sistemi
per il trasporto della corrente elettrica, nella misura
in cui sono utilizzati per trasmettere i segnali, le
reti televisive via cavo, indipendentemente dal tipo
di informazione trasportato;
d) "rete pubblica di comunicazioni", una
rete di comunicazioni elettroniche utilizzata interamente
o prevalentemente per fornire servizi di comunicazione
elettronica accessibili al pubblico;
e) "servizio di comunicazione elettronica",
i servizi consistenti esclusivamente o prevalentemente
nella trasmissione di segnali su reti di comunicazioni
elettroniche, compresi i servizi di telecomunicazioni
e i servizi di trasmissione nelle reti utilizzate per
la diffusione circolare radiotelevisiva, nei limiti
previsti dall'articolo 2, lettera c), della direttiva
2002/21/CE del Parlamento europeo e del Consiglio, del
7 marzo 2002;
f) "abbonato", qualunque persona fisica,
persona giuridica, ente o associazione parte di un contratto
con un fornitore di servizi di comunicazione elettronica
accessibili al pubblico per la fornitura ditali servizi,
o comunque destinatario di tali servizi tramite schede
prepagate;
g) "utente", qualsiasi persona fisica che
utilizza un servizio di comunicazione elettronica accessibile
al pubblico, per motivi privati o commerciali, senza
esservi necessariamente abbonata;
h) "dati relativi al traffico", qualsiasi
dato sottoposto a trattamento ai fini della trasmissione
di una comunicazione su una rete di comunicazione elettronica
o della relativa fatturazione;
i) "dati relativi all'ubicazione", ogni dato
trattato in una rete di comunicazione elettronica che
indica la posizione geografica dell'apparecchiatura
terminale dell'utente di un servizio di comunicazione
elettronica accessibile al pubblico;
l) "servizio a valore aggiunto", il servizio
che richiede il trattamento dei dati relativi al traffico
o dei dati relativi all'ubicazione diversi dai dati
relativi al traffico, oltre a quanto è necessario
per la trasmissione di una comunicazione o della relativa
fatturazione;
m) "posta elettronica", messaggi contenenti
testi, voci, suoni o immagini trasmessi attraverso una
rete pubblica di comunicazione, che possono essere archiviati
in rete o nell'apparecchiatura terminale ricevente,
fino a che il ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si intende, altresì,
per:
a) "misure minime", il complesso delle misure
tecniche, informatiche, organizzative, logistiche e
procedurali di sicurezza che configurano il livello
minimo di protezione richiesto in relazione ai rischi
previsti nell'articolo 31;
b) "strumenti elettronici", gli elaboratori,
i programmi per elaboratori e qualunque dispositivo
elettronico o comunque automatizzato con cui si effettua
il trattamento;
c) "autenticazione informatica", l'insieme
degli strumenti elettronici e delle procedure per la
verifica anche indiretta dell'identità;
d) "credenziali di autenticazione", i dati
ed i dispositivi, in possesso di una persona, da questa
conosciuti o ad essa univocamente correlati, utilizzati
per l'autenticazione informatica;
e) "parola chiave", componente di una credenziale
di autenticazione associata ad una persona ed a questa
nota, costituita da una sequenza di caratteri o altri
dati in forma elettronica;
f) "profilo di autorizzazione", l'insieme
delle informazioni, univocamente associate ad una persona,
che consente di individuare a quali dati essa può
accedere, nonchè i trattamenti ad essa consentiti;
g) "sistema di autorizzazione", l'insieme
degli strumenti e delle procedure che abilitano l'accesso
ai dati e alle modalità di trattamento degli
stessi, in funzione del profilo di autorizzazione del
richiedente.
4. Ai fini del presente codice si intende per:
a) "scopi storici", le finalità di
studio, indagine, ricerca e documentazione di figure,
fatti e circostanze del passato;
b) "scopi statistici", le finalità
di indagine statistica o di produzione di risultati
statistici, anche a mezzo di sistemi informativi statistici;
c) "scopi scientifici", le finalità
di studio e di indagine sistematica finalizzata allo
sviluppo delle conoscenze scientifiche in uno specifico
settore.
Art. 5. Oggetto ed ambito di applicazione
1. Il presente codice disciplina il trattamento di dati
personali, anche detenuti all'estero, effettuato da
chiunque è stabilito nel territorio dello Stato
o in un luogo comunque soggetto alla sovranità
dello Stato.
2. Il presente codice si applica anche al trattamento
di dati personali effettuato da chiunque è stabilito
nel territorio di un Paese non appartenente all'Unione
europea e impiega, per il trattamento, strumenti situati
nel territorio dello Stato anche diversi da quelli elettronici,
salvo che essi siano utilizzati solo ai fini di transito
nel territorio dell'Unione europea. In caso di applicazione
del presente codice, il titolare del trattamento designa
un proprio rappresentante stabilito nel territorio dello
Stato ai fini dell'applicazione della disciplina sul
trattamento dei dati personali.
3. Il trattamento di dati personali effettuato da persone
fisiche per fini esclusivamente personali è soggetto
all'applicazione del presente codice solo se i dati
sono destinati ad una comunicazione sistematica o alla
diffusione. Si applicano in ogni caso le disposizioni
in tema di responsabilità e di sicurezza dei
dati di cui agli articoli 15 e 31.
Art. 6. Disciplina del trattamento
1. Le disposizioni contenute nella presente Parte si
applicano a tutti i trattamenti di dati, salvo quanto
previsto, in relazione ad alcuni trattamenti, dalle
disposizioni integrative o modificative della Parte
II.
Titolo II - DIRITTI DELL'INTERESSATO
Art. 7. Diritto di accesso ai dati personali ed
altri diritti
1. L'interessato ha diritto di ottenere la conferma
dell'esistenza o meno di dati personali che lo riguardano,
anche se non ancora registrati, e la loro comunicazione
in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato
con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili
e del rappresentante designato ai sensi dell'articolo
5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali
i dati personali possono essere comunicati o che possono
venirne a conoscenza in qualità di rappresentante
designato nel territorio dello Stato, di responsabili
o incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando
vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima
o il blocco dei dati trattati in violazione di legge,
compresi quelli di cui non è necessaria la conservazione
in relazione agli scopi per i quali i dati sono stati
raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere
a) e b) sono state portate a conoscenza, anche per quanto
riguarda il loro contenuto, di coloro ai quali i dati
sono stati comunicati o diffusi, eccettuato il caso
in cui tale adempimento si rivela impossibile o comporta
un impiego di mezzi manifestamente sproporzionato rispetto
al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o
in parte:
a) per motivi legittimi al trattamento dei dati personali
che lo riguardano, ancorchè pertinenti allo scopo
della raccolta;
b) al trattamento di dati personali che lo riguardano
a fini di invio di materiale pubblicitario o di vendita
diretta o per il compimento di ricerche di mercato o
di comunicazione commerciale.
Art. 8. Esercizio dei diritti
1. I diritti di cui all'articolo 7 sono esercitati con
richiesta rivolta senza formalità al titolare
o al responsabile, anche per il tramite di un incaricato,
alla quale è fornito idoneo riscontro senza ritardo.
2. I diritti di cui all'articolo 7 non possono essere
esercitati con richiesta al titolare o al responsabile
o con ricorso ai sensi dell'articolo 145, se i trattamenti
di dati personali sono effettuati:
a) in base alle disposizioni del decreto-legge 3 maggio
1991, n. 143, convertito, con modificazioni, dalla legge
luglio 1991, n. 197,e successive modificazioni, in materia
di riciclaggio;
b) in base alle disposizioni del decreto-legge 31 dicembre
1991,n. 419, convertito, con modificazioni, dalla legge
18 febbraio 1992,n. 172, e successive modificazioni,
in materia di sostegno alle vittime di richieste estorsive;
c) da Commissioni parlamentari d'inchiesta istituite
ai sensi dell'articolo 82 della Costituzione;
d) da un soggetto pubblico, diverso dagli enti pubblici
economici,in base ad espressa disposizione di legge,
per esclusive finalità inerenti alla politica
monetaria e valutaria, al sistema dei pagamenti, al
controllo degli intermediari e dei mercati creditizi
e finanziari, nonchè alla tutela della loro stabilità;
e) ai sensi dell'articolo 24, comma 1, lettera f),
limitatamente al periodo durante il quale potrebbe derivarne
un pregiudizio effettivo e concreto per lo svolgimento
delle investigazioni difensive o per l'esercizio del
diritto in sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica
accessibili al pubblico relativamente a comunicazioni
telefoniche in entrata, salvo che possa derivarne un
pregiudizio effettivo e concreto per lo svolgimento
delle investigazioni difensive di cui alla legge 7 dicembre
2000, n. 397;
g) per ragioni di giustizia, presso uffici giudiziari
di ogni ordine e grado o il Consiglio superiore della
magistratura o altri organi di autogoverno o il Ministero
della giustizia;
h) ai sensi dell'articolo 53, fermo restando quanto
previsto dalla legge 1 aprile 1981, n. 121.
3. Il Garante, anche su segnalazione dell'interessato,
nei casi dicui al comma 2, lettere a), b), d), e) ed
f) provvede nei modi di cui agli articoli 157, 158 e
159 e, nei casi di cui alle lettere c), g) ed h) del
medesimo comma, provvede nei modi di cui all'articolo
160.
4. L'esercizio dei diritti di cui all'articolo 7, quando
non riguarda dati di carattere oggettivo, può
avere luogo salvo che concerna la rettificazione o l'integrazione
di dati personali di tipo valutativo, relativi a giudizi,
opinioni o ad altri apprezzamenti di tipo soggettivo,
nonchè l'indicazione di condotte da tenersi o
di decisioni in via di assunzione da parte del titolare
del trattamento.
Art. 9. Modalità di esercizio
1. La richiesta rivolta al titolare o al responsabile
può essere trasmessa anche mediante lettera raccomandata,
telefax o posta elettronica. Il Garante può individuare
altro idoneo sistema in riferimento a nuove soluzioni
tecnologiche. Quando riguarda l'esercizio dei diritti
di cui all'articolo 7, commi 1 e 2, la richiesta può
essere formulata anche oralmente e in tal caso è
annotata sinteticamente a cura dell'incaricato o del
responsabile.
2. Nell'esercizio dei diritti di cui all'articolo 7
l'interessato può conferire, per iscritto, delega
o procura a persone fisiche, enti, associazioni od organismi.
L'interessato può, altresì, farsi assistere
da una persona di fiducia.
3. I diritti di cui all'articolo 7 riferiti a dati
personali concernenti persone decedute possono essere
esercitati da chi ha un interesse proprio, o agisce
a tutela dell'interessato o per ragioni familiari meritevoli
di protezione.
4. L'identità dell'interessato è verificata
sulla base di idonei elementi di valutazione, anche
mediante atti o documenti disponibili o esibizione o
allegazione di copia di un documento di riconoscimento.
La persona che agisce per conto dell'interessato esibisce
o allega copia della procura, ovvero della delega sottoscritta
in presenza di un incaricato o sottoscritta e presentata
unitamente a copia fotostatica non autenticata di un
documento di riconoscimento dell'interessato. Se l'interessato
è una persona giuridica, un ente o un'associazione,
la richiesta è avanzata dalla persona fisica
legittimata in base ai rispettivi statuti od ordinamenti.
5. La richiesta di cui all'articolo 7, commi 1 e 2,
è formulata liberamente e senza costrizioni e
può essere rinnovata, salva l'esistenza di giustificati
motivi, con intervallo non minore di novanta giorni.
Art. 10. Riscontro all'interessato
1. Per garantire l'effettivo esercizio dei diritti di
cui all'articolo 7 il titolare del trattamento è
tenuto ad adottare idonee misure volte, in particolare:
a) ad agevolare l'accesso ai dati personali da parte
dell'interessato, anche attraverso l'impiego di appositi
programmi per elaboratore finalizzati ad un'accurata
selezione dei dati che riguardano singoli interessati
identificati o identificabili;
b) a semplificare le modalità e a ridurre i
tempi per il riscontro al richiedente, anche nell'ambito
di uffici o servizi preposti alle relazioni con il pubblico.
2. I dati sono estratti a cura del responsabile o degli
incaricati e possono essere comunicati al richiedente
anche oralmente, ovvero offerti in visione mediante
strumenti elettronici, sempre che in tali casi la comprensione
dei dati sia agevole, considerata anche la qualità
e la quantità delle informazioni. Se vi è
richiesta, si provvede alla trasposizione dei dati su
supporto cartaceo o informatico, ovvero alla loro trasmissione
per via telematica.
3. Salvo che la richiesta sia riferita ad un particolare
trattamento o a specifici dati personali o categorie
di dati personali, il riscontro all'interessato comprende
tutti i dati personali che riguardano l'interessato
comunque trattati dal titolare. Se la richiesta è
rivolta ad un esercente una professione sanitaria o
ad un organismo sanitario si osserva la disposizione
di cui all'articolo 84, comma 1.
4. Quando l'estrazione dei dati risulta particolarmente
difficoltosa il riscontro alla richiesta dell'interessato
può avvenire anche attraverso l'esibizione o
la consegna in copia di atti e documenti contenenti
i dati personali richiesti.
5. Il diritto di ottenere la comunicazione in forma
intelligibile dei dati non riguarda dati personali relativi
a terzi, salvo che la scomposizione dei dati trattati
o la privazione di alcuni elementi renda incomprensibili
i dati personali relativi all'interessato.
6. La comunicazione dei dati è effettuata in
forma intelligibile anche attraverso l'utilizzo di una
grafia comprensibile. In caso di comunicazione di codici
o sigle sono forniti, anche mediante gli incaricati,
i parametri per la comprensione del relativo significato.
7. Quando, a seguito della richiesta di cui all'articolo
7, commi1 e 2, lettere a), b) e c) non risulta confermata
l'esistenza di dati che riguardano l'interessato, può
essere chiesto un contributo spese non eccedente i costi
effettivamente sopportati per la ricerca effettuata
nel caso specifico.
8. Il contributo di cui al comma 7 non può comunque
superare l'importo determinato dal Garante con provvedimento
di carattere generale, che può individuarlo forfettariamente
in relazione al caso in cui i dati sono trattati con
strumenti elettronici e la risposta è fornita
oralmente. Con il medesimo provvedimento il Garante
può prevedere che il contributo possa essere
chiesto quando i dati personali figurano su uno speciale
supporto del quale è richiesta specificamente
la riproduzione, oppure quando, presso uno o più
titolari, si determina un notevole impiego di mezzi
in relazione alla complessità o all'entità
delle richieste ed è confermata l'esistenza di
dati che riguardano l'interessato.
9. Il contributo di cui ai commi 7 e 8 è corrisposto
anche mediante versamento postale o bancario, ovvero
mediante carta di pagamento o di credito, ove possibile
all'atto della ricezione del riscontro e comunque non
oltre quindici giorni da tale riscontro.
