Art. 9
((Disposizioni in materia di protezione dei dati personali
1. Al codice in materia di protezione dei dati personali, di cui al
decreto legislativo 30 giugno 2003, n. 196, sono apportate le
seguenti modificazioni:
a) all'articolo 2-ter:
1) al comma 1, le parole: «esclusivamente» e: «, nei casi previsti
dalla legge,» sono soppresse e dopo le parole: «di regolamento» sono
aggiunte le seguenti: «o da atti amministrativi generali»;
2) dopo il comma 1 e' inserito il seguente:
«1-bis. Fermo restando ogni altro obbligo previsto dal Regolamento
e dal presente codice, il trattamento dei dati personali da parte di
un'amministrazione pubblica di cui all'articolo 1, comma 2, del
decreto legislativo 30 marzo 2001, n. 165, ivi comprese le autorita'
indipendenti e le amministrazioni inserite nell'elenco di cui
all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196,
nonche' da parte di una societa' a controllo pubblico statale o,
limitatamente ai gestori di servizi pubblici, locale, di cui
all'articolo 16 del testo unico in materia di societa' a
partecipazione pubblica, di cui al decreto legislativo 19 agosto
2016, n. 175, con esclusione, per le societa' a controllo pubblico,
dei trattamenti correlati ad attivita' svolte in regime di libero
mercato, e' anche consentito se necessario per l'adempimento di un
compito svolto nel pubblico interesse o per l'esercizio di pubblici
poteri ad esse attribuiti. In modo da assicurare che tale esercizio
non possa arrecare un pregiudizio effettivo e concreto alla tutela
dei diritti e delle liberta' degli interessati, le disposizioni di
cui al presente comma sono esercitate nel rispetto dell'articolo 6
del Regolamento»;
3) al comma 2, al primo periodo, dopo le parole: «ai sensi del
comma 1» sono aggiunte le seguenti: «o se necessaria ai sensi del
comma 1-bis» e il secondo periodo e' soppresso;
4) al comma 3, dopo le parole: «ai sensi del comma 1» sono aggiunte
le seguenti: «o se necessarie ai sensi del comma 1-bis. In tale
ultimo caso, ne viene data notizia al Garante almeno dieci giorni
prima dell'inizio della comunicazione o diffusione»;
b) all'articolo 2-sexies:
1) al comma 1, le parole: «, nei casi previsti dalla legge,»
sono soppresse e dopo le parole: «di regolamento» sono inserite le
seguenti: «o da atti amministrativi generali»;
2) dopo il comma 1 e' inserito il seguente:
«1-bis. I dati personali relativi alla salute, privi di elementi
identificativi diretti, sono trattati, nel rispetto delle finalita'
istituzionali di ciascuno, dal Ministero della salute, dall'Istituto
superiore di sanita', dall'Agenzia nazionale per i servizi sanitari
regionali, dall'Agenzia italiana del farmaco, dall'Istituto nazionale
per la promozione della salute delle popolazioni migranti e per il
contrasto delle malattie della poverta' e, relativamente ai propri
assistiti, dalle regioni anche mediante l'interconnessione a livello
nazionale dei sistemi informativi su base individuale del Servizio
sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico
(FSE), aventi finalita' compatibili con quelle sottese al
trattamento, con le modalita' e per le finalita' fissate con decreto
del Ministro della salute, ai sensi del comma 1, previo parere del
Garante, nel rispetto di quanto previsto dal Regolamento, dal
presente codice, dal codice dell'amministrazione digitale, di cui al
decreto legislativo 7 marzo 2005, n. 82, e dalle linee guida
dell'Agenzia per l'Italia digitale in materia di interoperabilita' »;
c) l'articolo 2-quinquiesdecies e' abrogato;
d) all'articolo 58:
1) al comma 1, dopo le parole: «o regolamento» sono inserite le
seguenti: «o previste da atti amministrativi generali»;
2) al comma 2, le parole: «ad espresse» sono sostituite dalla
seguente: «a» e dopo le parole: «di legge» sono inserite le seguenti:
«o di regolamento o previste da atti amministrativi generali,»;
e) all'articolo 132, comma 5, le parole: «secondo le modalita' di
cui all'articolo 2-quinquiesdecies» sono sostituite dalle seguenti:
«con provvedimento di carattere generale»;
f) all'articolo 137, comma 2, lettera a), le parole: «e ai
provvedimenti generali di cui all'articolo 2-quinquiesdecies» sono
soppresse;
g) dopo l'articolo 144 e' inserito il seguente:
«Art. 144-bis (Revenge porn). - 1. Chiunque, compresi i minori
ultraquattordicenni, abbia fondato motivo di ritenere che
registrazioni audio, immagini o video o altri documenti informatici a
contenuto sessualmente esplicito che lo riguardano, destinati a
rimanere privati, possano essere oggetto di invio, consegna,
cessione, pubblicazione o diffusione attraverso piattaforme digitali
senza il suo consenso ha facolta' di segnalare il pericolo al
Garante, il quale, nelle quarantotto ore dal ricevimento della
segnalazione, decide ai sensi degli articoli 143 e 144 del presente
codice.
2. Quando le registrazioni audio, le immagini o i video o gli altri
documenti informatici riguardano minori, la segnalazione al Garante
puo' essere effettuata anche dai genitori o dagli esercenti la
responsabilita' genitoriale o la tutela.
3. Per le finalita' di cui al comma 1, l'invio al Garante di
registrazioni audio, immagini o video o altri documenti informatici a
contenuto sessualmente esplicito riguardanti soggetti terzi,
effettuato dall'interessato, non integra il reato di cui all'articolo
612-ter del codice penale.
4. I gestori delle piattaforme digitali destinatari dei
provvedimenti di cui al comma 1 conservano il materiale oggetto della
segnalazione, a soli fini probatori e con misure indicate dal
Garante, anche nell'ambito dei medesimi provvedimenti, idonee a
impedire la diretta identificabilita' degli interessati, per dodici
mesi a decorrere dal ricevimento del provvedimento stesso.
5. Il Garante, con proprio provvedimento, puo' disciplinare
specifiche modalita' di svolgimento dei procedimenti di cui al comma
1 e le misure per impedire la diretta identificabilita' degli
interessati di cui al medesimo comma.
6. I fornitori di servizi di condivisione di contenuti audiovisivi,
ovunque stabiliti, che erogano servizi accessibili in Italia,
indicano senza ritardo al Garante o pubblicano nel proprio sito
internet un recapito al quale possono essere comunicati i
provvedimenti adottati ai sensi del comma 1. In caso di inadempimento
dell'obbligo di cui al periodo precedente, il Garante diffida il
fornitore del servizio ad adempiere entro trenta giorni. In caso di
inottemperanza alla diffida si applica la sanzione amministrativa
pecuniaria di cui all'articolo 83, paragrafo 4, del Regolamento.
7. Quando il Garante, a seguito della segnalazione di cui al comma
1, acquisisce notizia della consumazione del reato di cui
all'articolo 612-ter del codice penale, anche in forma tentata, nel
caso di procedibilita' d'ufficio trasmette al pubblico ministero la
segnalazione ricevuta e la documentazione acquisita»;
h) all'articolo 153, comma 6, al primo periodo, dopo le parole: «Al
presidente» sono inserite le seguenti: «e ai componenti» e il secondo
periodo e' sostituito dal seguente: «L'indennita' di funzione di cui
al primo periodo e' da ritenere onnicomprensiva ad esclusione del
rimborso delle spese effettivamente sostenute e documentate in
occasione di attivita' istituzionali»;
i) all'articolo 154, dopo il comma 5 sono inseriti i seguenti:
«5-bis. Il parere di cui all'articolo 36, paragrafo 4, del
Regolamento e' reso dal Garante nei soli casi in cui la legge o il
regolamento in corso di adozione disciplina espressamente le
modalita' del trattamento descrivendo una o piu' operazioni, compiute
con o senza l'ausilio di processi automatizzati e applicate a dati
personali o insiemi di dati personali, come la raccolta, la
registrazione, l'organizzazione, la strutturazione, la conservazione,
l'adattamento o la modifica, l'estrazione, la consultazione, l'uso,
la comunicazione mediante trasmissione, diffusione o qualsiasi altra
forma di messa a disposizione, il raffronto o l'interconnessione, la
limitazione, la cancellazione o la distruzione, nonche' nei casi in
cui la norma di legge o di regolamento autorizza espressamente un
trattamento di dati personali da parte di soggetti privati senza
rinviare la disciplina delle modalita' del trattamento a fonti
sottoordinate.
5-ter. Quando il Presidente del Consiglio dei ministri dichiara che
ragioni di urgenza non consentono la consultazione preventiva e
comunque nei casi di adozione di decreti-legge, il Garante esprime il
parere di cui al comma 5-bis:
a) in sede di esame parlamentare dei disegni di legge o dei disegni
di legge di conversione dei decreti-legge;
b) in sede di esame definitivo degli schemi di decreto legislativo
sottoposti al parere delle Commissioni parlamentari»;
l) all'articolo 156:
1) al comma 2, il primo periodo e' sostituito dal seguente: «A
decorrere dal 1° gennaio 2022, il ruolo organico del personale
dipendente e' stabilito nel limite di duecento unita'»;
2) al comma 3, lettera d), le parole: «l'80 per cento del
trattamento» sono sostituite dalle seguenti: «il trattamento»;
3) al comma 4, le parole: «venti unita'» sono sostituite dalle
seguenti: «trenta unita'»;
4) al comma 5, le parole: «venti unita'» sono sostituite dalle
seguenti: «trenta unita'»;
m) all'articolo 166:
1) al comma 1, primo periodo, la parola: «2-quinquiesdecies» e'
soppressa;
2) al comma 5 sono aggiunti, in fine, i seguenti periodi: «Nei
confronti dei titolari del trattamento di cui agli articoli 2-ter,
comma 1-bis, e 58 del presente codice e all'articolo 1, comma 1, del
decreto legislativo 18 maggio 2018, n. 51, la predetta notifica puo'
essere omessa esclusivamente nel caso in cui il Garante abbia
accertato che le presunte violazioni hanno gia' arrecato e continuano
ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio
ai soggetti interessati al trattamento, che il Garante ha l'obbligo
di individuare e indicare nel provvedimento, motivando puntualmente
le ragioni dell'omessa notifica. In assenza di tali presupposti, il
giudice competente accerta l'inefficacia del provvedimento»;
3) al comma 7, primo periodo, sono aggiunte, in fine, le seguenti
parole: «o dell'ingiunzione a realizzare campagne di comunicazione
istituzionale volte alla promozione della consapevolezza del diritto
alla protezione dei dati personali, sulla base di progetti
previamente approvati dal Garante e che tengano conto della gravita'
della violazione. Nella determinazione della sanzione ai sensi
dell'articolo 83, paragrafo 2, del Regolamento, il Garante tiene
conto anche di eventuali campagne di comunicazione istituzionale
volte alla promozione della consapevolezza del diritto alla
protezione dei dati personali, realizzate dal trasgressore
anteriormente alla commissione della violazione»;
n) all'articolo 167, comma 2, le parole: «ovvero operando in
violazione delle misure adottate ai sensi dell'articolo
2-quinquiesdecies» sono soppresse;
o) all'articolo 170, comma 1, le parole: «essendovi tenuto, non
osserva» sono sostituite dalle seguenti: «non osservando», dopo le
parole: «legge 25 ottobre 2017, n. 163» sono inserite le seguenti: «,
arreca un concreto nocumento a uno o piu' soggetti interessati al
trattamento» e dopo le parole: «e' punito» sono inserite le seguenti:
«, a querela della persona offesa,».
2. All'articolo 22 del decreto legislativo 10 agosto 2018, n. 101,
il comma 3 e' abrogato.
