Art. 22 Altre disposizioni transitorie e finali 1. Il presente decreto e le disposizioni dell'ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell'Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra Stati membri ai sensi dell'articolo 1, paragrafo 3, del Regolamento (UE) 2016/679. 2. A decorrere dal 25 maggio 2018 le espressioni «dati sensibili» e «dati giudiziari» utilizzate ai sensi dell'articolo 4, comma 1, lettere d) ed e), del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, ovunque ricorrano, si intendono riferite, rispettivamente, alle categorie particolari di dati di cui all'articolo 9 del Regolamento (UE) 2016/679 e ai dati di cui all'articolo 10 del medesimo regolamento. 3. Sino all'adozione dei corrispondenti provvedimenti generali di cui all'articolo 2-quinquiesdecies del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, i trattamenti di cui al medesimo articolo, gia' in corso alla data di entrata in vigore del presente decreto, possono proseguire qualora avvengano in base a espresse disposizioni di legge o regolamento o atti amministrativi generali, ovvero nel caso in cui siano stati sottoposti a verifica preliminare o autorizzazione del Garante per la protezione dei dati personali, che abbiano individuato misure e accorgimenti adeguati a garanzia dell'interessato. 4. A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto. 5. A decorrere dal 25 maggio 2018, le disposizioni di cui ai commi 1022 e 1023 dell'articolo 1 della legge 27 dicembre 2017, n. 205 si applicano esclusivamente ai trattamenti dei dati personali funzionali all'autorizzazione del cambiamento del nome o del cognome dei minorenni. Con riferimento a tali trattamenti, il Garante per la protezione dei dati personali puo', nei limiti e con le modalita' di cui all'articolo 36 del Regolamento (UE) 2016/679, adottare provvedimenti di carattere generale ai sensi dell'articolo 2-quinquiesdecies. Al fine di semplificare gli oneri amministrativi, i soggetti che rispettano le misure di sicurezza e gli accorgimenti prescritti con i provvedimenti di cui al secondo periodo sono esonerati dall'invio al Garante dell'informativa di cui al citato comma 1022. In sede di prima applicazione, le suddette informative, se dovute a norma del terzo periodo, sono inviate entro sessanta giorni dalla pubblicazione del provvedimento del Garante nella Gazzetta Ufficiale della Repubblica italiana. 6. Dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal presente decreto, in quanto compatibili. 7. All'articolo 1, comma 233, della legge 27 dicembre 2017, n. 205, dopo le parole «le modalita' di restituzione» sono inserite le seguenti: «in forma aggregata». 8. Il registro dei trattamenti di cui all'articolo 37, comma 4, del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, cessa di essere alimentato a far data dal 25 maggio 2018. Da tale data e fino al 31 dicembre 2019, il registro resta accessibile a chiunque secondo le modalita' stabilite nel suddetto articolo 37, comma 4, del decreto legislativo n. 196 del 2003. 9. Le disposizioni di legge o di regolamento che individuano il tipo di dati trattabili e le operazioni eseguibili al fine di autorizzare i trattamenti delle pubbliche amministrazioni per motivi di interesse pubblico rilevante trovano applicazione anche per i soggetti privati che trattano i dati per i medesimi motivi. 10. La disposizione di cui all'articolo 160, comma 4, del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, nella parte in cui ha riguardo ai dati coperti da segreto di Stato, si applica fino alla data di entrata in vigore della disciplina relativa alle modalita' di opposizione al Garante per la protezione dei dati personali del segreto di Stato. 11. Le disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, relative al trattamento di dati genetici, biometrici o relativi alla salute continuano a trovare applicazione, in quanto compatibili con il Regolamento (UE) 2016/679, sino all'adozione delle corrispondenti misure di garanzia di cui all'articolo 2-septies del citato codice, introdotto dall'articolo 2, comma 1, lett. e) del presente decreto. 