Titolo III - REGOLE GENERALI
PER IL TRATTAMENTO DEI DATI
CAPO I - REGOLE PER TUTTI
I TRATTAMENTI
Art. 11. Modalità del trattamento e requisiti
dei dati
1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti
e legittimi, ed utilizzati in altre operazioni del trattamento
intermini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle
finalità per le quali sono raccolti o successivamente
trattati;
e) conservati in una forma che consenta l'identificazione
dell'interessato per un periodo di tempo non superiore
a quello necessario agli scopi per i quali essi sono
stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina
rilevante in materia di trattamento dei dati personali
non possono essere utilizzati.
Art. 12. Codici di deontologia e di buona condotta
1. Il Garante promuove nell'ambito delle categorie interessate,
nell'osservanza del principio di rappresentatività
e tenendo conto dei criteri direttivi delle raccomandazioni
del Consiglio d'Europa sul trattamento di dati personali,
la sottoscrizione di codici di deontologia e di buona
condotta per determinati settori, ne verificala conformità
alle leggi e ai regolamenti anche attraverso l'esame
di osservazioni di soggetti interessati e contribuisce
a garantirne la diffusione e il rispetto.
2. I codici sono pubblicati nella Gazzetta Ufficiale
della Repubblica italiana a cura del Garante e, con
decreto del Ministro della giustizia, sono riportati
nell'allegato A) del presente codice.
3. Il rispetto delle disposizioni contenute nei codici
di cui al comma 1 costituisce condizione essenziale
per la liceità e correttezza del trattamento
dei dati personali effettuato da soggetti privati e
pubblici.
4. Le disposizioni del presente articolo si applicano
anche al codice di deontologia per i trattamenti di
dati per finalità giornalistiche promosso dal
Garante nei modi di cui al comma 1 e all’articolo
139.
Art. 13. Informativa
1. L'interessato o la persona presso la quale sono raccolti
i dati personali sono previamente informati oralmente
o per iscritto circa:
a) le finalità e le modalità del trattamento
cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento
dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i
dati personali possono essere comunicati o che possono
venirne a conoscenza in qualità di responsabili
o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati,
del rappresentante nel territorio dello Stato ai sensi
dell'articolo 5 e del responsabile. Quando il titolare
ha designato più responsabili è indicato
almeno uno di essi, indicando il sito della rete di
comunicazione o le modalità attraverso le quali
è conoscibile in modo agevole l'elenco aggiornato
dei responsabili. Quando è stato designato un
responsabile per il riscontro all'interessato in caso
di esercizio dei diritti di cui all'articolo 7, è
indicato tale responsabile.
2. L'informativa di cui al comma 1 contiene anche gli
elementi previsti da specifiche disposizioni del presente
codice e può non comprendere gli elementi già
noti alla persona che fornisce i dati o la cui conoscenza
può ostacolare in concreto l'espletamento, da
parte di un soggetto pubblico, di funzioni ispettive
o di controllo svolte per finalità di difesa
o sicurezza dello Stato oppure di prevenzione, accertamento
o repressione di reati.
3. Il Garante può individuare con proprio provvedimento
modalità semplificate per l'informativa fornita
in particolare da servizi telefonici di assistenza e
informazione al pubblico.
4. Se i dati personali non sono raccolti presso l'interessato,
l'informativa di cui al comma 1, comprensiva delle categorie
di dati trattati, è data al medesimo interessato
all'atto della registrazione dei dati o, quando è
prevista la loro comunicazione, non oltre la prima comunicazione.
5. La disposizione di cui al comma 4 non si applica
quando:
a) i dati sono trattati in base ad un obbligo previsto
dalla legge, da un regolamento o dalla normativa comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle
investigazioni difensive di cui alla legge 7 dicembre
2000, n. 397, o, comunque, per far valere o difendere
un diritto in sede giudiziaria, sempre che i dati siano
trattati esclusivamente per tali finalità e per
il periodo strettamente necessario al loro perseguimento;
c) l'informativa all'interessato comporta un impiego
di mezzi che il Garante, prescrivendo eventuali misure
appropriate, dichiari manifestamente sproporzionati
rispetto al diritto tutelato, ovvero si riveli, a giudizio
del Garante, impossibile.
Art. 14. Definizione di profili e della personalità
dell'interessato
1. Nessun atto o provvedimento giudiziario o amministrativo
che implichi una valutazione del comportamento umano
può essere fondato unicamente su un trattamento
automatizzato di dati personali volto a definire il
profilo o la personalità dell'interessato.
2. L'interessato può opporsi ad ogni altro tipo
di determinazione adottata sulla base del trattamento
di cui al comma 1, ai sensi dell'articolo 7, comma 4,
lettera a), salvo che la determinazione sia stata adottata
in occasione della conclusione o dell'esecuzione di
un contratto, in accoglimento di una proposta dell'interessato
o sulla base di adeguate garanzie individuate dal presente
codice o da un provvedimento del Garante ai sensi dell'articolo
17.
Art. 15. Danni cagionati per effetto del trattamento
1. Chiunque cagiona danno ad altri per effetto del trattamento
di dati personali è tenuto al risarcimento ai
sensi dell'articolo 2050 del codice civile.
2. Il danno non patrimoniale è risarcibile anche
in caso di violazione dell'articolo 11.
Art. 16. Cessazione del trattamento
1. In caso di cessazione, per qualsiasi causa, di un
trattamento i dati sono:
a) distrutti;
b) ceduti ad altro titolare, purchè destinati
ad un trattamento in termini compatibili agli scopi
per i quali i dati sono raccolti;
c) conservati per fini esclusivamente personali e non
destinati aduna comunicazione sistematica o alla diffusione;
d) conservati o ceduti ad altro titolare, per scopi
storici, statistici o scientifici, in conformità
alla legge, ai regolamenti, alla normativa comunitaria
e ai codici di deontologia e di buona condotta sottoscritti
ai sensi dell'articolo 12.
2. La cessione dei dati in violazione di quanto previsto
dal comma 1, lettera b), o di altre disposizioni rilevanti
in materia di trattamento dei dati personali è
priva di effetti.
Art. 17. Trattamento che presenta rischi specifici
1. Il trattamento dei dati diversi da quelli sensibili
e giudiziari che presenta rischi specifici per i diritti
e le libertà fondamentali, nonchè per
la dignità dell'interessato, in relazione alla
natura dei dati o alle modalità del trattamento
o agli effetti che può determinare, è
ammesso nel rispetto di misure ed accorgimenti a garanzia
dell'interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono
prescritti dal Garante in applicazione dei principi
sanciti dal presente codice, nell'ambito di una verifica
preliminare all'inizio del trattamento, effettuata anche
in relazione a determinate categorie di titolari o di
trattamenti, anche a seguito di un interpello del titolare.
CAPO III - REGOLE ULTERIORI
PER PRIVATI ED ENTI PUBBLICI ECONOMICI
Art. 23. Consenso
1. Il trattamento di dati personali da parte di privati
o di enti pubblici economici è ammesso solo con
il consenso espresso dell'interessato.
2. Il consenso può riguardare l'intero trattamento
ovvero una o più operazioni dello stesso.
3. Il consenso è validamente prestato solo se
è espresso liberamente e specificamente in riferimento
ad un trattamento chiaramente individuato, se è
documentato per iscritto, e se sono state rese all'interessato
le informazioni di cui all'articolo 13.
4. Il consenso è manifestato in forma scritta
quando il trattamento riguarda dati sensibili.
Art. 24. Casi nei quali può essere effettuato
il trattamento senza consenso.
1. Il consenso non è richiesto, oltre che nei
casi previsti nella Parte II, quando il trattamento:
a) è necessario per adempiere ad un obbligo
previsto dalla legge,da un regolamento o dalla normativa
comunitaria;
b) è necessario per eseguire obblighi derivanti
da un contratto del quale è parte l'interessato
o per adempiere, prima della conclusione del contratto,
a specifiche richieste dell'interessato;
c) riguarda dati provenienti da pubblici registri,
elenchi, atti odocumenti conoscibili da chiunque, fermi
restando i limiti e le modalità che le leggi,
i regolamenti o la normativa comunitaria stabiliscono
per la conoscibilità e pubblicità dei
dati;
d) riguarda dati relativi allo svolgimento di attività
economiche, trattati nel rispetto della vigente normativa
in materia di segreto aziendale e industriale;
e) è necessario per la salvaguardia della vita
o dell'incolumità fisica di un terzo. Se la medesima
finalità riguarda l'interessato e quest'ultimo
non può prestare il proprio consenso per impossibilità
fisica, per incapacità di agire o per incapacità
di intendere o divolere, il consenso è manifestato
da chi esercita legalmente la potestà, ovvero
da un prossimo congiunto, da un familiare, da un convivente
o, in loro assenza, dal responsabile della struttura
presso cui dimora l'interessato. Si applica la disposizione
di cui all'articolo 82, comma 2;
f) con esclusione della diffusione, è necessario
ai fini dello svolgimento delle investigazioni difensive
di cui alla legge 7 dicembre 2000, n. 397, o, comunque,
per far valere o difendere un diritto in sede giudiziaria,
sempre che i dati siano trattati esclusivamente per
tali finalità e per il periodo strettamente necessario
al loro perseguimento, nel rispetto della vigente normativa
in materia di segreto aziendale e industriale;
g) con esclusione della diffusione, è necessario,
nei casi individuati dal Garante sulla base dei principi
sanciti dalla legge, per perseguire un legittimo interesse
del titolare o di un terzo destinatario dei dati, anche
in riferimento all'attività di gruppi bancari
e di società controllate o collegate, qualora
non prevalgano i diritti e le libertà fondamentali,
la dignità o un legittimo interesse dell'interessato;
h) con esclusione della comunicazione all'esterno e
della diffusione, è effettuato da associazioni,
enti od organismi senzascopo di lucro, anche non riconosciuti,
in riferimento a soggetti che hanno con essi contatti
regolari o ad aderenti, per il perseguimento di scopi
determinati e legittimi individuati dall'atto costitutivo,
dallo statuto o dal contratto collettivo, e con modalità
di utilizzo previste espressamente con determinazione
resa nota agli interessati all'atto dell'informativa
ai sensi dell'articolo 13;
i) è necessario, in conformità ai rispettivi
codici di deontologia di cui all'allegato A), per esclusivi
scopi scientifici o statistici, ovvero per esclusivi
scopi storici presso archivi privati dichiarati di notevole
interesse storico ai sensi dell'articolo 6, comma 2,
del decreto legislativo 29 ottobre 1999, n. 490, di
approvazione del testo unico in materia di beni culturali
e ambientali o, secondo quanto previsto dai medesimi
codici, presso altri archivi privati.
Art. 25. Divieti di comunicazione e diffusione
1. La comunicazione e la diffusione sono vietate, oltre
che in caso di divieto disposto dal Garante o dall'autorità
giudiziaria:
a) in riferimento a dati personali dei quali è
stata ordinata la cancellazione, ovvero quando è
decorso il periodo di tempo indicato nell'articolo 11,
comma 1, lettera e);
b) per finalità diverse da quelle indicate nella
notificazione del trattamento, ove prescritta.
2. è fatta salva la comunicazione o diffusione
di dati richieste, in conformità alla legge,
da forze di polizia, dall'autorità giudiziaria,
da organismi di informazione e sicurezza o da altri
soggetti pubblici ai sensi dell'articolo 58, comma 2,
per finalità di difesa o di sicurezza dello Stato
o di prevenzione, accertamento o repressione di reati.
Art. 26. Garanzie per i dati sensibili
1. I dati sensibili possono essere oggetto di trattamento
solo con il consenso scritto dell'interessato e previa
autorizzazione del Garante, nell'osservanza dei presupposti
e dei limiti stabiliti dal presente codice, nonchè
dalla legge e dai regolamenti.
2. Il Garante comunica la decisione adottata sulla
richiesta di autorizzazione entro quarantacinque giorni,
decorsi i quali la mancata pronuncia equivale a rigetto.
Con il provvedimento di autorizzazione, ovvero successivamente,
anche sulla base di eventuali verifiche, il Garante
può prescrivere misure e accorgimenti a garanzia
dell'interessato, che il titolare del trattamento è
tenuto ad adottare.
3. Il comma 1 non si applica al trattamento:
a) dei dati relativi agli aderenti alle confessioni
religiose e ai soggetti che con riferimento a finalità
di natura esclusivamente religiosa hanno contatti regolari
con le medesime confessioni, effettuato dai relativi
organi, ovvero da enti civilmente riconosciuti, sempre
che i dati non siano diffusi o comunicati fuori delle
medesime confessioni. Queste ultime determinano idonee
garanzie relativamente ai trattamenti effettuati, nel
rispetto dei principi indicati al riguardo con autorizzazione
del Garante;
b) dei dati riguardanti l'adesione di associazioni
od organizzazioni a carattere sindacale o di categoria
ad altre associazioni, organizzazioni o confederazioni
a carattere sindacale o di categoria.
4. I dati sensibili possono essere oggetto di trattamento
anchesenza consenso, previa autorizzazione del Garante:
a) quando il trattamento è effettuato da associazioni,
enti od organismi senza scopo di lucro, anche non riconosciuti,
a carattere politico, filosofico, religioso o sindacale,
ivi compresi partiti e movimenti politici, per il perseguimento
di scopi determinati e legittimi individuati dall'atto
costitutivo, dallo statuto o dal contratto collettivo,
relativamente ai dati personali degli aderentio dei
soggetti che in relazione a tali finalità hanno
contatti regolari con l'associazione, ente od organismo,
sempre che i dati non siano comunicati all'esterno o
diffusi e l'ente, associazione od organismo determini
idonee garanzie relativamente ai trattamenti effettuati,
prevedendo espressamente le modalità di utilizzo
dei dati con determinazione resa nota agli interessati
all'atto dell'informativa ai sensi dell'articolo 13;
b) quando il trattamento è necessario per la
salvaguardia della vita o dell'incolumità fisica
di un terzo. Se la medesima finalità riguarda
l'interessato e quest'ultimo non può prestare
il proprio consenso per impossibilità fisica,
per incapacità di agire o per incapacità
di intendere o di volere, il consenso è manifestato
da chi esercita legalmente la potestà, ovvero
da un prossimo congiunto, da un familiare, da un convivente
o, in loro assenza, dal responsabile della struttura
presso cui dimora l'interessato. Si applica la disposizione
di cui all'articolo 82, comma 2;
c) quando il trattamento è necessario ai fini
dello svolgimento delle investigazioni difensive di
cui alla legge 7 dicembre 2000, n.397, o, comunque,
per far valere o difendere in sede giudiziaria un diritto,
sempre che i dati siano trattati esclusivamente per
tali finalità e per il periodo strettamente necessario
al loro perseguimento. Se i dati sono idonei a rivelare
lo stato di salute e la vita sessuale, il diritto deve
essere di rango pari a quello dell'interessato, ovvero
consistente in un diritto della personalità o
in un altro diritto o libertà fondamentale e
inviolabile;
d) quando è necessario per adempiere a specifici
obblighi o compiti previsti dalla legge, da un regolamento
o dalla normativa comunitaria per la gestione del rapporto
di lavoro, anche in materia di igiene e sicurezza del
lavoro e della popolazione e di previdenza e assistenza,
nei limiti previsti dall'autorizzazione e ferme restando
le disposizioni del codice di deontologia e di buonacondotta
di cui all'articolo 111.
