|
||||
|
||||
Capo I - Princìpi generali Articolo 1 Finalità e definizioni. 1. La presente legge garantisce che il trattamento
dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali,
nonché della dignità delle persone fisiche, con particolare riferimento alla
riservatezza e all'identità personale; garantisce altresì i diritti delle
persone giuridiche e di ogni altro ente o associazione. 2. Ai fini della presente legge si intende: a) per «banca di dati», qualsiasi complesso di dati
personali, ripartito in una o più unità dislocate in uno o più siti,
organizzato secondo una pluralità di criteri determinati tali da facilitarne
il trattamento; b) per «trattamento», qualunque operazione o
complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o
comunque automatizzati, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il
blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di
dati; c) per «dato personale», qualunque informazione
relativa a persona fisica, persona giuridica, ente od associazione, identificati
o identificabili, anche indirettamente, mediante riferimento a qualsiasi
altra informazione, ivi compreso un numero di identificazione personale; d) per «titolare», la persona fisica, la persona
giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione
od organismo cui competono le decisioni in ordine alle finalità ed alle
modalità del trattamento di dati personali, ivi compreso il profilo della
sicurezza; e) per «responsabile», la persona fisica, la
persona giuridica, la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo preposti dal titolare al trattamento di dati
personali; f) per «interessato», la persona fisica, la persona
giuridica, l'ente o l'associazione cui si riferiscono i dati personali; g) per «comunicazione», il dare conoscenza dei dati
personali a uno o più soggetti determinati diversi dall'interessato, in
qualunque forma, anche mediante la loro messa a disposizione o consultazione;
h) per «diffusione», il dare conoscenza dei dati
personali a soggetti indeterminati, in qualunque forma, anche mediante la
loro messa a disposizione o consultazione; i) per «dato anonimo», il dato che in origine, o a
seguito di trattamento, non può essere associato ad un interessato
identificato o identificabile; l) per «blocco», la conservazione di dati personali
con sospensione temporanea di ogni altra operazione del trattamento; m) per «Garante», l'autorità istituita ai sensi
dell'articolo 30. |
||||
Articolo 2 1. La presente legge si
applica al trattamento di dati personali da chiunque effettuato nel
territorio dello Stato. Articolo 3 1. Il trattamento di dati personali
effettuato da persone fisiche per fini esclusivamente personali non è
soggetto all'applicazione della presente legge, sempreché i dati non siano
destinati ad una comunicazione sistematica o alla diffusione. Articolo 4 Particolari
trattamenti in ambito pubblico. 1.
La presente legge non si applica al trattamento di dati personali effettuato:
a)
dal Centro elaborazione dati di cui all'articolo 8 della legge 1° aprile 1981, n. 121, come modificato
dall'articolo 43, comma 1, della presente legge, ovvero sui dati destinati a
confluirvi in base alla legge, nonché in virtù dell'accordo di adesione alla
Convenzione di applicazione dell'Accordo di Schengen, reso esecutivo con
legge 30 settembre 1993, n. 388; b)
dagli organismi di cui agli articoli 3, 4 e 6 della legge 24 ottobre 1977, n.
801, ovvero sui dati coperti da segreto di Stato ai sensi dell'articolo 12
della medesima legge; c)
nell'ambito del servizio del casellario giudiziale di cui al titolo IV del
libro decimo del codice di procedura penale e al regio decreto 18 giugno
1931, n. 778, e successive modificazioni, o, in base alla legge, nell'ambito
del servizio dei carichi pendenti nella materia penale; d)
in attuazione dell'articolo 371-bis, comma 3, del codice di procedura penale
o, per ragioni di giustizia, nell'ambito di uffici giudiziari, del Consiglio
superiore della magistratura e del Ministero di grazia e giustizia; e)
da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato
o di prevenzione, accertamento o repressione dei reati, in base ad espresse
disposizioni di legge che prevedano specificamente il trattamento. 2.
Ai trattamenti di cui al comma 1 si applicano in ogni caso le disposizioni di
cui agli articoli 9, 15, 17, 18, 31, 32, commi 6 e 7, e 36, nonché, fatta
eccezione per i trattamenti di cui alla lettera b) del comma 1, le
disposizioni di cui agli articoli 7 e 34. Articolo
5 Trattamento
di dati svolto senza l'ausilio di mezzi elettronici. 1.
Il trattamento di dati personali svolto senza l'ausilio di mezzi elettronici
o comunque automatizzati è soggetto alla medesima disciplina prevista per il
trattamento effettuato con l'ausilio di tali mezzi. Articolo 6 Trattamento
di dati detenuti all'estero. 1.
Il trattamento nel territorio dello Stato di dati personali detenuti
all'estero è soggetto alle disposizioni della presente legge. 2.
Se il trattamento di cui al comma 1 consiste in un trasferimento di dati
personali fuori dal territorio nazionale si applicano in ogni caso le
disposizioni dell'articolo 28. Capo II - Obblighi per il
titolare del trattamento Articolo 7 1. Il titolare che
intenda procedere ad un trattamento di dati personali soggetto al campo di
applicazione della presente legge è tenuto a darne notificazione al Garante se
il trattamento, in ragione delle relative modalità o della natura dei dati
personali, sia suscettibile di recare pregiudizio ai diritti e alle libertà
dell'interessato, e nei soli casi e con le modalità individuati con il
regolamento di cui all'articolo 33, comma 3. Articolo 8 Responsabile.