3. Al decreto legislativo 18 maggio 2018, n. 51, sono apportate le
seguenti modificazioni:
a) all'articolo 5:
1) al comma 1, le parole: «, nei casi previsti dalla legge,» sono
soppresse e dopo le parole: «di regolamento» sono inserite le
seguenti: «o su atti amministrativi generali»;
2) al comma 2, le parole: «del Presidente della Repubblica,
adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto
1988, n. 400» sono sostituite dalle seguenti: «, rispettivamente, del
Ministro della giustizia e del Ministro dell'interno»;
b) all'articolo 45, comma 1, le parole: «essendovi tenuto, non
osserva» sono sostituite dalle seguenti: non osservando», dopo le
parole: «articolo 1, comma 2,» sono inserite le seguenti: «arreca un
concreto nocumento a uno o piu' interessati» e dopo le parole: «e'
punito» sono inserite le seguenti: «, a querela della persona
offesa,».
4. All'articolo 7 del decreto-legge 19 maggio 2020, n. 34,
convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77,
sono apportate le seguenti modificazioni:
a) dopo il comma 1 e' inserito il seguente:
«1-bis. Con le modalita' e nei limiti stabiliti dal decreto di cui
al comma 2 e fatto salvo quanto previsto dall'articolo 105 del codice
di cui al decreto legislativo n. 196 del 2003, il Ministero della
salute e' autorizzato a trattare anche i dati personali non relativi
alla salute necessari a garantire l'effettivo perseguimento delle
finalita' di cui al comma 1 e l'attuazione del corrispondente
intervento di cui alla missione M6 del Piano nazionale di ripresa e
resilienza approvato con la decisione di esecuzione del Consiglio
dell'Unione europea del 13 luglio 2021. Ai fini di cui al primo
periodo, e' autorizzata l'interconnessione dei sistemi informativi su
base individuale del Servizio sanitario nazionale, ivi incluso il
Fascicolo sanitario elettronico (FSE), con i sistemi informativi
gestiti da altre amministrazioni pubbliche che raccolgono i dati non
relativi alla salute specificamente individuati dal decreto di cui al
comma 2, con modalita' tali da garantire che l'interessato non sia
direttamente identificabile»;
b) al comma 2, le parole: «Con regolamento adottato con decreto del
Ministro della salute» sono sostituite dalle seguenti: «Con decreto
del Ministro della salute, di natura non regolamentare,»;
c) dopo il comma 2 e' aggiunto il seguente:
«2-bis. Nelle more dell'adozione del decreto di cui al comma 2, il
Ministero della salute avvia le attivita' relative alla
classificazione delle patologie croniche presenti nella popolazione
italiana, limitatamente alla costruzione di modelli analitici
prodromici alla realizzazione del modello predittivo del fabbisogno
di salute della popolazione, garantendo che gli interessati non siano
direttamente identificabili».
5. Gli articoli 2-ter, comma 1, 2-sexies, comma 1, e 58, commi 1 e
2, del codice di cui al decreto legislativo n. 196 del 2003 e
l'articolo 5 del decreto legislativo n. 51 del 2018, come modificati
dal presente articolo, si applicano anche ai casi in cui disposizioni
di legge gia' in vigore stabiliscono che i tipi di dati che possono
essere trattati, le operazioni eseguibili, il motivo di interesse
pubblico rilevante, la finalita' del trattamento nonche' le misure
appropriate e specifiche per tutelare i diritti fondamentali
dell'interessato e i suoi interessi sono previsti da uno o piu'
regolamenti.
6. In fase di prima attuazione, l'obbligo di indicazione o di
pubblicazione del recapito previsto dall'articolo 144-bis, comma 6,
del codice di cui al decreto legislativo n. 196 del 2003, introdotto
dalla lettera g) del comma 1 del presente articolo, e' adempiuto nel
termine di sei mesi dalla data di entrata in vigore della legge di
conversione del presente decreto.
7. I pareri del Garante per la protezione dei dati personali
richiesti con riguardo a riforme, misure e progetti del Piano
nazionale di ripresa e resilienza di cui al regolamento (UE) 2021/241
del Parlamento europeo e del Consiglio, del 12 febbraio 2021, del
Piano nazionale per gli investimenti complementari di cui al
decreto-legge 6 maggio 2021, n. 59, convertito, con modificazioni,
dalla legge 1° luglio 2021, n. 101, nonche' del Piano nazionale
integrato per l'energia e il clima 2030 di cui al regolamento (UE)
2018/1999 del Parlamento europeo e del Consiglio, dell'11 dicembre
2018, sono resi nel termine non prorogabile di trenta giorni dalla
richiesta, decorso il quale si puo' procedere indipendentemente
dall'acquisizione del parere.
8. Alla legge 11 gennaio 2018, n. 5, sono apportate le seguenti
modificazioni:
a) all'articolo 1, comma 2, dopo le parole: «mediante operatore con
l'impiego del telefono» sono inserite le seguenti: «nonche', ai fini
della revoca di cui al comma 5, anche mediante sistemi automatizzati
di chiamata o chiamate senza l'intervento di un operatore,»;
b) all'articolo 1, comma 5, le parole: «mediante operatore con
l'impiego del telefono» sono soppresse;
c) all'articolo 1, comma 12, dopo le parole: «o che compiono
ricerche di mercato o comunicazioni commerciali telefoniche» sono
inserite le seguenti: «con o senza l'intervento di un operatore
umano»;
d) all'articolo 2, comma 1, primo periodo, dopo le parole:
«attivita' di call center» sono inserite le seguenti: «, per chiamate
con o senza operatore,».
9. In considerazione di quanto disposto dal regolamento (UE)
2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016,
nonche' dalla direttiva (UE) 2016/680 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, e dell'esigenza di disciplinare
conformemente i requisiti di ammissibilita', le condizioni e le
garanzie relativi all'impiego di sistemi di riconoscimento facciale,
nel rispetto del principio di proporzionalita' previsto dall'articolo
52 della Carta dei diritti fondamentali dell'Unione europea,
l'installazione e l'utilizzazione di impianti di videosorveglianza
con sistemi di riconoscimento facciale operanti attraverso l'uso dei
dati biometrici di cui all'articolo 4, numero 14), del citato
regolamento (UE) 2016/679 in luoghi pubblici o aperti al pubblico, da
parte delle autorita' pubbliche o di soggetti privati, sono sospese
fino all'entrata in vigore di una disciplina legislativa della
materia e comunque non oltre il 31 dicembre 2023.
10. La sospensione di cui al comma 9 non si applica agli impianti
di videosorveglianza che non usano i sistemi di riconoscimento
facciale di cui al medesimo comma 9 e che sono conformi alla
normativa vigente.
11. In caso di installazione o di utilizzazione dei sistemi di cui
al comma 9, dalla data di entrata in vigore della legge di
conversione del presente decreto e fino al 31 dicembre 2023, salvo
che il fatto costituisca reato, si applicano le sanzioni
amministrative pecuniarie stabilite dall'articolo 166, comma 1, del
codice di cui al decreto legislativo 30 giugno 2003, n. 196 e
dall'articolo 42, comma 1, del decreto legislativo 18 maggio 2018, n.
51, in base al rispettivo ambito di applicazione.
12. I commi 9, 10 e 11 non si applicano ai trattamenti effettuati
dalle autorita' competenti a fini di prevenzione e repressione dei
reati o di esecuzione di sanzioni penali di cui al decreto
legislativo 18 maggio 2018, n. 51, in presenza, salvo che si tratti
di trattamenti effettuati dall'autorita' giudiziaria nell'esercizio
delle funzioni giurisdizionali nonche' di quelle giudiziarie del
pubblico ministero, di parere favorevole del Garante reso ai sensi
dell'articolo 24, comma 1, lettera b), del medesimo decreto
legislativo n. 51 del 2018.
13. Per l'attuazione delle disposizioni di cui al comma 1, lettere
h) e l), e' autorizzata la spesa di euro 8.357.714 per l'anno 2022,
euro 11.140.661 per l'anno 2023, euro 11.458.255 per l'anno 2024,
euro 11.785.121 per l'anno 2025, euro 12.121.527 per l'anno 2026,
euro 12.467.754 per l'anno 2027, euro 12.824.086 per l'anno 2028,
euro 13.190.820 per l'anno 2029, euro 13.568.259 per l'anno 2030 ed
euro 13.956.716 a decorrere dall'anno 2031, cui si provvede mediante
corrispondente riduzione del Fondo di cui all'articolo 1, comma 200,
della legge 23 dicembre 2014, n. 190.
14. Con decreto del Presidente del Consiglio dei ministri, da
adottare entro centottanta giorni dalla data di entrata in vigore
della legge di conversione del presente decreto, sono definiti
meccanismi regolatori di armonizzazione della disciplina del
trattamento economico nell'ambito delle autorita' amministrative
indipendenti incluse nell'elenco delle amministrazioni pubbliche
inserite nel conto economico consolidato della pubblica
amministrazione, individuate annualmente dall'ISTAT ai sensi
dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196.))
Riferimenti normativi
- Si riporta il testo dell'articolo 2-ter del decreto
legislativo 30 giugno 2003, n. 196 recante: "Codice in
materia di protezione dei dati personali, recante
disposizioni per l'adeguamento dell'ordinamento nazionale
al regolamento (UE) n. 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE", pubblicato nella
Gazzetta Ufficiale 29 luglio 2003, n. 174, S.O. n. 123,
come modificato dalla presente legge:
«Art. 2-ter (Base giuridica per il trattamento di
dati personali effettuato per l'esecuzione di un compito di
interesse pubblico o connesso all'esercizio di pubblici
poteri). - 1. La base giuridica prevista dall'articolo 6,
paragrafo 3, lettera b), del regolamento e' costituita da
una norma di legge o di regolamento o da atti
amministrativi generali.
1-bis. Fermo restando ogni altro obbligo previsto dal
Regolamento e dal presente codice, il trattamento dei dati
personali da parte di un'amministrazione pubblica di cui
all'articolo 1, comma 2, del decreto legislativo 30 marzo
2001, n. 165, ivi comprese le autorita' indipendenti e le
amministrazioni inserite nell'elenco di cui all'articolo 1,
comma 3, della legge 31 dicembre 2009, n. 196, nonche' da
parte di una societa' a controllo pubblico statale o,
limitatamente ai gestori di servizi pubblici, locale, di
cui all'articolo 16 del testo unico in materia di societa'
a partecipazione pubblica, di cui al decreto legislativo 19
agosto 2016, n. 175, con esclusione, per le societa' a
controllo pubblico, dei trattamenti correlati ad attivita'
svolte in regime di libero mercato, e' anche consentito se
necessario per l'adempimento di un compito svolto nel
pubblico interesse o per l'esercizio di pubblici poteri ad
esse attribuiti. In modo da assicurare che tale esercizio
non possa arrecare un pregiudizio effettivo e concreto alla
tutela dei diritti e delle liberta' degli interessati, le
disposizioni di cui al presente comma sono esercitate nel
rispetto dell'articolo 6 del Regolamento;
2. La comunicazione fra titolari che effettuano
trattamenti di dati personali, diversi da quelli ricompresi
nelle particolari categorie di cui all'articolo 9 del
Regolamento e di quelli relativi a condanne penali e reati
di cui all'articolo 10 del Regolamento, per l'esecuzione di
un compito di interesse pubblico o connesso all'esercizio
di pubblici poteri e' ammessa se prevista ai sensi del
comma 1 o se necessaria ai sensi del comma 1-bis.