5. I dati idonei a rivelare lo stato di salute non
possono essere diffusi.
Art. 27. Garanzie per i dati giudiziari
1. Il trattamento di dati giudiziari da parte di privati
o di enti pubblici economici è consentito soltanto
se autorizzato da espressa disposizione di legge o provvedimento
del Garante che specifichino le rilevanti finalità
di interesse pubblico del trattamento, i tipi di dati
trattati e di operazioni eseguibili.
TITOLO IV - SOGGETTI CHE EFFETTUANO
IL TRATTAMENTO
Art. 28. Titolare del trattamento
1. Quando il trattamento è effettuato da una
persona giuridica, da una pubblica amministrazione o
da un qualsiasi altro ente,associazione od organismo,
titolare del trattamento è l'entità nelsuo
complesso o l'unità od organismo periferico che
esercita un potere decisionale del tutto autonomo sulle
finalità e sulle modalità del trattamento,
ivi compreso il profilo della sicurezza.
Art. 29. Responsabile del trattamento
1. Il responsabile è designato dal titolare facoltativamente.
2. Se designato, il responsabile è individuato
tra soggetti che per esperienza, capacità ed
affidabilità forniscano idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento,
ivi compreso il profilo relativo alla sicurezza.
3. Ove necessario per esigenze organizzative, possono
essere designati responsabili più soggetti, anche
mediante suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente
specificati per iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi
alle istruzioni impartite dal titolare il quale, anche
tramite verifiche periodiche, vigila sulla puntuale
osservanza delle disposizioni di cui al comma 2 e delle
proprie istruzioni.
Art. 30. Incaricati del trattamento
1. Le operazioni di trattamento possono essere effettuate
solo da incaricati che operano sotto la diretta autorità
del titolare o del responsabile, attenendosi alle istruzioni
impartite.
2. La designazione è effettuata per iscritto
e individua puntualmente l'ambito del trattamento consentito.
Si considera tale anche la documentata preposizione
della persona fisica ad una unità per la quale
è individuato, per iscritto, l'ambito del trattamento
consentito agli addetti all'unità medesima.
Titolo V - SICUREZZA DEI DATI
E DEI SISTEMI
CAPO I - MISURE DI SICUREZZA
Art. 31. Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi
e controllati, anche in relazione alle conoscenze acquisite
in base al progresso tecnico, alla natura dei dati e
alle specifiche caratteristiche del trattamento, in
modo da ridurre al minimo, mediante l'adozione di idonee
e preventive misure di sicurezza, i rischi di distruzione
o perdita, anche accidentale, dei dati stessi, di accesso
non autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta.
Art. 32. Particolari titolari
1. Il fornitore di un servizio di comunicazione elettronica
accessibile al pubblico adotta ai sensi dell'articolo
31 idonee misure tecniche e organizzative adeguate al
rischio esistente, per salvaguardare la sicurezza dei
suoi servizi, l'integrità dei dati relativi al
traffico, dei dati relativi all'ubicazione e delle comunicazioni
elettroniche rispetto ad ogni forma di utilizzazione
o cognizione non consentita.
2. Quando la sicurezza del servizio o dei dati personali
richiede anche l'adozione di misure che riguardano la
rete, il fornitore del servizio di comunicazione elettronica
accessibile al pubblico adotta tali misure congiuntamente
con il fornitore della rete pubblica di comunicazioni.
In caso di mancato accordo, su richiesta di uno dei
fornitori, la controversia è definita dall'Autorità
per le garanzie nelle comunicazioni secondo le modalità
previste dalla normati vavigente.
3. Il fornitore di un servizio di comunicazione elettronica
accessibile al pubblico informa gli abbonati e, ove
possibile, gli utenti, se sussiste un particolare rischio
di violazione della sicurezza della rete, indicando,
quando il rischio è al di fuori dell'ambito di
applicazione delle misure che il fornitore stesso è
tenuto ad adottare ai sensi dei commi 1 e 2, tutti i
possibili rimedie i relativi costi presumibili. Analoga
informativa è resa al Garante e all'Autorità
per le garanzie nelle comunicazioni.
CAPO II - MISURE MINIME DI
SICUREZZA
Art. 33. Misure minime
1. Nel quadro dei più generali obblighi di sicurezza
di cui all'articolo 31, o previsti da speciali disposizioni,
i titolari del trattamento sono comunque tenuti ad adottare
le misure minime individuate nel presente capo o ai
sensi dell'articolo 58, comma 3, volte ad assicurare
un livello minimo di protezione dei dati personali.
Art. 34. Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti
elettronici è consentito solo se sono adottate,
nei modi previsti dal disciplinare tecnico contenuto
nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali
di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito
del trattamento consentito ai singoli incaricati e addetti
alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati
rispetto atrattamenti illeciti di dati, ad accessi non
consentiti e adeterminati programmi informatici;
f) adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilità
dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico
sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi
per determinati trattamenti di dati idonei a rivelare
lo stato di salute o la vita sessuale effettuati da
organismi sanitari.
Art. 35. Trattamenti senza l'ausilio di strumenti
elettronici
1. Il trattamento di dati personali effettuato senza
l'ausilio di strumenti elettronici è consentito
solo se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell'allegato B), le seguenti misure
minime:
a) aggiornamento periodico dell'individuazione dell'ambito
del trattamento consentito ai singoli incaricati o alle
unità organizzative;
b) previsione di procedure per un'idonea custodia di
atti e documenti affidati agli incaricati per lo svolgimento
dei relativi compiti;
c) previsione di procedure per la conservazione di
determinati atti in archivi ad accesso selezionato e
disciplina delle modalità di accesso finalizzata
all'identificazione degli incaricati.
Art. 36. Adeguamento
1. Il disciplinare tecnico di cui all'allegato B), relativo
allemisure minime di cui al presente capo, è
aggiornato periodicamente con decreto del Ministro della
giustizia di concerto con il Ministro per le innovazioni
e le tecnologie, in relazione all'evoluzione tecnica
e all'esperienza maturata nel settore.
Titolo VI - ADEMPIMENTI
Art. 37. Notificazione del trattamento
1. Il titolare notifica al Garante il trattamento di
dati personali cui intende procedere, solo se il trattamento
riguarda:
a) dati genetici, biometrici o dati che indicano la
posizione geografica di persone od oggetti mediante
una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita
sessuale, trattati a fini di procreazione assistita,
prestazione di servizi sanitari per via telematica relativi
a banche di dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive
e diffusive, sieropositività, trapianto di organi
e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera
psichica trattati da associazioni, enti od organismi
senza scopo di lucro, anche non riconosciuti, a carattere
politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici
volti a definire il profilo o la personalità
dell'interessato, o ad analizzare abitudini o scelte
di consumo, ovvero a monitorare l'utilizzo di servizi
di comunicazione elettronica con esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi medesimi
agli utenti;
e) dati sensibili registrati in banche di dati a fini
di selezione del personale per conto terzi, nonchè
dati sensibili utilizzati per sondaggi di opinione,
ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite
con strumenti elettronici e relative al rischio sulla
solvibilità economica, alla situazione patrimoniale,
al corretto adempimento di obbligazioni, a comportamenti
illeciti o fraudolenti.
2. Il Garante può individuare altri trattamenti
suscettibili di recare pregiudizio ai diritti e alle
libertà dell'interessato, in ragione delle relative
modalità o della natura dei dati personali, con
proprio provvedimento adottato anche ai sensi dell'articolo
17. Con analogo provvedimento pubblicato sulla Gazzetta
ufficiale della Repubblica italiana il Garante può
anche individuare, nell'ambito dei trattamenti di cui
al comma 1, eventuali trattamenti non suscettibili di
recare detto pregiudizio e pertanto sottratti all'obbligo
di notificazione.
3. La notificazione è effettuata con unico atto
anche quando il trattamento comporta il trasferimento
all'estero dei dati.
4. Il Garante inserisce le notificazioni ricevute in
un registro dei trattamenti accessibile a chiunque e
determina le modalità per la sua consultazione
gratuita per via telematica, anche mediante convenzioni
con soggetti pubblici o presso il proprio Ufficio. Le
notizie accessibili tramite la consultazione del registro
possono essere trattate per esclusive finalità
di applicazione della disciplina in materia di protezione
dei dati personali.
Art. 38. Modalità di notificazione
1. La notificazione del trattamento è presentata
al Garante prima dell'inizio del trattamento ed una
sola volta, a prescindere dal numero delle operazioni
e della durata del trattamento da effettuare,e può
anche riguardare uno o più trattamenti con finalità
correlate.
2. La notificazione è validamente effettuata
solo se è trasmessa per via telematica utilizzando
il modello predisposto dal Garante e osservando le prescrizioni
da questi impartite, anche per quanto riguarda le modalità
di sottoscrizione con firma digitale e di conferma del
ricevimento della notificazione.
3. Il Garante favorisce la disponibilità del
modello per via telematica e la notificazione anche
attraverso convenzioni stipulate con soggetti autorizzati
in base alla normativa vigente, anche presso associazioni
di categoria e ordini professionali.
4. Una nuova notificazione è richiesta solo
anteriormente alla cessazione del trattamento o al mutamento
di taluno degli elementi da indicare nella notificazione
medesima.
5. Il Garante può individuare altro idoneo sistema
per la notificazione in riferimento a nuove soluzioni
tecnologiche previstedalla normativa vigente.
6. Il titolare del trattamento che non è tenuto
alla notificazione al Garante ai sensi dell'articolo
37 fornisce le notizie contenute nel modello di cui
al comma 2 a chi ne fa richiesta, salvo che il trattamento
riguardi pubblici registri, elenchi, atti o documenti
conoscibili da chiunque.
Art. 39. Obblighi di comunicazione
1. Il titolare del trattamento è tenuto a comunicare
previamente al Garante le seguenti circostanze:
a) comunicazione di dati personali da parte di un soggetto
pubblico ad altro soggetto pubblico non prevista da
una norma di legge o di regolamento, effettuata in qualunque
forma anche mediante convenzione;
b) trattamento di dati idonei a rivelare lo stato di
salute previsto dal programma di ricerca biomedica o
sanitaria di cui all'articolo 110, comma 1, primo periodo.
2. I trattamenti oggetto di comunicazione ai sensi
del comma 1 possono essere iniziati decorsi quarantacinque
giorni dal ricevimento della comunicazione salvo diversa
determinazione anche successiva del Garante.
3. La comunicazione di cui al comma 1 è inviata
utilizzando il modello predisposto e reso disponibile
dal Garante, e trasmessa a quest'ultimo per via telematica
osservando le modalità di sottoscrizione con
firma digitale e conferma del ricevimento di cui all'articolo
38, comma 2, oppure mediante telefax o lettera raccomandata.
Art. 40. Autorizzazioni generali
1. Le disposizioni del presente codice che prevedono
un'autorizzazione del Garante sono applicate anche mediante
il rilascio di autorizzazioni relative a determinate
categorie di titolari o di trattamenti, pubblicate nella
Gazzetta Ufficiale della Repubblica italiana.
Art. 41. Richieste di autorizzazione
1. Il titolare del trattamento che rientra nell'ambito
di applicazione di un'autorizzazione rilasciata ai sensi
dell'articolo 40 non è tenuto a presentare al
Garante una richiesta di autorizzazione se il trattamento
che intende effettuare è conforme alle relative
prescrizioni.
2. Se una richiesta di autorizzazione riguarda un trattamento
autorizzato ai sensi dell'articolo 40 il Garante può
provvedere comunque sulla richiesta se le specifiche
modalità del trattamento lo giustificano.
3. L'eventuale richiesta di autorizzazione è
formulata utilizzando esclusivamente il modello predisposto
e reso disponibile dal Garante e trasmessa a quest'ultimo
per via telematica, osservando le modalità di
sottoscrizione e conferma del ricevimento di cui all'articolo
38, comma 2. La medesima richiesta e l'autorizzazione
possono essere trasmesse anche mediante telefax o lettera
raccomandata.
4. Se il richiedente è invitato dal Garante
a fornire informazioni o ad esibire documenti, il termine
di quarantacinquegiorni di cui all'articolo 26, comma
2, decorre dalla data di scadenza del termine fissato
per l'adempimento richiesto.
5. In presenza di particolari circostanze, il Garante
può rilasciare un'autorizzazione provvisoria
a tempo determinato.
TITOLO VII - TRASFERIMENTO
DEI DATI ALL'ESTERO
Art. 42. Trasferimenti all'interno dell'Unione europea
1. Le disposizioni del presente codice non possono essere
applicate in modo tale da restringere o vietare la libera
circolazione dei dati personali fra gli Stati membri
dell'Unione europea, fatta salva l'adozione, in conformità
allo stesso codice, di eventuali provvedimenti in caso
di trasferimenti di dati effettuati al fine di eludere
le medesime disposizioni.
Art. 43. Trasferimenti consentiti in Paesi terzi
1. Il trasferimento anche temporaneo fuori del territorio
dello Stato, con qualsiasi forma o mezzo, di dati personali
oggetto di trattamento, se diretto verso un Paese non
appartenente all'Unione europea è consentito
quando:
a) l'interessato ha manifestato il proprio consenso
espresso o, se si tratta di dati sensibili, in forma
scritta;
b) è necessario per l'esecuzione di obblighi
derivanti da un contratto del quale è parte l'interessato
o per adempiere, prima della conclusione del contratto,
a specifiche richieste dell'interessato, ovvero per
la conclusione o per l'esecuzione di un contratto stipulato
a favore dell'interessato;
c) è necessario per la salvaguardia di un interesse
pubblico rilevante individuato con legge o con regolamento
o, se il trasferimento riguarda dati sensibili o giudiziari,
specificato o individuato ai sensi degli articoli 20
e 21;
d) è necessario per la salvaguardia della vita
o dell'incolumità fisica di un terzo. Se la medesima
finalità riguarda l'interessato e quest'ultimo
non può prestare il proprio consenso per impossibilità
fisica, per incapacità di agire o per incapacità
di intendere o di volere, il consenso è manifestato
da chi esercita legalmente la potestà, ovvero
da un prossimo congiunto, da un familiare, da un convivente
o, in loro assenza, dal responsabile della struttura
presso cui dimora l'interessato. Si applica la disposizione
di cui all'articolo 82, comma 2;
e) è necessario ai fini dello svolgimento delle
investigazioni difensive di cui alla legge 7 dicembre
2000, n. 397, o, comunque, per far valere o difendere
un diritto in sede giudiziaria, sempre che i dati siano
trasferiti esclusivamente per tali finalità e
per il periodo strettamente necessario al loro perseguimento,
nel rispetto della vigente normativa in materia di segreto
aziendale e industriale;
f) è effettuato in accoglimento di una richiesta
di accesso ai documenti amministrativi, ovvero di una
richiesta di informazioni estraibili da un pubblico
registro, elenco, atto o documento conoscibile da chiunque,
con l'osservanza delle norme che regolano la materia;
g) è necessario, in conformità ai rispettivi
codici di deontologia di cui all'allegato A), per esclusivi
scopi scientifici o statistici, ovvero per esclusivi
scopi storici presso archivi privati dichiarati di notevole
interesse storico ai sensi dell'articolo 6, comma 2,
del decreto legislativo 29 ottobre 1999, n. 490, di
approvazione del testo unico in materia di beni culturali
e ambientali o, secondo quanto previsto dai medesimi
codici, presso altri archivi privati;
h) il trattamento concerne dati riguardanti persone
giuridiche, enti o associazioni.
