Art. 44.
Disposizioni in materia di tutela della riservatezza
1. All'elenco n. 1, paragrafo 2, allegato alla legge 24 dicembre
2007, n. 244, le parole: «Decreto legislativo 30 giugno 2003, n. 196,
articolo 166» sono soppresse.
(( 1-bis. I dati personali presenti nelle banche dati costituite
sulla base di elenchi telefonici pubblici formati prima del 1° agosto
2005 sono lecitamente utilizzabili per fini promozionali sino al 31
dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in
materia di protezione dei dati personali, di cui al decreto
legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento
che hanno provveduto a costituire dette banche dati prima del 1°
agosto 2005. ))
2. All'articolo 161, comma 1, del decreto legislativo 30 giugno
2003, n. 196, le parole da: «tremila euro a diciottomila euro» fino
alla fine del comma sono sostituite dalle seguenti: «da seimila euro
a trentaseimila euro».
3. L'articolo 162 del decreto legislativo 30 giugno 2003, n. 196,
e' cosi' modificato:
a) al comma 1, le parole: «da cinquemila euro a trentamila euro»
sono sostituite dalle seguenti: «da diecimila euro a sessantamila
euro»;
b) al comma 2, le parole: «da cinquecento euro a tremila euro»
sono sostituite dalle seguenti: «da mille euro a seimila euro»;
c) dopo il comma 2, sono aggiunti, in fine, i seguenti:
«2-bis. In caso di trattamento di dati personali effettuato in
violazione delle misure indicate nell'articolo 33 o delle
disposizioni indicate nell'articolo 167 e' altresi' applicata in sede
amministrativa, in ogni caso, la sanzione del pagamento di una somma
da ventimila euro a centoventimila euro. Nei casi di cui all'articolo
33 e' escluso il pagamento in misura ridotta.
2-ter. In caso di inosservanza dei provvedimenti di prescrizione di
misure necessarie o di divieto di cui, rispettivamente, all'articolo
154, comma 1, lettere c) e d), e' altresi' applicata in sede
amministrativa, in ogni caso, la sanzione del pagamento di una somma
da trentamila euro a centottantamila euro.».
4. All'articolo 162-bis, comma 1, del decreto legislativo 30 giugno
2003, n. 196, le parole: «, che puo' essere aumentata» fino alla fine
del comma sono soppresse.
5. All'articolo 163, comma 1, del decreto legislativo 30 giugno
2003, n. 196, le parole: «da diecimila euro a sessantamila euro» sono
sostituite dalle seguenti: «da ventimila euro a centoventimila euro»
e le parole: «e con la sanzione amministrativa accessoria» fino alla
fine del comma sono soppresse.
6. All'articolo 164, comma 1, del decreto legislativo 30 giugno
2003, n. 196, le parole: «da quattromila euro a ventiquattromila
euro» sono sostituite dalle seguenti: «da diecimila euro a
sessantamila euro».
7. Dopo l'articolo 164 del decreto legislativo 30 giugno 2003, n.
196, e' inserito il seguente:
«Art. 164-bis (Casi di minore gravita' e ipotesi aggravate). - 1.
Se taluna delle violazioni di cui agli articoli 161, 162, 163 e 164
e' di minore gravita', avuto altresi' riguardo alla natura anche
economica o sociale dell'attivita' svolta, i limiti minimi e massimi
stabiliti dai medesimi articoli sono applicati in misura pari a due
quinti.
2. In caso di piu' violazioni di un'unica o di piu' disposizioni di
cui al presente Capo, a eccezione di quelle previste dagli articoli
162, comma 2, 162-bis e 164, commesse anche in tempi diversi in
relazione a banche di dati di particolare rilevanza o dimensioni, si
applica la sanzione amministrativa del pagamento di una somma da
cinquantamila euro a trecentomila euro. Non e' ammesso il pagamento
in misura ridotta.
3. In altri casi di maggiore gravita' e, in particolare, di
maggiore rilevanza del pregiudizio per uno o piu' interessati, ovvero
quando la violazione coinvolge numerosi interessati, i limiti minimo
e massimo delle sanzioni di cui al presente Capo sono applicati in
misura pari al doppio.
4. Le sanzioni di cui al presente Capo possono essere aumentate
fino al quadruplo quando possono risultare inefficaci in ragione
delle condizioni economiche del contravventore.».
8. All'articolo 165, comma 1, del decreto legislativo 30 giugno
2003, n. 196, le parole: «161, 162 e 164» sono sostituite dalle
seguenti: «del presente Capo» ed e' aggiunto, in fine, il seguente
periodo: «La pubblicazione ha luogo a cura e spese del
contravventore.».
9. L'articolo 169 del decreto legislativo 30 giugno 2003, n. 196,
e' cosi' modificato:
a) nel comma 1, sono soppresse le parole da: «o con l'ammenda da»
fino alla fine del comma;
b) nel comma 2, le parole: «quarto del massimo dell'ammenda
stabilita per la contravvenzione» sono sostituite dalle seguenti:
«quarto del massimo della sanzione stabilita per la violazione
amministrativa».