3. La diffusione e la comunicazione di dati
personali, trattati per l'esecuzione di un compito di
interesse pubblico o connesso all'esercizio di pubblici
poteri, a soggetti che intendono trattarli per altre
finalita' sono ammesse unicamente se previste ai sensi del
comma 1 o se necessarie ai sensi del comma 1-bis. In tale
ultimo caso, ne viene data notizia al Garante almeno dieci
giorni prima dell'inizio della comunicazione o diffusione.
4. Si intende per:
a) "comunicazione", il dare conoscenza dei dati
personali a uno o piu' soggetti determinati diversi
dall'interessato, dal rappresentante del titolare nel
territorio dell'Unione europea, dal responsabile o dal suo
rappresentante nel territorio dell'Unione europea, dalle
persone autorizzate, ai sensi dell'articolo 2-quaterdecies,
al trattamento dei dati personali sotto l'autorita' diretta
del titolare o del responsabile, in qualunque forma, anche
mediante la loro messa a disposizione, consultazione o
mediante interconnessione;
b) "diffusione", il dare conoscenza dei dati
personali a soggetti indeterminati, in qualunque forma,
anche mediante la loro messa a disposizione o
consultazione.».
- Si riporta il testo dell'articolo 2-sexies del citato
decreto legislativo 30 giugno 2003, n. 196, come modificato
dalla presente legge:
«Art. 2-sexies (Trattamento di categorie particolari
di dati personali necessario per motivi di interesse
pubblico rilevante). - 1. I trattamenti delle categorie
particolari di dati personali di cui all'articolo 9,
paragrafo 1, del Regolamento, necessari per motivi di
interesse pubblico rilevante ai sensi del paragrafo 2,
lettera g), del medesimo articolo, sono ammessi qualora
siano previsti dal diritto dell'Unione europea ovvero,
nell'ordinamento interno, da disposizioni di legge o di
regolamento o da atti amministrativi generali che
specifichino i tipi di dati che possono essere trattati, le
operazioni eseguibili e il motivo di interesse pubblico
rilevante, nonche' le misure appropriate e specifiche per
tutelare i diritti fondamentali e gli interessi
dell'interessato.
1-bis. I dati personali relativi alla salute, privi
di elementi identificativi diretti, sono trattati, nel
rispetto delle finalita' istituzionali di ciascuno, dal
Ministero della salute, dall'Istituto superiore di sanita',
dall'Agenzia nazionale per i servizi sanitari regionali,
dall'Agenzia italiana del farmaco, dall'Istituto nazionale
per la promozione della salute delle popolazioni migranti e
per il contrasto delle malattie della poverta' e,
relativamente ai propri assistiti, dalle regioni anche
mediante l'interconnessione a livello nazionale dei sistemi
informativi su base individuale del Servizio sanitario
nazionale, ivi incluso il Fascicolo sanitario elettronico
(FSE), aventi finalita' compatibili con quelle sottese al
trattamento, con le modalita' e per le finalita' fissate
con decreto del Ministro della salute, ai sensi del comma
1, previo parere del Garante, nel rispetto di quanto
previsto dal Regolamento, dal presente codice, dal codice
dell'amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82, e dalle linee guida
dell'Agenzia per l'Italia digitale in materia di
interoperabilita'.
2. Fermo quanto previsto dal comma 1, si considera
rilevante l'interesse pubblico relativo a trattamenti
effettuati da soggetti che svolgono compiti di interesse
pubblico o connessi all'esercizio di pubblici poteri nelle
seguenti materie:
a) accesso a documenti amministrativi e accesso
civico;
b) tenuta degli atti e dei registri dello stato
civile, delle anagrafi della popolazione residente in
Italia e dei cittadini italiani residenti all'estero, e
delle liste elettorali, nonche' rilascio di documenti di
riconoscimento o di viaggio o cambiamento delle
generalita';
c) tenuta di registri pubblici relativi a beni
immobili o mobili;
d) tenuta dell'anagrafe nazionale degli abilitati
alla guida e dell'archivio nazionale dei veicoli;
e) cittadinanza, immigrazione, asilo, condizione
dello straniero e del profugo, stato di rifugiato;
f) elettorato attivo e passivo ed esercizio di
altri diritti politici, protezione diplomatica e consolare,
nonche' documentazione delle attivita' istituzionali di
organi pubblici, con particolare riguardo alla redazione di
verbali e resoconti dell'attivita' di assemblee
rappresentative, commissioni e di altri organi collegiali o
assembleari;
g) esercizio del mandato degli organi
rappresentativi, ivi compresa la loro sospensione o il loro
scioglimento, nonche' l'accertamento delle cause di
ineleggibilita', incompatibilita' o di decadenza, ovvero di
rimozione o sospensione da cariche pubbliche;
h) svolgimento delle funzioni di controllo,
indirizzo politico, inchiesta parlamentare o sindacato
ispettivo e l'accesso a documenti riconosciuto dalla legge
e dai regolamenti degli organi interessati per esclusive
finalita' direttamente connesse all'espletamento di un
mandato elettivo;
i) attivita' dei soggetti pubblici dirette
all'applicazione, anche tramite i loro concessionari, delle
disposizioni in materia tributaria e doganale, comprese
quelle di prevenzione e contrasto all'evasione fiscale;
l) attivita' di controllo e ispettive;
m) concessione, liquidazione, modifica e revoca di
benefici economici, agevolazioni, elargizioni, altri
emolumenti e abilitazioni;
n) conferimento di onorificenze e ricompense,
riconoscimento della personalita' giuridica di
associazioni, fondazioni ed enti, anche di culto,
accertamento dei requisiti di onorabilita' e di
professionalita' per le nomine, per i profili di competenza
del soggetto pubblico, ad uffici anche di culto e a cariche
direttive di persone giuridiche, imprese e di istituzioni
scolastiche non statali, nonche' rilascio e revoca di
autorizzazioni o abilitazioni, concessione di patrocini,
patronati e premi di rappresentanza, adesione a comitati
d'onore e ammissione a cerimonie ed incontri istituzionali;
o) rapporti tra i soggetti pubblici e gli enti del
terzo settore;
p) obiezione di coscienza;
q) attivita' sanzionatorie e di tutela in sede
amministrativa o giudiziaria;
r) rapporti istituzionali con enti di culto,
confessioni religiose e comunita' religiose;
s) attivita' socio-assistenziali a tutela dei
minori e soggetti bisognosi, non autosufficienti e
incapaci;
t) attivita' amministrative e certificatorie
correlate a quelle di diagnosi, assistenza o terapia
sanitaria o sociale, ivi incluse quelle correlate ai
trapianti d'organo e di tessuti nonche' alle trasfusioni di
sangue umano;
u) compiti del servizio sanitario nazionale e dei
soggetti operanti in ambito sanitario, nonche' compiti di
igiene e sicurezza sui luoghi di lavoro e sicurezza e
salute della popolazione, protezione civile, salvaguardia
della vita e incolumita' fisica;
v) programmazione, gestione, controllo e
valutazione dell'assistenza sanitaria, ivi incluse
l'instaurazione, la gestione, la pianificazione e il
controllo dei rapporti tra l'amministrazione ed i soggetti
accreditati o convenzionati con il servizio sanitario
nazionale;
z) vigilanza sulle sperimentazioni,
farmacovigilanza, autorizzazione all'immissione in
commercio e all'importazione di medicinali e di altri
prodotti di rilevanza sanitaria;
aa) tutela sociale della maternita' ed interruzione
volontaria della gravidanza, dipendenze, assistenza,
integrazione sociale e diritti dei disabili;
bb) istruzione e formazione in ambito scolastico,
professionale, superiore o universitario;
cc) trattamenti effettuati a fini di archiviazione
nel pubblico interesse o di ricerca storica, concernenti la
conservazione, l'ordinamento e la comunicazione dei
documenti detenuti negli archivi di Stato negli archivi
storici degli enti pubblici, o in archivi privati
dichiarati di interesse storico particolarmente importante,
per fini di ricerca scientifica, nonche' per fini
statistici da parte di soggetti che fanno parte del sistema
statistico nazionale (Sistan);
dd) instaurazione, gestione ed estinzione, di
rapporti di lavoro di qualunque tipo, anche non retribuito
o onorario, e di altre forme di impiego, materia sindacale,
occupazione e collocamento obbligatorio, previdenza e
assistenza, tutela delle minoranze e pari opportunita'
nell'ambito dei rapporti di lavoro, adempimento degli
obblighi retributivi, fiscali e contabili, igiene e
sicurezza del lavoro o di sicurezza o salute della
popolazione, accertamento della responsabilita' civile,
disciplinare e contabile, attivita' ispettiva.
3. Per i dati genetici, biometrici e relativi alla
salute il trattamento avviene comunque nel rispetto di
quanto previsto dall'articolo 2-septies.».
- Si riporta il testo dell'articolo 58 del citato
decreto legislativo 30 giugno 2003, n. 196, come modificato
dalla presente legge:
«Art. 58. (Trattamenti di dati personali per fini di
sicurezza nazionale o difesa). - 1. Ai trattamenti di dati
personali effettuati dagli organismi di cui agli articoli
4, 6 e 7 della legge 3 agosto 2007, n. 124, sulla base
dell'articolo 26 della predetta legge o di altre
disposizioni di legge o regolamento o previste da atti
amministrativi generali, ovvero relativi a dati coperti da
segreto di Stato ai sensi degli articoli 39 e seguenti
della medesima legge, si applicano le disposizioni di cui
all'articolo 160, comma 4, nonche', in quanto compatibili,
le disposizioni di cui agli articoli 2, 3, 8, 15, 16, 18,
25, 37, 41, 42 e 43 del decreto legislativo 18 maggio 2018,
n. 51.
2. Fermo restando quanto previsto dal comma 1, ai
trattamenti effettuati da soggetti pubblici per finalita'
di difesa o di sicurezza dello Stato, in base a
disposizioni di legge o di regolamento o previste da atti
amministrativi generali, che prevedano specificamente il
trattamento, si applicano le disposizioni di cui al comma 1
del presente articolo, nonche' quelle di cui agli articoli
23 e 24 del decreto legislativo 18 maggio 2018, n. 51.
3. Con uno o piu' regolamenti sono individuate le
modalita' di applicazione delle disposizioni di cui ai
commi 1 e 2, in riferimento alle tipologie di dati, di
interessati, di operazioni di trattamento eseguibili e di
persone autorizzate al trattamento dei dati personali sotto
l'autorita' diretta del titolare o del responsabile ai
sensi dell'articolo 2-quaterdecies, anche in relazione
all'aggiornamento e alla conservazione. I regolamenti,
negli ambiti di cui al comma 1, sono adottati ai sensi
dell'articolo 43 della legge 3 agosto 2007, n. 124, e,
negli ambiti di cui al comma 2, sono adottati con decreto
del Presidente del Consiglio dei ministri, ai sensi
dell'articolo 17, comma 3, della legge 23 agosto 1988, n.
400, su proposta dei Ministri competenti.
4. Con uno o piu' regolamenti adottati con decreto
del Presidente della Repubblica su proposta del Ministro
della difesa, sono disciplinate le misure attuative del
presente decreto in materia di esercizio delle funzioni di
difesa e sicurezza nazionale da parte delle Forze armate.».
- Si riporta il testo degli articoli 132 e 137 del
citato decreto legislativo 30 giugno 2003, n. 196, come
modificato dalla presente legge:
«Art. 132 (Conservazione di dati di traffico per
altre finalita'). - 1. Fermo restando quanto previsto
dall'articolo 123, comma 2, i dati relativi al traffico
telefonico sono conservati dal fornitore per ventiquattro
mesi dalla data della comunicazione, per finalita' di
accertamento e repressione di reati, mentre, per le
medesime finalita', i dati relativi al traffico telematico,
esclusi comunque i contenuti delle comunicazioni, sono
conservati dal fornitore per dodici mesi dalla data della
comunicazione.