12. Sino alla data di entrata in vigore del decreto del Ministro della giustizia di cui all'articolo 2-octies, commi 2 e 6, del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, da adottarsi entro diciotto mesi dalla data di entrata in vigore del presente decreto, il trattamento dei dati di cui all'articolo 10 del Regolamento (UE) 2016/679 e' consentito quando e' effettuato in attuazione di protocolli di intesa per la prevenzione e il contrasto dei fenomeni di criminalita' organizzata stipulati con il Ministero dell'interno o con le Prefetture - UTG, previo parere del Garante per la protezione dei dati personali, che specificano la tipologia dei dati trattati e delle operazioni eseguibili. 13. Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie. 14. All'articolo 1 della legge 11 gennaio 2018, n. 5 sono apportate le seguenti modificazioni: a) al comma 9, le parole «di cui all'articolo 162, comma 2-bis» sono sostituite dalle seguenti: «di cui all'articolo 166, comma 2»; b) al comma 10, le parole «di cui all'articolo 162, comma 2-quater» sono sostituite dalle seguenti: «di cui all'articolo 166, comma 2». 15. All'articolo 5-ter, comma 1, lettera c), del decreto legislativo 14 marzo 2013, n. 33 le parole «di cui all'articolo 162, comma 2-bis» sono sostituite dalle seguenti: «di cui all'articolo 166, comma 2».
Note all'art. 22: - Il regolamento (UE) n. 2016/679 e' citato nelle note alle premesse. - L'art. 4, comma 1, del citato decreto legislativo 30 giugno 2003, n. 196, cosi' recita: «Art. 4 (Definizioni). - 1. Ai fini del presente codice si intende per: a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; b) "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;(7) c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato; d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale; e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'art. 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;(15) g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;(15) h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; i) "interessato", la persona fisica, cui si riferiscono i dati personali;(8) l) "comunicazione", il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; n) "dato anonimo", il dato che in origine, o a seguito di trattamento, non puo' essere associato ad un interessato identificato o identificabile; o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; p) "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o piu' unita' dislocate in uno o piu' siti; q) "Garante", l'autorita' di cui all'art. 153, istituita dallalegge 31 dicembre 1996, n. 675.» - L'art. 1, commi 233, 1022 e 1023 della legge 27 dicembre 2017, n. 205 (Bilancio di previsione dello Stato per l'anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020), pubblicata nella Gazzetta Ufficiale 29 dicembre 2017, n. 302, S.O. cosi' recitano: «Art. 1 - 233. L'ISTAT, d'intesa con il Ministero dell'interno, definisce, tramite il Piano generale del censimento permanente della popolazione e delle abitazioni, le circolari e istruzioni tecniche, le modalita' di restituzione ai comuni delle informazioni raccolte nell'ambito del censimento, necessarie ai fini della revisione delle anagrafi della popolazione residente di cui all'art. 46 del regolamento di cui al decreto del Presidente della Repubblica 30 maggio 1989, n. 223, nonche' le modalita' tecniche e la periodicita' di tale revisione. 1022. Il titolare di dati personali, individuato ai sensi dell'art. 4, numero 7), del regolamento RGPD, ove effettui un trattamento fondato sull'interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il titolare dei dati invia al Garante un'informativa relativa all'oggetto, alle finalita' e al contesto del trattamento, utilizzando il modello di cui al comma 1021, lettera c). Trascorsi quindici giorni lavorativi dall'invio dell'informativa, in assenza di risposta da parte del Garante, il titolare puo' procedere al trattamento. 1023. Il Garante per la protezione dei dati personali effettua un'istruttoria sulla base dell'informativa ricevuta dal titolare ai sensi del comma 1022 e, ove ravvisi il rischio che dal trattamento derivi una lesione dei diritti e delle liberta' dei soggetti interessati, dispone la moratoria del trattamento per un periodo massimo di trenta giorni. In tale periodo, il Garante puo' chiedere al titolare ulteriori informazioni e integrazioni, da rendere tempestivamente, e, qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle liberta' del soggetto interessato, dispone l'inibitoria all'utilizzo dei dati.» - Gli articoli 37 e 160 del citato decreto legislativo 30 giugno 2003, n. 196, cosi' recitano: «Art. 37 (Notificazione del trattamento). - 1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositivita', trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalita' dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonche' dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilita' economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. 1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non e' dovuta se relativa all'attivita' dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione e' tipica del loro rapporto professionale con il Servizio sanitario nazionale. 2. Il Garante puo' individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle liberta' dell'interessato, in ragione delle relative modalita' o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell'art. 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante puo' anche individuare, nell'ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all'obbligo di notificazione. 3. La notificazione e' effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati. 4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalita' per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalita' di applicazione della disciplina in materia di protezione dei dati personali.» «Art. 160 (Particolari accertamenti). - 1. Per i trattamenti di dati personali indicati nei titoli I, II e III della Parte II gli accertamenti sono effettuati per il tramite di un componente designato dal Garante. 2. Se il trattamento non risulta conforme alle disposizioni di legge o di regolamento, il Garante indica al titolare o al responsabile le necessarie modificazioni ed integrazioni e ne verifica l'attuazione. Se l'accertamento e' stato richiesto dall'interessato, a quest'ultimo e' fornito in ogni caso un riscontro circa il relativo esito, se cio' non pregiudica azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione di reati o ricorrono motivi di difesa o di sicurezza dello Stato. 3. Gli accertamenti non sono delegabili. Quando risulta necessario in ragione della specificita' della verifica, il componente designato puo' farsi assistere da personale specializzato tenuto al segreto ai sensi dell'art. 156, comma 8. Gli atti e i documenti acquisiti sono custoditi secondo modalita' tali da assicurarne la segretezza e sono conoscibili dal presidente e dai componenti del Garante e, se necessario per lo svolgimento delle funzioni dell'organo, da un numero delimitato di addetti all'Ufficio individuati dal Garante sulla base di criteri definiti dal regolamento di cui all'art. 156, comma 3, lettera a). 4. Per gli accertamenti relativi agli organismi di informazione e di sicurezza e ai dati coperti da segreto di Stato il componente designato prende visione degli atti e dei documenti rilevanti e riferisce oralmente nelle riunioni del Garante. 5. Nell'effettuare gli accertamenti di cui al presente articolo nei riguardi di uffici giudiziari, il Garante adotta idonee modalita' nel rispetto delle reciproche attribuzioni e della particolare collocazione istituzionale dell'organo procedente. Gli accertamenti riferiti ad atti di indagine coperti dal segreto sono differiti, se vi e' richiesta dell'organo procedente, al momento in cui cessa il segreto. 6. La validita', l'efficacia e l'utilizzabilita' di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale.» - L'art. 1 della legge 11 gennaio 2018, n. 5 (Nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato), pubblicata nella Gazzetta Ufficiale 3 febbraio 2018, n. 28, come modificato dal presente decreto, cosi' recita: «Art. 1. - 1. Ai fini della presente legge si applicano le definizioni di cui all'art. 4 del codice in materia di protezione dei dati personali, di cui aldecreto legislativo 30 giugno 2003, n. 196, e all'art. 1 del regolamento di cui al decreto del Presidente della Repubblica 7 settembre 2010, n. 178. 