1.
Il responsabile, se designato, deve essere nominato tra soggetti che per
esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso
il profilo relativo alla sicurezza. 2.
Il responsabile procede al trattamento attenendosi alle istruzioni impartite
dal titolare il quale, anche tramite verifiche periodiche, vigila sulla
puntuale osservanza delle disposizioni di cui al comma 1 e delle proprie
istruzioni. 3.
Ove necessario per esigenze organizzative, possono essere designati
responsabili più soggetti, anche mediante suddivisione di compiti. 4.
I compiti affidati al responsabile devono essere analiticamente specificati
per iscritto. 5.
Gli incaricati del trattamento devono elaborare i dati personali ai quali
hanno accesso attenendosi alle istruzioni del titolare o del responsabile. Capo III - Trattamento dei dati
personali Sezione I - Raccolta e requisiti
dei dati Articolo
9 Modalità
di raccolta e requisiti dei dati personali. 1.
I dati personali oggetto di trattamento devono essere: a)
trattati in modo lecito e secondo correttezza; b)
raccolti e registrati per scopi determinati, espliciti e legittimi, ed
utilizzati in altre operazioni del trattamento in termini non incompatibili
con tali scopi; c)
esatti e, se necessario, aggiornati; d)
pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono
raccolti o successivamente trattati; e)
conservati in una forma che consenta l'identificazione dell'interessato per
un periodo di tempo non superiore a quello necessario agli scopi per i quali
essi sono stati raccolti o successivamente trattati. 1-bis.
Il trattamento di dati personali per scopi storici, di ricerca scientifica o
di statistica è compatibile con gli scopi per i quali i dati sono raccolti o
successivamente trattati e può essere effettuato anche oltre il periodo
necessario a questi ultimi scopi. Articolo 10 1. L'interessato o la
persona presso la quale sono raccolti i dati personali devono essere
previamente informati oralmente o per iscritto circa: Sezione II - Diritti
dell'interessato nel trattamento dei dati Articolo 11 Consenso.
1.
Il trattamento di dati personali da parte di privati o di enti pubblici
economici è ammesso solo con il consenso espresso dell'interessato. 2.
Il consenso può riguardare l'intero trattamento ovvero una o più operazioni
dello stesso. 3.
Il consenso è validamente prestato solo se è espresso liberamente, in forma
specifica e documentata per iscritto, e se sono state rese all'interessato le
informazioni di cui all'articolo 10. Articolo 12 1. Il consenso non è
richiesto quando il trattamento: Articolo 13 1. In relazione al
trattamento di dati personali l'interessato ha diritto: Articolo 14 1. I diritti di cui
all'articolo 13, comma 1, lettere c) e d), non possono essere esercitati nei
confronti dei trattamenti di dati personali raccolti: Sezione III - Sicurezza nel
trattamento dei dati, limiti alla utilizzabilità dei dati e risarcimento del
danno Articolo
15 Sicurezza
dei dati. 1.
I dati personali oggetto di trattamento devono essere custoditi e
controllati, anche in relazione alle conoscenze acquisite in base al
progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del
trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale,
dei dati stessi, di accesso non autorizzato o di trattamento non consentito o
non conforme alle finalità della raccolta. 2.
Le misure minime di sicurezza da adottare in via preventiva sono individuate
con regolamento emanato con decreto del Presidente della Repubblica, ai sensi
dell'articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400,
entro centottanta giorni dalla data di entrata in vigore della presente
legge, su proposta del Ministro di grazia e giustizia, sentiti l'Autorità per
l'informatica nella pubblica amministrazione e il Garante. 3.
Le misure di sicurezza di cui al comma 2 sono adeguate, entro due anni dalla
data di entrata in vigore della presente legge e successivamente con cadenza
almeno biennale, con successivi regolamenti emanati con le modalità di cui al
medesimo comma 2, in relazione all'evoluzione tecnica del settore e
all'esperienza maturata. 4.
Le misure di sicurezza relative ai dati trattati dagli organismi di cui
all'articolo 4, comma 1, lettera b), sono stabilite con decreto del
Presidente del Consiglio dei ministri con l'osservanza delle norme che
regolano la materia. Articolo
16 Cessazione
del trattamento dei dati. 1.
In caso di cessazione, per qualsiasi causa, del trattamento dei dati, il
titolare deve notificare preventivamente al Garante la loro destinazione. 2.
I dati possono essere: a)
distrutti; b)
ceduti ad altro titolare, purché destinati ad un trattamento per finalità
analoghe agli scopi per i quali i dati sono raccolti; c)
conservati per fini esclusivamente personali e non destinati ad una
comunicazione sistematica o alla diffusione; c-bis)
conservati o ceduti ad altro titolare, per scopi storici, di ricerca
scientifica e di statistica, in conformità alla legge, ai regolamenti, alla
normativa comunitaria e ai codici di deontologia e di buona condotta
sottoscritti ai sensi dell'articolo 31. 3.
La cessione dei dati in violazione di quanto previsto dalla lettera b) del
comma 2 o di altre disposizioni di legge in materia di trattamento dei dati
personali è nulla ed è punita ai sensi dell'articolo 39, comma 1. Articolo17 Limiti
all'utilizzabilità di dati personali. 1.