1-bis. I dati relativi alle chiamate senza risposta,
trattati temporaneamente da parte dei fornitori di servizi
di comunicazione elettronica accessibili al pubblico oppure
di una rete pubblica di comunicazione, sono conservati per
trenta giorni.
2. Abrogato
3. Entro il termine di conservazione imposto dalla
legge, se sussistono sufficienti indizi di reati per i
quali la legge stabilisce la pena dell'ergastolo o della
reclusione non inferiore nel massimo a tre anni,
determinata a norma dell'articolo 4 del codice di procedura
penale, e di reati di minaccia e di molestia o disturbo
alle persone col mezzo del telefono, quando la minaccia, la
molestia e il disturbo sono gravi, ove rilevanti per
l'accertamento dei fatti, i dati sono acquisiti previa
autorizzazione rilasciata dal giudice con decreto motivato,
su richiesta del pubblico ministero o su istanza del
difensore dell'imputato, della persona sottoposta a
indagini, della persona offesa e delle altre parti private.
3-bis. Quando ricorrono ragioni di urgenza e vi e'
fondato motivo di ritenere che dal ritardo possa derivare
grave pregiudizio alle indagini, il pubblico ministero
dispone la acquisizione dei dati con decreto motivato che
e' comunicato immediatamente, e comunque non oltre
quarantotto ore, al giudice competente per il rilascio
dell'autorizzazione in via ordinaria. Il giudice, nelle
quarantotto ore successive, decide sulla convalida con
decreto motivato.
3-ter. Rispetto ai dati conservati per le finalita'
indicate al comma 1 i diritti di cui agli articoli da 12 a
22 del Regolamento possono essere esercitati con le
modalita' di cui all'articolo 2-undecies, comma 3, terzo,
quarto e quinto periodo.
3-quater. I dati acquisiti in violazione delle
disposizioni dei commi 3 e 3-bis non possono essere
utilizzati.
4.
4-bis.
4-ter. Il Ministro dell'interno o, su sua delega, i
responsabili degli uffici centrali specialistici in materia
informatica o telematica della Polizia di Stato, dell'Arma
dei carabinieri e del Corpo della guardia di finanza,
nonche' gli altri soggetti indicati nel comma 1
dell'articolo 226 delle norme di attuazione, di
coordinamento e transitorie del codice di procedura penale,
di cui al decreto legislativo 28 luglio 1989, n. 271,
possono ordinare, anche in relazione alle eventuali
richieste avanzate da autorita' investigative straniere, ai
fornitori e agli operatori di servizi informatici o
telematici di conservare e proteggere, secondo le modalita'
indicate e per un periodo non superiore a novanta giorni, i
dati relativi al traffico telematico, esclusi comunque i
contenuti delle comunicazioni, ai fini dello svolgimento
delle investigazioni preventive previste dal citato
articolo 226 delle norme di cui al decreto legislativo n.
271 del 1989, ovvero per finalita' di accertamento e
repressione di specifici reati. Il provvedimento,
prorogabile, per motivate esigenze, per una durata
complessiva non superiore a sei mesi, puo' prevedere
particolari modalita' di custodia dei dati e l'eventuale
indisponibilita' dei dati stessi da parte dei fornitori e
degli operatori di servizi informatici o telematici ovvero
di terzi.
4-quater. Il fornitore o l'operatore di servizi
informatici o telematici cui e' rivolto l'ordine previsto
dal comma 4-ter deve ottemperarvi senza ritardo, fornendo
immediatamente all'autorita' richiedente l'assicurazione
dell'adempimento. Il fornitore o l'operatore di servizi
informatici o telematici e' tenuto a mantenere il segreto
relativamente all'ordine ricevuto e alle attivita'
conseguentemente svolte per il periodo indicato
dall'autorita'. In caso di violazione dell'obbligo si
applicano, salvo che il fatto costituisca piu' grave reato,
le disposizioni dell'articolo 326 del codice penale.
4-quinquies. I provvedimenti adottati ai sensi del
comma 4-ter sono comunicati per iscritto, senza ritardo e
comunque entro quarantotto ore dalla notifica al
destinatario, al pubblico ministero del luogo di esecuzione
il quale, se ne ricorrono i presupposti, li convalida. In
caso di mancata convalida, i provvedimenti assunti perdono
efficacia.
5. Il trattamento dei dati per le finalita' di cui al
comma 1 e' effettuato nel rispetto delle misure e degli
accorgimenti a garanzia dell'interessato prescritti dal
Garante con provvedimento di carattere generale volti a
garantire che i dati conservati possiedano i medesimi
requisiti di qualita', sicurezza e protezione dei dati in
rete, nonche' ad indicare le modalita' tecniche per la
periodica distruzione dei dati, decorsi i termini di cui al
comma 1.
5-bis. E' fatta salva la disciplina di cui
all'articolo 24 della legge 20 novembre 2017, n. 167.».
- Si riporta il testo degli artt. 153 e 154 del citato
decreto legislativo 30 giugno 2003, n. 196, come modificato
dalla presente legge:
«Art. 153 (Garante per la protezione dei dati
personali). - 1. Il Garante e' composto dal Collegio, che
ne costituisce il vertice, e dall'Ufficio. Il Collegio e'
costituito da quattro componenti, eletti due dalla Camera
dei deputati e due dal Senato della Repubblica con voto
limitato. I componenti devono essere eletti tra coloro che
presentano la propria candidatura nell'ambito di una
procedura di selezione il cui avviso deve essere pubblicato
nei siti internet della Camera, del Senato e del Garante
almeno sessanta giorni prima della nomina. Le candidature
devono pervenire almeno trenta giorni prima della nomina e
i curricula devono essere pubblicati negli stessi siti
internet. Le candidature possono essere avanzate da persone
che assicurino indipendenza e che risultino di comprovata
esperienza nel settore della protezione dei dati personali,
con particolare riferimento alle discipline giuridiche o
dell'informatica.
2. I componenti eleggono nel loro ambito un
presidente, il cui voto prevale in caso di parita'.
Eleggono altresi' un vice presidente, che assume le
funzioni del presidente in caso di sua assenza o
impedimento.
3. L'incarico di presidente e quello di componente
hanno durata settennale e non sono rinnovabili. Per tutta
la durata dell'incarico il presidente e i componenti non
possono esercitare, a pena di decadenza, alcuna attivita'
professionale o di consulenza, anche non remunerata, ne'
essere amministratori o dipendenti di enti pubblici o
privati, ne' ricoprire cariche elettive.
4. I membri del Collegio devono mantenere il segreto,
sia durante sia successivamente alla cessazione
dell'incarico, in merito alle informazioni riservate cui
hanno avuto accesso nell'esecuzione dei propri compiti o
nell'esercizio dei propri poteri.
5. All'atto dell'accettazione della nomina il
presidente e i componenti sono collocati fuori ruolo se
dipendenti di pubbliche amministrazioni o magistrati in
attivita' di servizio; se professori universitari di ruolo,
sono collocati in aspettativa senza assegni ai sensi
dell'articolo 13 del decreto del Presidente della
Repubblica 11 luglio 1980, n. 382. Il personale collocato
fuori ruolo o in aspettativa non puo' essere sostituito.
6. Al presidente e ai componenti compete una
indennita' di funzione pari alla retribuzione in godimento
al primo Presidente della Corte di cassazione, nei limiti
previsti dalla legge per il trattamento economico annuo
omnicomprensivo di chiunque riceva a carico delle finanze
pubbliche emolumenti o retribuzioni nell'ambito di rapporti
di lavoro dipendente o autonomo con pubbliche
amministrazioni statali. L'indennita' di funzione di cui al
primo periodo e' da ritenere onnicomprensiva ad esclusione
del rimborso delle spese effettivamente sostenute e
documentate in occasione di attivita' istituzionali.
7. Alle dipendenze del Garante e' posto l'Ufficio di
cui all'articolo 155.
8. Il presidente, i componenti, il segretario
generale e i dipendenti si astengono dal trattare, per i
due anni successivi alla cessazione dell'incarico ovvero
del servizio presso il Garante, procedimenti dinanzi al
Garante, ivi compresa la presentazione per conto di terzi
di reclami richieste di parere o interpelli.».
«Art. 154 (Compiti). - 1. Oltre a quanto previsto da
specifiche disposizioni e dalla Sezione II del Capo VI del
regolamento, il Garante, ai sensi dell'articolo 57,
paragrafo 1, lettera v), del Regolamento medesimo, anche di
propria iniziativa e avvalendosi dell'Ufficio, in
conformita' alla disciplina vigente e nei confronti di uno
o piu' titolari del trattamento, ha il compito di:
a) controllare se i trattamenti sono effettuati nel
rispetto della disciplina applicabile, anche in caso di
loro cessazione e con riferimento alla conservazione dei
dati di traffico;
b) trattare i reclami presentati ai sensi del
regolamento, e delle disposizioni del presente codice,
anche individuando con proprio regolamento modalita'
specifiche per la trattazione, nonche' fissando annualmente
le priorita' delle questioni emergenti dai reclami che
potranno essere istruite nel corso dell'anno di
riferimento;
c) promuovere l'adozione di regole deontologiche,
nei casi di cui all'articolo 2-quater;
d) denunciare i fatti configurabili come reati
perseguibili d'ufficio, dei quali viene a conoscenza
nell'esercizio o a causa delle funzioni;
e) trasmettere la relazione, predisposta
annualmente ai sensi dell'articolo 59 del Regolamento, al
Parlamento e al Governo entro il 31 maggio dell'anno
successivo a quello cui si riferisce;
f) assicurare la tutela dei diritti e delle
liberta' fondamentali degli individui dando idonea
attuazione al Regolamento e al presente codice;
g) provvedere altresi' all'espletamento dei compiti
ad esso attribuiti dal diritto dell'Unione europea o dello
Stato e svolgere le ulteriori funzioni previste
dall'ordinamento.
2. Il Garante svolge altresi', ai sensi del comma 1,
la funzione di controllo o assistenza in materia di
trattamento dei dati personali prevista da leggi di
ratifica di accordi o convenzioni internazionali o da atti
comunitari o dell'Unione europea e, in particolare:
a) dal Regolamento (CE) n. 1987/2006 del Parlamento
europeo e del Consiglio, del 20 dicembre 2006,
sull'istituzione, l'esercizio e l'uso del sistema
d'informazione Schengen di seconda generazione (SIS II) e
Decisione 2007/533/GAI del Consiglio, del 12 giugno 2007,
sull'istituzione, l'esercizio e l'uso del sistema
d'informazione Schengen di seconda generazione (SIS II);
b) dal Regolamento (UE) 2016/794 del Parlamento
europeo e del Consiglio, dell'11 maggio 2016, che
istituisce l'Agenzia dell'Unione europea per la
cooperazione nell'attivita' di contrasto (Europol) e
sostituisce e abroga le decisioni del Consiglio
2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e
2009/968/GAI;
c) dal Regolamento (UE) 2015/1525 del Parlamento
europeo e del Consiglio, del 9 settembre 2015, che modifica
il Regolamento (CE) n. 515/97 del Consiglio relativo alla
mutua assistenza tra le autorita' amministrative degli
Stati membri e alla collaborazione tra queste e la
Commissione per assicurare la corretta applicazione delle
normative doganale e agricola e decisione 2009/917/GAI del
Consiglio, del 30 novembre 2009, sull'uso dell'informatica
nel settore doganale;
d) dal Regolamento (CE) n. 603/2013 del Parlamento
europeo e del Consiglio, del 26 giugno 2013, che istituisce
l'Eurodac per il confronto delle impronte digitali per
l'efficace applicazione del Regolamento (UE) n. 604/2013
che stabilisce i criteri e i meccanismi di determinazione
dello Stato membro competente per l'esame di una domanda di
protezione internazionale presentata in uno degli Stati
membri da un cittadino di un paese terzo o da un apolide e
per le richieste di confronto con i dati Eurodac presentate
dalle autorita' di contrasto degli Stati membri e da
Europol a fini di contrasto, e che modifica il Regolamento
(UE) n. 1077/2011 che istituisce un'agenzia europea per la
gestione operativa dei sistemi IT su larga scala nello
spazio di liberta', sicurezza e giustizia;
e) dal Regolamento (CE) n. 767/2008 del Parlamento
europeo e del Consiglio, del 9 luglio 2008, concernente il
sistema di informazione visti (VIS) e lo scambio di dati
tra Stati membri sui visti per soggiorni di breve durata
(Regolamento VIS) e decisione n. 2008/633/GAI del
Consiglio, del 23 giugno 2008, relativa all'accesso per la
consultazione al sistema di informazione visti (VIS) da
parte delle autorita' designate degli Stati membri e di
Europol ai fini della prevenzione, dell'individuazione e
dell'investigazione di reati di terrorismo e altri reati
gravi;
f) dal Regolamento (CE) n. 1024/2012 del Parlamento
europeo e del Consiglio, del 25 ottobre 2012, relativo alla
cooperazione amministrativa attraverso il sistema di
informazione del mercato interno e che abroga la decisione
2008/49/CE della Commissione (Regolamento IMI) Testo
rilevante ai fini del SEE;
g) dalle disposizioni di cui al capitolo IV della
Convenzione n. 108 sulla protezione delle persone rispetto
al trattamento automatizzato di dati di carattere
personale, adottata a Strasburgo il 28 gennaio 1981 e resa
esecutiva con legge 21 febbraio 1989, n. 98, quale
autorita' designata ai fini della cooperazione tra Stati ai
sensi dell'articolo 13 della convenzione medesima.