Art. 44. Altri trasferimenti consentiti
1. Il trasferimento di dati personali oggetto di trattamento,diretto
verso un Paese non appartenente all'Unione europea,
è altresì consentito quando è autorizzato
dal Garante sulla base di adeguate garanzie per i diritti
dell'interessato:
a) individuate dal Garante anche in relazione a garanzie
prestate con un contratto;
b) individuate con le decisioni previste dagli articoli
25, paragrafo 6, e 26, paragrafo 4, della direttiva
95/46/CE del Parlamento europeo e del Consiglio, del
24 ottobre 1995, con le quali la Commissione europea
constata che un Paese non appartenente all'Unione europea
garantisce un livello di protezione adeguato o che alcune
clausole contrattuali offrono garanzie sufficienti.
Art. 45. Trasferimenti vietati
1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento
anche temporaneo fuori del territorio dello Stato, con
qualsiasi forma o mezzo, di dati personali oggetto di
trattamento, diretto verso un Paese non appartenente
all'Unione europea, è vietato quando l'ordinamento
del Paese di destinazione o di transito dei dati non
assicura un livello di tutela delle persone adeguato.
Sono valutate anche le modalità del trasferimento
e dei trattamenti previsti, le relative finalità,
la natura dei dati e le misure di sicurezza.
TITOLO X - COMUNICAZIONI ELETTRONICHE
CAPO I - SERVIZI DI COMUNICAZIONE
ELETTRONICA
Art. 121. Servizi interessati
1. Le disposizioni del presente titolo si applicano
al trattamento dei dati personali connesso alla fornitura
di servizi di comunicazione elettronica accessibili
al pubblico su reti pubbliche di comunicazioni.
Art. 122. Informazioni raccolte nei riguardi dell'abbonato
o dell'utente.
1. Salvo quanto previsto dal comma 2, è vietato
l'uso di una rete di comunicazione elettronica per accedere
a informazioni archiviate nell'apparecchio terminale
di un abbonato o di un utente, per archiviare informazioni
o per monitorare le operazioni dell'utente.
2. Il codice di deontologia di cui all'articolo 133
individua i presupposti e i limiti entro i quali l'uso
della rete nei modi di cuial comma 1, per determinati
scopi legittimi relativi alla memorizzazione tecnica
per il tempo strettamente necessario alla trasmissione
della comunicazione o a fornire uno specifico servizio
richiesto dall'abbonato a dall'utente, è consentito
al fornitore del servizio di comunicazione elettronica
nei riguardi dell'abbonato e dell'utente che abbiano
espresso il consenso sulla base di una previa informativa
ai sensi dell'articolo 13 che indichi analiticamente,
in modo chiaro e preciso, le finalità e la durata
del trattamento.
Art. 123. Dati relativi al traffico
1. I dati relativi al traffico riguardanti abbonati
ed utenti trattati dal fornitore di una rete pubblica
di comunicazioni o di un servizio di comunicazione elettronica
accessibile al pubblico sono cancellati o resi anonimi
quando non sono più necessari ai fini della trasmissione
della comunicazione elettronica, fatte salve le disposizioni
dei commi 2, 3 e 5.
2. Il trattamento dei dati relativi al traffico strettamente
necessari a fini di fatturazione per l'abbonato, ovvero
di pagamenti in caso di interconnessione, è consentito
al fornitore, a fini di documentazione in caso di contestazione
della fattura o per la pretesa del pagamento, per un
periodo non superiore a sei mesi, salva l'ulteriore
specifica conservazione necessaria per effetto di una
contestazione anche in sede giudiziale.
3. Il fornitore di un servizio di comunicazione elettronica
accessibile al pubblico può trattare i dati di
cui al comma 2 nella misura e per la durata necessarie
a fini di commercializzazione di servizi di comunicazione
elettronica o per la fornitura di servizi a valore aggiunto,
solo se l'abbonato o l'utente cui i dati si riferiscono
hanno manifestato il proprio consenso, che è
revocabile in ogni momento.
4. Nel fornire l'informativa di cui all'articolo 13
il fornitore del servizio informa l'abbonato o l'utente
sulla natura dei dati relativi al traffico che sono
sottoposti a trattamento e sulla durata del medesimo
trattamento ai fini di cui ai commi 2 e 3.
5. Il trattamento dei dati personali relativi al traffico
è consentito unicamente ad incaricati del trattamento
che operano ai sensi dell'articolo 30 sotto la diretta
autorità del fornitore del servizio di comunicazione
elettronica accessibile al pubblico o, a seconda dei
casi, del fornitore della rete pubblica di comunicazioni
e che si occupano della fatturazione o della gestione
del traffico, di analisi per canto di clienti, dell'accertamento
di frodi, o della commercializzazione dei servizi di
comunicazione elettronica o della prestazione dei servizi
a valore aggiunto. Il trattamento è limitato
a quanto è strettamente necessario per lo svolgimento
di tali attività e deve assicurare l'identificazione
dell'incaricato che accede ai dati anche mediante un'operazione
di interrogazione automatizzata.
6. L'Autorità per le garanzie nelle comunicazioni
può ottenere i dati relativi alla fatturazione
o al traffico necessari ai fini della risoluzione di
controversie attinenti, in particolare, all'interconnessione
o alla fatturazione.
Art. 124. Fatturazione dettagliata
1. L'abbonato ha diritto di ricevere in dettaglio, a
richiesta e senza alcun aggravio di spesa, la dimostrazione
degli elementi che compongono la fattura relativi, in
particolare, alla data e all'ora di inizio della conversazione,
al numero selezionato, al tipo di numerazione, alla
località, alla durata e al numero di scatti addebitati
per ciascuna conversazione.
2. Il fornitore del servizio di comunicazione elettronica
accessibile al pubblico è tenuto ad abilitare
l'utente ad effettuare comunicazioni e a richiedere
servizi da qualsiasi terminale, gratuitamente ed in
modo agevole, avvalendosi per il pagamento di modalità
alternative alla fatturazione, anche impersonali, quali
carte di credito o di debito o carte prepagate.
3. Nella documentazione inviata all'abbonato relativa
alle comunicazioni effettuate non sono evidenziati i
servizi e le comunicazioni di cui al comma 2, nè
le comunicazioni necessarie per attivare le modalità
alternative alla fatturazione.
4. Nella fatturazione all'abbonato non sono evidenziate
le ultime tre cifre dei numeri chiamati. Ad esclusivi
fini di specifica contestazione dell'esattezza di addebiti
determinati o riferiti a periodi limitati, l'abbonato
può richiedere la comunicazione dei numeri completi
delle comunicazioni in questione.
5. Il Garante, accertata l'effettiva disponibilità
delle modalità di cui al comma 2, può
autorizzare il fornitore ad indicare nella fatturazione
i numeri completi delle comunicazioni.
Art. 125. Identificazione della linea
1. Se è disponibile la presentazione dell'identificazione
della linea chiamante, il fornitore del servizio di
comunicazione elettronica accessibile al pubblico assicura
all'utente chiamante la possibilità di impedire,
gratuitamente e mediante una funzione semplice, la presentazione
dell'identificazione della linea chiamante, chiamata
per chiamata. L'abbonato chiamante deve avere tale possibilità
linea per linea.
2. Se è disponibile la presentazione dell'identificazione
della linea chiamante, il fornitore del servizio di
comunicazione elettronica accessibile al pubblico assicura
all'abbonato chiamato la possibilità di impedire,
gratuitamente e mediante una funzione semplice, la presentazione
dell'identificazione delle chiamate entranti.
3. Se è disponibile la presentazione dell'identificazione
della linea chiamante e tale indicazione avviene prima
che la comunicazione sia stabilita, il fornitore del
servizio di comunicazione elettronica accessibile al
pubblico assicura all'abbonato chiamato la possibilità,
mediante una funzione semplice e gratuita, di respingere
le chiamate entranti se la presentazione dell'identificazione
della linea chiamante è stata eliminata dall'utente
o abbonato chiamante.
4. Se è disponibile la presentazione dell'identificazione
della linea collegata, il fornitore del servizio di
comunicazione elettronica accessibile al pubblico assicura
all'abbonato chiamato la possibilità di impedire,
gratuitamente e mediante una funzione semplice, la presentazione
dell'identificazione della linea collegata all'utente
chiamante.
5. Le disposizioni di cui al comma 1 si applicano anche
alle chiamate dirette verso Paesi non appartenenti all'unione
europea. Le disposizioni di cui ai commi 2, 3 e 4 si
applicano anche alle chiamate provenienti da tali Paesi.
6. Se è disponibile la presentazione dell'identificazione
della linea chiamante o di quella collegata, il fornitore
del servizio di comunicazione elettronica accessibile
al pubblico informa gli abbonati e gli utenti dell'esistenza
di tale servizio e delle possibilità previste
ai commi 1, 2, 3 e 4.
Art. 126. Dati relativi all'ubicazione
1. I dati relativi all'ubicazione diversi dai dati relativi
al traffico, riferiti agli utenti o agli abbonati di
reti pubbliche di comunicazione o di servizi di comunicazione
elettronica accessibili al pubblico, possono essere
trattati solo se anonimi o se l'utente o l'abbonato
ha manifestato previamente il proprio consenso, revocabile
in ogni momento, e nella misura e per la durata necessari
per la fornitura del servizio a valore aggiunto richiesto.
2. Il fornitore del servizio, prima di richiedere il
consenso, informa gli utenti e gli abbonati sulla natura
dei dati relativi all'ubicazione diversi dai dati relativi
al traffico che saranno sottoposti al trattamento, sugli
scopi e sulla durata di quest'ultimo, nonchè
sull'eventualità che i dati siano trasmessi ad
un terzo per la prestazione del servizio a valore aggiunto.
3. L'utente e l'abbonato che manifestano il proprio
consenso al trattamento dei dati relativi all'ubicazione,
diversi dai dati relativi al traffico, conservano il
diritto di richiedere, gratuitamente e mediante una
funzione semplice, l'interruzione temporanea del trattamento
di tali dati per ciascun collegamento alla rete o per
ciascuna trasmissione di comunicazioni.
4. Il trattamento dei dati relativi all'ubicazione
diversi dai dati relativi al traffico, ai sensi dei
commi 1 , 2 e 3, è consentito unicamente ad incaricati
del trattamento che operano ai sensi dell'articolo 30,
sono la diretta autorità del fornitore del servizio
di comunicazione elettronica accessibile al pubblico
o, a seconda dei casi, del fornitore della rete pubblica
di comunicazioni o del terzo che fornisce il servizio
a valore aggiunto. Il trattamento è limitato
a quanto è strettamente necessario per la fornitura
del servizio a valore aggiunto e deve assicurare l'identificazione
dell'incaricato che accede ai dati anche mediante un'operazione
di interrogazione automatizzata.
Art. 127. Chiamate di disturbo e di emergenza
1. L'abbonato che riceve chiamate di disturbo può
richiedere che il fornitore della rete pubblica di comunicazioni
o del servizio di comunicazione elettronica accessibile
al pubblico renda temporaneamente inefficace la soppressione
della presentazione dell'identificazione della linea
chiamante e conservi i dati relativi alla provenienza
della chiamata ricevuta. L'inefficacia della soppressione
può essere disposta per i soli orari durante
i quali si verificano le chiamate di disturbo e per
un periodo non superiore a quindici giorni.
2. La richiesta formulata per iscritto dall'abbonato
specifica le modalità di ricezione delle chiamate
di disturbo e nel caso in cui sia preceduta da una richiesta
telefonica è inoltrata entro quarantotto ore.
3. I dati conservati ai sensi del comma 1 possono essere
comunicati all'abbonato che dichiari di utilizzarli
per esclusive finalità di tutela rispetto a chiamate
di disturbo. Per i servizi di cui al comma 1 il fornitore
assicura procedure trasparenti nei confronti degli abbonati
e può richiedere un contributo spese non superiore
ai costi effettivamente sopportati.
4. Il fornitore di una rete pubblica di comunicazioni
o di un servizio di comunicazione elettronica accessibile
al pubblico predispone procedure trasparenti per garantire,
linea per linea, l'inefficacia della soppressione dell'identificazione
della linea chiamante, nonchè, ove necessario,
il trattamento dei dati relativi all'ubicazione, nonostante
il rifiuto o il mancato consenso temporanei dell'abbonato
o dell'utente, da parte dei servizi abilitati in base
alla legge a ricevere chiamate d'emergenza. I servizi
sono individuati con decreto del Ministro delle comunicazioni,
sentiti il Garante e l'Autorità per le garanzie
nelle comunicazioni.
Art. 128. Trasferimento automatico della chiamata
1. Il fornitore di un servizio di comunicazione elettronica
accessibile al pubblico adotta le misure necessarie
per consentire a ciascun abbonato, gratuitamente e mediante
una funzione semplice, di poter bloccare il trasferimento
automatico delle chiamate verso il proprio terminale
effettuato da terzi.
Art. 129. Elenchi di abbonati
1. Il Garante individua con proprio provvedimento, in
cooperazione con l'Autorità per le garanzie nelle
comunicazioni ai sensi dell'articolo 154, comma 3, e
in conformità alla normativa comunitaria, le
modalità di inserimento e di successivo utilizzo
dei dati personali relativi agli abbonati negli elenchi
cartacei o elettronici a disposizione del pubblico,
anche in riferimento ai dati già raccolti prima
della data di entrata in vigore del presente codice.
2. Il provvedimento di cui al comma 1 individua idonee
modalità per la manifestazione del consenso all'inclusione
negli elenchi e, rispettivamente, all'utilizzo dei dati
per le finalità di cui all'articolo 7, comma
4, lettera b), in base al principio della massima semplificazione
delle modalità di inclusione negli elenchi a
fini di mera ricerca dell'abbonato per comunicazioni
interpersonali, e del consenso specifico ed espresso
qualora il trattamento esuli da tali fini, nonchè
in tema di verifica, rettifica o cancellazione dei dati
senza oneri.
Art. 130. Comunicazioni indesiderate
1. L'uso di sistemi automatizzati di chiamata senza
l'intervento di un operatore per l'invio di materiale
pubblicitario o di vendita diretta o per il compimento
di ricerche di mercato o di comunicazione commerciale
è consentito con il consenso dell'interessato.
2. La disposizione di cui al comma 1 si applica anche
alle comunicazioni elettroniche, effettuate per le finalità
ivi indicate, mediante posta elettronica, telefax, messaggi
del tipo Mms (Multimedia Messaging Service) o Sms (Short
Message Service) o di altro tipo.