Nessun atto o provvedimento giudiziario o amministrativo che implichi una
valutazione del comportamento umano può essere fondato unicamente su un
trattamento automatizzato di dati personali volto a definire il profilo o la
personalità dell'interessato. 2.
L'interessato può opporsi ad ogni altro tipo di decisione adottata sulla base
del trattamento di cui al comma 1 del presente articolo, ai sensi
dell'articolo 13, comma 1, lettera d), salvo che la decisione sia stata
adottata in occasione della conclusione o dell'esecuzione di un contatto, in
accoglimento di una proposta dell'interessato o sulla base di adeguate
garanzie individuate dalla legge. Articolo
18 Danni
cagionati per effetto del trattamento di dati personali. 1.
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali
è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Sezione IV - Comunicazione e
diffusione dei dati Articolo
19 Incaricati
del trattamento. 1.
Non si considera comunicazione la conoscenza dei dati personali da parte
delle persone incaricate per iscritto di compiere le operazioni del
trattamento dal titolare o dal responsabile, e che operano sotto la loro
diretta autorità. Articolo 20 1. La comunicazione e
la diffusione dei dati personali da parte di privati e di enti pubblici
economici sono ammesse: Articolo 21 Divieto
di comunicazione e diffusione. 1.
Sono vietate la comunicazione e la diffusione di dati personali per finalità
diverse da quelle indicate nella notificazione di cui all'articolo 7. 2.
Sono altresì vietate la comunicazione e la diffusione di dati personali dei
quali sia stata ordinata la cancellazione, ovvero quando sia decorso il
periodo di tempo indicato nell'articolo 9, comma 1, lettera e). 3.
Il Garante può vietare la diffusione di taluno dei dati relativi a singoli
soggetti, od a categorie di soggetti, quando la diffusione si pone in
contrasto con rilevanti interessi della collettività. Contro il divieto può
essere proposta opposizione ai sensi dell'articolo 29, commi 6 e 7. 4.
La comunicazione e la diffusione dei dati sono comunque permesse: a)
qualora siano necessarie per finalità di ricerca scientifica o di statistica
e siano effettuate nel rispetto dei codici di deontologia e di buona condotta
sottoscritti ai sensi dell'articolo 31; b)
quando siano richieste dai soggetti di cui all'articolo 4, comma 1, lettere
b), d) ed e), per finalità di difesa o di sicurezza dello Stato o di
prevenzione, accertamento o repressione di reati, con l'osservanza delle
norme che regolano la materia. Capo IV - Trattamento di dati
particolari Articolo 22 1. I dati personali
idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti,
sindacati, associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a rivelare lo stato di
salute e la vita sessuale, possono essere oggetto di trattamento solo con il
consenso scritto dell'interessato e previa autorizzazione del Garante. Articolo 23 Dati
inerenti alla salute. 1.
Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici
possono, anche senza l'autorizzazione del Garante, trattare i dati personali
idonei a rivelare lo stato di salute, limitatamente ai dati e alle operazioni
indispensabili per il perseguimento di finalità di tutela dell'incolumità
fisica e della salute dell'interessato. Se le medesime finalità riguardano un
terzo o la collettività, in mancanza del consenso dell'interessato, il
trattamento può avvenire previa autorizzazione del Garante. 1-bis.
Con decreto del Ministro della sanità adottato ai sensi dell'articolo 17,
comma 3, della legge 23 agosto 1988, n. 400, sentiti la Conferenza permanente
per i rapporti tra lo Stato, le regioni e le province autonome di Trento e
Bolzano e il Garante, sono individuate modalità semplificate per le
informative di cui all'articolo 10 e per la prestazione del consenso nei
confronti di organismi sanitari pubblici, di organismi sanitari e di
esercenti le professioni sanitarie convenzionati o accreditati dal Servizio
sanitario nazionale, nonché per il trattamento dei dati da parte dei medesimi
soggetti, sulla base dei seguenti criteri: a)
previsione di informative effettuate da un unico soggetto, in particolare da
parte del medico di medicina generale scelto dall'interessato, per conto di
più titolari di trattamento; b)
validità, nei confronti di più titolari di trattamento, del consenso prestato
ai sensi dell'articolo 11, comma 3, per conto di più titolari di trattamento,
anche con riguardo alla richiesta di prestazioni specialistiche, alla
prescrizione di farmaci, alla raccolta di dati da parte del medico di
medicina generale detenuti da altri titolari, e alla pluralità di prestazioni
mediche effettuate da un medesimo titolare di trattamento; c)
identificazione di casi di urgenza nei quali, anche per effetto delle
situazioni indicate nel comma 1-ter, l'informativa e il consenso possono
intervenire successivamente alla richiesta della prestazione; d)
previsione di modalità di applicazione del comma 2 del presente articolo ai
professionisti sanitari, diversi dai medici, che intrattengono rapporti
diretti con i pazienti; e)
previsione di misure volte ad assicurare che nell'organizzazione dei servizi
e delle prestazioni sia garantito il rispetto dei diritti di cui all'articolo
1. 1-ter
. Il decreto di cui al comma 1 disciplina anche quanto previsto dall'articolo
22, comma 3-bis, della legge. 1-quater.