3. Per quanto non previsto dal Regolamento e dal
presente codice, il Garante disciplina con proprio
Regolamento, ai sensi dell'articolo 156, comma 3, le
modalita' specifiche dei procedimenti relativi
all'esercizio dei compiti e dei poteri ad esso attribuiti
dal Regolamento e dal presente codice.
4. Il Garante collabora con altre autorita'
amministrative indipendenti nazionali nello svolgimento dei
rispettivi compiti.
5. Fatti salvi i termini piu' brevi previsti per
legge, il parere del Garante, anche nei casi di cui agli
articoli 36, paragrafo 4, del Regolamento, e' reso nel
termine di quarantacinque giorni dal ricevimento della
richiesta. Decorso il termine, l'amministrazione puo'
procedere indipendentemente dall'acquisizione del parere.
Quando, per esigenze istruttorie, non puo' essere
rispettato il termine di cui al presente comma, tale
termine puo' essere interrotto per una sola volta e il
parere deve essere reso definitivamente entro venti giorni
dal ricevimento degli elementi istruttori da parte delle
amministrazioni interessate.
5-bis. Il parere di cui all'articolo 36, paragrafo 4,
del Regolamento e' reso dal Garante nei soli casi in cui la
legge o il regolamento in corso di adozione disciplina
espressamente le modalita' del trattamento descrivendo una
o piu' operazioni, compiute con o senza l'ausilio di
processi automatizzati e applicate a dati personali o
insiemi di dati personali, come la raccolta, la
registrazione, l'organizzazione, la strutturazione, la
conservazione, l'adattamento o la modifica, l'estrazione,
la consultazione, l'uso, la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di messa a
disposizione, il raffronto o l'interconnessione, la
limitazione, la cancellazione o la distruzione, nonche' nei
casi in cui la norma di legge o di regolamento autorizza
espressamente un trattamento di dati personali da parte di
soggetti privati senza rinviare la disciplina delle
modalita' del trattamento a fonti sottoordinate.
5-ter. Quando il Presidente del Consiglio dei
ministri dichiara che ragioni di urgenza non consentono la
consultazione preventiva e comunque nei casi di adozione di
decreti-legge, il Garante esprime il parere di cui al comma
5-bis:
a) in sede di esame parlamentare dei disegni di
legge o dei disegni di legge di conversione dei
decreti-legge;
b) in sede di esame definitivo degli schemi di
decreto legislativo sottoposti al parere delle Commissioni
parlamentari.
6. Copia dei provvedimenti emessi dall'autorita'
giudiziaria in relazione a quanto previsto dal presente
codice o in materia di criminalita' informatica e'
trasmessa, a cura della cancelleria, al Garante.
7. Il Garante non e' competente per il controllo dei
trattamenti effettuati dalle autorita' giudiziarie
nell'esercizio delle loro funzioni.».
- Il regolamento (UE) n. 2016/679 del Parlamento
europeo relativo alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva
95/46/CE", e' pubblicato nella G.U.U.E. 4 maggio 2016, n. L
119:
- Si riporta il testo degli articoli 156, 166, 167 e
170 del citato decreto legislativo 30 giugno 2003, n. 196,
come modificato dalla presente legge:
«Art. 156 (Ruolo organico e personale). - 1.
All'Ufficio del Garante e' preposto un segretario generale,
nominato tra persone di elevata e comprovata qualificazione
professionale rispetto al ruolo e agli obiettivi da
conseguire, scelto anche tra i magistrati ordinari,
amministrativi e contabili, gli avvocati dello Stato, i
professori universitari di ruolo in materie giuridiche ed
economiche, nonche' i dirigenti di prima fascia dello
Stato.
2. A decorrere dal 1° gennaio 2022, il ruolo organico
del personale dipendente e' stabilito nel limite di
duecento unita'. Al ruolo organico del Garante si accede
esclusivamente mediante concorso pubblico. Nei casi in cui
sia ritenuto utile al fine di garantire l'economicita' e
l'efficienza dell'azione amministrativa, nonche' di
favorire il reclutamento di personale con maggiore
esperienza nell'ambito delle procedure concorsuali di cui
al secondo periodo, il Garante puo' riservare una quota non
superiore al cinquanta per cento dei posti banditi al
personale di ruolo delle amministrazioni pubbliche che sia
stato assunto per concorso pubblico e abbia maturato
un'esperienza almeno triennale nel rispettivo ruolo
organico. La disposizione di cui all'articolo 30 del
decreto legislativo 30 marzo 2001, n. 165, si applica
esclusivamente nell'ambito del personale di ruolo delle
autorita' amministrative indipendenti di cui all'articolo
22, comma 1, del decreto-legge 24 giugno 2014, n. 90,
convertito, con modificazioni, dalla legge 11 agosto 2014,
n. 114.
3. Con propri regolamenti pubblicati nella Gazzetta
Ufficiale della Repubblica italiana, il Garante definisce:
a) l'organizzazione e il funzionamento dell'Ufficio
anche ai fini dello svolgimento dei compiti e
dell'esercizio dei poteri di cui agli articoli 154,
154-bis, 160, nonche' all'articolo 57, paragrafo 1, del
Regolamento;
b) l'ordinamento delle carriere e le modalita' di
reclutamento del personale secondo i principi e le
procedure di cui agli articoli 1, 35 e 36 del decreto
legislativo n. 165 del 2001;
c) la ripartizione dell'organico tra le diverse
aree e qualifiche;
d) il trattamento giuridico ed economico del
personale, secondo i criteri previsti dalla legge 31 luglio
1997, n. 249, e, per gli incarichi dirigenziali, dagli
articoli 19, comma 6, e 23-bis del decreto legislativo 30
marzo 2001, n. 165, tenuto conto delle specifiche esigenze
funzionali e organizzative. Nelle more della piu' generale
razionalizzazione del trattamento economico delle autorita'
amministrative indipendenti, al personale e' attribuito il
trattamento economico del personale dell'Autorita' per le
garanzie nelle comunicazioni;
e) la gestione amministrativa e la contabilita',
anche in deroga alle norme sulla contabilita' generale
dello Stato.
4. L'Ufficio puo' avvalersi, per motivate esigenze,
di dipendenti dello Stato o di altre amministrazioni
pubbliche o di enti pubblici collocati in posizione di
fuori ruolo o equiparati nelle forme previste dai
rispettivi ordinamenti, ovvero in aspettativa ai sensi
dell'articolo 13 del decreto del Presidente della
Repubblica 11 luglio 1980, n. 382, in numero non superiore,
complessivamente, a trenta unita' e per non oltre il venti
per cento delle qualifiche dirigenziali, lasciando non
coperto un corrispondente numero di posti di ruolo.
5. In aggiunta al personale di ruolo, l'Ufficio puo'
assumere dipendenti con contratto a tempo determinato o
avvalersi di consulenti incaricati ai sensi dell'articolo
7, comma 6, del decreto legislativo n. 165 del 2001, in
misura comunque non superiore a trenta unita' complessive.
Resta in ogni caso fermo, per i contratti a tempo
determinato, il rispetto dell'articolo 36 del decreto
legislativo n. 165 del 2001.
6. Il personale addetto all'Ufficio del Garante ed i
consulenti sono tenuti, sia durante che dopo il mandato, al
segreto su cio' di cui sono venuti a conoscenza,
nell'esercizio delle proprie funzioni, in ordine a notizie
che devono rimanere segrete.
7. Il personale dell'Ufficio del Garante addetto agli
accertamenti di cui all'articolo 158 e agli articoli 57,
paragrafo 1, lettera h), 58, paragrafo 1, lettera b), e 62,
del Regolamento riveste, nei limiti del servizio cui e'
destinato e secondo le rispettive attribuzioni, la
qualifica di ufficiale o agente di polizia giudiziaria.
8. Le spese di funzionamento del Garante, in
adempimento all'articolo 52, paragrafo 4, del Regolamento,
ivi comprese quelle necessarie ad assicurare la sua
partecipazione alle procedure di cooperazione e al
meccanismo di coerenza introdotti dal Regolamento, nonche'
quelle connesse alle risorse umane, tecniche e finanziarie,
ai locali e alle infrastrutture necessarie per l'effettivo
adempimento dei suoi compiti e l'esercizio dei propri
poteri, sono poste a carico di un fondo stanziato a tale
scopo nel bilancio dello Stato e iscritto in apposita
missione e programma di spesa del Ministero dell'economia e
delle finanze. Il rendiconto della gestione finanziaria e'
soggetto al controllo della Corte dei conti. Il Garante
puo' esigere dal titolare del trattamento il versamento di
diritti di segreteria in relazione a particolari
procedimenti.»
«Art. 166 (Criteri di applicazione delle sanzioni
amministrative pecuniarie e procedimento per l'adozione dei
provvedimenti correttivi e sanzionatori). - 1. Sono
soggette alla sanzione amministrativa di cui all'articolo
83, paragrafo 4, del Regolamento le violazioni delle
disposizioni di cui agli articoli 2-quinquies, comma 2, 92,
comma 1, 93, comma 1, 123, comma 4, 128, 129, comma 2, e
132-ter. Alla medesima sanzione amministrativa e' soggetto
colui che non effettua la valutazione di impatto di cui
all'articolo 110, comma 1, primo periodo, ovvero non
sottopone il programma di ricerca a consultazione
preventiva del Garante a norma del terzo periodo del
predetto comma.
2. Sono soggette alla sanzione amministrativa di cui
all'articolo 83, paragrafo 5, del Regolamento le violazioni
delle disposizioni di cui agli articoli 2-ter, 2-quinquies,
comma 1, 2-sexies, 2-septies, comma 8, 2-octies,
2-terdecies, commi 1, 2, 3 e 4, 52, commi 4 e 5, 75, 78,
79, 80, 82, 92, comma 2, 93, commi 2 e 3, 96, 99, 100,
commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e
3, 111, 111-bis, 116, comma 1, 120, comma 2, 122, 123,
commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131,
132, 132-bis, comma 2, 132-quater, 157, nonche' delle
misure di garanzia, delle regole deontologiche di cui
rispettivamente agli articoli 2-septies e 2-quater.
