Art. 44.


        Disposizioni in materia di tutela della riservatezza


  1.  All'elenco  n.  1, paragrafo 2, allegato alla legge 24 dicembre
2007, n. 244, le parole: «Decreto legislativo 30 giugno 2003, n. 196,
articolo 166» sono soppresse.
  ((  1-bis.  I  dati personali presenti nelle banche dati costituite
sulla base di elenchi telefonici pubblici formati prima del 1° agosto
2005  sono  lecitamente utilizzabili per fini promozionali sino al 31
dicembre  2009,  anche  in deroga agli articoli 13 e 23 del codice in
materia   di  protezione  dei  dati  personali,  di  cui  al  decreto
legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento
che  hanno  provveduto  a  costituire  dette banche dati prima del 1°
agosto 2005. ))
  2.  All'articolo  161,  comma  1, del decreto legislativo 30 giugno
2003,  n.  196, le parole da: «tremila euro a diciottomila euro» fino
alla  fine del comma sono sostituite dalle seguenti: «da seimila euro
a trentaseimila euro».
  3.  L'articolo  162 del decreto legislativo 30 giugno 2003, n. 196,
e' cosi' modificato:
   a)  al  comma 1, le parole: «da cinquemila euro a trentamila euro»
sono  sostituite  dalle  seguenti:  «da diecimila euro a sessantamila
euro»;
   b)  al  comma  2,  le parole: «da cinquecento euro a tremila euro»
sono sostituite dalle seguenti: «da mille euro a seimila euro»;
   c) dopo il comma 2, sono aggiunti, in fine, i seguenti:
  «2-bis.  In  caso  di  trattamento  di dati personali effettuato in
violazione   delle   misure   indicate   nell'articolo   33  o  delle
disposizioni indicate nell'articolo 167 e' altresi' applicata in sede
amministrativa,  in ogni caso, la sanzione del pagamento di una somma
da ventimila euro a centoventimila euro. Nei casi di cui all'articolo
33 e' escluso il pagamento in misura ridotta.
  2-ter. In caso di inosservanza dei provvedimenti di prescrizione di
misure  necessarie o di divieto di cui, rispettivamente, all'articolo
154,  comma  1,  lettere  c)  e  d),  e'  altresi'  applicata in sede
amministrativa,  in ogni caso, la sanzione del pagamento di una somma
da trentamila euro a centottantamila euro.».
  4. All'articolo 162-bis, comma 1, del decreto legislativo 30 giugno
2003, n. 196, le parole: «, che puo' essere aumentata» fino alla fine
del comma sono soppresse.
  5.  All'articolo  163,  comma  1, del decreto legislativo 30 giugno
2003, n. 196, le parole: «da diecimila euro a sessantamila euro» sono
sostituite  dalle seguenti: «da ventimila euro a centoventimila euro»
e  le parole: «e con la sanzione amministrativa accessoria» fino alla
fine del comma sono soppresse.
  6.  All'articolo  164,  comma  1, del decreto legislativo 30 giugno
2003,  n.  196,  le  parole:  «da quattromila euro a ventiquattromila
euro»   sono   sostituite   dalle  seguenti:  «da  diecimila  euro  a
sessantamila euro».
  7.  Dopo  l'articolo 164 del decreto legislativo 30 giugno 2003, n.
196, e' inserito il seguente:
  «Art.  164-bis  (Casi di minore gravita' e ipotesi aggravate). - 1.
Se  taluna  delle violazioni di cui agli articoli 161, 162, 163 e 164
e'  di  minore  gravita',  avuto  altresi' riguardo alla natura anche
economica  o sociale dell'attivita' svolta, i limiti minimi e massimi
stabiliti  dai  medesimi articoli sono applicati in misura pari a due
quinti.
  2. In caso di piu' violazioni di un'unica o di piu' disposizioni di
cui  al  presente Capo, a eccezione di quelle previste dagli articoli
162,  comma  2,  162-bis  e  164,  commesse anche in tempi diversi in
relazione  a banche di dati di particolare rilevanza o dimensioni, si
applica  la  sanzione  amministrativa  del  pagamento di una somma da
cinquantamila  euro  a trecentomila euro. Non e' ammesso il pagamento
in misura ridotta.