In caso di incapacità di agire, ovvero di impossibilità fisica o di
incapacità di intendere o di volere, il consenso al trattamento dei dati
idonei a rivelare lo stato di salute è validamente manifestato nei confronti
di esercenti le professioni sanitarie e di organismi sanitari,
rispettivamente, da chi esercita legalmente la potestà ovvero da un
familiare, da un prossimo congiunto, da un convivente, o, in loro assenza,
dal responsabile della struttura presso cui dimori. 2.
I dati personali idonei a rivelare lo stato di salute possono essere resi
noti all'interessato o ai soggetti di cui al comma 1-ter solo per il tramite
di un medico designato dall'interessato o dal titolare. 3.
L'autorizzazione di cui al comma 1 è rilasciata, salvi i casi di particolare
urgenza, sentito il Consiglio superiore di sanità. È vietata la comunicazione
dei dati ottenuti oltre i limiti fissati con l'autorizzazione. 4.
La diffusione dei dati idonei a rivelare lo stato di salute è vietata, salvo
nel caso in cui sia necessaria per finalità di prevenzione, accertamento o
repressione dei reati, con l'osservanza delle norme che regolano la materia. Articolo
24 Dati
relativi ai provvedimenti di cui all'articolo 686 del codice di procedura
penale. 1.
Il trattamento di dati personali idonei a rivelare provvedimenti di cui
all'articolo 686, commi 1, lettere a) e d), 2 e 3, del codice di procedura
penale, è ammesso soltanto se autorizzato da espressa disposizione di legge o
provvedimento del Garante che specifichino le rilevanti finalità di interesse
pubblico del trattamento, i tipi di dati trattati e le precise operazioni
autorizzate. Articolo 24-bis 1. Il trattamento dei dati diversi da quelli di cui agli
articoli 22 e 24 che presenta rischi specifici per i diritti e le libertà
fondamentali, nonché per la dignità dell'interessato, in relazione alla
natura dei dati o alle modalità del trattamento o agli effetti che può
determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia
dell'interessato, ove prescritti. Articolo 25 Trattamento
di dati particolari nell'esercizio della professione di giornalista. 1.
Le disposizioni relative al consenso dell'interessato e all'autorizzazione
del Garante, nonché il limite previsto dall'articolo 24, non si applicano
quando il trattamento dei dati di cui agli articoli 22 e 24 è effettuato
nell'esercizio della professione di giornalista e per l'esclusivo
perseguimento delle relative finalità. Il giornalista rispetta i limiti del
diritto di cronaca, in particolare quello dell'essenzialità dell'informazione
riguardo a fatti di interesse pubblico, ferma restando la possibilità di
trattare i dati relativi a circostanze o fatti resi noti direttamente
dall'interessato o attraverso i suoi comportamenti in pubblico. 2.
Il Garante promuove, nei modi di cui all'articolo 31, comma 1, lettera h),
l'adozione, da parte del Consiglio nazionale dell'ordine dei giornalisti, di
un apposito codice di deontologia relativo al trattamento dei dati di cui al
comma 1 del presente articolo, effettuato nell'esercizio della professione di
giornalista, che preveda misure ed accorgimenti a garanzia degli interessati
rapportate alla natura dei dati, in particolare per quanto riguarda quelli
idonei a rivelare lo stato di salute e la vita sessuale. Nella fase di
formazione del codice, ovvero successivamente, il Garante, in cooperazione
con il Consiglio, prescrive eventuali misure e accorgimenti a garanzia degli
interessati, che il Consiglio è tenuto a recepire. Il codice è pubblicato
nella Gazzetta Ufficiale a cura del Garante e diviene efficace quindici
giorni dopo la sua pubblicazione. 3.
Ove entro sei mesi dalla proposta del Garante il codice di deontologia di cui
al comma 2 non sia stato adottato dal Consiglio nazionale dell'ordine dei
giornalisti, esso è adottato in via sostitutiva dal Garante ed è efficace
sino alla adozione di un diverso codice secondo la procedura di cui al comma
2. In caso di violazione delle prescrizioni contenute nel codice di
deontologia, il Garante può vietare il trattamento ai sensi dell'articolo 31,
comma 1, lettera l). 4.
Nel codice di cui ai commi 2 e 3 sono inserite, altresì, prescrizioni
concernenti i dati personali diversi da quelli indicati negli articoli 22 e
24. Il codice può prevedere forme semplificate per le informative di cui
all'articolo 10. 4-bis.
Le disposizioni della presente legge che attengono all'esercizio della
professione di giornalista si applicano anche ai trattamenti effettuati dai
soggetti iscritti nell'elenco dei pubblicisti o nel registro dei praticanti
di cui agli articoli 26 e 33 della legge 3 febbraio 1963, n. 69, nonché ai
trattamenti temporanei finalizzati esclusivamente alla pubblicazione o
diffusione occasionale di articoli, saggi e altre manifestazioni del
pensiero. Articolo
26 Dati
concernenti persone giuridiche. 1.
Il trattamento nonché la cessazione del trattamento di dati concernenti persone
giuridiche, enti o associazioni non sono soggetti a notificazione. 2.
Ai dati riguardanti persone giuridiche, enti o associazioni non si applicano
le disposizioni dell'articolo 28. Capo V - Trattamenti soggetti a
regime speciale Articolo
27 Trattamento
da parte di soggetti pubblici. 1.
Salvo quanto previsto al comma 2, il trattamento di dati personali da parte
di soggetti pubblici, esclusi gli enti pubblici economici, è consentito
soltanto per lo svolgimento delle funzioni istituzionali, nei limiti
stabiliti dalla legge e dai regolamenti. 2.
La comunicazione e la diffusione a soggetti pubblici, esclusi gli enti
pubblici economici, dei dati trattati sono ammesse quando siano previste da
norme di legge o di regolamento, o risultino comunque necessarie per lo
svolgimento delle funzioni istituzionali. In tale ultimo caso deve esserne
data previa comunicazione nei modi di cui all'articolo 7, commi 2 e 3 al
Garante che vieta, con provvedimento motivato, la comunicazione o la
diffusione se risultano violate le disposizioni della presente legge. 3.
La comunicazione e la diffusione dei dati personali da parte di soggetti
pubblici a privati o a enti pubblici economici sono ammesse solo se previste
da norme di legge o di regolamento. 4.
I criteri di organizzazione delle amministrazioni pubbliche di cui
all'articolo 5 del decreto legislativo 3 febbraio 1993, n. 29, sono attuati
nel pieno rispetto delle disposizioni della presente legge. Articolo 28 1. Il trasferimento
anche temporaneo fuori del territorio nazionale, con qualsiasi forma o mezzo,
di dati personali oggetto di trattamento deve essere previamente notificato
al Garante, qualora sia diretto verso un paese non appartenente all'Unione
europea e ricorra uno dei casi individuati ai sensi dell'articolo 7,
comma 1. Capo VI - Tutela amministrativa
e giurisdizionale Articolo
29 Tutela.
1.
I diritti di cui all'articolo 13, comma 1, possono essere fatti valere
dinanzi all'autorità giudiziaria o con ricorso al Garante. Il ricorso al
Garante non può essere proposto qualora, per il medesimo oggetto e tra le
stesse parti, sia stata già adita l'autorità giudiziaria. 2.
Salvi i casi in cui il decorso del termine esporrebbe taluno a pregiudizio
imminente ed irreparabile, il ricorso al Garante può essere proposto solo
dopo che siano decorsi cinque giorni dalla richiesta avanzata sul medesimo
oggetto al responsabile. La presentazione del ricorso rende improponibile
un'ulteriore domanda dinanzi all'autorità giudiziaria tra le stesse parti e
per il medesimo oggetto. 3.
Nel procedimento dinanzi al Garante il titolare, il responsabile e
l'interessato hanno diritto di essere sentiti, personalmente o a mezzo di
procuratore speciale, e hanno facoltà di presentare memorie o documenti. Il
Garante può disporre, anche d'ufficio, l'espletamento di perizie. 4.
Assunte le necessarie informazioni il Garante, se ritiene fondato il ricorso,
ordina al titolare e al responsabile, con decisione motivata, la cessazione
del comportamento illegittimo, indicando le misure necessarie a tutela dei
diritti dell'interessato e assegnando un termine per la loro adozione. Il
provvedimento è comunicato senza ritardo alle parti interessate, a cura
dell'ufficio del Garante. La mancata pronuncia sul ricorso, decorsi trenta
giorni dalla data di presentazione, equivale a rigetto. 5.
Se la particolarità del caso lo richiede, il Garante può disporre in via
provvisoria il blocco in tutto o in parte di taluno dei dati ovvero
l'immediata sospensione di una o più operazioni del trattamento. Il
provvedimento cessa di avere ogni effetto se, entro i successivi venti
giorni, non è adottata la decisione di cui al comma 4 ed è impugnabile
unitamente a tale decisione. 6.
Avverso il provvedimento espresso o il rigetto tacito di cui al comma 4, il
titolare o l'interessato possono proporre opposizione al tribunale del luogo
ove risiede il titolare, entro il termine di trenta giorni dalla data di
comunicazione del provvedimento o dalla data del rigetto tacito.
L'opposizione non sospende l'esecuzione del provvedimento. 6-bis.
Il decorso dei termini previsti dai commi 4, 5 e 6 è sospeso di diritto dal
1° al 30 agosto di ciascun anno e riprende a decorrere dalla fine del periodo
di sospensione. Ove il decorso abbia inizio durante tale periodo, l'inizio
stesso è differito alla fine del periodo medesimo. La sospensione non opera
nei casi in cui sussista il pregiudizio di cui al comma 2 e non preclude
l'adozione dei provvedimenti di cui al comma 5. 7.
Il tribunale provvede nei modi di cui agli articoli 737 e seguenti del codice
di procedura civile, anche in deroga al divieto di cui all'articolo 4 della
legge 20 marzo 1865, n. 2248, allegato E), e può sospendere, a richiesta,
l'esecuzione del provvedimento. Avverso il decreto del tribunale è ammesso
unicamente il ricorso per cassazione. 8.
Tutte le controversie, ivi comprese quelle inerenti al rilascio
dell'autorizzazione di cui all'articolo 22, comma 1, o che riguardano,
comunque, l'applicazione della presente legge, sono di competenza
dell'autorità giudiziaria ordinaria. 9.
Il danno non patrimoniale è risarcibile anche nei casi di violazione
dell'articolo 9. Capo VII - Garante per la
protezione dei dati personali Articolo
30 Istituzione
del Garante. 1.
È istituito il Garante per la protezione dei dati personali. 2.
Il Garante opera in piena autonomia e con indipendenza di giudizio e di
valutazione. 3.
Il Garante è organo collegiale costituito da quattro membri, eletti due dalla
Camera dei deputati e due dal Senato della Repubblica con voto limitato. Essi
eleggono nel loro ambito un presidente, il cui voto prevale in caso di
parità. I membri sono scelti tra persone che assicurino indipendenza e che
siano esperti di riconosciuta competenza nelle materie del diritto o
dell'informatica, garantendo la presenza di entrambe le qualificazioni. 4.
Il presidente e i membri durano in carica quattro anni e non possono essere
confermati per più di una volta; per tutta la durata dell'incarico il presidente
e i membri non possono esercitare, a pena di decadenza, alcuna attività
professionale o di consulenza, né essere amministratori o dipendenti di enti
pubblici o privati, né ricoprire cariche elettive. 5.
All'atto dell'accettazione della nomina il presidente e i membri sono
collocati fuori ruolo se dipendenti di pubbliche amministrazioni o magistrati
in attività di servizio; se professori universitari di ruolo, sono collocati
in aspettativa senza assegni ai sensi dell'articolo 13 del decreto del Presidente
della Repubblica 11 luglio 1980, n. 382, e successive modificazioni. Il
personale collocato fuori o ruolo o in aspettativa non può essere sostituito.
6.
Al presidente compete una indennità di funzione non eccedente, nel massimo,
la retribuzione spettante al primo presidente della Corte di cassazione. Ai
membri compete un'indennità di funzione non eccedente, nel massimo, i due
terzi di quella spettante al presidente. Le predette indennità di funzione
sono determinate, con il regolamento di cui all'articolo 33, comma 3, in
misura tale da poter essere corrisposte a carico degli ordinari stanziamenti.
Articolo 31 1. Il Garante ha il
compito di: Articolo 32 Accertamenti
e controlli. 1.
Per l'espletamento dei propri compiti il Garante può richiedere al
responsabile, al titolare, all'interessato o anche a terzi di fornire
informazioni e di esibire documenti. 2.
Il Garante, qualora ne ricorra la necessità ai fini del controllo del
rispetto delle disposizioni in materia di trattamento dei dati personali, può
disporre accessi alle banche di dati o altre ispezioni e verifiche nei luoghi
ove si svolge il trattamento o nei quali occorre effettuare rilevazioni
comunque utili al medesimo controllo, avvalendosi, ove necessario, della
collaborazione di altri organi dello Stato. 3.
Gli accertamenti di cui al comma 2 sono disposti previa autorizzazione del
presidente del tribunale competente per territorio in relazione al luogo
dell'accertamento, il quale provvede senza ritardo sulla richiesta del
Garante, con decreto motivato; le relative modalità di svolgimento sono
individuate con il regolamento di cui all'articolo 33, comma 3. 4.
I soggetti interessati agli accertamenti sono tenuti a farli eseguire. 5.
Resta fermo quanto previsto dall'articolo 220 delle norme di attuazione, di
coordinamento e transitorie del codice di procedura penale, approvate con
decreto legislativo 28 luglio 1989, n. 271. 6.
Per i trattamenti di cui agli articoli 4 e 14, comma 1, gli accertamenti sono
effettuati per il tramite di un membro designato dal Garante. Se il
trattamento non risulta conforme alle disposizioni di legge o di regolamento,
il Garante indica al titolare o al responsabile le necessarie modificazioni
ed integrazioni e ne verifica l'attuazione. Se l'accertamento è stato
richiesto dall'interessato, a quest'ultimo è fornito in ogni caso un
riscontro circa il relativo esito, salvo che ricorrano i motivi di cui
all'articolo 10, comma 4, della legge 1°
aprile 1981, n. 121, come sostituito dall'articolo 42, comma 1, della
presente legge, o motivi di difesa o di sicurezza dello Stato. 7.
Gli accertamenti di cui al comma 6 non sono delegabili. Qualora risulti
necessario in ragione della specificità della verifica, il membro designato
può farsi assistere da personale specializzato che è tenuto al segreto ai
sensi dell'articolo 33, comma 6. Gli atti e i documenti acquisiti sono
custoditi secondo modalità tali da assicurarne la segretezza e sono conoscibili
dal presidente e dai membri del Garante e, se necessario per lo svolgimento
delle funzioni dell'organo, da un numero delimitato di addetti al relativo
ufficio, individuati dal Garante sulla base di criteri definiti dal
regolamento di cui all'articolo 33, comma 3. Per gli accertamenti relativi
agli organismi e ai dati di cui all'articolo 4, comma 1, lettera b), il
membro designato prende visione degli atti e dei documenti rilevanti e
riferisce oralmente nelle riunioni del Garante. Articolo
33 Ufficio
del Garante. 1.
Alle dipendenze del Garante è posto un ufficio composto, in sede di prima
applicazione, da dipendenti dello Stato e di altre amministrazioni pubbliche,
collocati fuori ruolo nelle forme previste dai rispettivi ordinamenti, il cui
servizio presso il medesimo ufficio è equiparato ad ogni effetto di legge a
quello prestato nelle rispettive amministrazioni di provenienza. Il relativo
contingente è determinato, in misura non superiore a quarantacinque unità, su
proposta del Garante medesimo, con decreto del Presidente del Consiglio dei
ministri, di concerto con i Ministri del tesoro e per la funzione pubblica,
entro novanta giorni dalla data di elezione del Garante. Il segretario
generale può essere scelto anche tra magistrati ordinari o amministrativi. 1-bis.
È istituito il ruolo organico del personale dipendente del Garante. Con
proprio regolamento il Garante definisce: a) l'ordinamento delle carriere e
le modalità del reclutamento secondo le procedure previste dall'articolo 36
del decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni;
b) le modalità dell'inquadramento in ruolo del personale in servizio alla
data di entrata in vigore del regolamento; c) il trattamento giuridico ed
economico del personale, secondo i criteri previsti dalla legge 31 luglio
1997, n. 249, e, per gli incarichi di funzioni dirigenziali, dall'articolo
19, comma 6, del citato decreto legislativo n. 29, come sostituito
dall'articolo 13 del decreto legislativo 31 marzo 1998, n. 80, tenuto conto
delle specifiche esigenze funzionali e organizzative. Il regolamento è
pubblicato nella Gazzetta Ufficiale. Nelle more della più generale
razionalizzazione del trattamento economico delle autorità amministrative
indipendenti, al personale è attribuito l'ottanta per cento del trattamento
economico del personale dell'Autorità per le garanzie nelle comunicazioni.
Per il periodo intercorrente tra l'8 maggio 1997 e la data di entrata in
vigore del regolamento, resta ferma l'indennità di cui all'articolo 41 del
decreto del Presidente della Repubblica 10 luglio 1991, n. 231, corrisposta
al personale in servizio. Dal 1° gennaio 1998 e fino alla data di entrata in
vigore del medesimo regolamento, è inoltre corrisposta la differenza tra il
nuovo trattamento e la retribuzione già in godimento maggiorata della
predetta indennità di funzione. 1-ter.
L'ufficio può avvalersi, per motivate esigenze, di dipendenti dello Stato o
di altre amministrazioni pubbliche o di enti pubblici collocati in posizione
di fuori ruolo nelle forme previste dai rispettivi ordinamenti, ovvero in
aspettativa ai sensi dell'articolo 13 del decreto del Presidente della
Repubblica 11 luglio 1980, n. 382, e successive modificazioni, in numero non
superiore, complessivamente, a venti unità e per non oltre il venti per cento
delle qualifiche dirigenziali, lasciando non coperto un corrispondente numero
di posti di ruolo. Al personale di cui al presente comma è corrisposta una
indennità pari alla eventuale differenza tra il trattamento erogato
dall'amministrazione o dall'ente di provenienza e quello spettante al
corrispondente personale di ruolo, e comunque non inferiore alla indennità di
cui all'articolo 41 del citato decreto del Presidente della Repubblica n. 231
del 1991. 1-quater.
Con proprio regolamento il Garante ripartisce l'organico, fissato nel limite
di cento unità, tra il personale dei diversi livelli e quello delle
qualifiche dirigenziali e disciplina l'organizzazione, il funzionamento
dell'ufficio, la riscossione e la utilizzazione dei diritti di segreteria, ivi
compresi quelli corrisposti dall'8 maggio 1997, e la gestione delle spese,
anche in deroga alle norme sulla contabilità generale dello Stato. Il
regolamento è pubblicato nella Gazzetta Ufficiale. 1-quinquies.
In aggiunta al personale di ruolo, l'ufficio può assumere direttamente
dipendenti con contratto a tempo determinato disciplinato dalle norme di
diritto privato, in numero non superiore a venti unità, ivi compresi i
consulenti assunti con contratto a tempo determinato ai sensi del comma 4. 1-sexies.
All'ufficio del Garante, al fine di garantire la responsabilità e l'autonomia
ai sensi della legge 7 agosto 1990, n. 241, e successive modificazioni, e del
decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni, si
applicano i princìpi riguardanti l'individuazione e le funzioni del
responsabile del procedimento, nonché quelli relativi alla distinzione fra le
funzioni di indirizzo e di controllo, attribuite agli organi di vertice, e
quelli concernenti le funzioni di gestione attribuite ai dirigenti. 2.
Le spese di funzionamento dell'ufficio del Garante sono poste a carico di un
fondo stanziato a tale scopo nel bilancio dello Stato e iscritto in apposito
capitolo dello stato di previsione del Ministero del tesoro. Il rendiconto
della gestione finanziaria è soggetta al controllo della Corte dei conti. 3.
In sede di prima applicazione della presente legge, le norme concernenti
l'organizzazione ed il funzionamento dell'ufficio del Garante, nonché quelle
dirette a disciplinare la riscossione dei diritti di segreteria e la gestione
delle spese, anche in deroga alle disposizioni sulla contabilità generale
dello Stato, sono adottate con regolamento emanato con decreto del Presidente
della Repubblica, entro tre mesi dalla data di entrata in vigore della
presente legge, previa deliberazione del Consiglio dei ministri, sentito il
Consiglio di Stato, su proposta del Presidente del Consiglio dei ministri, di
concerto con i Ministri del tesoro, di grazia e giustizia e dell'interno, e
su parere conforme del Garante stesso. Nel medesimo regolamento sono
determinate le indennità di cui all'articolo 30, comma 6, e altresì previste
le norme concernenti il procedimento dinanzi al Garante di cui all'articolo
29, commi da 1 a 5, secondo modalità tali da assicurare, nella speditezza del
procedimento medesimo, il pieno rispetto del contraddittorio tra le parti
interessate, nonché le norme volte a precisare le modalità per l'esercizio
dei diritti di cui all'articolo 13, nonché della notificazione di cui
all'articolo 7, per via telematica o mediante supporto magnetico o lettera
raccomandata con avviso di ricevimento o altro idoneo sistema. Il parere del
Consiglio di Stato sullo schema di regolamento è reso entro trenta giorni
dalla ricezione della richiesta; decorso tale termine il regolamento può
comunque essere emanato. 3-bis.