3. Il Garante e' l'organo competente ad adottare i
provvedimenti correttivi di cui all'articolo 58, paragrafo
2, del Regolamento, nonche' ad irrogare le sanzioni di cui
all'articolo 83 del medesimo Regolamento e di cui ai commi
1 e 2.
4. Il procedimento per l'adozione dei provvedimenti e
delle sanzioni indicati al comma 3 puo' essere avviato, nei
confronti sia di soggetti privati, sia di autorita'
pubbliche ed organismi pubblici, a seguito di reclamo ai
sensi dell'articolo 77 del Regolamento o di attivita'
istruttoria d'iniziativa del Garante, nell'ambito
dell'esercizio dei poteri d'indagine di cui all'articolo
58, paragrafo 1, del Regolamento, nonche' in relazione ad
accessi, ispezioni e verifiche svolte in base a poteri di
accertamento autonomi, ovvero delegati dal Garante.
5. L'Ufficio del Garante, quando ritiene che gli
elementi acquisiti nel corso delle attivita' di cui al
comma 4 configurino una o piu' violazioni indicate nel
presente titolo e nell'articolo 83, paragrafi 4, 5 e 6, del
Regolamento, avvia il procedimento per l'adozione dei
provvedimenti e delle sanzioni di cui al comma 3
notificando al titolare o al responsabile del trattamento
le presunte violazioni, nel rispetto delle garanzie
previste dal Regolamento di cui al comma 9, salvo che la
previa notifica della contestazione non risulti
incompatibile con la natura e le finalita' del
provvedimento da adottare. Nei confronti dei titolari del
trattamento di cui agli articoli 2-ter, comma 1-bis, e 58
del presente codice e all'articolo 1, comma 1, del decreto
legislativo 18 maggio 2018, n. 51, la predetta notifica
puo' essere omessa esclusivamente nel caso in cui il
Garante abbia accertato che le presunte violazioni hanno
gia' arrecato e continuano ad arrecare un effettivo,
concreto, attuale e rilevante pregiudizio ai soggetti
interessati al trattamento, che il Garante ha l'obbligo di
individuare e indicare nel provvedimento, motivando
puntualmente le ragioni dell'omessa notifica. In assenza di
tali presupposti, il giudice competente accerta
l'inefficacia del provvedimento.
6. Entro trenta giorni dal ricevimento della
comunicazione di cui al comma 5, il contravventore puo'
inviare al Garante scritti difensivi o documenti e puo'
chiedere di essere sentito dalla medesima autorita'.
7. Nell'adozione dei provvedimenti sanzionatori nei
casi di cui al comma 3 si osservano, in quanto applicabili,
gli articoli da 1 a 9, da 18 a 22 e da 24 a 28 della legge
24 novembre 1981, n. 689; nei medesimi casi puo' essere
applicata la sanzione amministrativa accessoria della
pubblicazione dell'ordinanza-ingiunzione, per intero o per
estratto, sul sito internet del Garante o dell'ingiunzione
a realizzare campagne di comunicazione istituzionale volte
alla promozione della consapevolezza del diritto alla
protezione dei dati personali, sulla base di progetti
previamente approvati dal Garante e che tengano conto della
gravita' della violazione. Nella determinazione della
sanzione ai sensi dell'articolo 83, paragrafo 2, del
Regolamento, il Garante tiene conto anche di eventuali
campagne di comunicazione istituzionale volte alla
promozione della consapevolezza del diritto alla protezione
dei dati personali, realizzate dal trasgressore
anteriormente alla commissione della violazione. I proventi
delle sanzioni, nella misura del cinquanta per cento del
totale annuo, sono riassegnati al fondo di cui all'articolo
156, comma 8, per essere destinati alle specifiche
attivita' di sensibilizzazione e di ispezione nonche' di
attuazione del Regolamento svolte dal Garante.
8. Entro il termine di cui all'articolo 10, comma 3,
del decreto legislativo n. 150 del 2011 previsto per la
proposizione del ricorso, il trasgressore e gli obbligati
in solido possono definire la controversia adeguandosi alle
prescrizioni del Garante, ove impartite, e mediante il
pagamento di un importo pari alla meta' della sanzione
irrogata.
9. Nel rispetto dell'articolo 58, paragrafo 4, del
Regolamento, con proprio regolamento pubblicato nella
Gazzetta Ufficiale della Repubblica italiana, il Garante
definisce le modalita' del procedimento per l'adozione dei
provvedimenti e delle sanzioni di cui al comma 3 ed i
relativi termini, in conformita' ai principi della piena
conoscenza degli atti istruttori, del contraddittorio,
della verbalizzazione, nonche' della distinzione tra
funzioni istruttorie e funzioni decisorie rispetto
all'irrogazione della sanzione.
10. Le disposizioni relative a sanzioni
amministrative previste dal presente codice e dall'articolo
83 del Regolamento non si applicano in relazione ai
trattamenti svolti in ambito giudiziario.»
«Art. 167 (Trattamento illecito di dati). - 1. Salvo
che il fatto costituisca piu' grave reato, chiunque, al
fine di trarre per se' o per altri profitto ovvero di
arrecare danno all'interessato, operando in violazione di
quanto disposto dagli articoli 123, 126 e 130 o dal
provvedimento di cui all'articolo 129 arreca nocumento
all'interessato, e' punito con la reclusione da sei mesi a
un anno e sei mesi.
2. Salvo che il fatto costituisca piu' grave reato,
chiunque, al fine di trarre per se' o per altri profitto
ovvero di arrecare danno all'interessato, procedendo al
trattamento dei dati personali di cui agli articoli 9 e 10
del Regolamento in violazione delle disposizioni di cui
agli articoli 2-sexies e 2-octies, o delle misure di
garanzia di cui all'articolo 2-septies arreca nocumento
all'interessato, e' punito con la reclusione da uno a tre
anni.
3. Salvo che il fatto costituisca piu' grave reato,
la pena di cui al comma 2 si applica altresi' a chiunque,
al fine di trarre per se' o per altri profitto ovvero di
arrecare danno all'interessato, procedendo al trasferimento
dei dati personali verso un paese terzo o un'organizzazione
internazionale al di fuori dei casi consentiti ai sensi
degli articoli 45, 46 o 49 del Regolamento, arreca
nocumento all'interessato.
4. Il Pubblico ministero, quando ha notizia dei reati
di cui ai commi 1, 2 e 3, ne informa senza ritardo il
Garante.
5. Il Garante trasmette al pubblico ministero, con
una relazione motivata, la documentazione raccolta nello
svolgimento dell'attivita' di accertamento nel caso in cui
emergano elementi che facciano presumere la esistenza di un
reato. La trasmissione degli atti al pubblico ministero
avviene al piu' tardi al termine dell'attivita' di
accertamento delle violazioni delle disposizioni di cui al
presente decreto.
6. Quando per lo stesso fatto e' stata applicata a
norma del presente codice o del Regolamento a carico
dell'imputato o dell'ente una sanzione amministrativa
pecuniaria dal Garante e questa e' stata riscossa, la pena
e' diminuita.»
«Art. 170 (Inosservanza di provvedimenti del
Garante). - 1. Chiunque, non osservando il provvedimento
adottato dal Garante ai sensi degli articoli 58, paragrafo
2, lettera f) del Regolamento, dell'articolo 2-septies,
comma 1, nonche' i provvedimenti generali di cui
all'articolo 21, comma 1, del decreto legislativo di
attuazione dell'articolo 13 della legge 25 ottobre 2017, n.
163, arreca un concreto nocumento a uno o piu' soggetti
interessati al trattamento e' punito , a querela della
persona offesa, con la reclusione da tre mesi a due anni.».
- Si riporta l'articolo 22 del decreto legislativo 10
agosto 2018, n. 101 recante "Disposizioni per l'adeguamento
della normativa nazionale alle disposizioni del regolamento
(UE) 2016/679 del Parlamento europeo e del Consiglio, del
27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali,
nonche' alla libera circolazione di tali dati e che abroga
la direttiva 95/46/CE (regolamento generale sulla
protezione dei dati)", pubblicato nella Gazzetta Ufficiale
4 settembre 2018, n. 205, come modificato dalla presente
legge:
«Art. 22 (Altre disposizioni transitorie e finali). -
1. Il presente decreto e le disposizioni dell'ordinamento
nazionale si interpretano e si applicano alla luce della
disciplina dell'Unione europea in materia di protezione dei
dati personali e assicurano la libera circolazione dei dati
personali tra Stati membri ai sensi dell'articolo 1,
paragrafo 3, del Regolamento (UE) 2016/679.
2. A decorrere dal 25 maggio 2018 le espressioni
"dati sensibili" e "dati giudiziari" utilizzate ai sensi
dell'articolo 4, comma 1, lettere d) ed e), del codice in
materia di protezione dei dati personali, di cui al decreto
legislativo n. 196 del 2003, ovunque ricorrano, si
intendono riferite, rispettivamente, alle categorie
particolari di dati di cui all'articolo 9 del Regolamento
(UE) 2016/679 e ai dati di cui all'articolo 10 del medesimo
regolamento.
3. (abrogato)
4. A decorrere dal 25 maggio 2018, i provvedimenti
del Garante per la protezione dei dati personali continuano
ad applicarsi, in quanto compatibili con il suddetto
regolamento e con le disposizioni del presente decreto.
5. A decorrere dal 25 maggio 2018, le disposizioni di
cui ai commi 1022 e 1023 dell'articolo 1 della legge 27
dicembre 2017, n. 205 si applicano esclusivamente ai
trattamenti dei dati personali funzionali
all'autorizzazione del cambiamento del nome o del cognome
dei minorenni. Con riferimento a tali trattamenti, il
Garante per la protezione dei dati personali puo', nei
limiti e con le modalita' di cui all'articolo 36 del
Regolamento (UE) 2016/679, adottare provvedimenti di
carattere generale ai sensi dell'articolo
2-quinquiesdecies. Al fine di semplificare gli oneri
amministrativi, i soggetti che rispettano le misure di
sicurezza e gli accorgimenti prescritti con i provvedimenti
di cui al secondo periodo sono esonerati dall'invio al
Garante dell'informativa di cui al citato comma 1022. In
sede di prima applicazione, le suddette informative, se
dovute a norma del terzo periodo, sono inviate entro
sessanta giorni dalla pubblicazione del provvedimento del
Garante nella Gazzetta Ufficiale della Repubblica italiana.
6. Dalla data di entrata in vigore del presente
decreto, i rinvii alle disposizioni del codice in materia
di protezione dei dati personali, di cui al decreto
legislativo n. 196 del 2003, abrogate dal presente decreto,
contenuti in norme di legge e di regolamento, si intendono
riferiti alle corrispondenti disposizioni del Regolamento
(UE) 2016/679 e a quelle introdotte o modificate dal
presente decreto, in quanto compatibili.
7. All'articolo 1, comma 233, della legge 27 dicembre
2017, n. 205, dopo le parole "le modalita' di restituzione"
sono inserite le seguenti: "in forma aggregata".
8. Il registro dei trattamenti di cui all'articolo
37, comma 4, del codice in materia di protezione dei dati
personali, di cui al decreto legislativo n. 196 del 2003,
cessa di essere alimentato a far data dal 25 maggio 2018.
Da tale data e fino al 31 dicembre 2019, il registro resta
accessibile a chiunque secondo le modalita' stabilite nel
suddetto articolo 37, comma 4, del decreto legislativo n.
196 del 2003.
