Art. 9 ((Disposizioni in materia di protezione dei dati personali 1. Al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni: a) all'articolo 2-ter: 1) al comma 1, le parole: «esclusivamente» e: «, nei casi previsti dalla legge,» sono soppresse e dopo le parole: «di regolamento» sono aggiunte le seguenti: «o da atti amministrativi generali»; 2) dopo il comma 1 e' inserito il seguente: «1-bis. Fermo restando ogni altro obbligo previsto dal Regolamento e dal presente codice, il trattamento dei dati personali da parte di un'amministrazione pubblica di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ivi comprese le autorita' indipendenti e le amministrazioni inserite nell'elenco di cui all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonche' da parte di una societa' a controllo pubblico statale o, limitatamente ai gestori di servizi pubblici, locale, di cui all'articolo 16 del testo unico in materia di societa' a partecipazione pubblica, di cui al decreto legislativo 19 agosto 2016, n. 175, con esclusione, per le societa' a controllo pubblico, dei trattamenti correlati ad attivita' svolte in regime di libero mercato, e' anche consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri ad esse attribuiti. In modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle liberta' degli interessati, le disposizioni di cui al presente comma sono esercitate nel rispetto dell'articolo 6 del Regolamento»; 3) al comma 2, al primo periodo, dopo le parole: «ai sensi del comma 1» sono aggiunte le seguenti: «o se necessaria ai sensi del comma 1-bis» e il secondo periodo e' soppresso; 4) al comma 3, dopo le parole: «ai sensi del comma 1» sono aggiunte le seguenti: «o se necessarie ai sensi del comma 1-bis. In tale ultimo caso, ne viene data notizia al Garante almeno dieci giorni prima dell'inizio della comunicazione o diffusione»; b) all'articolo 2-sexies: 1) al comma 1, le parole: «, nei casi previsti dalla legge,» sono soppresse e dopo le parole: «di regolamento» sono inserite le seguenti: «o da atti amministrativi generali»; 2) dopo il comma 1 e' inserito il seguente: «1-bis. I dati personali relativi alla salute, privi di elementi identificativi diretti, sono trattati, nel rispetto delle finalita' istituzionali di ciascuno, dal Ministero della salute, dall'Istituto superiore di sanita', dall'Agenzia nazionale per i servizi sanitari regionali, dall'Agenzia italiana del farmaco, dall'Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della poverta' e, relativamente ai propri assistiti, dalle regioni anche mediante l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico (FSE), aventi finalita' compatibili con quelle sottese al trattamento, con le modalita' e per le finalita' fissate con decreto del Ministro della salute, ai sensi del comma 1, previo parere del Garante, nel rispetto di quanto previsto dal Regolamento, dal presente codice, dal codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e dalle linee guida dell'Agenzia per l'Italia digitale in materia di interoperabilita' »; c) l'articolo 2-quinquiesdecies e' abrogato; d) all'articolo 58: 1) al comma 1, dopo le parole: «o regolamento» sono inserite le seguenti: «o previste da atti amministrativi generali»; 2) al comma 2, le parole: «ad espresse» sono sostituite dalla seguente: «a» e dopo le parole: «di legge» sono inserite le seguenti: «o di regolamento o previste da atti amministrativi generali,»; e) all'articolo 132, comma 5, le parole: «secondo le modalita' di cui all'articolo 2-quinquiesdecies» sono sostituite dalle seguenti: «con provvedimento di carattere generale»; f) all'articolo 137, comma 2, lettera a), le parole: «e ai provvedimenti generali di cui all'articolo 2-quinquiesdecies» sono soppresse; g) dopo l'articolo 144 e' inserito il seguente: «Art. 144-bis (Revenge porn). - 1. Chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che registrazioni audio, immagini o video o altri documenti informatici a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione attraverso piattaforme digitali senza il suo consenso ha facolta' di segnalare il pericolo al Garante, il quale, nelle quarantotto ore dal ricevimento della segnalazione, decide ai sensi degli articoli 143 e 144 del presente codice. 2. Quando le registrazioni audio, le immagini o i video o gli altri documenti informatici riguardano minori, la segnalazione al Garante puo' essere effettuata anche dai genitori o dagli esercenti la responsabilita' genitoriale o la tutela. 3. Per le finalita' di cui al comma 1, l'invio al Garante di registrazioni audio, immagini o video o altri documenti informatici a contenuto sessualmente esplicito riguardanti soggetti terzi, effettuato dall'interessato, non integra il reato di cui all'articolo 612-ter del codice penale. 4. I gestori delle piattaforme digitali destinatari dei provvedimenti di cui al comma 1 conservano il materiale oggetto della segnalazione, a soli fini probatori e con misure indicate dal Garante, anche nell'ambito dei medesimi provvedimenti, idonee a impedire la diretta identificabilita' degli interessati, per dodici mesi a decorrere dal ricevimento del provvedimento stesso. 5. Il Garante, con proprio provvedimento, puo' disciplinare specifiche modalita' di svolgimento dei procedimenti di cui al comma 1 e le misure per impedire la diretta identificabilita' degli interessati di cui al medesimo comma. 6. I fornitori di servizi di condivisione di contenuti audiovisivi, ovunque stabiliti, che erogano servizi accessibili in Italia, indicano senza ritardo al Garante o pubblicano nel proprio sito internet un recapito al quale possono essere comunicati i provvedimenti adottati ai sensi del comma 1. In caso di inadempimento dell'obbligo di cui al periodo precedente, il Garante diffida il fornitore del servizio ad adempiere entro trenta giorni. In caso di inottemperanza alla diffida si applica la sanzione amministrativa pecuniaria di cui all'articolo 83, paragrafo 4, del Regolamento. 7. Quando il Garante, a seguito della segnalazione di cui al comma 1, acquisisce notizia della consumazione del reato di cui all'articolo 612-ter del codice penale, anche in forma tentata, nel caso di procedibilita' d'ufficio trasmette al pubblico ministero la segnalazione ricevuta e la documentazione acquisita»; h) all'articolo 153, comma 6, al primo periodo, dopo le parole: «Al presidente» sono inserite le seguenti: «e ai componenti» e il secondo periodo e' sostituito dal seguente: «L'indennita' di funzione di cui al primo periodo e' da ritenere onnicomprensiva ad esclusione del rimborso delle spese effettivamente sostenute e documentate in occasione di attivita' istituzionali»; i) all'articolo 154, dopo il comma 5 sono inseriti i seguenti: «5-bis. Il parere di cui all'articolo 36, paragrafo 4, del Regolamento e' reso dal Garante nei soli casi in cui la legge o il regolamento in corso di adozione disciplina espressamente le modalita' del trattamento descrivendo una o piu' operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione, nonche' nei casi in cui la norma di legge o di regolamento autorizza espressamente un trattamento di dati personali da parte di soggetti privati senza rinviare la disciplina delle modalita' del trattamento a fonti sottoordinate. 5-ter. Quando il Presidente del Consiglio dei ministri dichiara che ragioni di urgenza non consentono la consultazione preventiva e comunque nei casi di adozione di decreti-legge, il Garante esprime il parere di cui al comma 5-bis: a) in sede di esame parlamentare dei disegni di legge o dei disegni di legge di conversione dei decreti-legge; b) in sede di esame definitivo degli schemi di decreto legislativo sottoposti al parere delle Commissioni parlamentari»; l) all'articolo 156: 1) al comma 2, il primo periodo e' sostituito dal seguente: «A decorrere dal 1° gennaio 2022, il ruolo organico del personale dipendente e' stabilito nel limite di duecento unita'»; 2) al comma 3, lettera d), le parole: «l'80 per cento del trattamento» sono sostituite dalle seguenti: «il trattamento»; 3) al comma 4, le parole: «venti unita'» sono sostituite dalle seguenti: «trenta unita'»; 4) al comma 5, le parole: «venti unita'» sono sostituite dalle seguenti: «trenta unita'»; m) all'articolo 166: 1) al comma 1, primo periodo, la parola: «2-quinquiesdecies» e' soppressa; 2) al comma 5 sono aggiunti, in fine, i seguenti periodi: «Nei confronti dei titolari del trattamento di cui agli articoli 2-ter, comma 1-bis, e 58 del presente codice e all'articolo 1, comma 1, del decreto legislativo 18 maggio 2018, n. 51, la predetta notifica puo' essere omessa esclusivamente nel caso in cui il Garante abbia accertato che le presunte violazioni hanno gia' arrecato e continuano ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati al trattamento, che il Garante ha l'obbligo di individuare e indicare nel provvedimento, motivando puntualmente le ragioni dell'omessa notifica. In assenza di tali presupposti, il giudice competente accerta l'inefficacia del provvedimento»; 3) al comma 7, primo periodo, sono aggiunte, in fine, le seguenti parole: «o dell'ingiunzione a realizzare campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravita' della violazione. Nella determinazione della sanzione ai sensi dell'articolo 83, paragrafo 2, del Regolamento, il Garante tiene conto anche di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione»; n) all'articolo 167, comma 2, le parole: «ovvero operando in violazione delle misure adottate ai sensi dell'articolo 2-quinquiesdecies» sono soppresse; o) all'articolo 170, comma 1, le parole: «essendovi tenuto, non osserva» sono sostituite dalle seguenti: «non osservando», dopo le parole: «legge 25 ottobre 2017, n. 163» sono inserite le seguenti: «, arreca un concreto nocumento a uno o piu' soggetti interessati al trattamento» e dopo le parole: «e' punito» sono inserite le seguenti: «, a querela della persona offesa,». 