Art. 22
Altre disposizioni transitorie e finali
1. Il presente decreto e le disposizioni dell'ordinamento nazionale
si interpretano e si applicano alla luce della disciplina dell'Unione
europea in materia di protezione dei dati personali e assicurano la
libera circolazione dei dati personali tra Stati membri ai sensi
dell'articolo 1, paragrafo 3, del Regolamento (UE) 2016/679.
2. A decorrere dal 25 maggio 2018 le espressioni «dati sensibili» e
«dati giudiziari» utilizzate ai sensi dell'articolo 4, comma 1,
lettere d) ed e), del codice in materia di protezione dei dati
personali, di cui al decreto legislativo n. 196 del 2003, ovunque
ricorrano, si intendono riferite, rispettivamente, alle categorie
particolari di dati di cui all'articolo 9 del Regolamento (UE)
2016/679 e ai dati di cui all'articolo 10 del medesimo regolamento.
3. Sino all'adozione dei corrispondenti provvedimenti generali di
cui all'articolo 2-quinquiesdecies del codice in materia di
protezione dei dati personali, di cui al decreto legislativo n. 196
del 2003, i trattamenti di cui al medesimo articolo, gia' in corso
alla data di entrata in vigore del presente decreto, possono
proseguire qualora avvengano in base a espresse disposizioni di legge
o regolamento o atti amministrativi generali, ovvero nel caso in cui
siano stati sottoposti a verifica preliminare o autorizzazione del
Garante per la protezione dei dati personali, che abbiano individuato
misure e accorgimenti adeguati a garanzia dell'interessato.
4. A decorrere dal 25 maggio 2018, i provvedimenti del Garante per
la protezione dei dati personali continuano ad applicarsi, in quanto
compatibili con il suddetto regolamento e con le disposizioni del
presente decreto.
5. A decorrere dal 25 maggio 2018, le disposizioni di cui ai commi
1022 e 1023 dell'articolo 1 della legge 27 dicembre 2017, n. 205 si
applicano esclusivamente ai trattamenti dei dati personali funzionali
all'autorizzazione del cambiamento del nome o del cognome dei
minorenni. Con riferimento a tali trattamenti, il Garante per la
protezione dei dati personali puo', nei limiti e con le modalita' di
cui all'articolo 36 del Regolamento (UE) 2016/679, adottare
provvedimenti di carattere generale ai sensi dell'articolo
2-quinquiesdecies. Al fine di semplificare gli oneri amministrativi,
i soggetti che rispettano le misure di sicurezza e gli accorgimenti
prescritti con i provvedimenti di cui al secondo periodo sono
esonerati dall'invio al Garante dell'informativa di cui al citato
comma 1022. In sede di prima applicazione, le suddette informative,
se dovute a norma del terzo periodo, sono inviate entro sessanta
giorni dalla pubblicazione del provvedimento del Garante nella
Gazzetta Ufficiale della Repubblica italiana.
6. Dalla data di entrata in vigore del presente decreto, i rinvii
alle disposizioni del codice in materia di protezione dei dati
personali, di cui al decreto legislativo n. 196 del 2003, abrogate
dal presente decreto, contenuti in norme di legge e di regolamento,
si intendono riferiti alle corrispondenti disposizioni del
Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal
presente decreto, in quanto compatibili.
7. All'articolo 1, comma 233, della legge 27 dicembre 2017, n. 205,
dopo le parole «le modalita' di restituzione» sono inserite le
seguenti: «in forma aggregata».
8. Il registro dei trattamenti di cui all'articolo 37, comma 4, del
codice in materia di protezione dei dati personali, di cui al decreto
legislativo n. 196 del 2003, cessa di essere alimentato a far data
dal 25 maggio 2018. Da tale data e fino al 31 dicembre 2019, il
registro resta accessibile a chiunque secondo le modalita' stabilite
nel suddetto articolo 37, comma 4, del decreto legislativo n. 196 del
2003.