9. Le disposizioni di legge o di regolamento che
individuano il tipo di dati trattabili e le operazioni
eseguibili al fine di autorizzare i trattamenti delle
pubbliche amministrazioni per motivi di interesse pubblico
rilevante trovano applicazione anche per i soggetti privati
che trattano i dati per i medesimi motivi.
10. La disposizione di cui all'articolo 160, comma 4,
del codice in materia di protezione dei dati personali, di
cui al decreto legislativo n. 196 del 2003, nella parte in
cui ha riguardo ai dati coperti da segreto di Stato, si
applica fino alla data di entrata in vigore della
disciplina relativa alle modalita' di opposizione al
Garante per la protezione dei dati personali del segreto di
Stato.
11. Le disposizioni del codice in materia di
protezione dei dati personali, di cui al decreto
legislativo n. 196 del 2003, relative al trattamento di
dati genetici, biometrici o relativi alla salute continuano
a trovare applicazione, in quanto compatibili con il
Regolamento (UE) 2016/679, sino all'adozione delle
corrispondenti misure di garanzia di cui all'articolo
2-septies del citato codice, introdotto dall'articolo 2,
comma 1, lett. e) del presente decreto.
12. Sino alla data di entrata in vigore del decreto
del Ministro della giustizia di cui all'articolo 2-octies,
commi 2 e 6, del codice in materia di protezione dei dati
personali, di cui al decreto legislativo n. 196 del 2003,
da adottarsi entro diciotto mesi dalla data di entrata in
vigore del presente decreto, il trattamento dei dati di cui
all'articolo 10 del Regolamento (UE) 2016/679 e' consentito
quando e' effettuato in attuazione di protocolli di intesa
per la prevenzione e il contrasto dei fenomeni di
criminalita' organizzata stipulati con il Ministero
dell'interno o con le Prefetture - UTG, previo parere del
Garante per la protezione dei dati personali, che
specificano la tipologia dei dati trattati e delle
operazioni eseguibili.
13. Per i primi otto mesi dalla data di entrata in
vigore del presente decreto, il Garante per la protezione
dei dati personali tiene conto, ai fini dell'applicazione
delle sanzioni amministrative e nei limiti in cui risulti
compatibile con le disposizioni del Regolamento (UE)
2016/679, della fase di prima applicazione delle
disposizioni sanzionatorie.
14. All'articolo 1 della legge 11 gennaio 2018, n. 5
sono apportate le seguenti modificazioni:
a) al comma 9, le parole "di cui all'articolo 162,
comma 2-bis" sono sostituite dalle seguenti: "di cui
all'articolo 166, comma 2";
b) al comma 10, le parole "di cui all'articolo 162,
comma 2-quater" sono sostituite dalle seguenti: "di cui
all'articolo 166, comma 2".
15. All'articolo 5-ter, comma 1, lettera c), del
decreto legislativo 14 marzo 2013, n. 33 le parole "di cui
all'articolo 162, comma 2-bis" sono sostituite dalle
seguenti: "di cui all'articolo 166, comma 2".».
- Si riporta il testo dell'articolo 5 e 45 del decreto
legislativo 18 maggio 2018, n. 51 recante «Attuazione della
direttiva (UE) 2016/680 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativa alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali da parte delle autorita' competenti a fini di
prevenzione, indagine, accertamento e perseguimento di
reati o esecuzione di sanzioni penali, nonche' alla libera
circolazione di tali dati e che abroga la decisione quadro
2008/977/GAI del Consiglio» , pubblicato nella Gazzetta
Ufficiale 24 maggio 2018, n. 119, come modificato dalla
presente legge:
«Art. 5 (Liceita' del trattamento). - 1. Il
trattamento e' lecito se e' necessario per l'esecuzione di
un compito di un'autorita' competente per le finalita' di
cui all'articolo 1, comma 2, e si basa sul diritto
dell'Unione europea o su disposizioni di legge o di
regolamento o su atti amministrativi generali che
individuano i dati personali e le finalita' del
trattamento.
2. Con decreto, rispettivamente, del Ministro della
giustizia e del Ministro dell'interno sono individuati, per
i trattamenti o le categorie di trattamenti non occasionali
di cui al comma 1, i termini, ove non gia' stabiliti da
disposizioni di legge o di regolamento, e le modalita' di
conservazione dei dati, i soggetti legittimati ad
accedervi, le condizioni di accesso, le modalita' di
consultazione, nonche' le modalita' e le condizioni per
l'esercizio dei diritti di cui agli articoli 9, 10, 11 e
13. I termini di conservazione sono determinati in
conformita' ai criteri indicati all'articolo 3, comma 1,
tenendo conto delle diverse categorie di interessati e
delle finalita' perseguite.»
«Art. 45 (Inosservanza di provvedimenti del Garante).
- 1. Chiunque, non osservando il provvedimento adottato dal
Garante ai sensi dell'articolo 143, comma 1, lettera c),
del Codice, in un procedimento riguardante il trattamento
dei dati di cui all'articolo 1, comma 2, arreca un concreto
nocumento a uno o piu' interessati e' punito, a querela
della persona offesa, con la reclusione da tre mesi a due
anni.».
- Si riporta il testo dell'articolo 7 del decreto-legge
19 maggio 2020, n. 34, recante «Misure urgenti in materia
di salute, sostegno al lavoro e all'economia, nonche' di
politiche sociali connesse all'emergenza epidemiologica da
COVID-19», pubblicato nella Gazzetta Ufficiale 19 maggio
2020, n. 128, S.O. n. 21, come modificato dalla presente
legge:
«Art. 7 (Metodologie predittive dell'evoluzione del
fabbisogno di salute della popolazione). - 1. Il Ministero
della salute, nell'ambito dei compiti di cui all'articolo
47-ter del decreto legislativo 30 luglio 1999, n. 300 e, in
particolare, delle funzioni relative a indirizzi generali e
di coordinamento in materia di prevenzione, diagnosi, cura
e riabilitazione delle malattie, nonche' di programmazione
tecnico sanitaria di rilievo nazionale e indirizzo,
coordinamento, monitoraggio dell'attivita' tecnico
sanitaria regionale, puo' trattare, ai sensi dell'articolo
2-sexies, comma 2, lettera v), del decreto legislativo 30
giugno 2003, n. 196 e nel rispetto del Regolamento UE
2016/679 del Parlamento europeo e del Consiglio del 27
aprile 2016, dati personali, anche relativi alla salute
degli assistiti, raccolti nei sistemi informativi del
Servizio sanitario nazionale, per lo sviluppo di
metodologie predittive dell'evoluzione del fabbisogno di
salute della popolazione, secondo le modalita' di cui al
decreto del Ministro della salute 7 dicembre 2016, n. 262.
1-bis. Con le modalita' e nei limiti stabiliti dal
decreto di cui al comma 2 e fatto salvo quanto previsto
dall'articolo 105 del codice di cui al decreto legislativo
n. 196 del 2003, il Ministero della salute e' autorizzato a
trattare anche i dati personali non relativi alla salute
necessari a garantire l'effettivo perseguimento delle
finalita' di cui al comma 1 e l'attuazione del
corrispondente intervento di cui alla missione M6 del Piano
nazionale di ripresa e resilienza approvato con la
decisione di esecuzione del Consiglio dell'Unione europea
del 13 luglio 2021. Ai fini di cui al primo periodo, e'
autorizzata l'interconnessione dei sistemi informativi su
base individuale del Servizio sanitario nazionale, ivi
incluso il Fascicolo sanitario elettronico (FSE), con i
sistemi informativi gestiti da altre amministrazioni
pubbliche che raccolgono i dati non relativi alla salute
specificamente individuati dal decreto di cui al comma 2,
con modalita' tali da garantire che l'interessato non sia
direttamente identificabile.
2. Con decreto del Ministro della salute, di natura
non regolamentare, previo parere del Garante per la
protezione dei dati personali, sono individuati i dati
personali, anche inerenti alle categorie particolari di
dati di cui all'articolo 9 del Regolamento UE 2016/679, che
possono essere trattati, le operazioni eseguibili, le
modalita' di acquisizione dei dati dai sistemi informativi
dei soggetti che li detengono e le misure appropriate e
specifiche per tutelare i diritti degli interessati,
nonche' i tempi di conservazione dei dati trattati.
2-bis. Nelle more dell'adozione del decreto di cui al
comma 2, il Ministero della salute avvia le attivita'
relative alla classificazione delle patologie croniche
presenti nella popolazione italiana, limitatamente alla
costruzione di modelli analitici prodromici alla
realizzazione del modello predittivo del fabbisogno di
salute della popolazione, garantendo che gli interessati
non siano direttamente identificabili.».
- Il Regolamento (UE) 2021/241 del Parlamento europeo e
del Consiglio del 12 febbraio 2021 n. 241 che istituisce il
dispositivo per la ripresa e la resilienza" e' pubblicato
nella G.U.U.E. 18 febbraio 2021 n. L. 57.
- Il decreto-legge 6 maggio 2021, n. 59 recante «Misure
urgenti relative al Fondo complementare al Piano nazionale
di ripresa e resilienza e altre misure urgenti per gli
investimenti, convertito, con modificazioni, dalla legge 1°
luglio 2021, n. 101, e' pubblicato nella Gazzetta Ufficiale
7 maggio 2021, n. 108.
- Il Regolamento (UE) 2018/1999 del Parlamento europeo
e del Consiglio dell'11 dicembre 2018 sulla governance
dell'Unione dell'energia e dell'azione per il clima che
modifica i regolamenti (CE) n. 663/2009 e (CE) n. 715/2009
del Parlamento europeo e del Consiglio, le direttive
94/22/CE, 98/70/CE, 2009/31/CE, 2009/73/CE, 2010/31/UE,
2012/27/UE e 2013/30/UE del Parlamento europeo e del
Consiglio, le direttive del Consiglio 2009/119/CE e (UE)
2015/652 e che abroga il regolamento (UE) n. 525/2013 del
Parlamento europeo e del Consiglio (Testo rilevante ai fini
del SEE) e' pubblicato nella G.U.U.E. 21 dicembre 2018, n.
L 328.
- Si riporta il testo degli articoli 1 e 2, della legge
11 gennaio 2018, n. 5 recante «Nuove disposizioni in
materia di iscrizione e funzionamento del registro delle
opposizioni e istituzione di prefissi nazionali per le
chiamate telefoniche a scopo statistico, promozionale e di
ricerche di mercato», pubblicata nella Gazzetta Ufficiale 3
febbraio 2018, n. 28., come modificato dalla presente
legge:
«Art. 1. - 1. Ai fini della presente legge si
applicano le definizioni di cui all'articolo 4 del codice
in materia di protezione dei dati personali, di cui al
decreto legislativo 30 giugno 2003, n. 196, e all'articolo
1 del regolamento di cui al decreto del Presidente della
Repubblica 7 settembre 2010, n. 178.
2. Possono iscriversi, a seguito di loro specifica
richiesta, anche contemporaneamente per tutte le utenze
telefoniche, fisse e mobili, loro intestate, anche per via
telematica o telefonica, al registro pubblico delle
opposizioni istituito ai sensi del comma 1 dell'articolo 3
del regolamento di cui al decreto del Presidente della
Repubblica n. 178 del 2010, tutti gli interessati che
vogliano opporsi al trattamento delle proprie numerazioni
telefoniche effettuato mediante operatore con l'impiego del
telefono nonche', ai fini della revoca di cui al comma 5,
anche mediante sistemi automatizzati di chiamata o chiamate
senza l'intervento di un operatore, per fini di invio di
materiale pubblicitario o di vendita diretta, ovvero per il
compimento di ricerche di mercato o di comunicazione
commerciale.