2. All'articolo 22 del decreto legislativo 10 agosto 2018, n. 101, il comma 3 e' abrogato. 3. Al decreto legislativo 18 maggio 2018, n. 51, sono apportate le seguenti modificazioni: a) all'articolo 5: 1) al comma 1, le parole: «, nei casi previsti dalla legge,» sono soppresse e dopo le parole: «di regolamento» sono inserite le seguenti: «o su atti amministrativi generali»; 2) al comma 2, le parole: «del Presidente della Repubblica, adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400» sono sostituite dalle seguenti: «, rispettivamente, del Ministro della giustizia e del Ministro dell'interno»; b) all'articolo 45, comma 1, le parole: «essendovi tenuto, non osserva» sono sostituite dalle seguenti: non osservando», dopo le parole: «articolo 1, comma 2,» sono inserite le seguenti: «arreca un concreto nocumento a uno o piu' interessati» e dopo le parole: «e' punito» sono inserite le seguenti: «, a querela della persona offesa,». 4. All'articolo 7 del decreto-legge 19 maggio 2020, n. 34, convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77, sono apportate le seguenti modificazioni: a) dopo il comma 1 e' inserito il seguente: «1-bis. Con le modalita' e nei limiti stabiliti dal decreto di cui al comma 2 e fatto salvo quanto previsto dall'articolo 105 del codice di cui al decreto legislativo n. 196 del 2003, il Ministero della salute e' autorizzato a trattare anche i dati personali non relativi alla salute necessari a garantire l'effettivo perseguimento delle finalita' di cui al comma 1 e l'attuazione del corrispondente intervento di cui alla missione M6 del Piano nazionale di ripresa e resilienza approvato con la decisione di esecuzione del Consiglio dell'Unione europea del 13 luglio 2021. Ai fini di cui al primo periodo, e' autorizzata l'interconnessione dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico (FSE), con i sistemi informativi gestiti da altre amministrazioni pubbliche che raccolgono i dati non relativi alla salute specificamente individuati dal decreto di cui al comma 2, con modalita' tali da garantire che l'interessato non sia direttamente identificabile»; b) al comma 2, le parole: «Con regolamento adottato con decreto del Ministro della salute» sono sostituite dalle seguenti: «Con decreto del Ministro della salute, di natura non regolamentare,»; c) dopo il comma 2 e' aggiunto il seguente: «2-bis. Nelle more dell'adozione del decreto di cui al comma 2, il Ministero della salute avvia le attivita' relative alla classificazione delle patologie croniche presenti nella popolazione italiana, limitatamente alla costruzione di modelli analitici prodromici alla realizzazione del modello predittivo del fabbisogno di salute della popolazione, garantendo che gli interessati non siano direttamente identificabili». 5. Gli articoli 2-ter, comma 1, 2-sexies, comma 1, e 58, commi 1 e 2, del codice di cui al decreto legislativo n. 196 del 2003 e l'articolo 5 del decreto legislativo n. 51 del 2018, come modificati dal presente articolo, si applicano anche ai casi in cui disposizioni di legge gia' in vigore stabiliscono che i tipi di dati che possono essere trattati, le operazioni eseguibili, il motivo di interesse pubblico rilevante, la finalita' del trattamento nonche' le misure appropriate e specifiche per tutelare i diritti fondamentali dell'interessato e i suoi interessi sono previsti da uno o piu' regolamenti. 6. In fase di prima attuazione, l'obbligo di indicazione o di pubblicazione del recapito previsto dall'articolo 144-bis, comma 6, del codice di cui al decreto legislativo n. 196 del 2003, introdotto dalla lettera g) del comma 1 del presente articolo, e' adempiuto nel termine di sei mesi dalla data di entrata in vigore della legge di conversione del presente decreto. 7. I pareri del Garante per la protezione dei dati personali richiesti con riguardo a riforme, misure e progetti del Piano nazionale di ripresa e resilienza di cui al regolamento (UE) 2021/241 del Parlamento europeo e del Consiglio, del 12 febbraio 2021, del Piano nazionale per gli investimenti complementari di cui al decreto-legge 6 maggio 2021, n. 59, convertito, con modificazioni, dalla legge 1° luglio 2021, n. 101, nonche' del Piano nazionale integrato per l'energia e il clima 2030 di cui al regolamento (UE) 2018/1999 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018, sono resi nel termine non prorogabile di trenta giorni dalla richiesta, decorso il quale si puo' procedere indipendentemente dall'acquisizione del parere. 8. Alla legge 11 gennaio 2018, n. 5, sono apportate le seguenti modificazioni: a) all'articolo 1, comma 2, dopo le parole: «mediante operatore con l'impiego del telefono» sono inserite le seguenti: «nonche', ai fini della revoca di cui al comma 5, anche mediante sistemi automatizzati di chiamata o chiamate senza l'intervento di un operatore,»; b) all'articolo 1, comma 5, le parole: «mediante operatore con l'impiego del telefono» sono soppresse; c) all'articolo 1, comma 12, dopo le parole: «o che compiono ricerche di mercato o comunicazioni commerciali telefoniche» sono inserite le seguenti: «con o senza l'intervento di un operatore umano»; d) all'articolo 2, comma 1, primo periodo, dopo le parole: «attivita' di call center» sono inserite le seguenti: «, per chiamate con o senza operatore,». 9. In considerazione di quanto disposto dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, nonche' dalla direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e dell'esigenza di disciplinare conformemente i requisiti di ammissibilita', le condizioni e le garanzie relativi all'impiego di sistemi di riconoscimento facciale, nel rispetto del principio di proporzionalita' previsto dall'articolo 52 della Carta dei diritti fondamentali dell'Unione europea, l'installazione e l'utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l'uso dei dati biometrici di cui all'articolo 4, numero 14), del citato regolamento (UE) 2016/679 in luoghi pubblici o aperti al pubblico, da parte delle autorita' pubbliche o di soggetti privati, sono sospese fino all'entrata in vigore di una disciplina legislativa della materia e comunque non oltre il 31 dicembre 2023. 10. La sospensione di cui al comma 9 non si applica agli impianti di videosorveglianza che non usano i sistemi di riconoscimento facciale di cui al medesimo comma 9 e che sono conformi alla normativa vigente. 11. In caso di installazione o di utilizzazione dei sistemi di cui al comma 9, dalla data di entrata in vigore della legge di conversione del presente decreto e fino al 31 dicembre 2023, salvo che il fatto costituisca reato, si applicano le sanzioni amministrative pecuniarie stabilite dall'articolo 166, comma 1, del codice di cui al decreto legislativo 30 giugno 2003, n. 196 e dall'articolo 42, comma 1, del decreto legislativo 18 maggio 2018, n. 51, in base al rispettivo ambito di applicazione. 12. I commi 9, 10 e 11 non si applicano ai trattamenti effettuati dalle autorita' competenti a fini di prevenzione e repressione dei reati o di esecuzione di sanzioni penali di cui al decreto legislativo 18 maggio 2018, n. 51, in presenza, salvo che si tratti di trattamenti effettuati dall'autorita' giudiziaria nell'esercizio delle funzioni giurisdizionali nonche' di quelle giudiziarie del pubblico ministero, di parere favorevole del Garante reso ai sensi dell'articolo 24, comma 1, lettera b), del medesimo decreto legislativo n. 51 del 2018. 13. Per l'attuazione delle disposizioni di cui al comma 1, lettere h) e l), e' autorizzata la spesa di euro 8.357.714 per l'anno 2022, euro 11.140.661 per l'anno 2023, euro 11.458.255 per l'anno 2024, euro 11.785.121 per l'anno 2025, euro 12.121.527 per l'anno 2026, euro 12.467.754 per l'anno 2027, euro 12.824.086 per l'anno 2028, euro 13.190.820 per l'anno 2029, euro 13.568.259 per l'anno 2030 ed euro 13.956.716 a decorrere dall'anno 2031, cui si provvede mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190. 14. Con decreto del Presidente del Consiglio dei ministri, da adottare entro centottanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono definiti meccanismi regolatori di armonizzazione della disciplina del trattamento economico nell'ambito delle autorita' amministrative indipendenti incluse nell'elenco delle amministrazioni pubbliche inserite nel conto economico consolidato della pubblica amministrazione, individuate annualmente dall'ISTAT ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196.))
