IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87 della Costituzione;
Visto l'articolo 14 della legge 23 agosto 1988, n. 400;
Vista la legge 31 dicembre 1996, n. 675, e successive modifiche ed
integrazioni;
Vista la legge 31 dicembre 1996, n. 676, recante delega al Governo
in materia di tutela delle persone e di altri soggetti rispetto al
trattamento dei dati personali e le raccomandazioni del Consiglio
d'Europa ivi citate;
Vista la legge 6 ottobre 1998, n. 344;
Visto il decreto legislativo 6 novembre 1998, n. 389;
Sentito il Garante per la protezione dei dati personali;
Sentita l'Autorita' per l'informatica nella pubblica
amministrazione;
Vista la preliminare deliberazione del Consiglio dei Ministri,
adottata nella riunione del 21 aprile 1999;
Acquisito il parere delle competenti Commissioni della Camera dei
deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei Ministri, adottata nella
riunione del 7 maggio 1999;
Sulla proposta del Presidente del Consiglio dei Ministri, di
concerto con i Ministri per la funzione pubblica, per la solidarieta'
sociale, di grazia e giustizia, dell'interno, degli affari esteri,
delle finanze, del tesoro, del bilancio e della programmazione
economica, per i beni e le attivita' culturali, della sanita', della
pubblica istruzione e dell'universita' e della ricerca scientifica e
tecnologica;
E m a n a
il seguente decreto legislativo:
Capo I
Principi generali in materia di trattamento
di dati particolari da parte di soggetti pubblici
Art. 1
Ambito di applicazione e definizioni
1. Il presente decreto:
a) definisce i principi generali in base ai quali i soggetti pubblici
sono autorizzati a trattare dati sensibili o attinenti a
particolari provvedimenti giudiziari ai sensi degli articoli 22,
comma 3, e 24 della legge 31 dicembre 1996, n. 675, nel rispetto
delle altre disposizioni previste dalla medesima legge;
b) individua, inoltre, alcune rilevanti finalita' di interesse
pubblico, per il cui perseguimento e' consentito detto
trattamento, nonche' le operazioni eseguibili e i tipi di dati che
possono essere trattati.
2. Il presente decreto non si applica:
a) ai trattamenti di cui all'articolo 4 della legge 31 dicembre 1996,
n. 675, e all'articolo 1, comma 1, lettera i), della legge 31
dicembre 1996, n. 676;
b) agli enti pubblici economici, ai quali restano applicabili le
disposizioni previste per i soggetti privati, ai sensi della legge
31 dicembre 1996, n. 675;
c) ai trattamenti disciplinati dalla Presidenza della Repubblica,
dalla Camera dei deputati, dal Senato della Repubblica e dalla
Corte costituzionale, in conformita' ai rispettivi ordinamenti.
3. Ai fini del presente decreto:
a) si applicano le definizioni elencate nell'articolo 1 della legge
31 dicembre 1996, n. 675, di seguito denominata "legge";
b) per "dati" si intendono i dati sensibili o attinenti a
provvedimenti giudiziari indicati negli articoli 22, comma 1, e 24
della legge.
4. Salvo quanto previsto dal comma 2, i principi di cui al presente
Capo si applicano in ogni caso di trattamento dei dati comunque
effettuato da soggetti pubblici.
5. Resta fermo quanto previsto dall'articolo 1, lettera b), n. 1),
della legge 31 dicembre 1996, n. 676, e dall'articolo 1, comma 2,
della legge 8 aprile 1998, n. 94, per la compiuta disciplina della
riservatezza dei dati personali in ambito sanitario.
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
ai sensi dell'art. 10, commi 2 e 3, del testo unico
delle disposizioni sulla promulgazione delle leggi,
sull'emanazione dei decreti del Presidente della
Repubblica e sulle pubblicazioni ufficiali della
Repubblica italiana, approvato con D.P.R. 28 dicembre
1985, n. 1092, al solo fine di facilitare la lettura
delle disposizioni di legge modificate o alle quali e'
operato il rinvio. Restano invariati il valore e
l'efficacia degli atti legislativi qui trascritti.
Note alle premesse:
- L'art. 76 della Costituzione stabilisce che
l'esercizio della funzione legislativa non puo' essere
delegato al Governo se non con determinazione di principi
e criteri direttivi e soltanto per il tempo limitato e
per oggetti definiti.
- L'art. 87 della Costituzione conferisce, tra
l'altro, al Presidente della Repubblica il potere di
promulgare le leggi e di emanare i decreti aventi valore
di legge ed i regolamenti.