3. Nel registro di cui al comma 2 sono comunque
inserite anche le numerazioni fisse non pubblicate negli
elenchi di abbonati di cui all'articolo 2, comma 2, del
regolamento di cui al decreto del Presidente della
Repubblica n. 178 del 2010, che gli operatori sono tenuti a
fornire al gestore del registro con la stessa periodicita'
di aggiornamento prevista per la base di dati unica.
4. Gli interessati iscritti al registro di cui al
comma 2, le cui numerazioni siano o meno riportate negli
elenchi di abbonati di cui all'articolo 2, comma 2, del
regolamento di cui al decreto del Presidente della
Repubblica n. 178 del 2010, possono revocare, anche per
periodi di tempo definiti, la propria opposizione nei
confronti di uno o piu' soggetti di cui all'articolo 1,
comma 1, lettera c), del medesimo regolamento, in qualunque
momento, anche per via telematica o telefonica.
5. Con l'iscrizione al registro di cui al comma 2 si
intendono revocati tutti i consensi precedentemente
espressi, con qualsiasi forma o mezzo e a qualsiasi
soggetto, che autorizzano il trattamento delle proprie
numerazioni telefoniche fisse o mobili effettuato per fini
di pubblicita' o di vendita ovvero per il compimento di
ricerche di mercato o di comunicazione commerciale ed e'
altresi' precluso, per le medesime finalita', l'uso delle
numerazioni telefoniche cedute a terzi dal titolare del
trattamento sulla base dei consensi precedentemente
rilasciati. Sono fatti salvi i consensi prestati
nell'ambito di specifici rapporti contrattuali in essere,
ovvero cessati da non piu' di trenta giorni, aventi ad
oggetto la fornitura di beni o servizi, per i quali e'
comunque assicurata, con procedure semplificate, la
facolta' di revoca.
6. E' valido il consenso al trattamento dei dati
personali prestato dall'interessato, ai titolari da questo
indicati, successivamente all'iscrizione nel registro di
cui al comma 2.
7. A decorrere dalla data di entrata in vigore della
presente legge, sono vietati, con qualsiasi forma o mezzo,
la comunicazione a terzi, il trasferimento e la diffusione
di dati personali degli interessati iscritti al registro di
cui al comma 2, da parte del titolare del trattamento, per
fini di pubblicita' o di vendita ovvero per il compimento
di ricerche di mercato o di comunicazione commerciale non
riferibili alle attivita', ai prodotti o ai servizi offerti
dal titolare del trattamento.
8. In caso di cessione a terzi di dati relativi alle
numerazioni telefoniche, il titolare del trattamento e'
tenuto a comunicare agli interessati gli estremi
identificativi del soggetto a cui i medesimi dati sono
trasferiti.
9. Al di fuori dei casi previsti dall'articolo 167
del codice di cui al decreto legislativo n. 196 del 2003,
in caso di violazione di uno dei divieti di cui al comma 7,
si applica la sanzione amministrativa di cui all'articolo
166, comma 2, del medesimo codice. In caso di reiterazione
delle suddette violazioni, su segnalazione del Garante per
la protezione dei dati personali, le autorita' competenti
possono altresi' disporre la sospensione o, nelle ipotesi
piu' gravi, la revoca dell'autorizzazione all'esercizio
dell'attivita'.
10. Ai sensi dell'articolo 12, comma 2, del
regolamento di cui al decreto del Presidente della
Repubblica n. 178 del 2010, in caso di violazione del
diritto di opposizione nelle forme previste dalla presente
legge, si applica la sanzione amministrativa di cui
all'articolo 166, comma 2, del codice di cui al decreto
legislativo n. 196 del 2003. In caso di reiterazione delle
suddette violazioni, su segnalazione del Garante per la
protezione dei dati personali, le autorita' competenti
possono altresi' disporre la sospensione o, nelle ipotesi
piu' gravi, la revoca dell'autorizzazione all'esercizio
dell'attivita'.
11. Il titolare del trattamento dei dati personali e'
responsabile in solido delle violazioni delle disposizioni
della presente legge anche nel caso di affidamento a terzi
di attivita' di call center per l'effettuazione delle
chiamate telefoniche.
12. Gli operatori che utilizzano i sistemi di
pubblicita' telefonica e di vendita telefonica o che
compiono ricerche di mercato o comunicazioni commerciali
telefoniche con o senza l'intervento di un operatore umano
hanno l'obbligo di consultare mensilmente, e comunque
precedentemente all'inizio di ogni campagna promozionale,
il registro pubblico delle opposizioni e di provvedere
all'aggiornamento delle proprie liste.
13. Al fine di rendere piu' agevole e meno costosa la
consultazione periodica del registro da parte degli
operatori di cui al comma 12, il Ministro dello sviluppo
economico, sentiti il gestore del registro, se diverso dal
Ministero dello sviluppo economico, gli operatori e le
associazioni di categoria maggiormente rappresentative, con
proprio decreto da emanare entro sei mesi dalla data di
entrata in vigore della presente legge detta criteri
generali per l'aggiornamento periodico delle tariffe con le
modalita' previste dall'articolo 6, comma 1, del
regolamento di cui al decreto del Presidente della
Repubblica n. 178 del 2010, conformandosi ai seguenti
criteri:
a) promuovere l'adozione da parte del gestore del
registro e degli operatori di forme tecniche, anche
mediante l'utilizzo di tecnologie avanzate, con il fine di
contenere il costo delle tariffe di consultazione
preliminare del registro;
b) prevedere modelli tariffari agevolati anche con
forme di abbonamento temporale per gli operatori a cui non
siano state comminate, negli ultimi cinque anni, le
sanzioni di cui all'articolo 162, comma 2-quater, del
codice di cui al decreto legislativo n. 196 del 2003;
c) prevedere comunque, nella determinazione delle
tariffe, l'integrale copertura dei costi di tenuta del
registro.
14. E' vietato l'utilizzo di compositori telefonici
per la ricerca automatica di numeri anche non inseriti
negli elenchi di abbonati di cui all'articolo 2, comma 2,
del regolamento di cui al decreto del Presidente della
Repubblica n. 178 del 2010. In caso di violazione di tale
divieto, si applica la sanzione amministrativa di cui
all'articolo 162, comma 2-bis, del codice di cui al decreto
legislativo n. 196 del 2003.
15. Con decreto del Presidente della Repubblica, da
emanare su proposta del Ministro dello sviluppo economico,
ai sensi dell'articolo 17, comma 2, della legge 23 agosto
1988, n. 400, entro novanta giorni dalla data di entrata in
vigore della presente legge, sono apportate le opportune
modifiche alle disposizioni regolamentari vigenti che
disciplinano le modalita' di iscrizione e funzionamento del
registro delle opposizioni ed e' altresi' disposta
l'abrogazione di eventuali disposizioni regolamentari
incompatibili con le norme della presente legge.».
«Art. 2. - 1. Tutti gli operatori che svolgono
attivita' di call center, per chiamate con o senza
operatore, rivolte a numerazioni nazionali fisse o mobili
devono garantire la piena attuazione dell'obbligo di
presentazione dell'identificazione della linea chiamante e
il rispetto di quanto previsto dall'articolo 7, comma 4,
lettera b), del codice di cui al decreto legislativo n. 196
del 2003. A tal fine, entro novanta giorni dalla data di
entrata in vigore della presente legge, l'Autorita' per le
garanzie nelle comunicazioni individua, ai sensi
dell'articolo 15 del codice di cui al decreto legislativo
1º agosto 2003, n. 259, due codici o prefissi specifici,
atti a identificare e distinguere in modo univoco le
chiamate telefoniche finalizzate ad attivita' statistiche
da quelle finalizzate al compimento di ricerche di mercato
e ad attivita' di pubblicita', vendita e comunicazione
commerciale. Gli operatori esercenti l'attivita' di call
center provvedono ad adeguare tutte le numerazioni
telefoniche utilizzate per i servizi di call center, anche
delocalizzati, facendo richiesta di assegnazione delle
relative numerazioni entro sessanta giorni dalla data di
entrata in vigore del provvedimento dell'Autorita' per le
garanzie nelle comunicazioni previsto al periodo
precedente, oppure presentano l'identita' della linea a cui
possono essere contattati. L'Autorita' vigila sul rispetto
delle disposizioni di cui al presente comma applicando, in
caso di violazione, le sanzioni di cui all'articolo 1,
commi 29, 30, 31 e 32, della legge 31 luglio 1997, n.
249.».
- Il testo dell'articolo 42, comma 1, del citato
decreto legislativo 18 maggio 2018, n. 51, e' il seguente:
«Art. 42 (Sanzioni amministrative). - 1. Salvo che il
fatto costituisca reato e ad esclusione dei trattamenti
svolti in ambito giudiziario, la violazione delle
disposizioni di cui all'articolo 3, comma 1, lettere a),
b), d), e) ed f), all'articolo 4, commi 2 e 3, all'articolo
6, commi 3 e 4, all'articolo 7, all'articolo 8, e' punita
con la sanzione amministrativa del pagamento di una somma
da 50.000 euro a 150.000 euro. La medesima sanzione
amministrativa si applica al trasferimento dei dati
personali verso un Paese terzo o un'organizzazione
internazionale in assenza della decisione di adeguatezza
della Commissione europea, salvo quanto previsto dagli
articoli 33 e 34.».
- Il testo dell'articolo 24, comma 1, lettera b) del
citato decreto legislativo 18 maggio 2018, n. 51, e' il
seguente:
«Art. 24 (Consultazione preventiva del Garante). - 1.
Salvo quanto previsto dall'articolo 37, comma 6, il
titolare del trattamento o il responsabile del trattamento
consultano il Garante prima del trattamento di dati
personali che figureranno in un nuovo archivio di prossima
creazione se:
a) una valutazione d'impatto sulla protezione dei
dati di cui all'articolo 23 indica che il trattamento
presenterebbe un rischio elevato in assenza di misure
adottate dal titolare del trattamento per attenuare il
rischio; oppure
b) il tipo di trattamento presenta un rischio
elevato per i diritti e le liberta' degli interessati anche
in ragione dell'utilizzo di tecnologie, procedure o
meccanismi nuovi ovvero di dati genetici o biometrici.
2. - 6. Omissis.».
- Il testo dell'articolo 1, comma 200, della legge 23
dicembre 2014, n. 190, recante «Disposizioni per la
formazione del bilancio annuale e pluriennale dello Stato
(legge di stabilita' 2015)», pubblicata nella Gazzetta
Ufficiale. 29 dicembre 2014, n. 300, S.O. n. 99, e' il
seguente:
«Nello stato di previsione del Ministero
dell'economia e delle finanze e' istituito un Fondo per far
fronte ad esigenze indifferibili che si manifestano nel
corso della gestione, con la dotazione di 27 milioni di
euro per l'anno 2015 e di 25 milioni di euro annui a
decorrere dall'anno 2016. Il Fondo e' ripartito annualmente
con uno o piu' decreti del Presidente del Consiglio dei
ministri su proposta del Ministro dell'economia e delle
finanze. Il Ministro dell'economia e delle finanze e'
autorizzato ad apportare le occorrenti variazioni di
bilancio.».
- Il testo vigente dell'articolo 1, comma 3, della
legge 31 dicembre 2009, n. 196, recante «Legge di
contabilita' e finanza pubblica», pubblicata nella Gazzetta
Ufficiale. 31 dicembre 2009, n. 303, S.O. n. 245, e' il
seguente:
«Art. 1 (Principi di coordinamento e ambito di
riferimento). - 1. - 2. Omissis.
3. La ricognizione delle amministrazioni pubbliche di
cui al comma 2 e' operata annualmente dall'ISTAT con
proprio provvedimento e pubblicata nella Gazzetta Ufficiale
entro il 30 settembre.
4. - 5. Omissis.».