3. Fuori dei casi di cui ai commi 1 e 2, ulteriori
comunicazioni per le finalità di cui ai medesimi
commi effettuate con mezzi diversi da quelli ivi indicati,
sono consentite ai sensi degli articoli 23 e 24.
4. Fatto salvo quanto previsto nel comma 1 , se il
titolare del trattamento utilizza, a fini di vendita
diretta di propri prodotti o servizi, le coordinate
di posta elettronica fornite dall'interessato nel contesto
della vendita di un prodotto o di un servizio, può
non richiedere il consenso dell'interessato, sempre
che si tratti di servizi analoghi a quelli oggetto della
vendita e l'interessato, adeguatamente informato, non
rifiuti tale uso, inizialmente o in occasione di successive
comunicazioni. L'interessato, al momento della raccolta
e in occasione dell'invio di ogni comunicazione effettuata
per le finalità di cui al presente comma, è
informato della possibilità di opporsi in ogni
momento al trattamento, in maniera agevole e gratuitamente.
5. É vietato in ogni caso l'invio di comunicazioni
per le finalità di cui al comma 1 o, comunque,
a scopo promozionale, effettuato camuffando o celando
l'identità del mittente o senza fornire un idoneo
recapito presso il quale l'interessato possa esercitare
i diritti di cui all'articolo 7.
6. In caso di reiterata violazione delle disposizioni
di cui al presente articolo il Garante può, provvedendo
ai sensi dell'articolo143, comma 1, lettera b), altresì
prescrivere a fornitori di servizi di comunicazione
elettronica di adottare procedure di filtraggio o altre
misure praticabili relativamente alle coordinate di
posta elettronica da cui sono stati inviate le comunicazioni.
Art. 131. Informazioni ad abbonati e utenti
1. Il fornitore di un servizio di comunicazione elettronica
accessibile al pubblico informa l'abbonato e, ove possibile,
l'utente circa la sussistenza di situazioni che permettono
di apprendere in modo non intenzionale il contenuto
di comunicazioni o conversazioni da parte di soggetti
ad esse estranei.
2. L'abbonato informa l'utente quando il contenuto
delle comunicazioni o conversazioni può essere
appreso da altri a causa del tipo di apparecchiature
terminali utilizzate o del collegamento realizzato tra
le stesse presso la sede dell'abbonato medesimo.
3. L'utente informa l'altro utente quando, nel corso
della conversazione, sono utilizzati dispositivi che
consentono l'ascolto della conversazione stessa da parte
di altri soggetti.
Art. 132. Conservazione di dati di traffico per altre
finalità (1)
1. Fermo restando quanto previsto dall’articolo
123, comma 2, i dati relativi al traffico telefonico
sono conservati dal fornitore per ventiquattro mesi,
per finalità di accertamento e repressione di
reati.
2. Decorso il termine di cui al comma 1, i dati relativi
al traffico telefonico sono conservati dal fornitore
per ulteriori ventiquattro mesi per esclusive finalità
di accertamento e repressione dei delitti di cui all’articolo
407, comma 2, lettera a) del codice di procedura penale,
nonché dei delitti in danno di sistemi informatici
o telematici.
3. Entro il termine di cui al comma 1, i dati sono
acquisiti presso il fornitore con decreto motivato del
giudice su istanza del pubblico ministero o del difensore
dell’imputato, della persona sottoposta alle indagini,
della persona offesa e delle altre parti private ferme
restando le condizioni di cui all’articolo 8, comma
2, lettera f), per il traffico entrante. Il difensore
dell’imputato o della persona sottoposta alle indagini
può richiedere, direttamente al fornitore i dati
relativi alle utenze intestate al proprio assistito
con le modalità indicate dall’articolo 391-quater
del codice di procedura penale.
4. Dopo la scadenza del termine indicato al comma 1,
il giudice autorizza l’acquisizione dei dati, con
decreto motivato, se ritiene che sussistano sufficienti
indizi dei delitti di cui all’articolo 407, comma
2, lettera a), del codice di procedura penale, nonché
dei delitti in danno di sistemi informatici o telematici.
5. Il trattamento dei dati per le finalità di
cui ai commi 1 e 2 è effettuato nel rispetto
delle misure e degli accorgimenti a garanzia dell’interessato
prescritti ai sensi dell’articolo 17, volti anche
a:
a. prevedere in ogni caso specifici sistemi di autenticazione
informatica e di autorizzazione degli incaricati del
trattamento di cui all’Allegato B);
b. disciplinare le modalità di conservazione
separata dei dati una volta decorso il termine di cui
al comma 1;
c. individuare le modalità di trattamento dei
dati da parte di specifici incaricati del trattamento
in modo tale che, decorso il termine di cui al comma
1, l’utilizzazione dei dati sia consentita solo
nei casi di cui al comma 4 e all’articolo 7;
d. indicare le modalità tecniche per la periodica
distruzione dei dati, decorsi i termini di cui ai commi
1 e 2.
--------------------------------------------------------------------------------
(1) Articolo così sostituito dall'articolo 3
del decreto-legge 24 dicembre 2003, n. 354, convertito,
con modificazioni, nella Legge 26 febbraio 2004, n.
45.
CAPO II - INTERNET E RETI
TELEMATICHE
Art. 133. Codice di deontologia e di buona condotta
1. Il Garante promuove, ai sensi dell'articolo 12, la
sottoscrizione di un codice di deontologia e di buona
condotta per il trattamento dei dati personali effettuato
da fornitori di servizi di comunicazione e informazione
offerti mediante reti di comunicazione elettronica,
con particolare riguardo ai criteri per assicurare ed
uniformare una più adeguata informazione e consapevolezza
degli utenti delle reti di comunicazione elettronica
gestite da soggetti pubblici e privati rispetto ai tipi
di dati personali trattati e alle modalità del
loro trattamento, in particolare attraverso informative
fornite in linea in modo agevole e interattivo, per
favorire una più ampia trasparenza e correttezza
nei confronti dei medesimi utenti e il pieno rispetto
dei principi di cui all'articolo 11, anche ai fini dell'eventuale
rilascio di certificazioni attestanti la qualità
delle modalità prescelte e il livello di sicurezza
assicurato.
TITOLO XIII - MARKETING DIRETTO
CAPO I - PROFILI GENERALI
Art. 140. Codice di deontologia e di buona condotta
1. Il Garante promuove, ai sensi dell'articolo 12, la
sottoscrizione di un codice di deontologia e di buona
condotta per il trattamento dei dati personali effettuato
a fini di invio di materiale pubblicitario o di vendita
diretta, ovvero per il compimento di ricerche di mercato
o di comunicazione commerciale, prevedendo anche, per
i casi in cui il trattamento non presuppone il consenso
dell'interessato, forme semplificate per manifestare
e rendere meglio conoscibile l'eventuale dichiarazione
di non voler ricevere determinate comunicazioni.
PARTE III - TUTELA DELL'INTERESSATO
E SANZIONI
TITOLO I - TUTELA AMMINISTRATIVA
E GIURISDIZIONALE
CAPO I - TUTELA DINANZI AL
GARANTE
SEZIONE I - PRINCIPI GENERALI
Art. 141. Forme di tutela
1. L'interessato può rivolgersi al Garante:
a) mediante reclamo circostanziato nei modi previsti
dall'articolo142, per rappresentare una violazione della
disciplina rilevante in materia di trattamento di dati
personali;
b) mediante segnalazione, se non è possibile
presentare un reclamo circostanziato ai sensi della
lettera a), al fine di sollecitare un controllo da parte
del Garante sulla disciplina medesima;
c) mediante ricorso, se intende far valere gli specifici
diritti di cui all'articolo 7 secondo le modalità
e per conseguire gli effetti previsti nella sezione
III del presente capo.
SEZIONE II - TUTELA AMMINISTRATIVA
Art. 142. Proposizione dei reclami
1. Il reclamo contiene un'indicazione per quanto possibile
dettagliata dei fatti e delle circostanze su cui si
fonda, delle disposizioni che si presumono violate e
delle misure richieste, nonchè gli estremi identificativi
del titolare, del responsabile, ove conosciuto, e dell'istante.
2. Il reclamo è sottoscritto dagli interessati,
o da associazioni che li rappresentano anche ai sensi
dell'articolo 9, comma 2, ed è presentato al
Garante senza particolari formalità. Il reclamo
reca in allegato la documentazione utile al fini della
sua valutazione e l'eventuale procura, e indica un recapito
per l'invio di comunicazioni anche tramite posta elettronica,
telefax o telefono.
3. Il Garante può predisporre un modello per
il reclamo da pubblicare nel Bollettino e di cui favorisce
la disponibilità con strumenti elettronici.
Art. 143. Procedimento per i reclami
Esaurita l'istruttoria preliminare, se il reclamo non
è manifestamente infondato e sussistono i presupposti
per adottare un provvedimento, il Garante, anche prima
della definizione del procedimento:
a) prima di prescrivere le misure di cui alla lettera
b), ovvero il divieto o il blocco ai sensi della lettera
c), può invitare il titolare, anche in contraddittorio
con l'interessato, ad effettuare il blocco spontaneamente;
b) prescrive al titolare le misure opportune o necessarie
per rendere il trattamento conforme alle disposizioni
vigenti;
c) dispone il blocco o vieta, in tutto o in parte,
il trattamento che risulta illecito o non corretto anche
per effetto della mancata adozione delle misure necessarie
di cui alla lettera b), oppure quando, in considerazione
della natura dei dati o, comunque, delle modalità
del trattamento o degli effetti che esso può
determinare,vi è il concreto rischio del verificarsi
di un pregiudizio rilevante per uno o più interessati;
d) può vietare in tutto o in parte il trattamento
di dati relativi a singoli soggetti o a categorie di
soggetti che si pone in contrasto con rilevanti interessi
della collettività.
2. I provvedimenti di cui al comma 1 sono pubblicati
nella Gazzetta Ufficiale della Repubblica italiana se
i relativi destinatari non sono facilmente identificabili
per il numero o per la complessità degli accertamenti.
Art. 144. Segnalazioni
1. I provvedimenti di cui all'articolo 143 possono essere
adottati anche a seguito delle segnalazioni di cui all'articolo
141, comma 1, lettera b), se è avviata un'istruttoria
preliminare e anche prima della definizione del procedimento.
TITOLO II - L'AUTORITÀ
CAPO I - IL GARANTE PER LA
PROTEZIONE DEI DATI PERSONALI
Art. 153. Il Garante
1. Il Garante opera in piena autonomia e con indipendenza
di giudizio e di valutazione.
2. Il Garante è organo collegiale costituito
da quattro componenti, eletti due dalla Camera dei deputati
e due dal Senato della Repubblica con voto limitato.
I componenti sono scelti tra persone che assicurano
indipendenza e che sono esperti di riconosciuta competenza
delle materie del diritto o dell'informatica, garantendo
la presenza di entrambe le qualificazioni.
3. I componenti eleggono nel loro ambito un presidente,
il cui voto prevale in caso di parità. Eleggono
altresì un vicepresidente, che assume le funzioni
del presidente in caso di sua assenza o impedimento.
4. Il presidente e i componenti durano in carica quattro
anni e non possono essere confermati per più
di una volta; per tutta la durata dell'incarico il presidente
e i componenti non possono esercitare, a pena di decadenza,
alcuna attività professionale o di consulenza,
nè essere amministratori o dipendenti di enti
pubblici o privati, nè ricoprire cariche elettive.
5. All'atto dell'accettazione della nomina il presidente
e i componenti sono collocati fuori ruolo se dipendenti
di pubbliche amministrazioni o magistrati in attività
di servizio; se professori universitari di ruolo, sono
collocati in aspettativa senza assegni ai sensi dell'articolo
13 del decreto del Presidente della Repubblica 11 luglio
1980, n. 382, e successive modificazioni. Il personale
collocato fuori ruolo o in aspettativa non può
essere sostituito.
6. Al presidente compete una indennità di funzione
non eccedente, nel massimo, la retribuzione spettante
al primo presidente della Corte di cassazione. Ai componenti
compete un'indennità non eccedente nel massimo,
i due terzi di quella spettante al presidente. Le predette
indennità di funzione sono determinate dall'articolo
6 del decreto del Presidente della Repubblica 31 marzo
1998, n. 501, in misura tale da poter essere corrisposte
a carico degli ordinari stanziamenti.
7. Alle dipendenze del Garante è posto l'Ufficio
di cui all'articolo 156.
Art. 154. Compiti
1. Oltre a quanto previsto da specifiche disposizioni,
il Garante, anche avvalendosi dell'Ufficio e in conformità
al presente codice, ha il compito di:
a) controllare se i trattamenti sono effettuati nel
rispetto della disciplina applicabile e in conformità
alla notificazione, anche in caso di loro cessazione;
b) esaminare i reclami e le segnalazioni e provvedere
sui ricorsi presentati dagli interessati o dalle associazioni
che li rappresentano;
c) prescrivere anche d'ufficio ai titolari del trattamento
le misure necessarie o opportune al fine di rendere
il trattamento conforme alle disposizioni vigenti, ai
sensi dell'articolo 143;
d) vietare anche d'ufficio, in tutto o in parte, il
trattamento illecito o non corretto dei dati o disporne
il blocco ai sensi dell'articolo 143, e di adottare
gli altri provvedimenti previsti dalla disciplina applicabile
al trattamento dei dati personali;
e) promuovere la sottoscrizione di codici ai sensi
dell'articolo 12 e dell'articolo 139;
f) segnalare al Parlamento e al Governo l'opportunità
di interventi normativi richiesti dalla necessità
di tutelare i diritti di cui all'articolo 2 anche a
seguito dell'evoluzione del settore;
g) esprimere pareri nei casi previsti;
h) curare la conoscenza tra il pubblico della disciplina
rilevante in materia di trattamento dei dati personali
e delle relative finalità, nonchè delle
misure di sicurezza dei dati;
i) denunciare i fatti configurabili come reati perseguibili
d'ufficio, dei quali viene a conoscenza nell'esercizio
o a causa delle funzioni;
l) tenere il registro dei trattamenti formato sulla
base delle notificazioni di cui all'articolo 37;
m) predisporre annualmente una relazione sull'attività
svolta e sullo stato di attuazione del presente codice,
che è trasmessa al Parlamento e al Governo entro
il 30 aprile dell'anno successivo a quello cui si riferisce.
2. Il Garante svolge altresì, ai sensi del comma
1, la funzione di controllo o assistenza in materia
di trattamento dei dati personali prevista da leggi
di ratifica di accordi o convenzioni internazionali
o da regolamenti comunitari e, in particolare:
a) dalla legge 30 settembre 1993, n. 388, e successive
modificazioni, di ratifica ed esecuzione dei protocolli
e degli accordi di adesione all'accordo di Schengen
e alla relativa convenzione di applicazione;
b) dalla legge 23 marzo 1998, n. 93, e successive modificazioni,
di ratifica ed esecuzione della convenzione istitutiva
dell'Ufficio europeo di polizia (Europol);
c) dal regolamento (Ce) n. 515/97 del Consiglio, del
13 marzo1997, e dalla legge 30 luglio 1998, n. 291,
e successive modificazioni, di ratifica ed esecuzione
della convenzione sull'uso dell'informatica nel settore
doganale;
d) dal regolamento (Ce) n. 2725/2000 del Consiglio,
dell'11 dicembre 2000, che istituisce l"Eurodac"
per il confronto delle impronte digitali e per l'efficace
applicazione della convenzione di Dublino;
e) nel capitolo IV della convenzione n. 108 sulla protezione
delle persone rispetto al trattamento automatizzato
di dati di carattere personale, adottata a Strasburgo
il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio
1989, n. 98, quale autorità designata ai fini
della cooperazione tra Stati ai sensi dell'articolo
13 della convenzione medesima.
3. Il Garante coopera con altre autorità amministrative
indipendenti nello svolgimento dei rispettivi compiti.
A tale fine,il Garante può anche invitare rappresentanti
di un'altra autorità a partecipare alle proprie
riunioni, o essere invitato alle riunioni di altra autorità,
prendendo parte alla discussione di argomenti di comune
interesse; può richiedere, altresì, la
collaborazione di personale specializzato addetto ad
altra autorità.
4. Il Presidente del Consiglio dei ministri e ciascun
ministro consultano il Garante all'atto della predisposizione
delle norme regolamentari e degli atti amministrativi
suscettibili di incidere sulle materie disciplinate
dal presente codice.
5. Fatti salvi i termini più brevi previsti
per legge, il parere del Garante è reso nei casi
previsti nel termine di quarantacinquegiorni dal ricevimento
della richiesta. Decorso il termine, l'amministrazione
può procedere indipendentemente dall'acquisizione
del parere. Quando, per esigenze istruttorie, non può
essere rispettato il termine di cui al presente comma,
tale termine può essere interrotto per una sola
volta e il parere deve essere reso definitivamente entro
venti giorni dal ricevimento degli elementi istruttori
da parte delle amministrazioni interessate.
6. Copia dei provvedimenti emessi dall'autorità
giudiziaria in relazione a quanto previsto dal presente
codice o in materia di criminalità informatica
è trasmessa, a cura della cancelleria, al Garante.
CAPO II - L'UFFICIO DEL GARANTE
Art. 155. Principi applicabili
1. All'Ufficio del Garante, al fine di garantire la
responsabilità e l'autonomia ai sensi della legge
7 agosto 1990, n. 241, e successive modificazioni, e
del decreto legislativo 30 marzo 2001, n. 165, e successive
modificazioni, si applicano i principi riguardanti l'individuazione
e le funzioni del responsabile del procedimento, nonchè
quelli relativi alla distinzione fra le funzioni di
indirizzo e di controllo, attribuite agli organi di
vertice, e le funzioni di gestione attribuite ai dirigenti.
Si applicano altresì le disposizioni del medesimo
decreto legislativo n. 165 del 2001 espressamente richiamate
dal presente codice.
Art. 156. Ruolo organico e personale
1. All'Ufficio del Garante è preposto un segretario
generale scelto anche tra magistrati ordinari o amministrativi.
2. Il ruolo organico del personale dipendente è
stabilito nel limite di cento unità.
3. Con propri regolamenti pubblicati nella Gazzetta
ufficiale della Repubblica italiana, il Garante definisce:
a) l'organizzazione e il funzionamento dell'ufficio
anche ai fini dello svolgimento dei compiti di cui all'articolo
154;
b) l'ordinamento delle carriere e le modalità
di reclutamento del personale secondo le procedure previste
dall'articolo 35 del decreto legislativo n. 165 del
2001;
c) la ripartizione dell'organico tra le diverse aree
e qualifiche;
d) il trattamento giuridico ed economico del personale,
secondo i criteri previsti dalla legge 31 luglio 1997,
n. 249, e successive modificazioni e, per gli incarichi
dirigenziali, dagli articoli 19, comma 6, e 23 bis del
decreto legislativo 30 marzo 2001, n. 165, tenuto conto
delle specifiche esigenze funzionali e organizzative.
Nelle more della più generale razionalizzazione
del trattamento economico delle autorità amministrative
indipendenti, al personale è attribuito l'ottanta
per cento del trattamento economico del personale dell'Autorità
per le garanzie nelle comunicazioni;
e) la gestione amministrativa e la contabilità,
anche in deroga alle norme sulla contabilità
generale dello Stato, l'utilizzo dell'avanzo di amministrazione
nel quale sono iscritte le somme già versate
nella contabilità speciale, nonchè l'individuazione
dei casi di riscossione e utilizzazione dei diritti
di segreteria o di corrispettivi per servizi resi in
base a disposizioni di legge secondo le modalità
di cui all'articolo 6, comma 2, della legge 31 luglio
1997, n. 249.
4. L'Ufficio può avvalersi, per motivate esigenze,
di dipendenti dello Stato o di altre amministrazioni
pubbliche o di enti pubblici collocati in posizione
di fuori ruolo o equiparati nelle forme previste dai
rispettivi ordinamenti, ovvero in aspettativa ai sensi
dell'articolo 13 del decreto del Presidente della Repubblica
11 luglio 1980, n. 382, e successive modificazioni,
in numero non superiore, complessivamente, a venti unità
e per non oltre il venti per cento delle qualifiche
dirigenziali, lasciando non coperto un corrispondente
numero di posti di ruolo. Al personale di cui al presente
comma è corrisposta un'indennità pari
all'eventuale differenza tra il trattamento erogato
dall'amministrazione o dall'ente di provenienza e quello
spettante al personale di ruolo, sulla base di apposita
tabella di corrispondenza adottata dal Garante, e comunque
non inferiore al cinquanta per cento della retribuzione
in godimento, con esclusione dell'indennità integrativa
speciale.
5. In aggiunta al personale di ruolo, l'ufficio può
assumere direttamente dipendenti con contratto a tempo
determinato, in numero non superiore a venti unità
ivi compresi i consulenti assunti con contratto a tempo
determinato ai sensi del comma 7.
6. Si applicano le disposizioni di cui all'articolo
30 del decreto legislativo n. 165 del 2001.
7. Nei casi in cui la natura tecnica o la delicatezza
dei problemi lo richiedono, il Garante può avvalersi
dell'opera di consulenti, i quali sono remunerati in
base alle vigenti tariffe professionali ovvero sono
assunti con contratti a tempo determinato, di durata
non superiore a due anni, che possono essere rinnovati
per non più di due volte.
8. Il personale addetto all'Ufficio del Garante ed
i consulenti sono tenuti al segreto su ciò di
cui sono venuti a conoscenza, nell'esercizio delle proprie
funzioni, in ordine a notizie che devono rimanere segrete.
9. Il personale dell'Ufficio del Garante addetto agli
accertamenti di cui all'articolo 158 riveste, in numero
non superiore a cinque unità, nei limiti del
servizio cui è destinato e secondo le rispettive
attribuzioni, la qualifica di ufficiale o agente di
polizia giudiziaria.
10. Le spese di funzionamento del Garante sono poste
a carico di un fondo stanziato a tale scopo nel bilancio
dello Stato e iscritto in apposito capitolo dello stato
di previsione del Ministero dell'economia e delle finanze.
Il rendiconto della gestione finanziaria è soggetto
al controllo della Corte dei conti.
CAPO III - ACCERTAMENTI E
CONTROLLI
Art. 157. Richiesta di informazioni e di esibizione
di documenti
1. Per l'espletamento dei propri compiti il Garante
può richiedere al titolare, al responsabile,
all'interessato o anche a terzi di fornire informazioni
e di esibire documenti.
Art. 158. Accertamenti
1. Il Garante può disporre accessi a banche di
dati, archivi o altre ispezioni e verifiche nei luoghi
ove si svolge il trattamento o nei quali occorre effettuare
rilevazioni comunque utili al controllo del rispetto
della disciplina in materia di trattamento dei dati
personali.
2. I controlli di cui al comma a sono eseguiti da personale
dell'Ufficio. Il Garante si avvale anche, ove necessario,
della collaborazione di altri organi dello Stato.
3. Gli accertamenti di cui al comma 1, se svolti in
un'abitazione o in un altro luogo di privata dimora
o nelle relative appartenenze, sono effettuati con l'assenso
informato del titolare o del responsabile, oppure previa
autorizzazione del presidente del tribunale competente
per territorio in relazione al luogo dell'accertamento,
il quale provvede con decreto motivato senza ritardo,
al più tardi entro tre giorni dal ricevimento
della richiesta del Garante quando è documentata
l'indifferibilità dell'accertamento.
Art. 159. Modalità
1. Il personale operante, munito di documento di riconoscimento,
può essere assistito ove necessario da consulenti
tenuti al segreto ai sensi dell'articolo 156, comma
8. Nel procedere a rilievi e ad operazioni tecniche
può altresì estrarre copia di ogni atto,
dato e documento, anche a campione e su supporto informatico
o per via telematica. Degli accertamenti è redatto
sommario verbale nel quale sono annotate anche le eventuali
dichiarazioni dei presenti.
2. Ai soggetti presso i quali sono eseguiti gli accertamenti
è consegnata copia dell'autorizzazione del presidente
del tribunale, ove rilasciata. I medesimi soggetti sono
tenuti a farli eseguire e a prestare la collaborazione
a tal fine necessaria. In caso di rifiuto gli accertamenti
sono comunque eseguiti e le spese in tal caso occorrenti
sono poste a carico del titolare con il provvedimento
che definisce il procedimento, che per questa parte
costituisce titolo esecutivo ai sensi degli articoli
474 e 475 del codice di procedura civile.
3. Gli accertamenti, se effettuati presso il titolare
o il responsabile, sono eseguiti dandone informazione
a quest'ultimo o, se questo è assente o non è
designato, agli incaricati. Agli accertamenti possono
assistere persone indicate dal titolare o dal responsabile.
4. Se non è disposto diversamente nel decreto
di autorizzazione del presidente del tribunale, l'accertamento
non può essere iniziato prima delle ore sette
e dopo le ore venti, e può essere eseguito anche
con preavviso quando ciò può facilitarne
l'esecuzione.
5. Le informative, le richieste e i provvedimenti di
cui al presente articolo e agli articoli 157 e 158 possono
essere trasmessi anche mediante posta elettronica e
telefax.
6. Quando emergono indizi di reato si osserva la disposizione
di cui all'articolo 220 delle norme di attuazione, di
coordinamento e transitorie del codice di procedura
penale, approvate con decreto legislativo 28 luglio
1989, n. 271.
Art. 160. Particolari accertamenti
1. Per i trattamenti di dati personali indicati nei
titoli I, II e III della Parte II gli accertamenti sono
effettuati per il tramite di un componente designato
dal Garante.
2. Se il trattamento non risulta conforme alle disposizioni
di legge o di regolamento, il Garante indica al titolare
o al responsabile le necessarie modificazioni ed integrazioni
e ne verifica l'attuazione. Se l'accertamento è
stato richiesto dall'interessato, a quest'ultimo è
fornito in ogni caso un riscontro circa il relativo
esito, se ciò non pregiudica azioni od operazioni
a tutela dell'ordine e della sicurezza pubblica o di
prevenzione e repressione di reati o ricorrono motivi
di difesa o di sicurezza dello Stato.
3. Gli accertamenti non sono delegabili. Quando risulta
necessario in ragione della specificità della
verifica, il componente designato può farsi assistere
da personale specializzato tenuto al segreto ai sensi
dell'articolo 156, comma 8. Gli atti e i documenti acquisiti
sono custoditi secondo modalità tali da assicurarne
la segretezza e sono conoscibili dal presidente e dai
componenti del Garante e, se necessario per lo svolgimento
delle funzioni dell'organo, da un numero delimitato
di addetti all'Ufficio individuati dal Garante sulla
base di criteri definiti dal regolamento di cui all'articolo
156, comma 3, lettera a).
4. Per gli accertamenti relativi agli organismi di
informazione e di sicurezza e ai dati coperti da segreto
di Stato il componente designato prende visione degli
atti e dei documenti rilevanti e riferisce oralmente
nelle riunioni del Garante.
5. Nell'effettuare gli accertamenti di cui al presente
articolo nei riguardi di uffici giudiziari, il Garante
adotta idonee modalità nel rispetto delle reciproche
attribuzioni e della particolare collocazione istituzionale
dell'organo procedente. Gli accertamenti riferiti ad
atti di indagine coperti dal segreto sono differiti,
se vi è richiesta dell'organo procedente, al
momento in cui cessa il segreto.
6. La validità, l'efficacia e l'utilizzabilità
di atti, documenti e provvedimenti nel procedimento
giudiziario basati sul trattamento di dati personali
non conforme a disposizioni di legge o di regolamento
restano disciplinate dalle pertinenti disposizioni processuali
nella materia civile e penale.
TITOLO III - SANZIONI
CAPO I - VIOLAZIONI AMMINISTRATIVE
Art. 161. Omessa o inidonea informativa all'interessato
1. La violazione delle disposizioni di cui all'articolo
13 è punita con la sanzione amministrativa del
pagamento di una somma da tremila euro a diciottomila
euro o, nei casi di dati sensibili o giudiziari o di
trattamenti che presentano rischi specifici ai sensi
dell'articolo 17 o, comunque, di maggiore rilevanza
del pregiudizio per uno o più interessati, da
cinquemila euro a trentamila euro. La somma può
essere aumentata sino al triplo quando risulta inefficace
in ragione delle condizioni economiche del contravventore.
Art. 162. Altre fattispecie
1. La cessione dei dati in violazione di quanto previsto
dall'articolo 16, comma 1, lettera b), o di altre disposizioni
in materia di disciplina del trattamento dei dati personali
è punita con la sanzione amministrativa del pagamento
di una somma da cinquemila euro a trentamila euro.
2. La violazione della disposizione di cui all'articolo
84, comma 1, è punita con la sanzione amministrativa
del pagamento di una somma da cinquecento euro a tremila
euro.
Art. 163. Omessa o incompleta notificazione
1. Chiunque, essendovi tenuto, non provvede tempestivamente
alla notificazione ai sensi degli articoli 37 e 38,
ovvero indica in essa notizie incomplete, è punito
con la sanzione amministrativa del pagamento di una
somma da diecimila euro a sessantamila euro e con la
sanzione amministrativa accessoria della pubblicazione
dell'ordinanza-ingiunzione, per intero o per estratto,
in uno o più giornali indicati nel provvedimento
che la applica.
Art. 164. Omessa informazione o esibizione al Garante
1. Chiunque omette di fornire le informazioni o di esibire
i documenti richiesti dal Garante ai sensi degli articoli
150, comma 2, e 157 è punito con la sanzione
amministrativa del pagamento di una somma da quattromila
euro a ventiquattro mila euro.
Art. 165. Pubblicazione del provvedimento del Garante
1. Nei casi di cui agli articoli 161, 162 e 164 può
essere applicata la sanzione amministrativa accessoria
della pubblicazione dell'ordinanza-ingiunzione, per
intero o per estratto, in uno o più giornali
indicati nel provvedimento che la applica.
Art. 166. Procedimento di applicazione
1. L'organo competente a ricevere il rapporto e ad irrogare
le sanzioni di cui al presente capo e all'articolo 179,
comma 3, è il Garante. Si osservano, in quanto
applicabili, le disposizioni della legge 24 novembre
1981, n. 689, e successive modificazioni. I proventi,
nella misura del cinquanta per cento del totale annuo,
sono riassegnati al fondo di cui all'articolo 156, comma
10, e sono utilizzati unicamente per l'esercizio dei
compiti di cui agli articoli 154, comma 1, lettera h),
e 158.
CAPO II - ILLECITI PENALI
Art. 167. Trattamento illecito di dati
1. Salvo che il fatto costituisca più grave reato,
chiunque, al fine di trarne per sè o per altri
profitto o di recare ad altri un danno, procede al trattamento
di dati personali in violazione di quanto disposto dagli
articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione
dell'articolo 129, è punito, se dal fatto deriva
nocumento, con la reclusione da sei a diciotto mesi
o, se il fatto consiste nella comunicazione o diffusione,
con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave
reato, chiunque, al fine di trarne per sè o per
altri profitto o di recare ad altri un danno, procede
al trattamento di dati personali in violazione di quanto
disposto dagli articoli 17, 20, 21, 22, commi 8 e 11,
25, 26, 27 e 45, è punito, se dal fatto deriva
nocumento, con la reclusione da uno a tre anni.
Art. 168. Falsità nelle dichiarazioni e notificazioni
al Garante
1. Chiunque, nella notificazione di cui all'articolo
37 o in comunicazioni, atti, documenti o dichiarazioni
resi o esibiti in un procedimento dinanzi al Garante
o nel corso di accertamenti, dichiara o attesta falsamente
notizie o circostanze o produce atti o documenti falsi,
è punito, salvo che il fatto costituisca più
grave reato, con la reclusione da sei mesi a tre anni.
Art. 169. Misure di sicurezza
1. Chiunque, essendovi tenuto, omette di adottare le
misure minime previste dall'articolo 33 è punito
con l'arresto sino a due anni o con l'ammenda da diecimila
euro a cinquantamila euro.
2. All'autore del reato, all'atto dell'accertamento
o, nei casi complessi, anche con successivo atto del
Garante, è impartita una prescrizione fissando
un termine per la regolarizzazione non eccedente il
periodo di tempo tecnicamente necessario, prorogabile
in caso di particolare complessità o per l'oggettiva
difficoltà dell'adempimento e comunque non superiore
a sei mesi. Nei sessanta giorni successivi allo scadere
del termine, se risulta l'adempimento alla prescrizione,
l'autore del reato è ammesso dal Garante a pagare
una somma pari al quarto del massimo dell'ammenda stabilita
per la contravvenzione. L'adempimento e il pagamento
estinguono il reato. L'organo che impartisce la prescrizione
e il pubblico ministero provvedono nei modi di cui agli
articoli 21, 22, 23 e 24 del decreto legislativo 19
dicembre 1994, n. 758, e successive modificazioni, in
quanto applicabili.
Art. 170. Inosservanza di provvedimenti del Garante
1. Chiunque, essendovi tenuto, non osserva il provvedimento
adottato dal Garante ai sensi degli articoli 26, comma
2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c),
è punito con la reclusione da tre mesi a due
anni.
Art. 171. Altre fattispecie
1. La violazione delle disposizioni di cui agli articoli
113, comma 1, e 114 è punita con le sanzioni
di cui all'articolo 38 della legge 20 maggio 1970, n.
300.
Art. 172. Pene accessorie
1. La condanna per uno dei delitti previsti dal presente
codice importa la pubblicazione della sentenza.
TITOLO IV - DISPOSIZIONI MODIFICATIVE,
ABROGATIVE, TRANSITORIE E FINALI
CAPO I - DISPOSIZIONI DI MODIFICA
Art. 173. Convenzione di applicazione dell'Accordo
di Schengen
1. La legge 30 settembre 1993, n. 388, e successive
modificazioni, di ratifica ed esecuzione dei protocolli
e degli accordi di adesione all'accordo di Schengen
e alla relativa convenzione di applicazione, è
così modificata:
a) il comma 2 dell'articolo 9 è sostituito dal
seguente:
"2. Le richieste di accesso, rettifica o cancellazione,
nonchè di verifica, di cui, rispettivamente,
agli articoli 109, 110 e 114, paragrafo 2, della Convenzione,
sono rivolte all'autorità di cui al comma 1.";
b) il comma 2 dell'articolo 10 è soppresso;
c) l'articolo 11 è sostituito dal seguente:
"11. 1. L'autorità di controllo di cui all'articolo
114 della Convenzione è il Garante per la protezione
dei dati personali. Nell'esercizio dei compiti adesso
demandati per legge, il Garante esercita il controllo
sui trattamenti di dati in applicazione della Convenzione
ed esegue le verifiche previste nel medesimo articolo
114, anche su segnalazione oreclamo dell'interessato
all'esito di un inidoneo riscontro alla richiesta rivolta
ai sensi dell'articolo 9, comma 2, quando non è
possibile fornire al medesimo interessato una risposta
sulla basedegli elementi forniti dall'autorità
di cui all'articolo 9, comma 1.2. Si applicano le disposizioni
dell'articolo 10, comma 5, della legge 1 aprile 1981,
n. 121, e successive modificazioni.";
d) l'articolo 12 è abrogato.
Art. 174. Notifiche di atti e vendite giudiziarie
1. All'articolo 137 del codice di procedura civile,
dopo il secondo comma, sono inseriti i seguenti:
"Se la notificazione non può essere eseguita
in mani proprie del destinatario, tranne che nel caso
previsto dal secondo comma dell'articolo 143, l'ufficiale
giudiziario consegna o deposita la copia dell'atto da
notificare in busta che provvede a sigillare e su cui
trascrive il numero cronologico della notificazione,
dandone atto nella relazione in calce all'originale
e alla copia dell'atto stesso. Sulla busta non sono
apposti segni o indicazioni dai quali possa desumersi
il contenuto dell'atto.
Le disposizioni di cui al terzo comma si applicano anche
alle comunicazioni effettuate con biglietto di cancelleria
ai sensi degli articoli 133 e 136.".
2. Al primo comma dell'articolo 138 del codice di procedura
civile, le parole da: "può sempre eseguire"
a "destinatario," sono sostituite dalle seguenti:
"esegue la notificazione di regola mediante consegna
della copia nelle mani proprie del destinatario, presso
la casa di abitazione oppure, se ciò non è
possibile,".
3. Nel quarto comma dell'articolo 139 del codice di
procedura civile, la parola: "l'originale"
è sostituita dalle seguenti: "una ricevuta".
4. Nell'articolo 140 del codice di procedura civile,
dopo le parole: "affigge avviso del deposito"
sono inserite le seguenti: "in busta chiusa e sigillata".
5. All'articolo 142 del codice di procedura civile
sono apportate le seguenti modificazioni:
a) il primo e il secondo comma sono sostituiti dal
seguente: "Salvo quanto disposto nel secondo comma,
se il destinatario non ha residenza, dimora o domicilio
nello Stato e non vi ha eletto domicilio o costituito
un procuratore a norma dell'articolo 77, l'atto è
notificato mediante spedizione al destinatario per mezzo
della posta con raccomandata e mediante consegna di
altra copia al pubblico ministero che ne cura la trasmissione
al Ministero degli affari esteri per la consegna alla
persona alla quale è diretta.";
b) nell'ultimo comma le parole: "ai commi precedenti"
sono sostituite dalle seguenti: "al primo comma".
6. Nell'articolo 143, primo comma, del codice di procedura
civile, sono soppresse le parole da: ",e mediante"
fino alla fine del periodo.
7. All'articolo 151, primo comma, del codice di procedura
civile dopo le parole: "maggiore celerità"
sono aggiunte le seguenti: ", di riservatezza o
di tutela della dignità".
8. All'articolo 250 del codice di procedura civile
dopo il primo comma è aggiunto il seguente: "L'intimazione
di cui al primo comma, se non è eseguita in mani
proprie del destinatario o mediante servizio postale,
è effettuata in busta chiusa e sigillata.".
9. All'articolo 490, terzo comma, del codice di procedura
civile è aggiunto, in fine, il seguente periodo:
"Nell'avviso è omessa l'indicazione del
debitore".
10. All'articolo 570, primo comma, del codice di procedura
civile le parole: "del debitore," sono soppresse
e le parole da: "informazioni" fino alla fine
sono sostituite dalle seguenti: "informazioni,
anche relative alle generalità del debitore,
possono essere fornite dalla cancelleria del tribunale
a chiunque vi abbia interesse".
11. All'articolo 14, quarto comma, della legge 24 novembre
1981, n. 689, e successive modificazioni, è aggiunto,
in fine, il seguente periodo: "Quando la notificazione
non può essere eseguita in mani proprie del destinatario,
si osservano le modalità previste dall'articolo
137, terzo comma, del medesimo codice.".
12. Dopo l'articolo 15 del decreto del Presidente della
Repubblica 28 dicembre 2000, n. 445, è inserito
il seguente:
"Articolo 15-bis.(Notificazioni di atti e documenti,
comunicazioni ed avvisi) 1. Alla notificazione di atti
e di documenti da parte di organi delle pubbliche amministrazioni
a soggetti diversi dagli interessati o da persone da
essi delegate, nonchè a comunicazioni ed avvisi
circa il relativo contenuto, si applicano le disposizioni
contenute nell'articolo 137, terzo comma, del codice
di procedura civile. Nei biglietti e negli inviti di
presentazione sono indicate le informazioni strettamente
necessarie a tale fine.".
13. All'articolo 148 del codice di procedura penale
sono apportate le seguenti modificazioni:
a) il comma 3 è sostituito dal seguente:
"3. L'atto è notificato per intero, salvo
che la legge disponga altrimenti, di regola mediante
consegna di copia al destinatario oppure, se ciò
non è possibile, alle persone indicate nel presente
titolo. Quando la notifica non può essere eseguita
in mani proprie del destinatario, l'ufficiale giudiziario
o la polizia giudiziaria consegnano la copia dell'atto
da notificare, fatta eccezione per il caso di notificazione
al difensore o al domiciliatario, dopo averla inserita
in busta che provvedono a sigillare trascrivendovi il
numero cronologico della notificazione e dandone atto
nella relazione in calce all'originale e alla copia
dell'atto.";
b) dopo il comma 5 è aggiunto il seguente:
"5-bis. Lecomunicazioni, gli avvisi ed ogni altro
biglietto o invito consegnatinon in busta chiusa a persona
diversa dal destinatario recano leindicazioni strettamente
necessarie. ".
14. All'articolo 157, comma 6, del codice di procedura
penale le parole: "è scritta all'esterno
del plico stesso" sono sostituite dalle seguenti:
"è effettuata nei modi previsti dall'articolo
148,comma 3".
15. All'art. 80 delle disposizioni di attuazione del
codice di procedura penale, approvate con decreto legislativo
28 luglio 1989, n. 271, il comma 1 è sostituito
dal seguente:
"1. Se la copia del decreto di perquisizione locale
è consegnata al portiere o a chi ne fa le veci,
si applica la disposizione di cui all'articolo 148,
comma 3, del codice.".
16. Alla legge 20 novembre 1982, n. 890, sono apportate
le seguenti modificazioni:
a) all'articolo 2, primo comma, è aggiunto,
in fine, il seguente periodo: "Sulle buste non
sono apposti segni o indicazioni dai quali possa desumersi
il contenuto dell'atto.";
b) all'articolo 8, secondo comma, secondo periodo,
dopo le parole: "L'agente postale rilascia avviso"
sono inserite le seguenti: ", in busta chiusa,
del deposito".
Art. 175. Forze di polizia
1. Il trattamento effettuato per il conferimento delle
notizie ed informazioni acquisite nel corso di attività
amministrative ai sensi dell'articolo 21, comma 1, della
legge 26 marzo 2001, n. 128, e per le connessioni di
cui al comma 3 del medesimo articolo è oggetto
di comunicazione al Garante ai sensi dell'articolo 39,
commi 2 e 3.
2. I dati personali trattati dalle forze di polizia,
dagli organi di pubblica sicurezza e dagli altri soggetti
di cui all'articolo 53, comma 1, senza l'ausilio di
strumenti elettronici anteriormente alla data di entrata
in vigore del presente codice, in sede di applicazione
del presente codice possono essere ulteriormente trattati
se ne è verificata l'esattezza, completezza ed
aggiornamento ai sensi dell'articolo 11.
3. L'articolo 10 della legge 1 aprile 1981, n. 121,
e successive modificazioni, è sostituito dal
seguente:
"Art. 10 (Controlli) 1.
Il controllo sul Centro elaborazione dati è esercitato
dal Garante per la protezione dei dati personali, nei
modi previsti dalla legge e dai regolamenti.
2. I dati e le informazioni conservati negli archivi
del Centro possono essere utilizzati in procedimenti
giudiziari o amministrativi soltanto attraverso l'acquisizione
delle fonti originarie indicate nel primo comma dell'articolo
7, fermo restando quanto stabilito dall'articolo 240
del codice di procedura penale. Quando nel corso di
un procedimento giurisdizionale o amministrativo viene
rilevata l'erroneità o l'incompletezza dei dati
e delle informazioni, o l'illegittimità del loro
trattamento, l'autorità precedente ne dà
notizia al Garante per la protezione dei dati personali.
3. La persona alla quale si riferiscono i dati può
chiedere all'ufficio di cui alla lettera a) del primo
comma dell'articolo 5 la conferma dell'esistenza di
dati personali che lo riguardano, la loro comunicazione
in forma intellegibile e, se i dati risultano trattati
in violazione di vigenti disposizioni di legge o di
regolamento, la loro cancellazione o trasformazione
in forma anonima.
4. Esperiti i necessari accertamenti, l'ufficio comunica
al richiedente, non oltre trenta giorni dalla richiesta,
le determinazioni adottate. L'ufficio può omettere
di provvedere sulla richiesta se ciò può
pregiudicare azioni od operazioni a tutela dell'ordine
e della sicurezza pubblica o di prevenzione e repressione
della criminalità, dandone informazione al Garante
per la protezione dei dati personali.
5. Chiunque viene a conoscenza dell'esistenza di dati
personali che lo riguardano, trattati anche in forma
non automatizzata inviolazione di disposizioni di legge
o di regolamento, può chiedere al tribunale del
luogo ove risiede il titolare del trattamento di compiere
gli accertamenti necessari e di ordinare la rettifica,
l'integrazione, la cancellazione o la trasformazione
in forma anonima dei dati medesimi.".
Art. 176. Soggetti pubblici
1. Nell'articolo 24, comma 3, della legge 7 agosto 1990,
n. 241, dopo le parole: "mediante strumenti informatici"
sono inserite le seguenti: ", fuori dei casi di
accesso a dati personali da parte della persona cui
i dati si riferiscono,".
2. Nell'articolo 2 del decreto legislativo 30 marzo
2001, n. 165, in materia di ordinamento del lavoro alle
dipendenze delle amministrazioni pubbliche, dopo il
comma 1 è inserito il seguente: "1-bis.