- La legge 23 agosto 1988, n. 400, pubblicata nella
Gazzetta Ufficiale n. 214 del 12 settembre 1988,
supplemento ordinario, concerne la "Disciplina
dell'attivita' di Governo e ordinamento della Presidenza
del Consiglio dei Ministri"; in particolare il testo
dell'art. 14 e' il seguente:
"Art. 14 (Decreti legislativi). - 1. I decreti
legislativi adottati dal Governo ai sensi dell'art. 76
della Costituzione sono emanati dal Presidente della
Repubblica con la denominazione di "decreto
legislativo" e con l'indicazione, nel preambolo, della
legge di delegazione, della deliberazione del Consiglio
dei Ministri e degli altri adempimenti del
procedimento prescritti dalla legge di delegazione.
2. L'emanazione del decreto legislativo deve avvenire
entro il termine fissato dalla legge di delegazione; il
testo del decreto legislativo adottato dal Governo e'
trasmesso al Presidente della Repubblica, per la
emanazione, almeno venti giorni prima della scadenza.
3. Se la delega legislativa si riferisce ad una
pluralita' di oggetti distinti suscettibili di separata
disciplina, il Governo puo' esercitarla mediante piu'
atti successivi per uno o piu' degli oggetti
predetti. In relazione al termine finale stabilito
dalla legge di delegazione, il Governo informa
periodicamente le Camere sui criteri che segue
nell'organizzazione dell'esercizio della delega.
4. In ogni caso, qualora il termine previsto per
l'esercizio della delega ecceda i due anni, il Governo e'
tenuto a richiedere il parere delle Camere sugli schemi dei
decreti delegati. Il parere e' espresso dalle commissioni
permanenti delle due Camere competenti per materia entro
sessanta giorni, indicando specificamente le
eventuali disposizioni non ritenute corrispondenti alle
direttive della legge di delegazione. Il Governo, nei
trenta giorni successivi, esaminato il parere,
ritrasmette con le sue osservazioni e con eventuali
modificazioni, i testi alle commissioni per il parere
definitivo che deve essere espresso entro trenta giorni.
- La legge 31 dicembre 1996, n. 675, pubblicata
nella Gazzetta Ufficiale n. 5 dell'8 gennaio 1997, reca
norme in materia di "Tutela delle persone o di altri
soggetti rispetto al trattamento dei dati personali".
- La legge 31 dicembre 1996, n. 676, pubblicata
nella Gazzetta Ufficiale n. 5 dell'8 gennaio 1997, reca
norme di "Delega al Governo in materia di tutela delle
persone e di altri soggetti rispetto al trattamento dei
dati personali".
- La legge 6 ottobre 1998, n. 344, reca: "Differimento
del termine per l'esercizio della delega prevista dalla
legge 31 dicembre 1996, n. 676, in materia di trattamento
dei dati personali".
- Il decreto legislativo 6 novembre 1998, n. 389,
pubblicato nella Gazzetta Ufficiale n. 262 del 9 novembre
1998, reca: "Disposizioni in materia di trattamento di
dati particolari da parte di soggetti pubblici".
Note all'art. 1:
- L'art. 22 della legge 31 dicembre 1996, n. 675, come
modificato dal presente decreto legislativo e' il seguente:
"Art. 22 (Dati sensibili). - 1. I dati personali idonei
a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonche' i dati
personali idonei a rivelare lo stato di salute e la
vita sessuale, possono essere oggetto di trattamento solo
con il consenso scritto dell'interessato e previa
autorizzazione del Garante.
1-bis. Il comma 1 non si applica ai dati relativi
agli aderenti alle confessioni religiose i cui rapporti con
lo Stato siano regolati da accordi o intese ai sensi degli
articoli 7 e 8 della Costituzione, nonche' relativi ai
soggetti che con riferimento a finalita' di natura
esclusivamente religiosa hanno contatti regolari con
le medesime confessioni, che siano trattati dai relativi
organi o enti civilmente riconosciuti, sempreche' i dati
non siano comunicati o diffusi fuori delle medesime
confessioni. Queste ultime determinano idonee garanzie
relativamente ai trattamenti effettuati.
2. Il Garante comunica la decisione adottata sulla
richiesta di autorizzazione entro trenta giorni,
decorsi i quali la mancata pronuncia equivale a rigetto.
Con il provvedimento di autorizzazione, ovvero
successivamente, anche sulla base di eventuali verifiche,
il Garante puo' prescrivere misure e accorgimenti
a garanzia dell'interessato, che il titolare del
trattamento e' tenuto ad adottare.
