IL PRESIDENTE DELLA REPUBBLICA Visto l'articolo 87, quinto comma, della Costituzione; Visto l'articolo 33 della legge 31 dicembre 1996, n. 675, recante tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali; Ritenuto che, ai sensi del comma 3 del citato articolo 33 della legge n. 675 del 1996, con regolamento da adottare entro tre mesi dalla data di entrata in vigore della predetta legge, devono essere emanate norme concernenti l'organizzazione ed il funzionamento dell'Ufficio del Garante per la protezione dei dati personali, nonche' la riscossione dei diritti di segreteria e la gestione delle spese, anche in deroga alle disposizioni sulla contabilita' generale dello Stato; Ritenuto che, ai sensi del citato comma 3 dell'articolo 33 della legge n. 675 del 1996, devono essere previste le norme concernenti il procedimento dinanzi al Garante di cui all'articolo 29, commi da 1 a 5, della medesima legge, secondo modalita' tali da assicurare, nella speditezza del procedimento medesimo, il pieno rispetto del contraddittorio tra le parti interessate, nonche' le norme volte a precisare le modalita' per l'esercizio dei diritti di cui all'articolo 13 della legge stessa e per l'invio della notificazione dei trattamenti di dati personali per via telematica o mediante supporto magnetico o lettera raccomandata con avviso di ricevimento o con altro idoneo sistema; Considerato che il regolamento deve disciplinare ulteriori aspetti riguardanti, tra l'altro, l'inoltro della notificazione per il tramite delle camere di commercio, industria, artigianato e agricoltura, la misura del contributo spese per l'accesso ai dati personali, la determinazione delle indennita' di funzione del presidente e dei componenti del Garante, le modalita' di svolgimento degli accessi alle banche di dati, delle ispezioni e delle verifiche, nonche' la custodia di determinati atti e documenti, ai sensi, rispettivamente, degli articoli 7, comma 5, 13, comma 2, 30, comma 6, e 32, commi 3 e 7, della legge n. 675 del 1996; Visto l'articolo 17, comma 1, lettera b), della legge 23 agosto 1988, n. 400; Udito il parere del Garante per la protezione dei dati personali; Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 17 novembre 1997; Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 19 dicembre 1997; Sulla proposta del Presidente del Consiglio dei Ministri, di concerto con i Ministri di grazia e giustizia, del tesoro, del bilancio e della programmazione economica e dell'interno; E m a n a il seguente regolamento: Art. 1. Definizioni 1. Ai fini del presente regolamento si applicano le definizioni elencate nell'articolo 1 della legge 31 dicembre 1996, n. 675, di seguito denominata "legge". Ai medesimi fini, si intende, altresi': a) per "presidente", il presidente del Garante per la protezione dei dati personali; b) per "componenti", i componenti del Garante per la protezione dei dati personali; c) per "Ufficio", l'Ufficio del Garante per la protezione dei dati personali.
Avvertenza: Il testo delle note qui pubblicato e' stato redatto ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. Note alle premesse: - Il comma 5 dell'art. 87 della Costituzione stabilisce che il Presidente della Repubblica promulghi le leggi ed emani i decreti aventi valore di legge e i regolamenti. - Si trascrive il testo dell'art. 33 della legge 31 dicembre 1996, n. 675, e successive modificazioni e integrazioni, recante: "Tutela delle persone o di altri soggetti rispetto al trattamento dei dati personali": "Art. 33 (Ufficio del Garante). - 1. Alle dipendenze del Garante e' posto un ufficio composto da dipendenti dello Stato e di altre amministrazioni pubbliche, collocati fuori ruolo nelle forme previste dai rispettivi ordinamenti, il cui servizio presso il medesimo ufficio e' equiparato ad ogni effetto di legge a quello prestato nelle rispettive amministrazioni di provenienza. Il relativo contingente e' determinato, in misura non superiore a quarantacinque unita', su proposta del Garante medesimo, con decreto del Presidente del Consiglio dei Ministri, di concerto con i Ministri del tesoro e per la funzione pubblica, entro novanta giorni dalla data di elezione del Garante. Il segretario generale puo' essere scelto anche tra magistrati ordinari o amministrativi. 2. Le spese di funzionamento dell'Ufficio del Garante sono poste a carico di un fondo stanziato a tale scopo nel bilancio dello Stato e iscritto in apposito capitolo dello stato di previsione del Ministero del tesoro. Il rendiconto della gestione finanziaria e' soggetto al controllo della Corte dei conti. 3. Le norme concernenti l'organizzazione ed il funzionamento dell'Ufficio del Garante, nonche' quelle dirette a disciplinare la riscossione dei diritti di segreteria e la gestione delle spese, anche in deroga alle disposizioni sulla contabilita' generale dello Stato, sono adottate con regolamento emanato con decreto del Presidente della Repubblica, entro tre mesi dalla data di entrata in vigore della presente legge, previa deliberazione del Consiglio dei Ministri, sentito il Consiglio di Stato, su proposta del Presidente del Consiglio dei Ministri, di concerto con i Ministri del tesoro, di grazia e giustizia e dell'interno, e su parere conforme del Garante stesso. Nel medesimo regolamento sono altresi' previste le norme concernenti il procedimento dinanzi al Garante di cui all'art. 29, commi da 1 a 5, secondo modalita' tali da assicurare, nella speditezza del procedimento medesimo, il pieno rispetto del contraddittorio tra le parti interessate, nonche' le norme volte a precisare le modalita' della notificazione di cui all'art. 7, per via telematica o mediante supporto magnetico o lettera raccomandata con avviso di ricevimento o altro idoneo sistema. Il parere del Consiglio di Stato sullo schema di regolamento e' reso entro trenta giorni dalla ricezione della richiesta; decorso tale termine il regolamento puo' comunque essere emanato. 4. Nei casi in cui la natura tecnica o la delicatezza dei problemi lo richiedano, il Garante puo' avvalersi dell'opera di consulenti, i quali sono remunerati in base alle vigenti tariffe professionali. 5. Per l'espletamento dei propri compiti, l'Ufficio del Garante puo' avvalersi di sistemi automatizzati ad elaborazione informatica e di strumenti telematici propri ovvero, salvaguardando le garanzie previste dalla presente legge, appartenenti all'Autorita' per l'informatica nella pubblica amministrazione o, in caso di indisponibilita', ad enti pubblici convenzionati. 6. Il personale addetto all'Ufficio del Garante ed i consulenti sono tenuti al segreto su tutto cio' di cui siano venuti a conoscenza, nell'esercizio delle proprie funzioni, in ordine a banche di dati e ad operazioni di trattamento". - Il testo dell'art. 29 della citata legge n. 675/1996 e' il seguente: "Art. 29 (Tutela). - 1. I diritti di cui all'art. 13, comma 1, possono essere fatti valere dinanzi all'autorita' giudiziaria o con ricorso al Garante. Il ricorso al Garante non puo' essere proposto qualora, per il medesimo oggetto e tra le stesse parti, sia stata gia' adita l'autorita' giudiziaria. 2. Salvi i casi in cui il decorso del termine esporrebbe taluno a pregiudizio imminente ed irreparabile, il ricorso al Garante puo' essere proposto solo dopo che siano decorsi cinque giorni dalla richiesta avanzata sul medesimo oggetto al responsabile. La presentazione del ricorso rende improponibile un'ulteriore domanda dinanzi all'autorita' giudiziaria tra le stesse parti e per il medesimo oggetto. 3. Nel procedimento dinanzi al Garante il titolare, il responsabile e l'interessato hanno diritto di essere sentiti, personalmente o a mezzo di procuratore speciale, e hanno facolta' di presentare memorie o documenti. Il Garante puo' disporre, anche d'ufficio, l'espletamento di perizie. 4. Assunte le necessarie informazioni il Garante, se ritiene fondato il ricorso, ordina al titolare e al responsabile, con decisione motivata, la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell'interessato e assegnando un termine per la loro adozione. Il provvedimento e' comunicato senza ritardo alle parti interessate, a cura dell'Ufficio del Garante. La mancata pronuncia sul ricorso, decorsi venti giorni dalla data di presentazione, equivale a rigetto. 5. Se la particolarita' del caso lo richiede, il Garante puo' disporre in via provvisoria il blocco in tutto o in parte di taluno dei dati ovvero l'immediata sospensione di una o piu' operazioni del trattamento. Il provvedimento cessa di avere ogni effetto se, entro i successivi venti giorni, non e' adottata la decisione di cui al comma 4 ed e' impugnabile unitamente a tale decisione. 