9. Le disposizioni di legge o di regolamento che individuano il
tipo di dati trattabili e le operazioni eseguibili al fine di
autorizzare i trattamenti delle pubbliche amministrazioni per motivi
di interesse pubblico rilevante trovano applicazione anche per i
soggetti privati che trattano i dati per i medesimi motivi.
10. La disposizione di cui all'articolo 160, comma 4, del codice in
materia di protezione dei dati personali, di cui al decreto
legislativo n. 196 del 2003, nella parte in cui ha riguardo ai dati
coperti da segreto di Stato, si applica fino alla data di entrata in
vigore della disciplina relativa alle modalita' di opposizione al
Garante per la protezione dei dati personali del segreto di Stato.
11. Le disposizioni del codice in materia di protezione dei dati
personali, di cui al decreto legislativo n. 196 del 2003, relative al
trattamento di dati genetici, biometrici o relativi alla salute
continuano a trovare applicazione, in quanto compatibili con il
Regolamento (UE) 2016/679, sino all'adozione delle corrispondenti
misure di garanzia di cui all'articolo 2-septies del citato codice,
introdotto dall'articolo 2, comma 1, lett. e) del presente decreto.
12. Sino alla data di entrata in vigore del decreto del Ministro
della giustizia di cui all'articolo 2-octies, commi 2 e 6, del codice
in materia di protezione dei dati personali, di cui al decreto
legislativo n. 196 del 2003, da adottarsi entro diciotto mesi dalla
data di entrata in vigore del presente decreto, il trattamento dei
dati di cui all'articolo 10 del Regolamento (UE) 2016/679 e'
consentito quando e' effettuato in attuazione di protocolli di intesa
per la prevenzione e il contrasto dei fenomeni di criminalita'
organizzata stipulati con il Ministero dell'interno o con le
Prefetture - UTG, previo parere del Garante per la protezione dei
dati personali, che specificano la tipologia dei dati trattati e
delle operazioni eseguibili.
13. Per i primi otto mesi dalla data di entrata in vigore del
presente decreto, il Garante per la protezione dei dati personali
tiene conto, ai fini dell'applicazione delle sanzioni amministrative
e nei limiti in cui risulti compatibile con le disposizioni del
Regolamento (UE) 2016/679, della fase di prima applicazione delle
disposizioni sanzionatorie.
14. All'articolo 1 della legge 11 gennaio 2018, n. 5 sono apportate
le seguenti modificazioni:
a) al comma 9, le parole «di cui all'articolo 162, comma 2-bis»
sono sostituite dalle seguenti: «di cui all'articolo 166, comma 2»;
b) al comma 10, le parole «di cui all'articolo 162, comma
2-quater» sono sostituite dalle seguenti: «di cui all'articolo 166,
comma 2».
15. All'articolo 5-ter, comma 1, lettera c), del decreto
legislativo 14 marzo 2013, n. 33 le parole «di cui all'articolo 162,
comma 2-bis» sono sostituite dalle seguenti: «di cui all'articolo
166, comma 2».
Note all'art. 22:
- Il regolamento (UE) n. 2016/679 e' citato nelle note
alle premesse.
- L'art. 4, comma 1, del citato decreto legislativo 30
giugno 2003, n. 196, cosi' recita:
«Art. 4 (Definizioni). - 1. Ai fini del presente codice
si intende per:
a) "trattamento", qualunque operazione o complesso di
operazioni, effettuati anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione,
il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non
registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa
a persona fisica, identificata o identificabile, anche
indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione
personale;(7)
c) "dati identificativi", i dati personali che
permettono l'identificazione diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a
rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico
o sindacale, nonche' i dati personali idonei a rivelare lo
stato di salute e la vita sessuale;
e) "dati giudiziari", i dati personali idonei a
rivelare provvedimenti di cui all'art. 3, comma 1, lettere
da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n.