3. Il trattamento dei dati indicati al comma 1 da parte
di soggetti pubblici, esclusi gli enti pubblici economici,
e' consentito solo se autorizzato da espressa
disposizione di legge, nella quale siano specificati i
tipi di dati che possono essere trattati, le operazioni
eseguibili e le rilevanti finalita' di interesse pubblico
perseguite. In mancanza di espressa disposizione di
legge e fuori dai casi previsti dai decreti
legislativi di modificazione ed integrazione della
presente legge, emanati in attuazione della legge 31
dicembre 1996, n. 676, i soggetti pubblici possono
richiedere al Garante, nelle more della specificazione
legislativa, l'individuazione delle attivita', tra quelle
demandate ai medesimi soggetti dalla legge, che perseguono
rilevanti finalita' di interesse pubblico e per le quali
e' conseguentemente autorizzato, ai sensi del comma 2, il
trattamento dei dati indicati al comma 1.
3-bis. Nei casi in cui e' specificata, a norma del
comma 3, la finalita' di rilevante interesse pubblico, ma
non sono specificati i tipi di dati e le operazioni
eseguibili, i soggetti pubblici, in applicazione di
quanto previsto dalla presente legge e dai decreti
legislativi di attuazione della legge 31 dicembre 1996,
n. 676, in materia di dati sensibili, identificano e
rendono pubblici, secondo i rispettivi ordinamenti, i tipi
di dati e di operazioni strettamente pertinenti e
necessari in relazione alle finalita' perseguite nei
singoli casi, aggiornando tale identificazione
periodicamente.
4. I dati personali idonei a rivelare lo stato di salute
e la vista sessuale possono essere oggetto di trattamento
previa autorizzazione del Garante, qualora il trattamento
sia necessario ai fini dello svolgimento delle
investigazioni di cui all'art. 38 delle norme di
attuazione, di coordinamento e transitorie del codice di
procedura penale, approvate con decreto legislativo 28
luglio 1989, n. 271, e successive modificazioni, o,
comunque, per far valere o difendere in sede giudiziaria
un diritto di rango pari a quello dell'interessato, sempre
che i dati siano trattati esclusivamente per tali
finalita' e per il periodo strettamente necessario al
loro perseguimento. Il Garante prescrive le misure e gli
accorgimenti di cui al comma 2 e promuove la
sottoscrizione di un apposito codice di deontologia e di
buona condotta secondo le modalita' di cui all'art. 31,
comma 1, lettera h). Resta fermo quanto previsto dall'art.
43, comma 2".
- L'art. 24 della legge 31 dicembre 1996, n. 675, e' il
seguente:
"Art. 24 (Dati relativi ai provvedimenti di cui
all'art. 686 del codice di procedura penale). - 1. Il
trattamento dei dati personali idonei a rivelare
provvedimenti di cui all'art. 686, commi 1, lettere a) e
d), 2 e 3, del codice di procedura penale, e' ammesso
soltanto se autorizzato da espressa disposizione di legge
o provvedimento del Garante che specifichino le rilevanti
finalita' di interesse pubblico del trattamento, i tipi
di dati trattati e le precise operazioni autorizzate".
- L'art. 4 della legge 31 dicembre 1996, n. 675, e' il
seguente:
"Art. 4 (Particolari trattamenti in ambito pubblico).
- 1. La presente legge non si applica al trattamento
di dati personali effettuato:
a) dal centro elaborazione dati di cui all'art. 8
della legge 1 aprile 1981, n. 121, come modificato
dall'art. 43, comma 1, della presente legge, ovvero sui
dati destinati a confluirvi in base alla legge, nonche' in
virtu' dell'accordo di adesione alla Convenzione di
applicazione dell'accordo di Schengen, reso esecutivo con
legge 30 settembre 1993, n. 388;
b) dagli organismi di cui agli articoli 3, 4 e 6 della
legge 24 ottobre 1977, n. 801, ovvero sui dati coperti da
segreto di Stato ai sensi dell'art. 12 della medesima
legge;
c) nell'ambito del servizio del casellario giudiziale
di cui al titolo IV del libro decimo del codice di
procedura penale e al regio decreto 18 giugno 1931, n.
778, e successive modificazioni, o, in base alla legge,
nell'ambito del servizio dei carichi pendenti nella
materia penale;
d) in attuazione dell'art. 371-bis, comma 3, del
codice di procedura penale o, per ragioni di giustizia,
nell'ambito di uffici giudiziari, del Consiglio
superiore della magistratura e del Ministero di grazia
e giustizia;
e) da altri soggetti pubblici per finalita' di
difesa o di sicurezza dello Stato o di prevenzione,
accertamento o repressione dei reati, in base ad
espresse disposizioni di legge che prevedano
specificamente il trattamento.