Riferimenti normativi - Si riporta il testo dell'articolo 2-ter del decreto legislativo 30 giugno 2003, n. 196 recante: "Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE", pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n. 174, S.O. n. 123, come modificato dalla presente legge: «Art. 2-ter (Base giuridica per il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri). - 1. La base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del regolamento e' costituita da una norma di legge o di regolamento o da atti amministrativi generali. 1-bis. Fermo restando ogni altro obbligo previsto dal Regolamento e dal presente codice, il trattamento dei dati personali da parte di un'amministrazione pubblica di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ivi comprese le autorita' indipendenti e le amministrazioni inserite nell'elenco di cui all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonche' da parte di una societa' a controllo pubblico statale o, limitatamente ai gestori di servizi pubblici, locale, di cui all'articolo 16 del testo unico in materia di societa' a partecipazione pubblica, di cui al decreto legislativo 19 agosto 2016, n. 175, con esclusione, per le societa' a controllo pubblico, dei trattamenti correlati ad attivita' svolte in regime di libero mercato, e' anche consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri ad esse attribuiti. In modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle liberta' degli interessati, le disposizioni di cui al presente comma sono esercitate nel rispetto dell'articolo 6 del Regolamento; 2. La comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli ricompresi nelle particolari categorie di cui all'articolo 9 del Regolamento e di quelli relativi a condanne penali e reati di cui all'articolo 10 del Regolamento, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri e' ammessa se prevista ai sensi del comma 1 o se necessaria ai sensi del comma 1-bis. 3. La diffusione e la comunicazione di dati personali, trattati per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalita' sono ammesse unicamente se previste ai sensi del comma 1 o se necessarie ai sensi del comma 1-bis. In tale ultimo caso, ne viene data notizia al Garante almeno dieci giorni prima dell'inizio della comunicazione o diffusione. 4. Si intende per: a) "comunicazione", il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali sotto l'autorita' diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione; b) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.». - Si riporta il testo dell'articolo 2-sexies del citato decreto legislativo 30 giugno 2003, n. 196, come modificato dalla presente legge: «Art. 2-sexies (Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante). - 1. I trattamenti delle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonche' le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato. 1-bis. I dati personali relativi alla salute, privi di elementi identificativi diretti, sono trattati, nel rispetto delle finalita' istituzionali di ciascuno, dal Ministero della salute, dall'Istituto superiore di sanita', dall'Agenzia nazionale per i servizi sanitari regionali, dall'Agenzia italiana del farmaco, dall'Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della poverta' e, relativamente ai propri assistiti, dalle regioni anche mediante l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico (FSE), aventi finalita' compatibili con quelle sottese al trattamento, con le modalita' e per le finalita' fissate con decreto del Ministro della salute, ai sensi del comma 1, previo parere del Garante, nel rispetto di quanto previsto dal Regolamento, dal presente codice, dal codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e dalle linee guida dell'Agenzia per l'Italia digitale in materia di interoperabilita'. 2. Fermo quanto previsto dal comma 1, si considera rilevante l'interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle seguenti materie: a) accesso a documenti amministrativi e accesso civico; b) tenuta degli atti e dei registri dello stato civile, delle anagrafi della popolazione residente in Italia e dei cittadini italiani residenti all'estero, e delle liste elettorali, nonche' rilascio di documenti di riconoscimento o di viaggio o cambiamento delle generalita'; c) tenuta di registri pubblici relativi a beni immobili o mobili; d) tenuta dell'anagrafe nazionale degli abilitati alla guida e dell'archivio nazionale dei veicoli; e) cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato; f) elettorato attivo e passivo ed esercizio di altri diritti politici, protezione diplomatica e consolare, nonche' documentazione delle attivita' istituzionali di organi pubblici, con particolare riguardo alla redazione di verbali e resoconti dell'attivita' di assemblee rappresentative, commissioni e di altri organi collegiali o assembleari; g) esercizio del mandato degli organi rappresentativi, ivi compresa la loro sospensione o il loro scioglimento, nonche' l'accertamento delle cause di ineleggibilita', incompatibilita' o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche; h) svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e l'accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalita' direttamente connesse all'espletamento di un mandato elettivo; i) attivita' dei soggetti pubblici dirette all'applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale, comprese quelle di prevenzione e contrasto all'evasione fiscale; l) attivita' di controllo e ispettive; m) concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni; n) conferimento di onorificenze e ricompense, riconoscimento della personalita' giuridica di associazioni, fondazioni ed enti, anche di culto, accertamento dei requisiti di onorabilita' e di professionalita' per le nomine, per i profili di competenza del soggetto pubblico, ad uffici anche di culto e a cariche direttive di persone giuridiche, imprese e di istituzioni scolastiche non statali, nonche' rilascio e revoca di autorizzazioni o abilitazioni, concessione di patrocini, patronati e premi di rappresentanza, adesione a comitati d'onore e ammissione a cerimonie ed incontri istituzionali; o) rapporti tra i soggetti pubblici e gli enti del terzo settore; p) obiezione di coscienza; q) attivita' sanzionatorie e di tutela in sede amministrativa o giudiziaria; r) rapporti istituzionali con enti di culto, confessioni religiose e comunita' religiose; s) attivita' socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci; t) attivita' amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d'organo e di tessuti nonche' alle trasfusioni di sangue umano; u) compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonche' compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumita' fisica; v) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, ivi incluse l'instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l'amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale; z) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria; aa) tutela sociale della maternita' ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili; bb) istruzione e formazione in ambito scolastico, professionale, superiore o universitario; cc) trattamenti effettuati a fini di archiviazione nel pubblico interesse o di ricerca storica, concernenti la conservazione, l'ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli enti pubblici, o in archivi privati dichiarati di interesse storico particolarmente importante, per fini di ricerca scientifica, nonche' per fini statistici da parte di soggetti che fanno parte del sistema statistico nazionale (Sistan); dd) instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunita' nell'ambito dei rapporti di lavoro, adempimento degli obblighi retributivi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento della responsabilita' civile, disciplinare e contabile, attivita' ispettiva. 3. Per i dati genetici, biometrici e relativi alla salute il trattamento avviene comunque nel rispetto di quanto previsto dall'articolo 2-septies.». - Si riporta il testo dell'articolo 58 del citato decreto legislativo 30 giugno 2003, n. 196, come modificato dalla presente legge: «Art. 58. (Trattamenti di dati personali per fini di sicurezza nazionale o difesa). - 1. Ai trattamenti di dati personali effettuati dagli organismi di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, sulla base dell'articolo 26 della predetta legge o di altre disposizioni di legge o regolamento o previste da atti amministrativi generali, ovvero relativi a dati coperti da segreto di Stato ai sensi degli articoli 39 e seguenti della medesima legge, si applicano le disposizioni di cui all'articolo 160, comma 4, nonche', in quanto compatibili, le disposizioni di cui agli articoli 2, 3, 8, 15, 16, 18, 25, 37, 41, 42 e 43 del decreto legislativo 18 maggio 2018, n. 51. 2. Fermo restando quanto previsto dal comma 1, ai trattamenti effettuati da soggetti pubblici per finalita' di difesa o di sicurezza dello Stato, in base a disposizioni di legge o di regolamento o previste da atti amministrativi generali, che prevedano specificamente il trattamento, si applicano le disposizioni di cui al comma 1 del presente articolo, nonche' quelle di cui agli articoli 23 e 24 del decreto legislativo 18 maggio 2018, n. 51. 3. Con uno o piu' regolamenti sono individuate le modalita' di applicazione delle disposizioni di cui ai commi 1 e 2, in riferimento alle tipologie di dati, di interessati, di operazioni di trattamento eseguibili e di persone autorizzate al trattamento dei dati personali sotto l'autorita' diretta del titolare o del responsabile ai sensi dell'articolo 2-quaterdecies, anche in relazione all'aggiornamento e alla conservazione. I regolamenti, negli ambiti di cui al comma 1, sono adottati ai sensi dell'articolo 43 della legge 3 agosto 2007, n. 124, e, negli ambiti di cui al comma 2, sono adottati con decreto del Presidente del Consiglio dei ministri, ai sensi dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, su proposta dei Ministri competenti. 4. Con uno o piu' regolamenti adottati con decreto del Presidente della Repubblica su proposta del Ministro della difesa, sono disciplinate le misure attuative del presente decreto in materia di esercizio delle funzioni di difesa e sicurezza nazionale da parte delle Forze armate.». - Si riporta il testo degli articoli 132 e 137 del citato decreto legislativo 30 giugno 2003, n. 196, come modificato dalla presente legge: «Art. 132 (Conservazione di dati di traffico per altre finalita'). - 1. Fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalita' di accertamento e repressione di reati, mentre, per le medesime finalita', i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione. 1-bis. I dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni. 2. Abrogato 3. Entro il termine di conservazione imposto dalla legge, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell'ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell'articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti per l'accertamento dei fatti, i dati sono acquisiti previa autorizzazione rilasciata dal giudice con decreto motivato, su richiesta del pubblico ministero o su istanza del difensore dell'imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private. 