313, in materia di casellario giudiziale, di anagrafe delle
sanzioni amministrative dipendenti da reato e dei relativi
carichi pendenti, o la qualita' di imputato o di indagato
ai sensi degli articoli 60 e 61 del codice di procedura
penale;
f) "titolare", la persona fisica, la persona
giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo cui competono, anche
unitamente ad altro titolare, le decisioni in ordine alle
finalita', alle modalita' del trattamento di dati personali
e agli strumenti utilizzati, ivi compreso il profilo della
sicurezza;(15)
g) "responsabile", la persona fisica, la persona
giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo preposti dal titolare al
trattamento di dati personali;(15)
h) "incaricati", le persone fisiche autorizzate a
compiere operazioni di trattamento dal titolare o dal
responsabile;
i) "interessato", la persona fisica, cui si
riferiscono i dati personali;(8)
l) "comunicazione", il dare conoscenza dei dati
personali a uno o piu' soggetti determinati diversi
dall'interessato, dal rappresentante del titolare nel
territorio dello Stato, dal responsabile e dagli
incaricati, in qualunque forma, anche mediante la loro
messa a disposizione o consultazione;
m) "diffusione", il dare conoscenza dei dati
personali a soggetti indeterminati, in qualunque forma,
anche mediante la loro messa a disposizione o
consultazione;
n) "dato anonimo", il dato che in origine, o a
seguito di trattamento, non puo' essere associato ad un
interessato identificato o identificabile;
o) "blocco", la conservazione di dati personali con
sospensione temporanea di ogni altra operazione del
trattamento;
p) "banca di dati", qualsiasi complesso organizzato
di dati personali, ripartito in una o piu' unita' dislocate
in uno o piu' siti;
q) "Garante", l'autorita' di cui all'art. 153,
istituita dallalegge 31 dicembre 1996, n. 675.»
- L'art. 1, commi 233, 1022 e 1023 della legge 27
dicembre 2017, n. 205 (Bilancio di previsione dello Stato
per l'anno finanziario 2018 e bilancio pluriennale per il
triennio 2018-2020), pubblicata nella Gazzetta Ufficiale 29
dicembre 2017, n. 302, S.O. cosi' recitano:
«Art. 1 -
233. L'ISTAT, d'intesa con il Ministero dell'interno,
definisce, tramite il Piano generale del censimento
permanente della popolazione e delle abitazioni, le
circolari e istruzioni tecniche, le modalita' di
restituzione ai comuni delle informazioni raccolte
nell'ambito del censimento, necessarie ai fini della
revisione delle anagrafi della popolazione residente di cui
all'art. 46 del regolamento di cui al decreto del
Presidente della Repubblica 30 maggio 1989, n. 223, nonche'
le modalita' tecniche e la periodicita' di tale revisione.
1022. Il titolare di dati personali, individuato ai
sensi dell'art. 4, numero 7), del regolamento RGPD, ove
effettui un trattamento fondato sull'interesse legittimo
che prevede l'uso di nuove tecnologie o di strumenti
automatizzati, deve darne tempestiva comunicazione al
Garante per la protezione dei dati personali. A tale fine,
prima di procedere al trattamento, il titolare dei dati
invia al Garante un'informativa relativa all'oggetto, alle
finalita' e al contesto del trattamento, utilizzando il
modello di cui al comma 1021, lettera c). Trascorsi
quindici giorni lavorativi dall'invio dell'informativa, in
assenza di risposta da parte del Garante, il titolare puo'
procedere al trattamento.
1023. Il Garante per la protezione dei dati personali
effettua un'istruttoria sulla base dell'informativa
ricevuta dal titolare ai sensi del comma 1022 e, ove
ravvisi il rischio che dal trattamento derivi una lesione
dei diritti e delle liberta' dei soggetti interessati,
dispone la moratoria del trattamento per un periodo massimo
di trenta giorni. In tale periodo, il Garante puo' chiedere
al titolare ulteriori informazioni e integrazioni, da
rendere tempestivamente, e, qualora ritenga che dal
trattamento derivi comunque una lesione dei diritti e delle
liberta' del soggetto interessato, dispone l'inibitoria
all'utilizzo dei dati.»