2. Possono iscriversi, a seguito di loro specifica richiesta, anche contemporaneamente per tutte le utenze telefoniche, fisse e mobili, loro intestate, anche per via telematica o telefonica, al registro pubblico delle opposizioni istituito ai sensi delcomma 1 dell'art. 3 del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010, tutti gli interessati che vogliano opporsi al trattamento delle proprie numerazioni telefoniche effettuato mediante operatore con l'impiego del telefono per fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale. 3. Nel registro di cui al comma 2 sono comunque inserite anche le numerazioni fisse non pubblicate negli elenchi di abbonati di cui all'art. 2, comma 2, del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010, che gli operatori sono tenuti a fornire al gestore del registro con la stessa periodicita' di aggiornamento prevista per la base di dati unica. 4. Gli interessati iscritti al registro di cui al comma 2, le cui numerazioni siano o meno riportate negli elenchi di abbonati di cui all'art. 2, comma 2, del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010, possono revocare, anche per periodi di tempo definiti, la propria opposizione nei confronti di uno o piu' soggetti di cui all'art. 1, comma 1, lettera c), del medesimo regolamento, in qualunque momento, anche per via telematica o telefonica. 5. Con l'iscrizione al registro di cui al comma 2 si intendono revocati tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo e a qualsiasi soggetto, che autorizzano il trattamento delle proprie numerazioni telefoniche fisse o mobili effettuato mediante operatore con l'impiego del telefono per fini di pubblicita' o di vendita ovvero per il compimento di ricerche di mercato o di comunicazione commerciale ed e' altresi' precluso, per le medesime finalita', l'uso delle numerazioni telefoniche cedute a terzi dal titolare del trattamento sulla base dei consensi precedentemente rilasciati. Sono fatti salvi i consensi prestati nell'ambito di specifici rapporti contrattuali in essere, ovvero cessati da non piu' di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali e' comunque assicurata, con procedure semplificate, la facolta' di revoca. 6. E' valido il consenso al trattamento dei dati personali prestato dall'interessato, ai titolari da questo indicati, successivamente all'iscrizione nel registro di cui al comma 2. 7. A decorrere dalla data di entrata in vigore della presente legge, sono vietati, con qualsiasi forma o mezzo, la comunicazione a terzi, il trasferimento e la diffusione di dati personali degli interessati iscritti al registro di cui al comma 2, da parte del titolare del trattamento, per fini di pubblicita' o di vendita ovvero per il compimento di ricerche di mercato o di comunicazione commerciale non riferibili alle attivita', ai prodotti o ai servizi offerti dal titolare del trattamento. 8. In caso di cessione a terzi di dati relativi alle numerazioni telefoniche, il titolare del trattamento e' tenuto a comunicare agli interessati gli estremi identificativi del soggetto a cui i medesimi dati sono trasferiti. 9. Al di fuori dei casi previsti dall'art. 167 del codice di cui al decreto legislativo n. 196 del 2003, in caso di violazione di uno dei divieti di cui al comma 7, si applica la sanzione amministrativa di cui all'art. 166, comma 2 del medesimo codice. In caso di reiterazione delle suddette violazioni, su segnalazione del Garante per la protezione dei dati personali, le autorita' competenti possono altresi' disporre la sospensione o, nelle ipotesi piu' gravi, la revoca dell'autorizzazione all'esercizio dell'attivita'. 10. Ai sensi dell'art. 12, comma 2, del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010, in caso di violazione del diritto di opposizione nelle forme previste dalla presente legge, si applica la sanzione amministrativa di cui all'art. 166, comma 2, del codice di cui al decreto legislativo n. 196 del 2003. In caso di reiterazione delle suddette violazioni, su segnalazione del Garante per la protezione dei dati personali, le autorita' competenti possono altresi' disporre la sospensione o, nelle ipotesi piu' gravi, la revoca dell'autorizzazione all'esercizio dell'attivita'. 