3-bis. Quando ricorrono ragioni di urgenza e vi e' fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, il pubblico ministero dispone la acquisizione dei dati con decreto motivato che e' comunicato immediatamente, e comunque non oltre quarantotto ore, al giudice competente per il rilascio dell'autorizzazione in via ordinaria. Il giudice, nelle quarantotto ore successive, decide sulla convalida con decreto motivato. 3-ter. Rispetto ai dati conservati per le finalita' indicate al comma 1 i diritti di cui agli articoli da 12 a 22 del Regolamento possono essere esercitati con le modalita' di cui all'articolo 2-undecies, comma 3, terzo, quarto e quinto periodo. 3-quater. I dati acquisiti in violazione delle disposizioni dei commi 3 e 3-bis non possono essere utilizzati. 4. 4-bis. 4-ter. Il Ministro dell'interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell'Arma dei carabinieri e del Corpo della guardia di finanza, nonche' gli altri soggetti indicati nel comma 1 dell'articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate da autorita' investigative straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere, secondo le modalita' indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989, ovvero per finalita' di accertamento e repressione di specifici reati. Il provvedimento, prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, puo' prevedere particolari modalita' di custodia dei dati e l'eventuale indisponibilita' dei dati stessi da parte dei fornitori e degli operatori di servizi informatici o telematici ovvero di terzi. 4-quater. Il fornitore o l'operatore di servizi informatici o telematici cui e' rivolto l'ordine previsto dal comma 4-ter deve ottemperarvi senza ritardo, fornendo immediatamente all'autorita' richiedente l'assicurazione dell'adempimento. Il fornitore o l'operatore di servizi informatici o telematici e' tenuto a mantenere il segreto relativamente all'ordine ricevuto e alle attivita' conseguentemente svolte per il periodo indicato dall'autorita'. In caso di violazione dell'obbligo si applicano, salvo che il fatto costituisca piu' grave reato, le disposizioni dell'articolo 326 del codice penale. 4-quinquies. I provvedimenti adottati ai sensi del comma 4-ter sono comunicati per iscritto, senza ritardo e comunque entro quarantotto ore dalla notifica al destinatario, al pubblico ministero del luogo di esecuzione il quale, se ne ricorrono i presupposti, li convalida. In caso di mancata convalida, i provvedimenti assunti perdono efficacia. 5. Il trattamento dei dati per le finalita' di cui al comma 1 e' effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell'interessato prescritti dal Garante con provvedimento di carattere generale volti a garantire che i dati conservati possiedano i medesimi requisiti di qualita', sicurezza e protezione dei dati in rete, nonche' ad indicare le modalita' tecniche per la periodica distruzione dei dati, decorsi i termini di cui al comma 1. 5-bis. E' fatta salva la disciplina di cui all'articolo 24 della legge 20 novembre 2017, n. 167.». - Si riporta il testo degli artt. 153 e 154 del citato decreto legislativo 30 giugno 2003, n. 196, come modificato dalla presente legge: «Art. 153 (Garante per la protezione dei dati personali). - 1. Il Garante e' composto dal Collegio, che ne costituisce il vertice, e dall'Ufficio. Il Collegio e' costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. I componenti devono essere eletti tra coloro che presentano la propria candidatura nell'ambito di una procedura di selezione il cui avviso deve essere pubblicato nei siti internet della Camera, del Senato e del Garante almeno sessanta giorni prima della nomina. Le candidature devono pervenire almeno trenta giorni prima della nomina e i curricula devono essere pubblicati negli stessi siti internet. Le candidature possono essere avanzate da persone che assicurino indipendenza e che risultino di comprovata esperienza nel settore della protezione dei dati personali, con particolare riferimento alle discipline giuridiche o dell'informatica. 2. I componenti eleggono nel loro ambito un presidente, il cui voto prevale in caso di parita'. Eleggono altresi' un vice presidente, che assume le funzioni del presidente in caso di sua assenza o impedimento. 3. L'incarico di presidente e quello di componente hanno durata settennale e non sono rinnovabili. Per tutta la durata dell'incarico il presidente e i componenti non possono esercitare, a pena di decadenza, alcuna attivita' professionale o di consulenza, anche non remunerata, ne' essere amministratori o dipendenti di enti pubblici o privati, ne' ricoprire cariche elettive. 4. I membri del Collegio devono mantenere il segreto, sia durante sia successivamente alla cessazione dell'incarico, in merito alle informazioni riservate cui hanno avuto accesso nell'esecuzione dei propri compiti o nell'esercizio dei propri poteri. 5. All'atto dell'accettazione della nomina il presidente e i componenti sono collocati fuori ruolo se dipendenti di pubbliche amministrazioni o magistrati in attivita' di servizio; se professori universitari di ruolo, sono collocati in aspettativa senza assegni ai sensi dell'articolo 13 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382. Il personale collocato fuori ruolo o in aspettativa non puo' essere sostituito. 6. Al presidente e ai componenti compete una indennita' di funzione pari alla retribuzione in godimento al primo Presidente della Corte di cassazione, nei limiti previsti dalla legge per il trattamento economico annuo omnicomprensivo di chiunque riceva a carico delle finanze pubbliche emolumenti o retribuzioni nell'ambito di rapporti di lavoro dipendente o autonomo con pubbliche amministrazioni statali. L'indennita' di funzione di cui al primo periodo e' da ritenere onnicomprensiva ad esclusione del rimborso delle spese effettivamente sostenute e documentate in occasione di attivita' istituzionali. 7. Alle dipendenze del Garante e' posto l'Ufficio di cui all'articolo 155. 8. Il presidente, i componenti, il segretario generale e i dipendenti si astengono dal trattare, per i due anni successivi alla cessazione dell'incarico ovvero del servizio presso il Garante, procedimenti dinanzi al Garante, ivi compresa la presentazione per conto di terzi di reclami richieste di parere o interpelli.». «Art. 154 (Compiti). - 1. Oltre a quanto previsto da specifiche disposizioni e dalla Sezione II del Capo VI del regolamento, il Garante, ai sensi dell'articolo 57, paragrafo 1, lettera v), del Regolamento medesimo, anche di propria iniziativa e avvalendosi dell'Ufficio, in conformita' alla disciplina vigente e nei confronti di uno o piu' titolari del trattamento, ha il compito di: a) controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile, anche in caso di loro cessazione e con riferimento alla conservazione dei dati di traffico; b) trattare i reclami presentati ai sensi del regolamento, e delle disposizioni del presente codice, anche individuando con proprio regolamento modalita' specifiche per la trattazione, nonche' fissando annualmente le priorita' delle questioni emergenti dai reclami che potranno essere istruite nel corso dell'anno di riferimento; c) promuovere l'adozione di regole deontologiche, nei casi di cui all'articolo 2-quater; d) denunciare i fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a causa delle funzioni; e) trasmettere la relazione, predisposta annualmente ai sensi dell'articolo 59 del Regolamento, al Parlamento e al Governo entro il 31 maggio dell'anno successivo a quello cui si riferisce; f) assicurare la tutela dei diritti e delle liberta' fondamentali degli individui dando idonea attuazione al Regolamento e al presente codice; g) provvedere altresi' all'espletamento dei compiti ad esso attribuiti dal diritto dell'Unione europea o dello Stato e svolgere le ulteriori funzioni previste dall'ordinamento. 2. Il Garante svolge altresi', ai sensi del comma 1, la funzione di controllo o assistenza in materia di trattamento dei dati personali prevista da leggi di ratifica di accordi o convenzioni internazionali o da atti comunitari o dell'Unione europea e, in particolare: a) dal Regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II) e Decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II); b) dal Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attivita' di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI; c) dal Regolamento (UE) 2015/1525 del Parlamento europeo e del Consiglio, del 9 settembre 2015, che modifica il Regolamento (CE) n. 515/97 del Consiglio relativo alla mutua assistenza tra le autorita' amministrative degli Stati membri e alla collaborazione tra queste e la Commissione per assicurare la corretta applicazione delle normative doganale e agricola e decisione 2009/917/GAI del Consiglio, del 30 novembre 2009, sull'uso dell'informatica nel settore doganale; d) dal Regolamento (CE) n. 603/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, che istituisce l'Eurodac per il confronto delle impronte digitali per l'efficace applicazione del Regolamento (UE) n. 604/2013 che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide e per le richieste di confronto con i dati Eurodac presentate dalle autorita' di contrasto degli Stati membri e da Europol a fini di contrasto, e che modifica il Regolamento (UE) n. 1077/2011 che istituisce un'agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di liberta', sicurezza e giustizia; e) dal Regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata (Regolamento VIS) e decisione n. 2008/633/GAI del Consiglio, del 23 giugno 2008, relativa all'accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorita' designate degli Stati membri e di Europol ai fini della prevenzione, dell'individuazione e dell'investigazione di reati di terrorismo e altri reati gravi; f) dal Regolamento (CE) n. 1024/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, relativo alla cooperazione amministrativa attraverso il sistema di informazione del mercato interno e che abroga la decisione 2008/49/CE della Commissione (Regolamento IMI) Testo rilevante ai fini del SEE; g) dalle disposizioni di cui al capitolo IV della Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio 1989, n. 98, quale autorita' designata ai fini della cooperazione tra Stati ai sensi dell'articolo 13 della convenzione medesima. 