2. Ai trattamenti di cui al comma 1 si applicano in
ogni caso le disposizioni di cui agli articoli 9, 15, 17,
18, 31, 32, commi 6 e 7, e 36, nonche', fatta eccezione per
i trattamenti di cui alla lettera b) del comma 1, le
disposizioni di cui agli articoli 7 e 34".
- L'art. 1 della legge 31 dicembre 1996, n. 676, come
modificato dall'art. 5, comma 2, del D.Lgs. 9 maggio
1997, n. 123, e' il seguente:
"Art. 1 (Delega per l'emanazione di disposizioni
integrative della legislazione in materia di tutela delle
persone e di altri soggetti rispetto al trattamento di
dati personali). - 1. Il Governo della Repubblica e'
delegato ad emanare, entro diciotto mesi dalla data di
entrata in vigore della presente legge, uno o
piu' decreti legislativi recanti disposizioni
integrative della legislazione in materia di tutela
delle persone e di altri soggetti rispetto al
trattamento dei dati personali, con l'osservanza dei
seguenti principi e criteri direttivi:
a) specificare le modalita' di trattamento dei dati
personali utilizzati a fini storici, di ricerca e di
statistica, tenendo conto dei principi contenuti nella
raccomandazione n. R. (83) 10, adottata il 23 settembre
1983 dal Consiglio d'Europa, e successive
modificazioni, con particolare riferimento alla durata
della loro conservazione ed alle garanzie adeguate
prescritte dalla normativa comunitaria riguardo ai dati
raccolti per scopi diversi da quelli statistici, storici
o scientifici e successivamente conservati per tali,
diverse, finalita';
b) garantire la piena attuazione dei principi
previsti dalla legislazione in materia di dati
personali nell'ambito dei diversi settori di attivita',
nel rispetto dei criteri direttivi e dei principi
della normativa comunitaria e delle seguenti
raccomandazioni adottate dal Consiglio d'Europa:
1) n. R. (81) 1, del 23 gennaio 1981, in materia di dati
sanitari, e successive modificazioni;
2) n. R. (85) 20, del 25 ottobre 1985, sui dati
utilizzati per fini di direct marketing;
3) n. R. (86) 1, del 23 gennaio 1986, sui dati impiegati
per scopi di sicurezza sociale;
4) n. R. (89) 2, del 18 gennaio 1989, sui dati
utilizzati per finalita' di lavoro;
5) n. R. (90) 19, del 13 settembre 1990, in
materia di dati personali utilizzati per finalita' di
pagamento e di altre operazioni connesse;
6) n. R. (91) 10, del 9 settembre 1991, sulla
comunicazione a terzi dei dati personali detenuti da organi
pubblici;
7) n. R. (95) 4, del 7 febbraio 1995, sulla protezione
dei dati personali nel settore dei servizi di
telecomunicazione, con particolare riguardo ai servizi
telefonici;
c) razionalizzare il trattamento economico del
personale del Garante per la protezione dei dati
personali in relazione a quello previsto dall'ordinamento
per ogni altra Autorita' di garanzia secondo il
tendenziale criterio dell'uniformita' a parita' di
responsabilita' costituzionale;
d) individuare i presupposti per l'attribuzione di un
numero di identificazione personale, ivi compreso il
codice fiscale, e per il trattamento del medesimo e
delle informazioni ad esso connesse, nonche' per il
collegamento con altri dati, sentita l'Autorita' per
l'informatica nella pubblica amministrazione,
prevedendo nella pubblica amministrazione, prevedendo
adeguate garanzie con riferimento ai numeri di
identificazione personale connessi a dati di carattere
sensibile o idonei a rivelare i provvedimenti di cui
all'art. 686, commi 1, lettere a) e d), 2 e 3 del codice di
procedura penale;
e) stabilire le modalita' e i termini per
l'aggiornamento, per la rettificazione e per le altre
modificazioni dei dati effettuati in conseguenza
dell'esercizio dei diritti dell'interessato o di un
provvedimento del Garante per la protezione dei dati
personali, quando i dati personali sono riprodotti su disco
ottico;
f) prevedere forme semplificate di notificazione del
trattamento dei dati personali e del loro
trasferimento all'estero, con particolare riguardo ai
trattamenti non automatizzati di dati diversi da quelli
sensibili e da quelli di cui all'art. 686 del codice di
procedura penale, ed ulteriori casi di esonero dal
relativo obbligo per trattamenti da individuare
preventivamente che, in ragione delle relative modalita' o
della natura dei dati personali, non presentino rischi di
un danno all'interessato, ferma restando l'applicabilita'
delle altre disposizioni di legge;
g) prevedere forme di semplificazione degli adempimenti
a carico delle piccole imprese e di coloro che esercitano
imprese artigiane;
h) estendere l'applicazione delle disposizioni
relative al trattamento dei dati da parte di chi
esercita la professione di giornalista, ad eccezione
delle disposizioni concernenti i dati sensibili, ai
soggetti che esercitano con carattere di continuita'
l'attivita' di pubblicista o di praticante giornalista
iscritti, rispettivamente, negli elenchi di cui agli
articoli 26 e 33 della legge 3 febbraio 1963, n. 69;
i) adattare, ai trattamenti in ambito pubblico
esclusi dall'applicazione della legislazione in materia
di tutela delle persone e di altri soggetti rispetto
al trattamento dei dati personali, i principi
desumibili dalla medesima legislazione, sulla base dei
seguenti criteri:
1) pieno recepimento dei principi medesimi;
2) rispetto dei principi stabiliti dalla Convenzione n.