- Gli articoli 37 e 160 del citato decreto legislativo
30 giugno 2003, n. 196, cosi' recitano:
«Art. 37 (Notificazione del trattamento). - 1. Il
titolare notifica al Garante il trattamento di dati
personali cui intende procedere, solo se il trattamento
riguarda:
a) dati genetici, biometrici o dati che indicano la
posizione geografica di persone od oggetti mediante una
rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la
vita sessuale, trattati a fini di procreazione assistita,
prestazione di servizi sanitari per via telematica relativi
a banche di dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive
e diffusive, sieropositivita', trapianto di organi e
tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera
psichica trattati da associazioni, enti od organismi senza
scopo di lucro, anche non riconosciuti, a carattere
politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti
elettronici volti a definire il profilo o la personalita'
dell'interessato, o ad analizzare abitudini o scelte di
consumo, ovvero a monitorare l'utilizzo di servizi di
comunicazione elettronica con esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi medesimi
agli utenti;
e) dati sensibili registrati in banche di dati a fini
di selezione del personale per conto terzi, nonche' dati
sensibili utilizzati per sondaggi di opinione, ricerche di
mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite
con strumenti elettronici e relative al rischio sulla
solvibilita' economica, alla situazione patrimoniale, al
corretto adempimento di obbligazioni, a comportamenti
illeciti o fraudolenti.
1-bis. La notificazione relativa al trattamento dei
dati di cui al comma 1 non e' dovuta se relativa
all'attivita' dei medici di famiglia e dei pediatri di
libera scelta, in quanto tale funzione e' tipica del loro
rapporto professionale con il Servizio sanitario nazionale.
2. Il Garante puo' individuare altri trattamenti
suscettibili di recare pregiudizio ai diritti e alle
liberta' dell'interessato, in ragione delle relative
modalita' o della natura dei dati personali, con proprio
provvedimento adottato anche ai sensi dell'art. 17. Con
analogo provvedimento pubblicato sulla Gazzetta ufficiale
della Repubblica italiana il Garante puo' anche
individuare, nell'ambito dei trattamenti di cui al comma 1,
eventuali trattamenti non suscettibili di recare detto
pregiudizio e pertanto sottratti all'obbligo di
notificazione.
3. La notificazione e' effettuata con unico atto anche
quando il trattamento comporta il trasferimento all'estero
dei dati.
4. Il Garante inserisce le notificazioni ricevute in un
registro dei trattamenti accessibile a chiunque e determina
le modalita' per la sua consultazione gratuita per via
telematica, anche mediante convenzioni con soggetti
pubblici o presso il proprio Ufficio. Le notizie
accessibili tramite la consultazione del registro possono
essere trattate per esclusive finalita' di applicazione
della disciplina in materia di protezione dei dati
personali.»
«Art. 160 (Particolari accertamenti). - 1. Per i
trattamenti di dati personali indicati nei titoli I, II e
III della Parte II gli accertamenti sono effettuati per il
tramite di un componente designato dal Garante.
2. Se il trattamento non risulta conforme alle
disposizioni di legge o di regolamento, il Garante indica
al titolare o al responsabile le necessarie modificazioni
ed integrazioni e ne verifica l'attuazione. Se
l'accertamento e' stato richiesto dall'interessato, a
quest'ultimo e' fornito in ogni caso un riscontro circa il
relativo esito, se cio' non pregiudica azioni od operazioni
a tutela dell'ordine e della sicurezza pubblica o di
prevenzione e repressione di reati o ricorrono motivi di
difesa o di sicurezza dello Stato.