3. Per quanto non previsto dal Regolamento e dal presente codice, il Garante disciplina con proprio Regolamento, ai sensi dell'articolo 156, comma 3, le modalita' specifiche dei procedimenti relativi all'esercizio dei compiti e dei poteri ad esso attribuiti dal Regolamento e dal presente codice. 4. Il Garante collabora con altre autorita' amministrative indipendenti nazionali nello svolgimento dei rispettivi compiti. 5. Fatti salvi i termini piu' brevi previsti per legge, il parere del Garante, anche nei casi di cui agli articoli 36, paragrafo 4, del Regolamento, e' reso nel termine di quarantacinque giorni dal ricevimento della richiesta. Decorso il termine, l'amministrazione puo' procedere indipendentemente dall'acquisizione del parere. Quando, per esigenze istruttorie, non puo' essere rispettato il termine di cui al presente comma, tale termine puo' essere interrotto per una sola volta e il parere deve essere reso definitivamente entro venti giorni dal ricevimento degli elementi istruttori da parte delle amministrazioni interessate. 5-bis. Il parere di cui all'articolo 36, paragrafo 4, del Regolamento e' reso dal Garante nei soli casi in cui la legge o il regolamento in corso di adozione disciplina espressamente le modalita' del trattamento descrivendo una o piu' operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione, nonche' nei casi in cui la norma di legge o di regolamento autorizza espressamente un trattamento di dati personali da parte di soggetti privati senza rinviare la disciplina delle modalita' del trattamento a fonti sottoordinate. 5-ter. Quando il Presidente del Consiglio dei ministri dichiara che ragioni di urgenza non consentono la consultazione preventiva e comunque nei casi di adozione di decreti-legge, il Garante esprime il parere di cui al comma 5-bis: a) in sede di esame parlamentare dei disegni di legge o dei disegni di legge di conversione dei decreti-legge; b) in sede di esame definitivo degli schemi di decreto legislativo sottoposti al parere delle Commissioni parlamentari. 6. Copia dei provvedimenti emessi dall'autorita' giudiziaria in relazione a quanto previsto dal presente codice o in materia di criminalita' informatica e' trasmessa, a cura della cancelleria, al Garante. 7. Il Garante non e' competente per il controllo dei trattamenti effettuati dalle autorita' giudiziarie nell'esercizio delle loro funzioni.». - Il regolamento (UE) n. 2016/679 del Parlamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE", e' pubblicato nella G.U.U.E. 4 maggio 2016, n. L 119: - Si riporta il testo degli articoli 156, 166, 167 e 170 del citato decreto legislativo 30 giugno 2003, n. 196, come modificato dalla presente legge: «Art. 156 (Ruolo organico e personale). - 1. All'Ufficio del Garante e' preposto un segretario generale, nominato tra persone di elevata e comprovata qualificazione professionale rispetto al ruolo e agli obiettivi da conseguire, scelto anche tra i magistrati ordinari, amministrativi e contabili, gli avvocati dello Stato, i professori universitari di ruolo in materie giuridiche ed economiche, nonche' i dirigenti di prima fascia dello Stato. 2. A decorrere dal 1° gennaio 2022, il ruolo organico del personale dipendente e' stabilito nel limite di duecento unita'. Al ruolo organico del Garante si accede esclusivamente mediante concorso pubblico. Nei casi in cui sia ritenuto utile al fine di garantire l'economicita' e l'efficienza dell'azione amministrativa, nonche' di favorire il reclutamento di personale con maggiore esperienza nell'ambito delle procedure concorsuali di cui al secondo periodo, il Garante puo' riservare una quota non superiore al cinquanta per cento dei posti banditi al personale di ruolo delle amministrazioni pubbliche che sia stato assunto per concorso pubblico e abbia maturato un'esperienza almeno triennale nel rispettivo ruolo organico. La disposizione di cui all'articolo 30 del decreto legislativo 30 marzo 2001, n. 165, si applica esclusivamente nell'ambito del personale di ruolo delle autorita' amministrative indipendenti di cui all'articolo 22, comma 1, del decreto-legge 24 giugno 2014, n. 90, convertito, con modificazioni, dalla legge 11 agosto 2014, n. 114. 3. Con propri regolamenti pubblicati nella Gazzetta Ufficiale della Repubblica italiana, il Garante definisce: a) l'organizzazione e il funzionamento dell'Ufficio anche ai fini dello svolgimento dei compiti e dell'esercizio dei poteri di cui agli articoli 154, 154-bis, 160, nonche' all'articolo 57, paragrafo 1, del Regolamento; b) l'ordinamento delle carriere e le modalita' di reclutamento del personale secondo i principi e le procedure di cui agli articoli 1, 35 e 36 del decreto legislativo n. 165 del 2001; c) la ripartizione dell'organico tra le diverse aree e qualifiche; d) il trattamento giuridico ed economico del personale, secondo i criteri previsti dalla legge 31 luglio 1997, n. 249, e, per gli incarichi dirigenziali, dagli articoli 19, comma 6, e 23-bis del decreto legislativo 30 marzo 2001, n. 165, tenuto conto delle specifiche esigenze funzionali e organizzative. Nelle more della piu' generale razionalizzazione del trattamento economico delle autorita' amministrative indipendenti, al personale e' attribuito il trattamento economico del personale dell'Autorita' per le garanzie nelle comunicazioni; e) la gestione amministrativa e la contabilita', anche in deroga alle norme sulla contabilita' generale dello Stato. 4. L'Ufficio puo' avvalersi, per motivate esigenze, di dipendenti dello Stato o di altre amministrazioni pubbliche o di enti pubblici collocati in posizione di fuori ruolo o equiparati nelle forme previste dai rispettivi ordinamenti, ovvero in aspettativa ai sensi dell'articolo 13 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, in numero non superiore, complessivamente, a trenta unita' e per non oltre il venti per cento delle qualifiche dirigenziali, lasciando non coperto un corrispondente numero di posti di ruolo. 5. In aggiunta al personale di ruolo, l'Ufficio puo' assumere dipendenti con contratto a tempo determinato o avvalersi di consulenti incaricati ai sensi dell'articolo 7, comma 6, del decreto legislativo n. 165 del 2001, in misura comunque non superiore a trenta unita' complessive. Resta in ogni caso fermo, per i contratti a tempo determinato, il rispetto dell'articolo 36 del decreto legislativo n. 165 del 2001. 6. Il personale addetto all'Ufficio del Garante ed i consulenti sono tenuti, sia durante che dopo il mandato, al segreto su cio' di cui sono venuti a conoscenza, nell'esercizio delle proprie funzioni, in ordine a notizie che devono rimanere segrete. 7. Il personale dell'Ufficio del Garante addetto agli accertamenti di cui all'articolo 158 e agli articoli 57, paragrafo 1, lettera h), 58, paragrafo 1, lettera b), e 62, del Regolamento riveste, nei limiti del servizio cui e' destinato e secondo le rispettive attribuzioni, la qualifica di ufficiale o agente di polizia giudiziaria. 8. Le spese di funzionamento del Garante, in adempimento all'articolo 52, paragrafo 4, del Regolamento, ivi comprese quelle necessarie ad assicurare la sua partecipazione alle procedure di cooperazione e al meccanismo di coerenza introdotti dal Regolamento, nonche' quelle connesse alle risorse umane, tecniche e finanziarie, ai locali e alle infrastrutture necessarie per l'effettivo adempimento dei suoi compiti e l'esercizio dei propri poteri, sono poste a carico di un fondo stanziato a tale scopo nel bilancio dello Stato e iscritto in apposita missione e programma di spesa del Ministero dell'economia e delle finanze. Il rendiconto della gestione finanziaria e' soggetto al controllo della Corte dei conti. Il Garante puo' esigere dal titolare del trattamento il versamento di diritti di segreteria in relazione a particolari procedimenti.» «Art. 166 (Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l'adozione dei provvedimenti correttivi e sanzionatori). - 1. Sono soggette alla sanzione amministrativa di cui all'articolo 83, paragrafo 4, del Regolamento le violazioni delle disposizioni di cui agli articoli 2-quinquies, comma 2, 92, comma 1, 93, comma 1, 123, comma 4, 128, 129, comma 2, e 132-ter. Alla medesima sanzione amministrativa e' soggetto colui che non effettua la valutazione di impatto di cui all'articolo 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma. 2. Sono soggette alla sanzione amministrativa di cui all'articolo 83, paragrafo 5, del Regolamento le violazioni delle disposizioni di cui agli articoli 2-ter, 2-quinquies, comma 1, 2-sexies, 2-septies, comma 8, 2-octies, 2-terdecies, commi 1, 2, 3 e 4, 52, commi 4 e 5, 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3, 96, 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e 3, 111, 111-bis, 116, comma 1, 120, comma 2, 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, 157, nonche' delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septies e 2-quater. 3. Il Garante e' l'organo competente ad adottare i provvedimenti correttivi di cui all'articolo 58, paragrafo 2, del Regolamento, nonche' ad irrogare le sanzioni di cui all'articolo 83 del medesimo Regolamento e di cui ai commi 1 e 2. 4. Il procedimento per l'adozione dei provvedimenti e delle sanzioni indicati al comma 3 puo' essere avviato, nei confronti sia di soggetti privati, sia di autorita' pubbliche ed organismi pubblici, a seguito di reclamo ai sensi dell'articolo 77 del Regolamento o di attivita' istruttoria d'iniziativa del Garante, nell'ambito dell'esercizio dei poteri d'indagine di cui all'articolo 58, paragrafo 1, del Regolamento, nonche' in relazione ad accessi, ispezioni e verifiche svolte in base a poteri di accertamento autonomi, ovvero delegati dal Garante. 5. L'Ufficio del Garante, quando ritiene che gli elementi acquisiti nel corso delle attivita' di cui al comma 4 configurino una o piu' violazioni indicate nel presente titolo e nell'articolo 83, paragrafi 4, 5 e 6, del Regolamento, avvia il procedimento per l'adozione dei provvedimenti e delle sanzioni di cui al comma 3 notificando al titolare o al responsabile del trattamento le presunte violazioni, nel rispetto delle garanzie previste dal Regolamento di cui al comma 9, salvo che la previa notifica della contestazione non risulti incompatibile con la natura e le finalita' del provvedimento da adottare. Nei confronti dei titolari del trattamento di cui agli articoli 2-ter, comma 1-bis, e 58 del presente codice e all'articolo 1, comma 1, del decreto legislativo 18 maggio 2018, n. 51, la predetta notifica puo' essere omessa esclusivamente nel caso in cui il Garante abbia accertato che le presunte violazioni hanno gia' arrecato e continuano ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati al trattamento, che il Garante ha l'obbligo di individuare e indicare nel provvedimento, motivando puntualmente le ragioni dell'omessa notifica. In assenza di tali presupposti, il giudice competente accerta l'inefficacia del provvedimento. 6. Entro trenta giorni dal ricevimento della comunicazione di cui al comma 5, il contravventore puo' inviare al Garante scritti difensivi o documenti e puo' chiedere di essere sentito dalla medesima autorita'. 7. Nell'adozione dei provvedimenti sanzionatori nei casi di cui al comma 3 si osservano, in quanto applicabili, gli articoli da 1 a 9, da 18 a 22 e da 24 a 28 della legge 24 novembre 1981, n. 689; nei medesimi casi puo' essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante o dell'ingiunzione a realizzare campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravita' della violazione. Nella determinazione della sanzione ai sensi dell'articolo 83, paragrafo 2, del Regolamento, il Garante tiene conto anche di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione. I proventi delle sanzioni, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all'articolo 156, comma 8, per essere destinati alle specifiche attivita' di sensibilizzazione e di ispezione nonche' di attuazione del Regolamento svolte dal Garante. 8. Entro il termine di cui all'articolo 10, comma 3, del decreto legislativo n. 150 del 2011 previsto per la proposizione del ricorso, il trasgressore e gli obbligati in solido possono definire la controversia adeguandosi alle prescrizioni del Garante, ove impartite, e mediante il pagamento di un importo pari alla meta' della sanzione irrogata. 9. Nel rispetto dell'articolo 58, paragrafo 4, del Regolamento, con proprio regolamento pubblicato nella Gazzetta Ufficiale della Repubblica italiana, il Garante definisce le modalita' del procedimento per l'adozione dei provvedimenti e delle sanzioni di cui al comma 3 ed i relativi termini, in conformita' ai principi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione, nonche' della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all'irrogazione della sanzione. 10. Le disposizioni relative a sanzioni amministrative previste dal presente codice e dall'articolo 83 del Regolamento non si applicano in relazione ai trattamenti svolti in ambito giudiziario.» «Art. 167 (Trattamento illecito di dati). - 1. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarre per se' o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all'articolo 129 arreca nocumento all'interessato, e' punito con la reclusione da sei mesi a un anno e sei mesi. 2. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarre per se' o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies arreca nocumento all'interessato, e' punito con la reclusione da uno a tre anni. 3. Salvo che il fatto costituisca piu' grave reato, la pena di cui al comma 2 si applica altresi' a chiunque, al fine di trarre per se' o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all'interessato. 4. Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante. 5. Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell'attivita' di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al piu' tardi al termine dell'attivita' di accertamento delle violazioni delle disposizioni di cui al presente decreto. 6. Quando per lo stesso fatto e' stata applicata a norma del presente codice o del Regolamento a carico dell'imputato o dell'ente una sanzione amministrativa pecuniaria dal Garante e questa e' stata riscossa, la pena e' diminuita.» «Art. 170 (Inosservanza di provvedimenti del Garante). - 1. Chiunque, non osservando il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) del Regolamento, dell'articolo 2-septies, comma 1, nonche' i provvedimenti generali di cui all'articolo 21, comma 1, del decreto legislativo di attuazione dell'articolo 13 della legge 25 ottobre 2017, n. 163, arreca un concreto nocumento a uno o piu' soggetti interessati al trattamento e' punito , a querela della persona offesa, con la reclusione da tre mesi a due anni.». - Si riporta l'articolo 22 del decreto legislativo 10 agosto 2018, n. 101 recante "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)", pubblicato nella Gazzetta Ufficiale 4 settembre 2018, n. 205, come modificato dalla presente legge: «Art. 22 (Altre disposizioni transitorie e finali). - 1. Il presente decreto e le disposizioni dell'ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell'Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra Stati membri ai sensi dell'articolo 1, paragrafo 3, del Regolamento (UE) 2016/679. 2. A decorrere dal 25 maggio 2018 le espressioni "dati sensibili" e "dati giudiziari" utilizzate ai sensi dell'articolo 4, comma 1, lettere d) ed e), del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, ovunque ricorrano, si intendono riferite, rispettivamente, alle categorie particolari di dati di cui all'articolo 9 del Regolamento (UE) 2016/679 e ai dati di cui all'articolo 10 del medesimo regolamento. 3. (abrogato) 4. A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto. 5. A decorrere dal 25 maggio 2018, le disposizioni di cui ai commi 1022 e 1023 dell'articolo 1 della legge 27 dicembre 2017, n. 205 si applicano esclusivamente ai trattamenti dei dati personali funzionali all'autorizzazione del cambiamento del nome o del cognome dei minorenni. Con riferimento a tali trattamenti, il Garante per la protezione dei dati personali puo', nei limiti e con le modalita' di cui all'articolo 36 del Regolamento (UE) 2016/679, adottare provvedimenti di carattere generale ai sensi dell'articolo 2-quinquiesdecies. Al fine di semplificare gli oneri amministrativi, i soggetti che rispettano le misure di sicurezza e gli accorgimenti prescritti con i provvedimenti di cui al secondo periodo sono esonerati dall'invio al Garante dell'informativa di cui al citato comma 1022. In sede di prima applicazione, le suddette informative, se dovute a norma del terzo periodo, sono inviate entro sessanta giorni dalla pubblicazione del provvedimento del Garante nella Gazzetta Ufficiale della Repubblica italiana. 6. Dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal presente decreto, in quanto compatibili. 7. All'articolo 1, comma 233, della legge 27 dicembre 2017, n. 205, dopo le parole "le modalita' di restituzione" sono inserite le seguenti: "in forma aggregata". 8. Il registro dei trattamenti di cui all'articolo 37, comma 4, del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, cessa di essere alimentato a far data dal 25 maggio 2018. Da tale data e fino al 31 dicembre 2019, il registro resta accessibile a chiunque secondo le modalita' stabilite nel suddetto articolo 37, comma 4, del decreto legislativo n. 196 del 2003. 9. Le disposizioni di legge o di regolamento che individuano il tipo di dati trattabili e le operazioni eseguibili al fine di autorizzare i trattamenti delle pubbliche amministrazioni per motivi di interesse pubblico rilevante trovano applicazione anche per i soggetti privati che trattano i dati per i medesimi motivi. 10. La disposizione di cui all'articolo 160, comma 4, del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, nella parte in cui ha riguardo ai dati coperti da segreto di Stato, si applica fino alla data di entrata in vigore della disciplina relativa alle modalita' di opposizione al Garante per la protezione dei dati personali del segreto di Stato. 11. Le disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, relative al trattamento di dati genetici, biometrici o relativi alla salute continuano a trovare applicazione, in quanto compatibili con il Regolamento (UE) 2016/679, sino all'adozione delle corrispondenti misure di garanzia di cui all'articolo 2-septies del citato codice, introdotto dall'articolo 2, comma 1, lett. e) del presente decreto. 12. Sino alla data di entrata in vigore del decreto del Ministro della giustizia di cui all'articolo 2-octies, commi 2 e 6, del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, da adottarsi entro diciotto mesi dalla data di entrata in vigore del presente decreto, il trattamento dei dati di cui all'articolo 10 del Regolamento (UE) 2016/679 e' consentito quando e' effettuato in attuazione di protocolli di intesa per la prevenzione e il contrasto dei fenomeni di criminalita' organizzata stipulati con il Ministero dell'interno o con le Prefetture - UTG, previo parere del Garante per la protezione dei dati personali, che specificano la tipologia dei dati trattati e delle operazioni eseguibili. 13. Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie. 14. All'articolo 1 della legge 11 gennaio 2018, n. 5 sono apportate le seguenti modificazioni: a) al comma 9, le parole "di cui all'articolo 162, comma 2-bis" sono sostituite dalle seguenti: "di cui all'articolo 166, comma 2"; b) al comma 10, le parole "di cui all'articolo 162, comma 2-quater" sono sostituite dalle seguenti: "di cui all'articolo 166, comma 2". 15. All'articolo 5-ter, comma 1, lettera c), del decreto legislativo 14 marzo 2013, n. 33 le parole "di cui all'articolo 162, comma 2-bis" sono sostituite dalle seguenti: "di cui all'articolo 166, comma 2".». - Si riporta il testo dell'articolo 5 e 45 del decreto legislativo 18 maggio 2018, n. 51 recante «Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio» , pubblicato nella Gazzetta Ufficiale 24 maggio 2018, n. 119, come modificato dalla presente legge: «Art. 5 (Liceita' del trattamento). - 1. Il trattamento e' lecito se e' necessario per l'esecuzione di un compito di un'autorita' competente per le finalita' di cui all'articolo 1, comma 2, e si basa sul diritto dell'Unione europea o su disposizioni di legge o di regolamento o su atti amministrativi generali che individuano i dati personali e le finalita' del trattamento. 2. Con decreto, rispettivamente, del Ministro della giustizia e del Ministro dell'interno sono individuati, per i trattamenti o le categorie di trattamenti non occasionali di cui al comma 1, i termini, ove non gia' stabiliti da disposizioni di legge o di regolamento, e le modalita' di conservazione dei dati, i soggetti legittimati ad accedervi, le condizioni di accesso, le modalita' di consultazione, nonche' le modalita' e le condizioni per l'esercizio dei diritti di cui agli articoli 9, 10, 11 e 13. I termini di conservazione sono determinati in conformita' ai criteri indicati all'articolo 3, comma 1, tenendo conto delle diverse categorie di interessati e delle finalita' perseguite.» «Art. 45 (Inosservanza di provvedimenti del Garante). - 1. Chiunque, non osservando il provvedimento adottato dal Garante ai sensi dell'articolo 143, comma 1, lettera c), del Codice, in un procedimento riguardante il trattamento dei dati di cui all'articolo 1, comma 2, arreca un concreto nocumento a uno o piu' interessati e' punito, a querela della persona offesa, con la reclusione da tre mesi a due anni.». - Si riporta il testo dell'articolo 7 del decreto-legge 19 maggio 2020, n. 34, recante «Misure urgenti in materia di salute, sostegno al lavoro e all'economia, nonche' di politiche sociali connesse all'emergenza epidemiologica da COVID-19», pubblicato nella Gazzetta Ufficiale 19 maggio 2020, n. 128, S.O. n. 21, come modificato dalla presente legge: «Art. 7 (Metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione). - 1. Il Ministero della salute, nell'ambito dei compiti di cui all'articolo 47-ter del decreto legislativo 30 luglio 1999, n. 300 e, in particolare, delle funzioni relative a indirizzi generali e di coordinamento in materia di prevenzione, diagnosi, cura e riabilitazione delle malattie, nonche' di programmazione tecnico sanitaria di rilievo nazionale e indirizzo, coordinamento, monitoraggio dell'attivita' tecnico sanitaria regionale, puo' trattare, ai sensi dell'articolo 2-sexies, comma 2, lettera v), del decreto legislativo 30 giugno 2003, n. 196 e nel rispetto del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, dati personali, anche relativi alla salute degli assistiti, raccolti nei sistemi informativi del Servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione, secondo le modalita' di cui al decreto del Ministro della salute 7 dicembre 2016, n. 262. 1-bis. Con le modalita' e nei limiti stabiliti dal decreto di cui al comma 2 e fatto salvo quanto previsto dall'articolo 105 del codice di cui al decreto legislativo n. 196 del 2003, il Ministero della salute e' autorizzato a trattare anche i dati personali non relativi alla salute necessari a garantire l'effettivo perseguimento delle finalita' di cui al comma 1 e l'attuazione del corrispondente intervento di cui alla missione M6 del Piano nazionale di ripresa e resilienza approvato con la decisione di esecuzione del Consiglio dell'Unione europea del 13 luglio 2021. Ai fini di cui al primo periodo, e' autorizzata l'interconnessione dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico (FSE), con i sistemi informativi gestiti da altre amministrazioni pubbliche che raccolgono i dati non relativi alla salute specificamente individuati dal decreto di cui al comma 2, con modalita' tali da garantire che l'interessato non sia direttamente identificabile. 2. Con decreto del Ministro della salute, di natura non regolamentare, previo parere del Garante per la protezione dei dati personali, sono individuati i dati personali, anche inerenti alle categorie particolari di dati di cui all'articolo 9 del Regolamento UE 2016/679, che possono essere trattati, le operazioni eseguibili, le modalita' di acquisizione dei dati dai sistemi informativi dei soggetti che li detengono e le misure appropriate e specifiche per tutelare i diritti degli interessati, nonche' i tempi di conservazione dei dati trattati. 2-bis. Nelle more dell'adozione del decreto di cui al comma 2, il Ministero della salute avvia le attivita' relative alla classificazione delle patologie croniche presenti nella popolazione italiana, limitatamente alla costruzione di modelli analitici prodromici alla realizzazione del modello predittivo del fabbisogno di salute della popolazione, garantendo che gli interessati non siano direttamente identificabili.». - Il Regolamento (UE) 2021/241 del Parlamento europeo e del Consiglio del 12 febbraio 2021 n. 241 che istituisce il dispositivo per la ripresa e la resilienza" e' pubblicato nella G.U.U.E. 18 febbraio 2021 n. L. 57. - Il decreto-legge 6 maggio 2021, n. 59 recante «Misure urgenti relative al Fondo complementare al Piano nazionale di ripresa e resilienza e altre misure urgenti per gli investimenti, convertito, con modificazioni, dalla legge 1° luglio 2021, n. 101, e' pubblicato nella Gazzetta Ufficiale 7 maggio 2021, n. 108. - Il Regolamento (UE) 2018/1999 del Parlamento europeo e del Consiglio dell'11 dicembre 2018 sulla governance dell'Unione dell'energia e dell'azione per il clima che modifica i regolamenti (CE) n. 663/2009 e (CE) n. 715/2009 del Parlamento europeo e del Consiglio, le direttive 94/22/CE, 98/70/CE, 2009/31/CE, 2009/73/CE, 2010/31/UE, 2012/27/UE e 2013/30/UE del Parlamento europeo e del Consiglio, le direttive del Consiglio 2009/119/CE e (UE) 2015/652 e che abroga il regolamento (UE) n. 525/2013 del Parlamento europeo e del Consiglio (Testo rilevante ai fini del SEE) e' pubblicato nella G.U.U.E. 21 dicembre 2018, n. L 328. - Si riporta il testo degli articoli 1 e 2, della legge 11 gennaio 2018, n. 5 recante «Nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato», pubblicata nella Gazzetta Ufficiale 3 febbraio 2018, n. 28., come modificato dalla presente legge: «Art. 1. - 1. Ai fini della presente legge si applicano le definizioni di cui all'articolo 4 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e all'articolo 1 del regolamento di cui al decreto del Presidente della Repubblica 7 settembre 2010, n. 178. 2. Possono iscriversi, a seguito di loro specifica richiesta, anche contemporaneamente per tutte le utenze telefoniche, fisse e mobili, loro intestate, anche per via telematica o telefonica, al registro pubblico delle opposizioni istituito ai sensi del comma 1 dell'articolo 3 del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010, tutti gli interessati che vogliano opporsi al trattamento delle proprie numerazioni telefoniche effettuato mediante operatore con l'impiego del telefono nonche', ai fini della revoca di cui al comma 5, anche mediante sistemi automatizzati di chiamata o chiamate senza l'intervento di un operatore, per fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale. 3. Nel registro di cui al comma 2 sono comunque inserite anche le numerazioni fisse non pubblicate negli elenchi di abbonati di cui all'articolo 2, comma 2, del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010, che gli operatori sono tenuti a fornire al gestore del registro con la stessa periodicita' di aggiornamento prevista per la base di dati unica. 4. Gli interessati iscritti al registro di cui al comma 2, le cui numerazioni siano o meno riportate negli elenchi di abbonati di cui all'articolo 2, comma 2, del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010, possono revocare, anche per periodi di tempo definiti, la propria opposizione nei confronti di uno o piu' soggetti di cui all'articolo 1, comma 1, lettera c), del medesimo regolamento, in qualunque momento, anche per via telematica o telefonica. 5. Con l'iscrizione al registro di cui al comma 2 si intendono revocati tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo e a qualsiasi soggetto, che autorizzano il trattamento delle proprie numerazioni telefoniche fisse o mobili effettuato per fini di pubblicita' o di vendita ovvero per il compimento di ricerche di mercato o di comunicazione commerciale ed e' altresi' precluso, per le medesime finalita', l'uso delle numerazioni telefoniche cedute a terzi dal titolare del trattamento sulla base dei consensi precedentemente rilasciati. Sono fatti salvi i consensi prestati nell'ambito di specifici rapporti contrattuali in essere, ovvero cessati da non piu' di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali e' comunque assicurata, con procedure semplificate, la facolta' di revoca. 