108 sulla protezione delle persone rispetto al
trattamento automatizzato di dati di carattere personale,
adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva
con legge 21 febbraio 1989, n. 96, nonche' della
normativa comunitaria, tenendo conto dei criteri di
cui alla raccomandazione n. R. (87) 15, adottata il 17
settembre 1987 dal Consiglio d'Europa;
3) ricognizione puntuale dei soggetti pubblici
titolari dei trattamenti esclusi, nonche' dei medesimi
trattamenti;
4) introduzione degli adattamenti resi
indispensabili dalla specificita' degli interessi
perseguiti dai suddetti trattamenti in ambito pubblico;
5) particolare considerazione per i trattamenti di
dati che implichino maggiori rischi di un danno
all'interessato;
6) specificazione delle modalita' attraverso le quali si
svolge il controllo sul rispetto delle disposizioni di
legge che presiedono ai suddetti trattamenti in ambito
pubblico;
l) prevedere norme che favoriscano lo sviluppo
dell'informatica giuridica e le modalita' di collegamento,
per l'autorita' giudiziaria e per l'autorita' di pubblica
sicurezza, con le banche dati della pubblica
amministrazione;
m) mantenere il raccordo tra le attivita' del
Garante per la protezione dei dati personali e
quelle dell'Autorita' per l'informatica nella pubblica
amministrazione, anche modificando le disposizioni della
legislazione in materia di tutela delle persone e di altri
soggetti rispetto al trattamento dei dati personali e del
decreto legislativo 12 febbraio 1993, n. 39, e
successive modificazioni, nonche' l'armonizzazione dello
stato giuridico del relativo personale;
n) stabilire le modalita' applicative della legislazione
in materia di protezione dei dati personali ai servizi
di comunicazione e di informazione offerti per via
telematica, individuando i titolari del trattamento di dati
inerenti i servizi accessibili al pubblico e la
corrispondenza privata, nonche' i compiti del gestore
anche in rapporto alle connessioni con reti sviluppate su
base internazionale;
o) individuare i casi in cui, all'atto della
comunicazione o della diffusione di dati personali
provenienti da archivi, registri, elenchi, atti o
documenti tenuti da pubbliche amministrazioni, debba
essere indicata la fonte di acquisizione dei dati".
- La legge 8 aprile 1998, n. 94, pubblicata nella
Gazzetta Ufficiale n. 86 del 14 aprile 1998, reca:
"Conversione in legge, con modificazioni, del
decreto-legge 17 febbraio 1998, n. 23, recante
disposizioni urgenti in materia di sperimentazioni
cliniche in campo oncologico e altre misure in materia
sanitaria". L'art. 1 della predetta legge e' il seguente:
"Art. 1. - 1. Il decreto-legge 17 febbraio 1998, n.
23, recante disposizioni urgenti in materia di
sperimentazioni cliniche in campo oncologico e altre
misure in materia sanitaria, e' convertito in legge con
le modificazioni riportate in allegato alla presente legge.
2. Con i decreti legislativi di cui alla legge 31
dicembre 1996, n. 676, e sulla base dei principi
contenuti nella medesima legge nel decreto-legge 17
febbraio 1998, n. 23, come modificato dalla presente legge,
e' disciplinata l'intera materia della riservatezza dei
dati personali connessi alle prescrizioni mediche.
3. La presente legge entra in vigore il giorno
successivo a quello della sua pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana".