Art. 44. Disposizioni in materia di tutela della riservatezza 1. All'elenco n. 1, paragrafo 2, allegato alla legge 24 dicembre 2007, n. 244, le parole: «Decreto legislativo 30 giugno 2003, n. 196, articolo 166» sono soppresse. (( 1-bis. I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005. )) 2. All'articolo 161, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole da: «tremila euro a diciottomila euro» fino alla fine del comma sono sostituite dalle seguenti: «da seimila euro a trentaseimila euro». 3. L'articolo 162 del decreto legislativo 30 giugno 2003, n. 196, e' cosi' modificato: a) al comma 1, le parole: «da cinquemila euro a trentamila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro»; b) al comma 2, le parole: «da cinquecento euro a tremila euro» sono sostituite dalle seguenti: «da mille euro a seimila euro»; c) dopo il comma 2, sono aggiunti, in fine, i seguenti: «2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 e' altresi' applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all'articolo 33 e' escluso il pagamento in misura ridotta. 2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), e' altresi' applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.». 4. All'articolo 162-bis, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «, che puo' essere aumentata» fino alla fine del comma sono soppresse. 5. All'articolo 163, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da diecimila euro a sessantamila euro» sono sostituite dalle seguenti: «da ventimila euro a centoventimila euro» e le parole: «e con la sanzione amministrativa accessoria» fino alla fine del comma sono soppresse. 6. All'articolo 164, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da quattromila euro a ventiquattromila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro». 7. Dopo l'articolo 164 del decreto legislativo 30 giugno 2003, n. 196, e' inserito il seguente: «Art. 164-bis (Casi di minore gravita' e ipotesi aggravate). - 1. Se taluna delle violazioni di cui agli articoli 161, 162, 163 e 164 e' di minore gravita', avuto altresi' riguardo alla natura anche economica o sociale dell'attivita' svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti. 2. In caso di piu' violazioni di un'unica o di piu' disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non e' ammesso il pagamento in misura ridotta. 3. In altri casi di maggiore gravita' e, in particolare, di maggiore rilevanza del pregiudizio per uno o piu' interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio. 4. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.». 8. All'articolo 165, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «161, 162 e 164» sono sostituite dalle seguenti: «del presente Capo» ed e' aggiunto, in fine, il seguente periodo: «La pubblicazione ha luogo a cura e spese del contravventore.». 9. L'articolo 169 del decreto legislativo 30 giugno 2003, n. 196, e' cosi' modificato: a) nel comma 1, sono soppresse le parole da: «o con l'ammenda da» fino alla fine del comma; b) nel comma 2, le parole: «quarto del massimo dell'ammenda stabilita per la contravvenzione» sono sostituite dalle seguenti: «quarto del massimo della sanzione stabilita per la violazione amministrativa». 10. All'articolo 62, comma 1, del decreto legislativo 6 settembre 2005, n. 206, le parole: «da euro cinquecentosedici a euro cinquemilacentosessantacinque» sono sostituite da: «da tremila euro a diciottomila euro». 11. Agli oneri derivanti dal comma 1, pari a euro 299.000 a decorrere dal 2009, si provvede mediante corrispondente riduzione dell'autorizzazione di spesa di cui al decreto legislativo 30 giugno 2003, n. 196, come determinata dalla tabella C della legge 22 dicembre 2008, n. 203, (legge finanziaria 2009), in favore del Garante per la protezione dei dati personali, a decorrere dall'esercizio 2009.
Riferimenti normativi: - Si riporta il testo degli articoli 13 e 23 del gia' citato decreto legislativo n. 196 del 2003: «Art. 13 (Informativa). - 1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalita' e le modalita' del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualita' di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'art. 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'art. 5 e del responsabile. Quando il titolare ha designato piu' responsabili e' indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalita' attraverso le quali e' conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando e' stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'art. 7, e' indicato tale responsabile. 2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e puo' non comprendere gli elementi gia' noti alla persona che fornisce i dati o la cui conoscenza puo' ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalita' di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati. 3. Il Garante puo' individuare con proprio provvedimento modalita' semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico. 4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, e' data al medesimo interessato all'atto della registrazione dei dati o, quando e' prevista la loro comunicazione, non oltre la prima comunicazione. 5. La disposizione di cui al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile.». «Art. 23 (Consenso). - 1. Il trattamento di dati personali da parte di privati o di enti pubblici economici e' ammesso solo con il consenso espresso dell'interessato. 2. Il consenso puo' riguardare l'intero trattamento ovvero una o piu' operazioni dello stesso. 3. Il consenso e' validamente prestato solo se e' espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se e' documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'art. 13. 4. Il consenso e' manifestato in forma scritta quando il trattamento riguarda dati sensibili.». - Si riporta il testo degli articoli 161,162,162-bis, 163, 164, 165 e 169 del succitato decreto legislativo n. 196 del 2003, cosi' come modificato dalla presente legge: «Art. 161 (Omessa o inidonea informativa all'interessato). - 1. La violazione delle disposizioni di cui all'art. 13 e' punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trantaseimila euro.». «Art. 162 (Altre fattispecie). - 1. La cessione dei dati in violazione di quanto previsto dall'art. 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali e' punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro. 2. La violazione della disposizione di cui all'art. 84, comma 1, e' punita con la sanzione amministrativa del pagamento di una somma da mille euro a seimila euro. 2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'art. 33 o delle disposizioni indicate nell'art. 167 e' altresi' applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all'art. 33 e' escluso il pagamento in misura ridotta. 2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'art. 154, comma 1, lettere c) e d), e' altresi' applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.». «Art. 162-bis (Sanzioni in materia di conservazione dei dati di traffico). - 1. Salvo che il fatto costituisca reato e salvo quanto previsto dall'art. 5, comma 2, del decreto legislativo di recepimento della direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo 2006, nel caso di violazione delle disposizioni di cui all'art. 132, commi 1 e 1-bis, si applica la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro.». «Art. 163 (Omessa o incompleta notificazione). - 1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, e' punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro.». «Art. 164 (Omessa informazione o esibizione al Garante). - 1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 e' punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro.». «Art. 165 (Pubblicazione del provvedimento del Garante). - 1. Nei casi di cui agli articoli del presente Capo puo' essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o piu' giornali indicati nel provvedimento che la applica. La pubblicazione ha luogo a cura e spese del contravventore.». «Art. 169 (Misure di sicurezza). - 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'art. 33 e' punito con l'arresto sino a due anni. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, e' impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessita' o per l'oggettiva difficolta' dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato e' ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.». - Si riporta il testo del comma 1 dell'art. 62 del decreto legislativo 6 settembre 2005, n. 206 (Codice del consumo, a norma dell'art. 7 della legge 29 luglio 2003, n. 229), cosi' come modificato dalla presente legge: «1. Salvo che il fatto costituisca reato il professionista che contravviene alle norme di cui al presente capo, ovvero non fornisce l'informazione al consumatore, ovvero ostacola l'esercizio del diritto di recesso ovvero fornisce informazione incompleta o errata o comunque non conforme sul diritto di recesso da parte del consumatore secondo le modalita' di cui agli articoli 64 e seguenti, ovvero non rimborsa al consumatore le somme da questi eventualmente pagate, nonche' nei casi in cui abbia presentato all'incasso o allo sconto gli effetti cambiari prima che sia trascorso il termine di cui all'art. 64, e' punito con la sanzione amministrativa pecuniaria da tremila euro a diciottomila euro.». - Il decreto legislativo 30 giugno 2003, n. 196 recante «Codice in materia di protezione dei dati personali», e' pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n. 174, supplemento ordinario. - La legge 22 dicembre 2008, n. 203 recante «Disposizioni per la formazione del bilancio annuale e pluriennale dello Stato-legge finanziaria 2009» e' pubblicata nella Gazzetta Ufficiale 30 dicembre 2008, n. 303, supplemento ordinario.