6. E' valido il consenso al trattamento dei dati personali prestato dall'interessato, ai titolari da questo indicati, successivamente all'iscrizione nel registro di cui al comma 2. 7. A decorrere dalla data di entrata in vigore della presente legge, sono vietati, con qualsiasi forma o mezzo, la comunicazione a terzi, il trasferimento e la diffusione di dati personali degli interessati iscritti al registro di cui al comma 2, da parte del titolare del trattamento, per fini di pubblicita' o di vendita ovvero per il compimento di ricerche di mercato o di comunicazione commerciale non riferibili alle attivita', ai prodotti o ai servizi offerti dal titolare del trattamento. 8. In caso di cessione a terzi di dati relativi alle numerazioni telefoniche, il titolare del trattamento e' tenuto a comunicare agli interessati gli estremi identificativi del soggetto a cui i medesimi dati sono trasferiti. 9. Al di fuori dei casi previsti dall'articolo 167 del codice di cui al decreto legislativo n. 196 del 2003, in caso di violazione di uno dei divieti di cui al comma 7, si applica la sanzione amministrativa di cui all'articolo 166, comma 2, del medesimo codice. In caso di reiterazione delle suddette violazioni, su segnalazione del Garante per la protezione dei dati personali, le autorita' competenti possono altresi' disporre la sospensione o, nelle ipotesi piu' gravi, la revoca dell'autorizzazione all'esercizio dell'attivita'. 10. Ai sensi dell'articolo 12, comma 2, del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010, in caso di violazione del diritto di opposizione nelle forme previste dalla presente legge, si applica la sanzione amministrativa di cui all'articolo 166, comma 2, del codice di cui al decreto legislativo n. 196 del 2003. In caso di reiterazione delle suddette violazioni, su segnalazione del Garante per la protezione dei dati personali, le autorita' competenti possono altresi' disporre la sospensione o, nelle ipotesi piu' gravi, la revoca dell'autorizzazione all'esercizio dell'attivita'. 11. Il titolare del trattamento dei dati personali e' responsabile in solido delle violazioni delle disposizioni della presente legge anche nel caso di affidamento a terzi di attivita' di call center per l'effettuazione delle chiamate telefoniche. 12. Gli operatori che utilizzano i sistemi di pubblicita' telefonica e di vendita telefonica o che compiono ricerche di mercato o comunicazioni commerciali telefoniche con o senza l'intervento di un operatore umano hanno l'obbligo di consultare mensilmente, e comunque precedentemente all'inizio di ogni campagna promozionale, il registro pubblico delle opposizioni e di provvedere all'aggiornamento delle proprie liste. 13. Al fine di rendere piu' agevole e meno costosa la consultazione periodica del registro da parte degli operatori di cui al comma 12, il Ministro dello sviluppo economico, sentiti il gestore del registro, se diverso dal Ministero dello sviluppo economico, gli operatori e le associazioni di categoria maggiormente rappresentative, con proprio decreto da emanare entro sei mesi dalla data di entrata in vigore della presente legge detta criteri generali per l'aggiornamento periodico delle tariffe con le modalita' previste dall'articolo 6, comma 1, del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010, conformandosi ai seguenti criteri: a) promuovere l'adozione da parte del gestore del registro e degli operatori di forme tecniche, anche mediante l'utilizzo di tecnologie avanzate, con il fine di contenere il costo delle tariffe di consultazione preliminare del registro; b) prevedere modelli tariffari agevolati anche con forme di abbonamento temporale per gli operatori a cui non siano state comminate, negli ultimi cinque anni, le sanzioni di cui all'articolo 162, comma 2-quater, del codice di cui al decreto legislativo n. 196 del 2003; c) prevedere comunque, nella determinazione delle tariffe, l'integrale copertura dei costi di tenuta del registro. 14. E' vietato l'utilizzo di compositori telefonici per la ricerca automatica di numeri anche non inseriti negli elenchi di abbonati di cui all'articolo 2, comma 2, del regolamento di cui al decreto del Presidente della Repubblica n. 178 del 2010. In caso di violazione di tale divieto, si applica la sanzione amministrativa di cui all'articolo 162, comma 2-bis, del codice di cui al decreto legislativo n. 196 del 2003. 15. Con decreto del Presidente della Repubblica, da emanare su proposta del Ministro dello sviluppo economico, ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, entro novanta giorni dalla data di entrata in vigore della presente legge, sono apportate le opportune modifiche alle disposizioni regolamentari vigenti che disciplinano le modalita' di iscrizione e funzionamento del registro delle opposizioni ed e' altresi' disposta l'abrogazione di eventuali disposizioni regolamentari incompatibili con le norme della presente legge.». «Art. 2. - 1. Tutti gli operatori che svolgono attivita' di call center, per chiamate con o senza operatore, rivolte a numerazioni nazionali fisse o mobili devono garantire la piena attuazione dell'obbligo di presentazione dell'identificazione della linea chiamante e il rispetto di quanto previsto dall'articolo 7, comma 4, lettera b), del codice di cui al decreto legislativo n. 196 del 2003. A tal fine, entro novanta giorni dalla data di entrata in vigore della presente legge, l'Autorita' per le garanzie nelle comunicazioni individua, ai sensi dell'articolo 15 del codice di cui al decreto legislativo 1º agosto 2003, n. 259, due codici o prefissi specifici, atti a identificare e distinguere in modo univoco le chiamate telefoniche finalizzate ad attivita' statistiche da quelle finalizzate al compimento di ricerche di mercato e ad attivita' di pubblicita', vendita e comunicazione commerciale. Gli operatori esercenti l'attivita' di call center provvedono ad adeguare tutte le numerazioni telefoniche utilizzate per i servizi di call center, anche delocalizzati, facendo richiesta di assegnazione delle relative numerazioni entro sessanta giorni dalla data di entrata in vigore del provvedimento dell'Autorita' per le garanzie nelle comunicazioni previsto al periodo precedente, oppure presentano l'identita' della linea a cui possono essere contattati. L'Autorita' vigila sul rispetto delle disposizioni di cui al presente comma applicando, in caso di violazione, le sanzioni di cui all'articolo 1, commi 29, 30, 31 e 32, della legge 31 luglio 1997, n. 249.». - Il testo dell'articolo 42, comma 1, del citato decreto legislativo 18 maggio 2018, n. 51, e' il seguente: «Art. 42 (Sanzioni amministrative). - 1. Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario, la violazione delle disposizioni di cui all'articolo 3, comma 1, lettere a), b), d), e) ed f), all'articolo 4, commi 2 e 3, all'articolo 6, commi 3 e 4, all'articolo 7, all'articolo 8, e' punita con la sanzione amministrativa del pagamento di una somma da 50.000 euro a 150.000 euro. La medesima sanzione amministrativa si applica al trasferimento dei dati personali verso un Paese terzo o un'organizzazione internazionale in assenza della decisione di adeguatezza della Commissione europea, salvo quanto previsto dagli articoli 33 e 34.». - Il testo dell'articolo 24, comma 1, lettera b) del citato decreto legislativo 18 maggio 2018, n. 51, e' il seguente: «Art. 24 (Consultazione preventiva del Garante). - 1. Salvo quanto previsto dall'articolo 37, comma 6, il titolare del trattamento o il responsabile del trattamento consultano il Garante prima del trattamento di dati personali che figureranno in un nuovo archivio di prossima creazione se: a) una valutazione d'impatto sulla protezione dei dati di cui all'articolo 23 indica che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio; oppure b) il tipo di trattamento presenta un rischio elevato per i diritti e le liberta' degli interessati anche in ragione dell'utilizzo di tecnologie, procedure o meccanismi nuovi ovvero di dati genetici o biometrici. 2. - 6. Omissis.». - Il testo dell'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190, recante «Disposizioni per la formazione del bilancio annuale e pluriennale dello Stato (legge di stabilita' 2015)», pubblicata nella Gazzetta Ufficiale. 29 dicembre 2014, n. 300, S.O. n. 99, e' il seguente: «Nello stato di previsione del Ministero dell'economia e delle finanze e' istituito un Fondo per far fronte ad esigenze indifferibili che si manifestano nel corso della gestione, con la dotazione di 27 milioni di euro per l'anno 2015 e di 25 milioni di euro annui a decorrere dall'anno 2016. Il Fondo e' ripartito annualmente con uno o piu' decreti del Presidente del Consiglio dei ministri su proposta del Ministro dell'economia e delle finanze. Il Ministro dell'economia e delle finanze e' autorizzato ad apportare le occorrenti variazioni di bilancio.». - Il testo vigente dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, recante «Legge di contabilita' e finanza pubblica», pubblicata nella Gazzetta Ufficiale. 31 dicembre 2009, n. 303, S.O. n. 245, e' il seguente: «Art. 1 (Principi di coordinamento e ambito di riferimento). - 1. - 2. Omissis. 3. La ricognizione delle amministrazioni pubbliche di cui al comma 2 e' operata annualmente dall'ISTAT con proprio provvedimento e pubblicata nella Gazzetta Ufficiale entro il 30 settembre. 4. - 5. Omissis.».