Con effetto dalla data di entrata in vigore del regolamento di cui al comma
1-quater, cessano di avere vigore le norme adottate ai sensi del comma 3,
primo periodo. 4.
Nei casi in cui la natura tecnica o la delicatezza dei problemi lo
richiedano, il Garante può avvalersi dell'opera di consulenti, i quali sono
remunerati in base alle vigenti tariffe professionali ovvero sono assunti con
contratti a tempo determinato, di durata non superiore a due anni, che
possono essere rinnovati per non più di due volte. 5.
Per l'espletamento dei propri compiti, l'ufficio del Garante può avvalersi di
sistemi automatizzati ad elaborazione informatica e di strumenti telematici
propri ovvero, salvaguardando le garanzie previste dalla presente legge,
appartenenti all'Autorità per l'informatica nella pubblica amministrazione o,
in caso di indisponibilità, ad enti pubblici convenzionali. 6.
Il personale addetto all'ufficio del Garante ed i consulenti sono tenuti al segreto
su tutto ciò di cui siano venuti a conoscenza, nell'esercizio delle proprie
funzioni, in ordine a banche di dati e ad operazioni di trattamento. 6-bis.
Il personale dell'ufficio del Garante addetto agli accertamenti di cui
all'articolo 32 riveste, in numero non superiore a cinque unità, nei limiti
del servizio cui è destinato e secondo le rispettive attribuzioni, la
qualifica di ufficiale o agente di polizia giudiziaria. Capo VIII - Sanzioni Articolo 34 1. Chiunque, essendovi tenuto, non provvede
tempestivamente alle notificazioni in conformità a quanto previsto dagli
articoli 7, 16, comma 1, e 28, ovvero indica in esse notizie incomplete, è
punito con la sanzione amministrativa del pagamento di una somma da lire
dieci milioni a lire sessanta milioni e con la sanzione amministrativa
accessoria della pubblicazione dell'ordinanza-ingiunzione. Articolo 35 1. Salvo che il fatto
costituisca più grave reato, chiunque, al fine di trarne per sé o per altri
profitto o di recare ad altri un danno, procede al trattamento di dati
personali in violazione di quanto disposto dagli articoli 11, 20 e 27, è
punito con la reclusione sino a due anni o, se il fatto consiste nella
comunicazione o diffusione, con la reclusione da tre mesi a due anni. Articolo 36 1. Chiunque, essendovi tenuto, omette di adottare le
misure necessarie a garantire la sicurezza dei dati personali, in violazione
delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è
punito con l'arresto sino a due anni o con l'ammenda da lire dieci milioni a
lire ottanta milioni. Articolo 37 1. Chiunque, essendovi
tenuto, non osserva il provvedimento adottato dal Garante ai sensi
dell'articolo 22, comma 2, o degli articoli 29, commi 4 e 5, e 31,
comma 1, lettera l), è punito con la reclusione da tre mesi a due
anni. Articolo 37-bis 1. Chiunque, nelle notificazioni di cui agli articoli 7,
16, comma 1, e 28 o in atti, documenti o dichiarazioni resi o esibiti in un
procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta
falsamente notizie o circostanze o produce atti o documenti falsi, è punito,
salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi
a tre anni. Articolo 38 Pena
accessoria. 1.
La condanna per uno dei delitti previsti dalla presente legge importa la
pubblicazione della sentenza. Articolo 39 1. Chiunque omette di
fornire le informazioni o di esibire i documenti richiesti dal Garante ai
sensi degli articoli 29, comma 4, e 32, comma 1, è punito con la sanzione
amministrativa del pagamento di una somma da lire cinque milioni a
lire trenta milioni. Capo IX - Disposizioni
transitorie e finali ed abrogazioni Articolo
40 Comunicazioni
al Garante. 1.
Copia dei provvedimenti emessi dall'autorità giudiziaria in relazione a
quanto previsto dalla presente legge e dalla legge 23 dicembre 1993, n. 547,
è trasmessa, a cura della cancelleria, al Garante. Articolo 41 1. Fermo restando
l'esercizio dei diritti di cui agli articoli 13 e 29, le disposizioni della
presente legge che prescrivono il consenso dell'interessato non si applicano
in riferimento ai dati personali raccolti precedentemente alla data di
entrata in vigore della legge stessa, o il cui trattamento sia iniziato prima
di tale data. Resta salva l'applicazione delle disposizioni relative alla
comunicazione e alla diffusione dei dati previste dalla presente legge. Le
disposizioni del presente comma restano in vigore sino alla data del 30
giugno 2003. |