  3.  In  altri  casi  di  maggiore  gravita'  e,  in particolare, di
maggiore rilevanza del pregiudizio per uno o piu' interessati, ovvero
quando  la violazione coinvolge numerosi interessati, i limiti minimo
e  massimo  delle  sanzioni di cui al presente Capo sono applicati in
misura pari al doppio.
  4.  Le  sanzioni  di  cui al presente Capo possono essere aumentate
fino  al  quadruplo  quando  possono  risultare inefficaci in ragione
delle condizioni economiche del contravventore.».
  8.  All'articolo  165,  comma  1, del decreto legislativo 30 giugno
2003,  n.  196,  le  parole:  «161,  162 e 164» sono sostituite dalle
seguenti:  «del  presente  Capo» ed e' aggiunto, in fine, il seguente
periodo:   «La   pubblicazione   ha   luogo   a   cura  e  spese  del
contravventore.».
  9.  L'articolo  169 del decreto legislativo 30 giugno 2003, n. 196,
e' cosi' modificato:
   a)  nel comma 1, sono soppresse le parole da: «o con l'ammenda da»
fino alla fine del comma;
   b)  nel  comma  2,  le  parole:  «quarto  del massimo dell'ammenda
stabilita  per  la  contravvenzione»  sono sostituite dalle seguenti:
«quarto  del  massimo  della  sanzione  stabilita  per  la violazione
amministrativa».
  10.  All'articolo  62, comma 1, del decreto legislativo 6 settembre
2005,   n.   206,  le  parole:  «da  euro  cinquecentosedici  a  euro
cinquemilacentosessantacinque» sono sostituite da: «da tremila euro a
diciottomila euro».
  11.  Agli  oneri  derivanti  dal  comma  1,  pari  a euro 299.000 a
decorrere  dal  2009,  si  provvede mediante corrispondente riduzione
dell'autorizzazione  di spesa di cui al decreto legislativo 30 giugno
2003,  n.  196,  come  determinata  dalla  tabella  C  della legge 22
dicembre  2008,  n.  203,  (legge  finanziaria  2009),  in favore del
Garante   per   la   protezione   dei  dati  personali,  a  decorrere
dall'esercizio 2009.
 
          Riferimenti normativi:
             -  Si  riporta  il testo degli articoli 13 e 23 del gia'
          citato decreto legislativo n. 196 del 2003:
             «Art.  13 (Informativa). - 1. L'interessato o la persona
          presso  la  quale  sono  raccolti  i  dati  personali  sono
          previamente informati oralmente o per iscritto circa:
             a)  le finalita' e le modalita' del trattamento cui sono
          destinati i dati;
             b) la natura obbligatoria o facoltativa del conferimento
          dei dati;
             c) le conseguenze di un eventuale rifiuto di rispondere;
             d) i soggetti o le categorie di soggetti ai quali i dati
          personali possono essere comunicati o che possono venirne a
          conoscenza  in  qualita'  di  responsabili  o incaricati, e
          l'ambito di diffusione dei dati medesimi;
             e) i diritti di cui all'art. 7;
             f)   gli  estremi  identificativi  del  titolare  e,  se
          designati, del rappresentante nel territorio dello Stato ai
          sensi dell'art. 5 e del responsabile. Quando il titolare ha
          designato piu' responsabili e' indicato almeno uno di essi,
          indicando   il  sito  della  rete  di  comunicazione  o  le
          modalita'  attraverso  le  quali  e'  conoscibile  in  modo
          agevole  l'elenco  aggiornato  dei  responsabili. Quando e'
          stato   designato   un   responsabile   per   il  riscontro
          all'interessato  in  caso  di  esercizio dei diritti di cui
          all'art. 7, e' indicato tale responsabile.
             2.  L'informativa  di  cui al comma 1 contiene anche gli
          elementi  previsti  da specifiche disposizioni del presente
          codice  e  puo' non comprendere gli elementi gia' noti alla
          persona  che  fornisce  i  dati  o  la  cui conoscenza puo'
          ostacolare  in  concreto  l'espletamento,  da  parte  di un
          soggetto  pubblico,  di  funzioni  ispettive o di controllo
          svolte  per  finalita'  di  difesa  o sicurezza dello Stato
          oppure di prevenzione, accertamento o repressione di reati.
             3. Il Garante puo' individuare con proprio provvedimento
          modalita'   semplificate   per   l'informativa  fornita  in
          particolare   da   servizi   telefonici   di  assistenza  e
          informazione al pubblico.
             4.   Se  i  dati  personali  non  sono  raccolti  presso
          l'interessato, l'informativa di cui al comma 1, comprensiva
          delle  categorie  di  dati  trattati,  e'  data al medesimo
          interessato all'atto della registrazione dei dati o, quando
          e'  prevista  la  loro  comunicazione,  non  oltre la prima
          comunicazione.
             5.  La  disposizione  di  cui  al comma 4 non si applica
          quando:
              a)  i dati sono trattati in base ad un obbligo previsto
          dalla   legge,   da   un   regolamento  o  dalla  normativa
          comunitaria;
              b) i dati sono trattati ai fini dello svolgimento delle
          investigazioni difensive di cui alla legge 7 dicembre 2000,
          n.  397, o, comunque, per far valere o difendere un diritto
          in  sede  giudiziaria,  sempre  che  i  dati siano trattati
          esclusivamente   per   tali  finalita'  e  per  il  periodo
          strettamente necessario al loro perseguimento;
              c) l'informativa all'interessato comporta un impiego di
          mezzi   che   il  Garante,  prescrivendo  eventuali  misure
          appropriate,    dichiari    manifestamente   sproporzionati
          rispetto  al diritto tutelato, ovvero si riveli, a giudizio
          del Garante, impossibile.».
             «Art.  23  (Consenso).  -  1.  Il  trattamento  di  dati
          personali  da parte di privati o di enti pubblici economici
          e' ammesso solo con il consenso espresso dell'interessato.
             2.  Il  consenso  puo'  riguardare  l'intero trattamento
          ovvero una o piu' operazioni dello stesso.
             3.  Il  consenso  e'  validamente  prestato  solo  se e'
          espresso  liberamente e specificamente in riferimento ad un
          trattamento  chiaramente individuato, se e' documentato per
          iscritto,   e   se   sono  state  rese  all'interessato  le
          informazioni di cui all'art. 13.
             4. Il consenso e' manifestato in forma scritta quando il
          trattamento riguarda dati sensibili.».
             -  Si  riporta  il testo degli articoli 161,162,162-bis,
          163,  164,  165  e 169 del succitato decreto legislativo n.
          196 del 2003, cosi' come modificato dalla presente legge:
             «Art.     161    (Omessa    o    inidonea    informativa
          all'interessato).  - 1. La violazione delle disposizioni di
          cui  all'art.  13  e' punita con la sanzione amministrativa
          del  pagamento di una somma da seimila euro a trantaseimila
          euro.».
             «Art. 162 (Altre fattispecie). - 1. La cessione dei dati
          in  violazione  di  quanto  previsto dall'art. 16, comma 1,
          lettera   b),   o  di  altre  disposizioni  in  materia  di
          disciplina del trattamento dei dati personali e' punita con
          la  sanzione  amministrativa  del pagamento di una somma da
          diecimila euro a sessantamila euro.
             2.  La violazione della disposizione di cui all'art. 84,
          comma  1,  e'  punita  con  la  sanzione amministrativa del
          pagamento di una somma da mille euro a seimila euro.
             2-bis.   In   caso  di  trattamento  di  dati  personali
          effettuato in violazione delle misure indicate nell'art. 33
          o  delle  disposizioni  indicate  nell'art. 167 e' altresi'
          applicata in sede amministrativa, in ogni caso, la sanzione
          del   pagamento   di   una   somma   da  ventimila  euro  a
          centoventimila euro. Nei casi di cui all'art. 33 e' escluso
          il pagamento in misura ridotta.
             2-ter.  In  caso  di  inosservanza  dei provvedimenti di
          prescrizione  di  misure  necessarie  o  di divieto di cui,
          rispettivamente, all'art. 154, comma 1, lettere c) e d), e'
          altresi' applicata in sede amministrativa, in ogni caso, la
          sanzione  del  pagamento  di una somma da trentamila euro a
          centottantamila euro.».
             «Art.  162-bis (Sanzioni in materia di conservazione dei
          dati  di  traffico).  -  1.  Salvo che il fatto costituisca
          reato  e  salvo  quanto  previsto dall'art. 5, comma 2, del
          decreto   legislativo   di   recepimento   della  direttiva
          2006/24/CE  del  Parlamento  europeo e del Consiglio del 15
          marzo  2006,  nel  caso di violazione delle disposizioni di
          cui  all'art.  132, commi 1 e 1-bis, si applica la sanzione
          amministrativa pecuniaria da 10.000 euro a 50.000 euro.».