11. Il titolare del trattamento dei dati personali e' responsabile in solido delle violazioni delle disposizioni della presente legge anche nel caso di affidamento a terzi di attivita' di call center per l'effettuazione delle chiamate telefoniche. 12. Gli operatori che utilizzano i sistemi di pubblicita' telefonica e di vendita telefonica o che compiono ricerche di mercato o comunicazioni commerciali telefoniche hanno l'obbligo di consultare mensilmente, e comunque precedentemente all'inizio di ogni campagna promozionale, il registro pubblico delle opposizioni e di provvedere all'aggiornamento delle proprie liste. 13. Al fine di rendere piu' agevole e meno costosa la consultazione periodica del registro da parte degli operatori di cui al comma 12, il Ministro dello sviluppo economico, sentiti il gestore del registro, se diverso dal Ministero dello sviluppo economico, gli operatori e le associazioni di categoria maggiormente rappresentative, con proprio decreto da emanare entro sei mesi dalla data di entrata in vigore della presente legge detta criteri generali per l'aggiornamento periodico delle tariffe con le modalita' previste dall'art. 6, comma 1, del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010, conformandosi ai seguenti criteri: a) promuovere l'adozione da parte del gestore del registro e degli operatori di forme tecniche, anche mediante l'utilizzo di tecnologie avanzate, con il fine di contenere il costo delle tariffe di consultazione preliminare del registro; b) prevedere modelli tariffari agevolati anche con forme di abbonamento temporale per gli operatori a cui non siano state comminate, negli ultimi cinque anni, le sanzioni di cui all'art. 162, comma 2-quater, del codice di cui al decreto legislativo n. 196 del 2003; c) prevedere comunque, nella determinazione delle tariffe, l'integrale copertura dei costi di tenuta del registro. 14. E' vietato l'utilizzo di compositori telefonici per la ricerca automatica di numeri anche non inseriti negli elenchi di abbonati di cui all'art. 2, comma 2, del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010. In caso di violazione di tale divieto, si applica la sanzione amministrativa di cui all'art. 162, comma 2-bis, del codice di cui al decreto legislativo n. 196 del 2003. 15. Con decreto del Presidente della Repubblica, da emanare su proposta del Ministro dello sviluppo economico, ai sensi dell'art. 17, comma 2, della legge 23 agosto 1988, n. 400, entro novanta giorni dalla data di entrata in vigore della presente legge, sono apportate le opportune modifiche alle disposizioni regolamentari vigenti che disciplinano le modalita' di iscrizione e funzionamento del registro delle opposizioni ed e' altresi' disposta l'abrogazione di eventuali disposizioni regolamentari incompatibili con le norme della presente legge.» - L'art. 5-ter del decreto legislativo 14 marzo 2013, n. 33 (Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicita', trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni), pubblicato nella Gazzetta Ufficiale 5 aprile 2013, n. 80, come modificato dal presente decreto, cosi' recita: «Art. 5-ter (Accesso per fini scientifici ai dati elementari raccolti per finalita' statistiche). - 1. Gli enti e uffici del Sistema statistico nazionale ai sensi del decreto legislativo 6 settembre 1989, n. 322, di seguito Sistan, possono consentire l'accesso per fini scientifici ai dati elementari, privi di ogni riferimento che permetta l'identificazione diretta delle unita' statistiche, raccolti nell'ambito di trattamenti statistici di cui i medesimi soggetti siano titolari, a condizione che: a) l'accesso sia richiesto da ricercatori appartenenti a universita', enti di ricerca e istituzioni pubbliche o private o loro strutture di ricerca, inseriti nell'elenco redatto dall'autorita' statistica dell'Unione europea (Eurostat) o che risultino in possesso dei requisiti stabiliti ai sensi del comma 3, lettera a), a seguito di valutazione effettuata dal medesimo soggetto del Sistan che concede l'accesso e approvata dal Comitato di cui al medesimo comma 3; b) sia sottoscritto, da parte di un soggetto abilitato a rappresentare l'ente richiedente, un impegno di riservatezza specificante le condizioni di utilizzo dei dati, gli obblighi dei ricercatori, i provvedimenti previsti in caso di violazione degli impegni assunti, nonche' le misure adottate per tutelare la riservatezza dei dati; c) sia presentata una proposta di ricerca e la stessa sia ritenuta adeguata, sulla base dei criteri di cui al comma 3, lettera b), dal medesimo soggetto del Sistan che concede l'accesso. Il progetto deve specificare lo scopo della ricerca, il motivo per il quale tale scopo non puo' essere conseguito senza l'utilizzo di dati elementari, i ricercatori che hanno accesso ai dati, i dati richiesti, i metodi di ricerca e i risultati che si intendono diffondere. Alla proposta di ricerca sono allegate dichiarazioni di riservatezza sottoscritte singolarmente dai ricercatori che avranno accesso ai dati. E' fatto divieto di effettuare trattamenti diversi da quelli previsti nel progetto di ricerca, conservare i dati elementari oltre i termini di durata del progetto, comunicare i dati a terzi e diffonderli, pena l'applicazione della sanzione di cui all'art. 166, comma 2, del decreto legislativo 30 giugno 2003, n. 196. 2. I dati elementari di cui al comma 1, tenuto conto dei tipi di dati nonche' dei rischi e delle conseguenze di una loro illecita divulgazione, sono messi a disposizione dei ricercatori sotto forma di file a cui sono stati applicati metodi di controllo al fine di non permettere l'identificazione dell'unita' statistica. In caso di motivata richiesta, da cui emerga la necessita' ai fini della ricerca e l'impossibilita' di soluzioni alternative, sono messi a disposizione file a cui non sono stati applicati tali metodi, purche' l'utilizzo di questi ultimi avvenga all'interno di laboratori costituiti dal titolare dei trattamenti statistici cui afferiscono i dati, accessibili anche da remoto tramite laboratori organizzati e gestiti da soggetto ritenuto idoneo e a condizione che il rilascio dei risultati delle elaborazioni sia autorizzato dal responsabile del laboratorio stesso, che i risultati della ricerca non permettano il collegamento con le unita' statistiche, nel rispetto delle norme in materia di segreto statistico e di protezione dei dati personali, o nell'ambito di progetti congiunti finalizzati anche al perseguimento di compiti istituzionali del titolare del trattamento statistico cui afferiscono i dati, sulla base di appositi protocolli di ricerca sottoscritti dai ricercatori che partecipano al progetto, nei quali siano richiamate le norme in materia di segreto statistico e di protezione dei dati personali. 3. Sentito il Garante per la protezione dei dati personali, il Comitato di indirizzo e coordinamento dell'informazione statistica (Comstat), con atto da emanarsi ai sensi dell'art.3, comma 6, deldecreto del Presidente della Repubblica 7 settembre 2010, n. 166, avvalendosi del supporto dell'Istat, adotta le linee guida per l'attuazione della disciplina di cui al presente articolo. In particolare, il Comstat stabilisce: a) i criteri per il riconoscimento degli enti di cui al comma 1, lettera a), avuto riguardo agli scopi istituzionali perseguiti, all'attivita' svolta e all'organizzazione interna in relazione all'attivita' di ricerca, nonche' alle misure adottate per garantire la sicurezza dei dati; b) i criteri di ammissibilita' dei progetti di ricerca avuto riguardo allo scopo della ricerca, alla necessita' di disporre dei dati richiesti, ai risultati e benefici attesi e ai metodi impiegati per la loro analisi e diffusione; c) le modalita' di organizzazione e funzionamento dei laboratori fisici e virtuali di cui al comma 2; d) i criteri per l'accreditamento dei gestori dei laboratori virtuali, avuto riguardo agli scopi istituzionali, all'adeguatezza della struttura organizzativa e alle misure adottate per la gestione e la sicurezza dei dati; e) le conseguenze di eventuali violazioni degli impegni assunti dall'ente di ricerca e dai singoli ricercatori. 4. Nei siti istituzionali del Sistan e di ciascun soggetto del Sistan sono pubblicati gli elenchi degli enti di ricerca riconosciuti e dei file di dati elementari resi disponibili. 5. Il presente articolo si applica anche ai dati relativi a persone giuridiche, enti od associazioni.»