I criteri di organizzazione di cui al presente articolo
sono attuati nel rispetto della disciplina in materia
di trattamento dei dati personali.".
3. L'articolo 4, comma 1, del decreto legislativo 12
febbraio1993, n. 39, e successive modificazioni, è
sostituito dal seguente: "1. È istituito
il Centro nazionale per l'informatica nella pubblica
amministrazione, che opera presso la Presidenza del
Consiglio dei ministri per l'attuazione delle politiche
del Ministro per l'innovazione e le tecnologie, con
autonomia tecnica, funzionale, amministrativa, contabile
e finanziaria e con indipendenza di giudizio.".
4. Al Centro nazionale per l'informatica nella pubblica
amministrazione continuano ad applicarsi l'articolo
6 del decreto legislativo 12 febbraio 1993, n. 39, nonchè
le vigenti modalità di finanziamento nell'ambito
dello stato di previsione del Ministero dell'economia
e delle finanze.
5. L'articolo 5, comma 1, del decreto legislativo n.
39 del 1993, e successive modificazioni, è sostituito
dal seguente: "1. Il Centro nazionale propone al
Presidente del Consiglio dei ministri l'adozione di
regolamenti concernenti la sua organizzazione, il suo
funzionamento, l'amministrazione del personale, l'ordinamento
delle carriere, nonchè la gestione delle spese
nei limiti previsti dal presente decreto.".
6. La denominazione: "Autorità per l'informatica
nella pubblica amministrazione" contenuta nella
vigente normativa è sostituita dalla seguente:
"Centro nazionale per l'informatica nella pubblica
amministrazione".
Art. 177. Disciplina anagrafica, dello stato civile
e delle liste elettorali
1. Il comune può utilizzare gli elenchi di cui
all'articolo 34, comma 1, del decreto del Presidente
della Repubblica 30 maggio 1989, n. 223, per esclusivo
uso di pubblica utilità anche in caso di applicazione
della disciplina in materia di comunicazione istituzionale.
2. Il comma 7 dell'articolo 28 della legge 4 maggio
1983, n. 184, e successive modificazioni, è sostituito
dal seguente: "7. L'accesso alle informazioni non
è consentito nei confronti della madre che abbia
dichiarato alla nascita di non volere essere nominata
ai sensi dell'articolo 30, comma 1, del decreto del
Presidente della Repubblica 3 novembre 2000, n. 396.".
3. Il rilascio degli estratti degli atti dello stato
civile di cui all'articolo 107 del decreto del Presidente
della Repubblica 3 novembre 2000, n. 396 è consentito
solo ai soggetti cui l'atto si riferisce, oppure su
motivata istanza comprovante l'interesse personale e
concreto del richiedente a fini di tutela di una situazione
giuridicamente rilevante, ovvero decorsi settanta anni
dalla formazione dell'atto.
4. Nel primo comma dell'articolo 5 del decreto del
Presidente della Repubblica 20 marzo 1967, n. 223, sono
soppresse le lettere d) ed e).
5. Nell'articolo 51 del decreto del Presidente della
Repubblica 20 marzo 1967, n. 223, il quinto comma è
sostituto dal seguente: "Le liste elettorali possono
essere rilasciate in copia per finalità di applicazione
della disciplina in materia di elettorato attivo e passivo,
di studio, di ricerca statistica, scientifica o storica,
o carattere socio-assistenziale o per il perseguimento
di un interesse collettivo o diffuso.".
Art. 178. Disposizioni in materia sanitaria
1. Nell'articolo 27, terzo e quinto comma, della legge
23 dicembre 1978, n. 833, in materia di libretto sanitario
personale, dopo le parole: "il Consiglio sanitario
nazionale" e prima della virgola sono inserite
le seguenti: "e il Garante per la protezione dei
dati personali".
2. All'articolo 5 della legge 5 giugno 1990, n. 135,
in materia di AIDS e infezione da HIV, sono apportate
le seguenti modifiche:
a) il comma 1 è sostituito dal seguente: "1.
L'operatore sanitario e ogni altro soggetto che viene
a conoscenza di un caso di AIDS, ovvero di un caso di
infezione da HIV, anche non accompagnato da stato morboso,
è tenuto a prestare la necessaria assistenza
e ad adottare ogni misura o accorgimento occorrente
per la tutela dei diritti e delle libertà fondamentali
dell'interessato, nonchè della relativa dignità.";
b) nel comma 2, le parole: "decreto del Ministro
della sanità" sono sostituite dalle seguenti:
"decreto del Ministro della salute, sentito il
Garante per la protezione dei dati personali".
3. Nell'articolo 5, comma 3, del decreto legislativo
30 dicembre 1992, n. 539, e successive modificazioni,
in materia di medicinali per uso umano, è inserito,
infine, il seguente periodo: "Decorso tale periodo
il farmacista distrugge le ricette con modalità
atte ad escludere l'accesso di terzi ai dati in esse
contenuti.".
4. All'articolo 2, comma 1, del decreto del Ministro
della sanità in data 11 febbraio 1997, pubblicato
sulla Gazzetta ufficiale n. 72 del 27 marzo 1997, in
materia di importazione di medicinali registrati all'estero,
sono soppresse le lettere f) ed h).
5. Nel comma 1, primo periodo, dell'articolo 5 bis
del decreto legge 17 febbraio 1998, n. 23, convertito,
con modificazioni, dalla legge 8 aprile 1998, n. 94,
le parole da: "riguarda anche" fino alla fine
del periodo sono sostituite dalle seguenti: "è
acquisito unitamente al consenso relativo al trattamento
dei dati personali".
Art. 179. Altre modifiche
1. Nell'articolo 6 della legge 2 aprile 1958, n. 339,
sono soppresse le parole: "; mantenere la necessaria
riservatezza per tutto quanto si riferisce alla vita
familiare" e: "garantire al lavoratore il
rispetto della sua personalità e della sua libertà
morale;".
2. Nell'articolo 38, primo comma, della legge 20 maggio
1970, n. 300, sono soppresse le parole: "4,"
e "8".
3. Al comma 3 dell'articolo 12 del decreto legislativo
22 maggio 1999, n. 185, in materia di contratti a distanza,
sono aggiunte infine le seguenti parole: ",ovvero,
limitatamente alla violazione di cui all'articolo 10,
al Garante per la protezione dei dati personali".
4. Dopo l'articolo 107 del decreto legislativo 29 ottobre
1999, n. 490, di approvazione del testo unico in materia
di beni culturali e ambientali, è inserito il
seguente:
"Articolo 107-bis. Trattamento di dati personali
per scopi storici
1. I documenti per i quali è autorizzata la
consultazione ai sensi dell'articolo 107, comma 2, conservano
il loro carattere riservato e non possono essere diffusi.
2. I documenti detenuti presso l'Archivio centrale
dello Stato e gli Archivi di Stato sono conservati e
consultabili anche in caso di esercizio dei diritti
dell'interessato ai sensi dell'articolo 13 della legge
31 dicembre 1996, n. 675, qualora ciò risulti
necessario per scopi storici. Ai documenti è
allegata la documentazione relativa all'esercizio dei
diritti. Su richiesta di chiunque vi abbia interesse
ai sensi del medesimo articolo 13, può essere
comunque disposto il blocco dei dati personali, qualora
il loro trattamento comporti un concreto pericolo di
lesione della dignità, della riservatezza o dell'identità
personale degli interessati e i dati non siano di rilevante
interesse pubblico."
CAPO II - DISPOSIZIONI TRANSITORIE
Art. 180. Misure di sicurezza
1. Le misure minime di sicurezza di cui agli articoli
da 33 a 35 e all'allegato B) che non erano previste
dal decreto del Presidente della Repubblica 28 luglio
1999, n. 318, sono adottate entro il 30 giugno 2004.
2. Il titolare che alla data di entrata in vigore del
presente codice dispone di strumenti elettronici che,
per obiettive ragioni tecniche, non consentono in tutto
o in parte l'immediata applicazione delle misure minime
di cui all'articolo 34 e delle corrispondenti modalità
tecniche di cui all'allegato B), descrive le medesime
ragioni in un documento a data certa da conservare presso
la propria struttura.
3. Nel caso di cui al comma 2, il titolare adotta ogni
possibile misura di sicurezza in relazione agli strumenti
elettronici detenuti in modo da evitare, anche sulla
base di idonee misure organizzative, logistiche o procedurali,
un incremento dei rischi di cui all'articolo 31, adeguando
i medesimi strumenti al più tardi entro un anno
dall'entrata in vigore del codice.
Art. 181. Altre disposizioni transitorie
1. Per i trattamenti di dati personali iniziati prima
del 1 gennaio 2004, in sede di prima applicazione del
presente codice:
a) l'identificazione con atto di natura regolamentare
dei tipi di dati e di operazioni ai sensi degli articoli
20, commi 2 e 3, e 21, comma 2, è effettuata,
ove mancante, entro il 30 settembre 2004;
b) la determinazione da rendere nota agli interessati
ai sensi dell'articolo 26, commi 3, lettera a), e 4,
lettera a), è adottata, ove mancante, entro il
30 giugno 2004;
c) le notificazioni previste dall'articolo 37 sono
effettuate entro il 30 aprile 2004;
d) le comunicazioni previste dall'articolo 39 sono
effettuate entro il 30 giugno 2004;
e) le modalità semplificate per l'informativa
e la manifestazione del consenso, ove necessario, possono
essere utilizzate dal medico di medicina generale, dal
pediatra di libera scelta e dagli organismi sanitari
anche in occasione del primo ulteriore contatto con
l'interessato, al più tardi entro il 30 settembre
2004;
f) l'utilizzazione dei modelli di cui all'articolo
87, comma 2, è obbligatoria a decorrere dal 1
gennaio 2005.
2. Le disposizioni di cui all'articolo 21 bis del decreto
del Presidente della Repubblica 30 settembre 1963, n.
1409, introdotto dall'articolo 9 del decreto legislativo
30 luglio 1999, n. 281, restano in vigore fino alla
data di entrata in vigore del presente codice.
3. L'individuazione dei trattamenti e dei titolari
di cui agli articoli 46 e 53, da riportare nell'allegato
C), è effettuata in sede di prima applicazione
del presente codice entro il 30 giugno 2004.
4. Il materiale informativo eventualmente trasferito
al Garante ai sensi dell'articolo 43, comma 1, della
legge 31 dicembre 1996, n. 675, utilizzato per le opportune
verifiche, continua ad essere successivamente archiviato
o distrutto in base alla normativa vigente.
5. L'omissione delle generalità e degli altri
dati identificativi dell'interessato ai sensi dell'articolo
52, comma 4, è effettuata sulle sentenze o decisioni
pronunciate o adottate prima dell'entrata in vigore
del presente codice solo su diretta richiesta dell'interessato
e limitatamente ai documenti pubblicati mediante rete
di comunicazione elettronica o sui nuovi prodotti su
supporto cartaceo o elettronico. I sistemi informativi
utilizzati ai sensi dell'articolo 51, comma 1, sono
adeguati alla medesima disposizione entro dodici mesi
dalla data di entrata in vigore del presente codice.
6. Le confessioni religiose che, prima dell'adozione
del presente codice, abbiano determinato e adottato
nell'ambito del rispettivo ordinamento le garanzie di
cui all'articolo 26, comma 3, lettera a), possono proseguire
l'attività di trattamento nel rispetto delle
medesime.
6-bis.(2) Fino alla data in cui divengono efficaci
le misure e gli accorgimenti prescritti ai sensi dell’articolo
132, comma 5, per la conservazione del traffico telefonico
si osserva il termine di cui all’articolo 4, comma
2, del decreto legislativo 13 maggio 1998, n. 171.
--------------------------------------------------------------------------------
(2) Comma aggiunto dall’articolo 4 del decreto-legge
24 dicembre 2003, n. 354, convertito, con modificazioni,
nella Legge 26 febbraio 2004, n. 45.
- In conformità all’articolo 184, comma
2, i riferimenti a disposizioni della legge n. 675/1996
o ad altre disposizioni abrogate devono intendersi riferiti
alle corrispondenti nuove disposizioni in vigore, secondo
la tavola di corrispondenza.
Art. 182. Ufficio del Garante
1. Al fine di assicurare la continuità delle
attività istituzionali, in sede di prima applicazione
del presente codice e comunque non oltre il 31 marzo
2004, il Garante:
a) può individuare i presupposti per l'inquadramento
in ruolo, al livello iniziale delle rispettive qualifiche
e nei limiti delle disponibilità di organico,
del personale appartenente ad amministrazioni pubbliche
o ad enti pubblici in servizio presso l'Ufficio del
Garante in posizione di fuori ruolo o equiparato alla
data di pubblicazione del presente codice;
b) può prevedere riserve di posti nei concorsi
pubblici, unicamente nel limite del trenta per cento
delle disponibilità di organico, per il personale
non di ruolo in servizio presso l'Ufficio del Garante
che abbia maturato un'esperienza lavorativa presso il
Garante di almeno un anno.
CAPO IV - NORME FINALI
Art. 184. Attuazione di direttive europee
1. Le disposizioni del presente codice danno attuazione
alla direttiva 96/45/CE del Parlamento europeo e del
Consiglio, del 24 ottobre 1995, e alla direttiva 2002/58/CE
del Parlamento europeo e del Consiglio, del 12 luglio
2002.
2. Quando leggi, regolamenti e altre disposizioni fanno
riferimento a disposizioni comprese nella legge 31 dicembre
1996, n. 675, e in altre disposizioni abrogate dal presente
codice, il riferimento si intende effettuato alle corrispondenti
disposizioni del presente codice secondo la tavola di
corrispondenza riportata in allegato.
3. Restano ferme le disposizioni di legge e di regolamento
che stabiliscono divieti o limiti più restrittivi
in materia di trattamento di taluni dati personali.
Art. 185. Allegazione dei codici di deontologia e di
buona condotta
1. L'allegato A) riporta, oltre ai codici di cui all'articolo
12, commi 1 e 4, quelli promossi ai sensi degli articoli
25 e 31 della legge 31 dicembre 1996, n. 675, e già
pubblicati nella Gazzetta Ufficiale della Repubblica
italiana alla data di emanazione del presente codice.
Art. 186. Entrata in vigore
1. Le disposizioni di cui al presente codice entrano
in vigore il 1 gennaio 2004, ad eccezione delle disposizioni
di cui agli articoli 156, 176, commi 3, 4, 5 e 6, e
182, che entrano in vigore il giorno successivo alla
data di pubblicazione del presente codice. Dalla medesima
data si osservano altresì i termini in materia
di ricorsi di cui agli articoli 149, comma 8, e 150,
comma 2.
Il presente decreto, munito del sigillo dello Stato,
sarà inserito nella Raccolta ufficiale degli
atti normativi della Repubblica italiana. è fatto
obbligo a chiunque spetti di osservarlo e di farlo osservare.
Dato a Roma, addì 30 giugno 2003
Archivio Immobili
NOTE LEGALI >> INFORMATIVA SUL TRATTAMENTO DATI PERSONALI