3. Gli accertamenti non sono delegabili. Quando risulta
necessario in ragione della specificita' della verifica, il
componente designato puo' farsi assistere da personale
specializzato tenuto al segreto ai sensi dell'art. 156,
comma 8. Gli atti e i documenti acquisiti sono custoditi
secondo modalita' tali da assicurarne la segretezza e sono
conoscibili dal presidente e dai componenti del Garante e,
se necessario per lo svolgimento delle funzioni
dell'organo, da un numero delimitato di addetti all'Ufficio
individuati dal Garante sulla base di criteri definiti dal
regolamento di cui all'art. 156, comma 3, lettera a).
4. Per gli accertamenti relativi agli organismi di
informazione e di sicurezza e ai dati coperti da segreto di
Stato il componente designato prende visione degli atti e
dei documenti rilevanti e riferisce oralmente nelle
riunioni del Garante.
5. Nell'effettuare gli accertamenti di cui al presente
articolo nei riguardi di uffici giudiziari, il Garante
adotta idonee modalita' nel rispetto delle reciproche
attribuzioni e della particolare collocazione istituzionale
dell'organo procedente. Gli accertamenti riferiti ad atti
di indagine coperti dal segreto sono differiti, se vi e'
richiesta dell'organo procedente, al momento in cui cessa
il segreto.
6. La validita', l'efficacia e l'utilizzabilita' di
atti, documenti e provvedimenti nel procedimento
giudiziario basati sul trattamento di dati personali non
conforme a disposizioni di legge o di regolamento restano
disciplinate dalle pertinenti disposizioni processuali
nella materia civile e penale.»
- L'art. 1 della legge 11 gennaio 2018, n. 5 (Nuove
disposizioni in materia di iscrizione e funzionamento del
registro delle opposizioni e istituzione di prefissi
nazionali per le chiamate telefoniche a scopo statistico,
promozionale e di ricerche di mercato), pubblicata nella
Gazzetta Ufficiale 3 febbraio 2018, n. 28, come modificato
dal presente decreto, cosi' recita:
«Art. 1. - 1. Ai fini della presente legge si applicano
le definizioni di cui all'art. 4 del codice in materia di
protezione dei dati personali, di cui aldecreto legislativo
30 giugno 2003, n. 196, e all'art. 1 del regolamento di cui
al decreto del Presidente della Repubblica 7 settembre
2010, n. 178.
2. Possono iscriversi, a seguito di loro specifica
richiesta, anche contemporaneamente per tutte le utenze
telefoniche, fisse e mobili, loro intestate, anche per via
telematica o telefonica, al registro pubblico delle
opposizioni istituito ai sensi delcomma 1 dell'art. 3 del
regolamento di cui al decreto del Presidente della
Repubblica n. 178 del 2010, tutti gli interessati che
vogliano opporsi al trattamento delle proprie numerazioni
telefoniche effettuato mediante operatore con l'impiego del
telefono per fini di invio di materiale pubblicitario o di
vendita diretta, ovvero per il compimento di ricerche di
mercato o di comunicazione commerciale.
3. Nel registro di cui al comma 2 sono comunque
inserite anche le numerazioni fisse non pubblicate negli
elenchi di abbonati di cui all'art. 2, comma 2, del
regolamento di cui al decreto del Presidente della
Repubblica n. 178 del 2010, che gli operatori sono tenuti a
fornire al gestore del registro con la stessa periodicita'
di aggiornamento prevista per la base di dati unica.
4. Gli interessati iscritti al registro di cui al comma
2, le cui numerazioni siano o meno riportate negli elenchi
di abbonati di cui all'art. 2, comma 2, del regolamento di
cui al decreto del Presidente della Repubblica n. 178 del
2010, possono revocare, anche per periodi di tempo
definiti, la propria opposizione nei confronti di uno o
piu' soggetti di cui all'art. 1, comma 1, lettera c), del
medesimo regolamento, in qualunque momento, anche per via
telematica o telefonica.
5. Con l'iscrizione al registro di cui al comma 2 si
intendono revocati tutti i consensi precedentemente
espressi, con qualsiasi forma o mezzo e a qualsiasi
soggetto, che autorizzano il trattamento delle proprie
numerazioni telefoniche fisse o mobili effettuato mediante
operatore con l'impiego del telefono per fini di
pubblicita' o di vendita ovvero per il compimento di
ricerche di mercato o di comunicazione commerciale ed e'
altresi' precluso, per le medesime finalita', l'uso delle
numerazioni telefoniche cedute a terzi dal titolare del
trattamento sulla base dei consensi precedentemente
rilasciati. Sono fatti salvi i consensi prestati
nell'ambito di specifici rapporti contrattuali in essere,
ovvero cessati da non piu' di trenta giorni, aventi ad
oggetto la fornitura di beni o servizi, per i quali e'
comunque assicurata, con procedure semplificate, la
facolta' di revoca.
6. E' valido il consenso al trattamento dei dati
personali prestato dall'interessato, ai titolari da questo
indicati, successivamente all'iscrizione nel registro di
cui al comma 2.
7. A decorrere dalla data di entrata in vigore della
presente legge, sono vietati, con qualsiasi forma o mezzo,
la comunicazione a terzi, il trasferimento e la diffusione
di dati personali degli interessati iscritti al registro di
cui al comma 2, da parte del titolare del trattamento, per
fini di pubblicita' o di vendita ovvero per il compimento
di ricerche di mercato o di comunicazione commerciale non
riferibili alle attivita', ai prodotti o ai servizi offerti
dal titolare del trattamento.
8. In caso di cessione a terzi di dati relativi alle
numerazioni telefoniche, il titolare del trattamento e'
tenuto a comunicare agli interessati gli estremi
identificativi del soggetto a cui i medesimi dati sono
trasferiti.
9. Al di fuori dei casi previsti dall'art. 167 del
codice di cui al decreto legislativo n. 196 del 2003, in
caso di violazione di uno dei divieti di cui al comma 7, si
applica la sanzione amministrativa di cui all'art. 166,
comma 2 del medesimo codice. In caso di reiterazione delle
suddette violazioni, su segnalazione del Garante per la
protezione dei dati personali, le autorita' competenti
possono altresi' disporre la sospensione o, nelle ipotesi
piu' gravi, la revoca dell'autorizzazione all'esercizio
dell'attivita'.
10. Ai sensi dell'art. 12, comma 2, del regolamento di
cui al decreto del Presidente della Repubblica n. 178 del
2010, in caso di violazione del diritto di opposizione
nelle forme previste dalla presente legge, si applica la
sanzione amministrativa di cui all'art. 166, comma 2, del
codice di cui al decreto legislativo n. 196 del 2003. In
caso di reiterazione delle suddette violazioni, su
segnalazione del Garante per la protezione dei dati
personali, le autorita' competenti possono altresi'
disporre la sospensione o, nelle ipotesi piu' gravi, la
revoca dell'autorizzazione all'esercizio dell'attivita'.
11. Il titolare del trattamento dei dati personali e'
responsabile in solido delle violazioni delle disposizioni
della presente legge anche nel caso di affidamento a terzi
di attivita' di call center per l'effettuazione delle
chiamate telefoniche.
12. Gli operatori che utilizzano i sistemi di
pubblicita' telefonica e di vendita telefonica o che
compiono ricerche di mercato o comunicazioni commerciali
telefoniche hanno l'obbligo di consultare mensilmente, e
comunque precedentemente all'inizio di ogni campagna
promozionale, il registro pubblico delle opposizioni e di
provvedere all'aggiornamento delle proprie liste.
13. Al fine di rendere piu' agevole e meno costosa la
consultazione periodica del registro da parte degli
operatori di cui al comma 12, il Ministro dello sviluppo
economico, sentiti il gestore del registro, se diverso dal
Ministero dello sviluppo economico, gli operatori e le
associazioni di categoria maggiormente rappresentative, con
proprio decreto da emanare entro sei mesi dalla data di
entrata in vigore della presente legge detta criteri
generali per l'aggiornamento periodico delle tariffe con le
modalita' previste dall'art. 6, comma 1, del regolamento di
cui al decreto del Presidente della Repubblica n. 178 del
2010, conformandosi ai seguenti criteri:
a) promuovere l'adozione da parte del gestore del
registro e degli operatori di forme tecniche, anche
mediante l'utilizzo di tecnologie avanzate, con il fine di
contenere il costo delle tariffe di consultazione
preliminare del registro;
b) prevedere modelli tariffari agevolati anche con
forme di abbonamento temporale per gli operatori a cui non
siano state comminate, negli ultimi cinque anni, le
sanzioni di cui all'art. 162, comma 2-quater, del codice di
cui al decreto legislativo n. 196 del 2003;
c) prevedere comunque, nella determinazione delle
tariffe, l'integrale copertura dei costi di tenuta del
registro.
14. E' vietato l'utilizzo di compositori telefonici per
la ricerca automatica di numeri anche non inseriti negli
elenchi di abbonati di cui all'art. 2, comma 2, del
regolamento di cui al decreto del Presidente della
Repubblica n. 178 del 2010. In caso di violazione di tale
divieto, si applica la sanzione amministrativa di cui
all'art. 162, comma 2-bis, del codice di cui al decreto
legislativo n. 196 del 2003.
15. Con decreto del Presidente della Repubblica, da
emanare su proposta del Ministro dello sviluppo economico,
ai sensi dell'art. 17, comma 2, della legge 23 agosto 1988,
n. 400, entro novanta giorni dalla data di entrata in
vigore della presente legge, sono apportate le opportune
modifiche alle disposizioni regolamentari vigenti che
disciplinano le modalita' di iscrizione e funzionamento del
registro delle opposizioni ed e' altresi' disposta
l'abrogazione di eventuali disposizioni regolamentari
incompatibili con le norme della presente legge.»
- L'art. 5-ter del decreto legislativo 14 marzo 2013,
n. 33 (Riordino della disciplina riguardante il diritto di
accesso civico e gli obblighi di pubblicita', trasparenza e
diffusione di informazioni da parte delle pubbliche
amministrazioni), pubblicato nella Gazzetta Ufficiale 5
aprile 2013, n. 80, come modificato dal presente decreto,
cosi' recita:
«Art. 5-ter (Accesso per fini scientifici ai dati
elementari raccolti per finalita' statistiche). - 1. Gli
enti e uffici del Sistema statistico nazionale ai sensi del
decreto legislativo 6 settembre 1989, n. 322, di seguito
Sistan, possono consentire l'accesso per fini scientifici
ai dati elementari, privi di ogni riferimento che permetta
l'identificazione diretta delle unita' statistiche,
raccolti nell'ambito di trattamenti statistici di cui i
medesimi soggetti siano titolari, a condizione che:
a) l'accesso sia richiesto da ricercatori appartenenti
a universita', enti di ricerca e istituzioni pubbliche o
private o loro strutture di ricerca, inseriti nell'elenco
redatto dall'autorita' statistica dell'Unione europea
(Eurostat) o che risultino in possesso dei requisiti
stabiliti ai sensi del comma 3, lettera a), a seguito di
valutazione effettuata dal medesimo soggetto del Sistan che
concede l'accesso e approvata dal Comitato di cui al
medesimo comma 3;
b) sia sottoscritto, da parte di un soggetto abilitato
a rappresentare l'ente richiedente, un impegno di
riservatezza specificante le condizioni di utilizzo dei
dati, gli obblighi dei ricercatori, i provvedimenti
previsti in caso di violazione degli impegni assunti,
nonche' le misure adottate per tutelare la riservatezza dei
dati;
c) sia presentata una proposta di ricerca e la stessa
sia ritenuta adeguata, sulla base dei criteri di cui al
comma 3, lettera b), dal medesimo soggetto del Sistan che
concede l'accesso. Il progetto deve specificare lo scopo
della ricerca, il motivo per il quale tale scopo non puo'
essere conseguito senza l'utilizzo di dati elementari, i
ricercatori che hanno accesso ai dati, i dati richiesti, i
metodi di ricerca e i risultati che si intendono
diffondere. Alla proposta di ricerca sono allegate
dichiarazioni di riservatezza sottoscritte singolarmente
dai ricercatori che avranno accesso ai dati. E' fatto
divieto di effettuare trattamenti diversi da quelli
previsti nel progetto di ricerca, conservare i dati
elementari oltre i termini di durata del progetto,
comunicare i dati a terzi e diffonderli, pena
l'applicazione della sanzione di cui all'art. 166, comma 2,
del decreto legislativo 30 giugno 2003, n. 196.
2. I dati elementari di cui al comma 1, tenuto conto
dei tipi di dati nonche' dei rischi e delle conseguenze di
una loro illecita divulgazione, sono messi a disposizione
dei ricercatori sotto forma di file a cui sono stati
applicati metodi di controllo al fine di non permettere
l'identificazione dell'unita' statistica. In caso di
motivata richiesta, da cui emerga la necessita' ai fini
della ricerca e l'impossibilita' di soluzioni alternative,
sono messi a disposizione file a cui non sono stati
applicati tali metodi, purche' l'utilizzo di questi ultimi
avvenga all'interno di laboratori costituiti dal titolare
dei trattamenti statistici cui afferiscono i dati,
accessibili anche da remoto tramite laboratori organizzati
e gestiti da soggetto ritenuto idoneo e a condizione che il
rilascio dei risultati delle elaborazioni sia autorizzato
dal responsabile del laboratorio stesso, che i risultati
della ricerca non permettano il collegamento con le unita'
statistiche, nel rispetto delle norme in materia di segreto
statistico e di protezione dei dati personali, o
nell'ambito di progetti congiunti finalizzati anche al
perseguimento di compiti istituzionali del titolare del
trattamento statistico cui afferiscono i dati, sulla base
di appositi protocolli di ricerca sottoscritti dai
ricercatori che partecipano al progetto, nei quali siano
richiamate le norme in materia di segreto statistico e di
protezione dei dati personali.
3. Sentito il Garante per la protezione dei dati
personali, il Comitato di indirizzo e coordinamento
dell'informazione statistica (Comstat), con atto da
emanarsi ai sensi dell'art.3, comma 6, deldecreto del
Presidente della Repubblica 7 settembre 2010, n. 166,
avvalendosi del supporto dell'Istat, adotta le linee guida
per l'attuazione della disciplina di cui al presente
articolo. In particolare, il Comstat stabilisce:
a) i criteri per il riconoscimento degli enti di cui
al comma 1, lettera a), avuto riguardo agli scopi
istituzionali perseguiti, all'attivita' svolta e
all'organizzazione interna in relazione all'attivita' di
ricerca, nonche' alle misure adottate per garantire la
sicurezza dei dati;
b) i criteri di ammissibilita' dei progetti di
ricerca avuto riguardo allo scopo della ricerca, alla
necessita' di disporre dei dati richiesti, ai risultati e
benefici attesi e ai metodi impiegati per la loro analisi e
diffusione;
c) le modalita' di organizzazione e funzionamento dei
laboratori fisici e virtuali di cui al comma 2;
d) i criteri per l'accreditamento dei gestori dei
laboratori virtuali, avuto riguardo agli scopi
istituzionali, all'adeguatezza della struttura
organizzativa e alle misure adottate per la gestione e la
sicurezza dei dati;
e) le conseguenze di eventuali violazioni degli
impegni assunti dall'ente di ricerca e dai singoli
ricercatori.
4. Nei siti istituzionali del Sistan e di ciascun
soggetto del Sistan sono pubblicati gli elenchi degli enti
di ricerca riconosciuti e dei file di dati elementari resi
disponibili.
5. Il presente articolo si applica anche ai dati
relativi a persone giuridiche, enti od associazioni.»