6. Avverso il provvedimento espresso o il rigetto tacito di cui al comma 4, il titolare o l'interessato possono proporre opposizione al tribunale del luogo ove risiede il titolare, entro il termine di trenta giorni dalla data di comunicazione del provvedimento o dalla data del rigetto tacito. L'opposizione non sospende l'esecuzione del provvedimento. 7. Il tribunale provvede nei modi di cui agli articoli 737 e seguenti del codice di procedura civile, anche in deroga al divieto di cui all'articolo 4 della legge 20 marzo 1865, n. 2248, allegato E), e puo' sospendere, a richiesta, l'esecuzione del provvedimento. Avverso il decreto del tribunale e' ammesso unicamente il ricorso per cassazione. 8. Tutte le controversie, ivi comprese quelle inerenti il rilascio dell'autorizzazione di cui all'articolo 22, comma 1, o che riguardano, comunque, l'applicazione della presente legge, sono di competenza dell'autorita' giudiziaria ordinaria. 9. Il danno non patrimoniale e' risarcibile anche nei casi di violazione dell'articolo 9". - Si riporta il testo dell'art. 13 della legge n. 675/1996: "Art. 13 (Diritti dell'interessato). - 1. In relazione al trattamento di dati personali l'interessato ha diritto: a) di conoscere, mediante accesso gratuito al registro di cui all'art. 31, comma 1, lettera a), l'esistenza di trattamenti di dati che possono riguardarlo; b) di essere informato su quanto indicato all'art. 7, comma 4, lettere a), b) e h); c) di ottenere, a cura del titolare o del responsabile, senza ritardo: 1) la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la comunicazione in forma intellegibile dei medesimi dati e della loro origine, nonche' della logica e delle finalita' su cui si basa il trattamento; la richiesta puo' essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni; 2) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non e' necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; 3) l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l'integrazione dei dati; 4) l'attestazione che le operazioni di cui ai numeri 2) e 3) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato; d) di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorche' pertinenti allo scopo della raccolta; e) di opporsi, in tutto o in parte, al trattamento di dati personali che lo rig uardano, previsto a fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva e di essere informato dal titolare, non oltre il momento in cui i dati sono comunicati o diffusi, della possibilita' di esercitare gratuitamente tale diritto. 2. Per ciascuna richiesta di cui al comma 1, lettera c), n. 1), puo' essere chiesto all'interessato, ove non risulti confermata l'esistenza di dati che lo riguardano, un contributo spese, non superiore ai costi effettivamente sopportati, secondo le modalita' ed entro i limiti stabiliti dal regolamento di cui all'articolo 33, comma 3. 3. I diritti di cui al comma 1 riferiti ai dati personali concernenti persone decedute possono essere esercitati da chiunque vi abbia interesse. 4. Nell'esercizio dei diritti di cui al comma 1 l'interessato puo' conferire, per iscritto, delega o procura a persone fisiche o ad associazioni. 5. Restano ferme le norme sul segreto professionale degli esercenti la professione di giornalista, limitatamente alla fonte della notizia". - Si riporta il testo dell'art. 7, comma 5, della citata legge n. 675/1996: "5. I soggetti tenuti ad iscriversi o che devono essere annotati nel registro delle imprese di cui all'articolo 2188 del codice civile, nonche' coloro che devono fornire le informazioni di cui all'art. 8, comma 8, lettera d), della legge 29 dicembre 1993, n. 580, alle camere di commercio, industria, artigianato e agricoltura, possono effettuare la notificazione per il tramite di queste ultime, secondo le modalita' stabilite con il regolamento di cui all'art. 33, comma 3. I piccoli imprenditori e gli artigiani possono effettuare la notificazione anche per il tramite delle rispettive rappresentanze di categoria; gli iscritti agli albi professionali anche per il tramite dei rispettivi ordini professionali. Resta in ogni caso ferma la disposizione di cui al comma 3". - Il testo del comma 6 dell'art. 30 della legge n. 675/1996 e' il seguente: "6. Al presidente compete una indennita' di funzione non eccedente, nel massimo, la retribuzione spettante al primo presidente della Corte di cassazione. Ai membri compete un'indennita' di funzione non eccedente, nel massimo, i due terzi di quella spettante al presidente. Le predette indennita' di funzione sono determinate, con il regolamento di cui all'art. 33, comma 3, in misura tale da poter essere corrisposte a carico degli ordinari stanziamenti". - Si riporta il testo dei commi 2 e 7 dell'art. 32 della legge n. 675/1996 e' il seguente: "2. Il Garante, qualora ne ricorra la necessita' ai fini del controllo del rispetto delle disposizioni in materia di trattamento dei dati personali, puo' disporre accessi alle banche di dati o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, avvalendosi, ove necessario, della collaborazione di altri organi dello Stato". "7. Gli accertamenti di cui al comma 6 non sono delegabili. Qualora risulti necessario in ragione della specificita' della verifica, il membro designato puo' farsi assistere da personale specializzato che e' tenuto al segreto ai sensi dell'art. 33, comma 6. Gli atti e i documenti acquisiti sono custoditi secondo modalita' tali da assicurarne la segretezza e sono conoscibili dal presidente e dai membri del Garante e, se necessario per lo svolgimento delle funzioni dell'organo, da un numero delimitato di addetti al relativo ufficio individuati dal Garante sulla base di criteri definiti dal regolamento di cui all'art. 33, comma 3. Per gli accertamenti relativi agli organismi e ai dati di cui all'art. 4, comma 1, lettera b), il membro designato prende visione degli atti e dei documenti rilevanti e riferisce oralmente nelle riunioni del Garante". - Il comma 1 dell'art. 17 della legge n. 400/1988 (Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri), come modificato dall'art. 74 del D.Lgs. 3 febbraio 1993, n. 29, prevede che con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei Ministri, sentito il parere del Consiglio di Stato che deve pronunziarsi entro novanta giorni dalla richiesta, possano essere emanati regolamenti per: a) l'esecuzione delle leggi e dei decreti legislativi; b) l'attuazione e l'integrazione delle leggi e dei decreti legislativi recanti norme di principio, esclusi quelli relativi a materie riservate alla competenza regionale; c) le materie in cui manchi la disciplina da parte di leggi o di atti aventi forza di legge, sempreche' non si tratti di materie comunque riservate alla competenza regionale; d) l'organizzazione ed il funzionamento delle amministrazioni pubbliche secondo le disposizioni dettate dalla legge. Nota all'art. 1: - Si trascrive il testo dell'art. 1 della citata legge n. 675/1996: "Art. 1 (Finalita' e definizioni). - 1. La presente legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle liberta' fondamentali, nonche' della dignita' delle persone fisiche, con particolare riferimento alla riservatezza e all'identita' personale; garantisce altresi' i diritti delle persone giuridiche e di ogni altro ente o associazione. 2. Ai fini della presente legge si intende: a) per ''banca di dati'', qualsiasi complesso di dati personali, ripartito in una o piu' unita' dislocate in uno o piu' siti, organizzato secondo una pluralita' di criteri determinati tali da facilitarne il trattamento; b) per ''trattamento'', qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati; c) per ''dato personale'', qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; d) per ''titolare'', la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalita' ed alle modalita' del trattamento di dati personali, ivi compreso il profilo della sicurezza; e) per ''responsabile'', la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; f) per ''interessato'', la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; g) per ''comunicazione'', il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; h) per ''diffusione'', il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; i) per ''dato anonimo'', il dato che in origine, o a seguito di trattamento, non puo' essere associato ad un interessato identificato o identificabile; l) per ''blocco'', la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; m) per ''Garante'', l'autorita' istituita ai sensi dell'art. 30".