             «Art.  163  (Omessa  o  incompleta  notificazione). - 1.
          Chiunque,  essendovi  tenuto,  non provvede tempestivamente
          alla  notificazione ai sensi degli articoli 37 e 38, ovvero
          indica  in  essa  notizie  incomplete,  e'  punito  con  la
          sanzione  amministrativa  del  pagamento  di  una  somma da
          ventimila euro a centoventimila euro.».
             «Art. 164 (Omessa informazione o esibizione al Garante).
          -  1.  Chiunque  omette  di  fornire  le  informazioni o di
          esibire  i  documenti  richiesti dal Garante ai sensi degli
          articoli  150,  comma  2,  e  157 e' punito con la sanzione
          amministrativa del pagamento di una somma da diecimila euro
          a sessantamila euro.».
             «Art. 165 (Pubblicazione del provvedimento del Garante).
          -  1.  Nei casi di cui agli articoli del presente Capo puo'
          essere  applicata  la  sanzione  amministrativa  accessoria
          della  pubblicazione dell'ordinanza-ingiunzione, per intero
          o  per  estratto,  in  uno  o  piu'  giornali  indicati nel
          provvedimento  che  la applica. La pubblicazione ha luogo a
          cura e spese del contravventore.».
             «Art.   169   (Misure  di  sicurezza).  -  1.  Chiunque,
          essendovi  tenuto,  omette  di  adottare  le  misure minime
          previste  dall'art.  33  e' punito con l'arresto sino a due
          anni.
             2.  All'autore  del reato, all'atto dell'accertamento o,
          nei  casi complessi, anche con successivo atto del Garante,
          e'  impartita  una  prescrizione fissando un termine per la
          regolarizzazione   non   eccedente   il  periodo  di  tempo
          tecnicamente necessario, prorogabile in caso di particolare
          complessita' o per l'oggettiva difficolta' dell'adempimento
          e  comunque  non  superiore a sei mesi. Nei sessanta giorni
          successivi   allo   scadere   del   termine,   se   risulta
          l'adempimento  alla  prescrizione,  l'autore  del  reato e'
          ammesso  dal  Garante a pagare una somma pari al quarto del
          massimo   della   sanzione   stabilita  per  la  violazione
          amministrativa.  L'adempimento e il pagamento estinguono il
          reato.   L'organo  che  impartisce  la  prescrizione  e  il
          pubblico ministero provvedono nei modi di cui agli articoli
          21,  22,  23 e 24 del decreto legislativo 19 dicembre 1994,
          n.    758,    e   successive   modificazioni,   in   quanto
          applicabili.».
             -  Si  riporta  il  testo  del  comma 1 dell'art. 62 del
          decreto  legislativo  6  settembre 2005, n. 206 (Codice del
          consumo, a norma dell'art. 7 della legge 29 luglio 2003, n.
          229), cosi' come modificato dalla presente legge:
             «1.   Salvo   che   il   fatto   costituisca   reato  il
          professionista  che  contravviene  alle  norme  di  cui  al
          presente   capo,  ovvero  non  fornisce  l'informazione  al
          consumatore,  ovvero  ostacola  l'esercizio  del diritto di
          recesso  ovvero fornisce informazione incompleta o errata o
          comunque  non  conforme sul diritto di recesso da parte del
          consumatore  secondo le modalita' di cui agli articoli 64 e
          seguenti,  ovvero  non  rimborsa al consumatore le somme da
          questi  eventualmente pagate, nonche' nei casi in cui abbia
          presentato  all'incasso  o allo sconto gli effetti cambiari
          prima  che  sia trascorso il termine di cui all'art. 64, e'
          punito con la sanzione amministrativa pecuniaria da tremila
          euro a diciottomila euro.».
             -  Il decreto legislativo 30 giugno 2003, n. 196 recante
          «Codice  in  materia  di protezione dei dati personali», e'
          pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n. 174,
          supplemento ordinario.
             -   La   legge   22   dicembre   2008,  n.  203  recante
          «Disposizioni  per  la  formazione  del  bilancio annuale e
          pluriennale   dello   Stato-legge   finanziaria   2009»  e'
          pubblicata  nella  Gazzetta  Ufficiale 30 dicembre 2008, n.
          303, supplemento ordinario.