10. All'articolo 62, comma 1, del decreto legislativo 6 settembre
2005, n. 206, le parole: «da euro cinquecentosedici a euro
cinquemilacentosessantacinque» sono sostituite da: «da tremila euro a
diciottomila euro».
11. Agli oneri derivanti dal comma 1, pari a euro 299.000 a
decorrere dal 2009, si provvede mediante corrispondente riduzione
dell'autorizzazione di spesa di cui al decreto legislativo 30 giugno
2003, n. 196, come determinata dalla tabella C della legge 22
dicembre 2008, n. 203, (legge finanziaria 2009), in favore del
Garante per la protezione dei dati personali, a decorrere
dall'esercizio 2009.
Riferimenti normativi:
- Si riporta il testo degli articoli 13 e 23 del gia'
citato decreto legislativo n. 196 del 2003:
«Art. 13 (Informativa). - 1. L'interessato o la persona
presso la quale sono raccolti i dati personali sono
previamente informati oralmente o per iscritto circa:
a) le finalita' e le modalita' del trattamento cui sono
destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento
dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati
personali possono essere comunicati o che possono venirne a
conoscenza in qualita' di responsabili o incaricati, e
l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'art. 7;
f) gli estremi identificativi del titolare e, se
designati, del rappresentante nel territorio dello Stato ai
sensi dell'art. 5 e del responsabile. Quando il titolare ha
designato piu' responsabili e' indicato almeno uno di essi,
indicando il sito della rete di comunicazione o le
modalita' attraverso le quali e' conoscibile in modo
agevole l'elenco aggiornato dei responsabili. Quando e'
stato designato un responsabile per il riscontro
all'interessato in caso di esercizio dei diritti di cui
all'art. 7, e' indicato tale responsabile.
2. L'informativa di cui al comma 1 contiene anche gli
elementi previsti da specifiche disposizioni del presente
codice e puo' non comprendere gli elementi gia' noti alla
persona che fornisce i dati o la cui conoscenza puo'
ostacolare in concreto l'espletamento, da parte di un
soggetto pubblico, di funzioni ispettive o di controllo
svolte per finalita' di difesa o sicurezza dello Stato
oppure di prevenzione, accertamento o repressione di reati.
3. Il Garante puo' individuare con proprio provvedimento
modalita' semplificate per l'informativa fornita in
particolare da servizi telefonici di assistenza e
informazione al pubblico.
4. Se i dati personali non sono raccolti presso
l'interessato, l'informativa di cui al comma 1, comprensiva
delle categorie di dati trattati, e' data al medesimo
interessato all'atto della registrazione dei dati o, quando
e' prevista la loro comunicazione, non oltre la prima
comunicazione.
5. La disposizione di cui al comma 4 non si applica
quando:
a) i dati sono trattati in base ad un obbligo previsto
dalla legge, da un regolamento o dalla normativa
comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle
investigazioni difensive di cui alla legge 7 dicembre 2000,
n. 397, o, comunque, per far valere o difendere un diritto
in sede giudiziaria, sempre che i dati siano trattati
esclusivamente per tali finalita' e per il periodo
strettamente necessario al loro perseguimento;
c) l'informativa all'interessato comporta un impiego di
mezzi che il Garante, prescrivendo eventuali misure
appropriate, dichiari manifestamente sproporzionati
rispetto al diritto tutelato, ovvero si riveli, a giudizio
del Garante, impossibile.».
«Art. 23 (Consenso). - 1. Il trattamento di dati
personali da parte di privati o di enti pubblici economici
e' ammesso solo con il consenso espresso dell'interessato.
2. Il consenso puo' riguardare l'intero trattamento
ovvero una o piu' operazioni dello stesso.
3. Il consenso e' validamente prestato solo se e'
espresso liberamente e specificamente in riferimento ad un
trattamento chiaramente individuato, se e' documentato per
iscritto, e se sono state rese all'interessato le
informazioni di cui all'art. 13.
4. Il consenso e' manifestato in forma scritta quando il
trattamento riguarda dati sensibili.».
- Si riporta il testo degli articoli 161,162,162-bis,
163, 164, 165 e 169 del succitato decreto legislativo n.
196 del 2003, cosi' come modificato dalla presente legge:
«Art. 161 (Omessa o inidonea informativa
all'interessato). - 1. La violazione delle disposizioni di
cui all'art. 13 e' punita con la sanzione amministrativa
del pagamento di una somma da seimila euro a trantaseimila
euro.».
«Art. 162 (Altre fattispecie). - 1. La cessione dei dati
in violazione di quanto previsto dall'art. 16, comma 1,
lettera b), o di altre disposizioni in materia di
disciplina del trattamento dei dati personali e' punita con
la sanzione amministrativa del pagamento di una somma da
diecimila euro a sessantamila euro.
2. La violazione della disposizione di cui all'art. 84,
comma 1, e' punita con la sanzione amministrativa del
pagamento di una somma da mille euro a seimila euro.
2-bis. In caso di trattamento di dati personali
effettuato in violazione delle misure indicate nell'art. 33
o delle disposizioni indicate nell'art. 167 e' altresi'
applicata in sede amministrativa, in ogni caso, la sanzione
del pagamento di una somma da ventimila euro a
centoventimila euro. Nei casi di cui all'art. 33 e' escluso
il pagamento in misura ridotta.
2-ter. In caso di inosservanza dei provvedimenti di
prescrizione di misure necessarie o di divieto di cui,
rispettivamente, all'art. 154, comma 1, lettere c) e d), e'
altresi' applicata in sede amministrativa, in ogni caso, la
sanzione del pagamento di una somma da trentamila euro a
centottantamila euro.».
«Art. 162-bis (Sanzioni in materia di conservazione dei
dati di traffico). - 1. Salvo che il fatto costituisca
reato e salvo quanto previsto dall'art. 5, comma 2, del
decreto legislativo di recepimento della direttiva
2006/24/CE del Parlamento europeo e del Consiglio del 15
marzo 2006, nel caso di violazione delle disposizioni di
cui all'art. 132, commi 1 e 1-bis, si applica la sanzione
amministrativa pecuniaria da 10.000 euro a 50.000 euro.».
«Art. 163 (Omessa o incompleta notificazione). - 1.
Chiunque, essendovi tenuto, non provvede tempestivamente
alla notificazione ai sensi degli articoli 37 e 38, ovvero
indica in essa notizie incomplete, e' punito con la
sanzione amministrativa del pagamento di una somma da
ventimila euro a centoventimila euro.».
«Art. 164 (Omessa informazione o esibizione al Garante).
- 1. Chiunque omette di fornire le informazioni o di
esibire i documenti richiesti dal Garante ai sensi degli
articoli 150, comma 2, e 157 e' punito con la sanzione
amministrativa del pagamento di una somma da diecimila euro
a sessantamila euro.».
«Art. 165 (Pubblicazione del provvedimento del Garante).
- 1. Nei casi di cui agli articoli del presente Capo puo'
essere applicata la sanzione amministrativa accessoria
della pubblicazione dell'ordinanza-ingiunzione, per intero
o per estratto, in uno o piu' giornali indicati nel
provvedimento che la applica. La pubblicazione ha luogo a
cura e spese del contravventore.».
«Art. 169 (Misure di sicurezza). - 1. Chiunque,
essendovi tenuto, omette di adottare le misure minime
previste dall'art. 33 e' punito con l'arresto sino a due
anni.
2. All'autore del reato, all'atto dell'accertamento o,
nei casi complessi, anche con successivo atto del Garante,
e' impartita una prescrizione fissando un termine per la
regolarizzazione non eccedente il periodo di tempo
tecnicamente necessario, prorogabile in caso di particolare
complessita' o per l'oggettiva difficolta' dell'adempimento
e comunque non superiore a sei mesi. Nei sessanta giorni
successivi allo scadere del termine, se risulta
l'adempimento alla prescrizione, l'autore del reato e'
ammesso dal Garante a pagare una somma pari al quarto del
massimo della sanzione stabilita per la violazione
amministrativa. L'adempimento e il pagamento estinguono il
reato. L'organo che impartisce la prescrizione e il
pubblico ministero provvedono nei modi di cui agli articoli
21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994,
n. 758, e successive modificazioni, in quanto
applicabili.».
- Si riporta il testo del comma 1 dell'art. 62 del
decreto legislativo 6 settembre 2005, n. 206 (Codice del
consumo, a norma dell'art. 7 della legge 29 luglio 2003, n.
229), cosi' come modificato dalla presente legge:
«1. Salvo che il fatto costituisca reato il
professionista che contravviene alle norme di cui al
presente capo, ovvero non fornisce l'informazione al
consumatore, ovvero ostacola l'esercizio del diritto di
recesso ovvero fornisce informazione incompleta o errata o
comunque non conforme sul diritto di recesso da parte del
consumatore secondo le modalita' di cui agli articoli 64 e
seguenti, ovvero non rimborsa al consumatore le somme da
questi eventualmente pagate, nonche' nei casi in cui abbia
presentato all'incasso o allo sconto gli effetti cambiari
prima che sia trascorso il termine di cui all'art. 64, e'
punito con la sanzione amministrativa pecuniaria da tremila
euro a diciottomila euro.».
- Il decreto legislativo 30 giugno 2003, n. 196 recante
«Codice in materia di protezione dei dati personali», e'
pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n. 174,
supplemento ordinario.
- La legge 22 dicembre 2008, n. 203 recante
«Disposizioni per la formazione del bilancio annuale e
pluriennale dello Stato-legge finanziaria 2009» e'
pubblicata nella Gazzetta Ufficiale 30 dicembre 2008, n.
303, supplemento ordinario.