Decreto
legislativo 30 giugno 2003, n. 196
CODICE
IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
aggiornato
in base ai seguenti provvedimenti:
• legge 26 febbraio 2007, n. 17
di conversione, con modificazioni, del decreto-legge 28 dicembre 2006, n.
300;
• legge 12 luglio 2006, n. 228
di conversione, con modificazioni, del decreto-legge 12 maggio 2006, n.
173;
• legge 23 febbraio 2006, n. 51
di conversione, con modificazioni, del decreto-legge 30 dicembre 2005, n. 273;
• legge 27 gennaio 2006, n. 21
di conversione, con modificazioni, del decreto legge 30 novembre 2005, n. 245;
• decreto legislativo 7 settembre 2005, n. 209;
• legge 31 luglio 2005, n. 155
di conversione, con modificazioni, del decreto-legge 27 luglio 2005, n. 144;
• legge 1 marzo 2005, n. 26
di conversione, con modificazioni, del decreto-legge 30 dicembre 2004, n. 314;
• legge 27 dicembre 2004, n. 306
di conversione, con modificazioni, del decreto-legge 9 novembre 2004, n. 66;
• legge 27 luglio 2004, n. 188
di conversione, con modificazioni, del decreto-legge 24 giugno 2004, n. 158;
• legge 26 maggio 2004, n. 138
di conversione, con modificazioni, del decreto-legge 29 marzo 2004, n. 81;
• decreto legislativo 22 gennaio 2004, n. 42;
• legge 26 febbraio 2004, n. 45
di conversione, con modificazioni, del decreto-legge 24 dicembre 2003, n. 354.
IL
PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e
87 della Costituzione;
Visto l'articolo 1 della
legge 24 marzo 2001, n.127, recante delega al Governo per l'emanazione di
un testo unico in materia di trattamento dei dati personali;
Visto l'articolo 26 della
legge 3 febbraio 2003, n. 14, recante disposizioni per l'adempimento di
obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee
(legge comunitaria 2002);
Vista la legge 31
dicembre 1996, n. 675, e successive modificazioni;
Vista la legge 31
dicembre 1996, n. 676, recante delega al Governo in materia di tutela
delle persone e di altri soggetti rispetto al trattamento dei dati
personali;
Vista la direttiva
95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,
relativa alla tutela delle persone fisiche con riguardo al trattamento dei
dati personali, nonché alla libera circolazione dei dati;
Vista la direttiva
2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002,
relativa al trattamento dei dati personali e alla tutela della vita
privata nel settore delle comunicazioni elettroniche;
Vista la preliminare
deliberazione del Consiglio dei ministri, adottata nella riunione del 9
maggio 2003;
Sentito il Garante per la
protezione dei dati personali;
Acquisito il parere delle
competenti Commissioni parlamentari della Camera dei deputati e del Senato
della Repubblica;
Vista la deliberazione
del Consiglio dei ministri, adottata nella riunione del 27 giugno 2003;
Sulla proposta del
Presidente del Consiglio dei ministri, del Ministro per la funzione
pubblica e del Ministro per le politiche comunitarie, di concerto con i
ministri della giustizia, dell'economia e delle finanze, degli affari
esteri e delle comunicazioni;
emana il seguente decreto
legislativo:
Parte
I - Disposizioni generali
Titolo I - Principi generali
Art. 1. Diritto
alla protezione dei dati personali
1. Chiunque ha diritto alla protezione dei dati personali che lo
riguardano.
Art. 2. Finalità
1. Il presente testo unico, di seguito denominato "codice",
garantisce che il trattamento dei dati personali si svolga nel rispetto
dei diritti e delle libertà fondamentali, nonché della dignità
dell'interessato, con particolare riferimento alla riservatezza,
all'identità personale e al diritto alla protezione dei dati personali.
2. Il trattamento dei
dati personali è disciplinato assicurando un elevato livello di tutela
dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi
di semplificazione, armonizzazione ed efficacia delle modalità previste
per il loro esercizio da parte degli interessati, nonché per
l'adempimento degli obblighi da parte dei titolari del trattamento.
Art. 3. Principio
di necessità nel trattamento dei dati
1. I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l'utilizzazione di dati personali e di
dati identificativi, in modo da escluderne il trattamento quando le
finalità perseguite nei singoli casi possono essere realizzate mediante,
rispettivamente, dati anonimi od opportune modalità che permettano di
identificare l'interessato solo in caso di necessità.
Art. 4.
Definizioni
1. Ai fini del presente codice si intende per:
a)
"trattamento", qualunque operazione o complesso di operazioni,
effettuati anche senza l'ausilio di strumenti elettronici, concernenti
la raccolta, la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco,
la comunicazione, la diffusione, la cancellazione e la distruzione di
dati, anche se non registrati in una banca di dati;
b) "dato
personale", qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale;
c) "dati
identificativi", i dati personali che permettono l'identificazione
diretta dell'interessato;
d) "dati
sensibili", i dati personali idonei a rivelare l'origine razziale
ed etnica, le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale,
nonché i dati personali idonei a rivelare lo stato di salute e la vita
sessuale;
e) "dati
giudiziari", i dati personali idonei a rivelare provvedimenti di
cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R.
14 novembre 2002, n. 313, in materia di casellario giudiziale, di
anagrafe delle sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti, o la qualità di imputato o di indagato ai
sensi degli articoli 60 e 61 del codice di procedura penale;
f)
"titolare", la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente, associazione od
organismo cui competono, anche unitamente ad altro titolare, le
decisioni in ordine alle finalità, alle modalità del trattamento di
dati personali e agli strumenti utilizzati, ivi compreso il profilo
della sicurezza;
g)
"responsabile", la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente, associazione od
organismo preposti dal titolare al trattamento di dati personali;
h)
"incaricati", le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal responsabile;
i)
"interessato", la persona fisica, la persona giuridica, l'ente
o l'associazione cui si riferiscono i dati personali;
l)
"comunicazione", il dare conoscenza dei dati personali a uno o
più soggetti determinati diversi dall'interessato, dal rappresentante
del titolare nel territorio dello Stato, dal responsabile e dagli
incaricati, in qualunque forma, anche mediante la loro messa a
disposizione o consultazione;
m)
"diffusione", il dare conoscenza dei dati personali a soggetti
indeterminati, in qualunque forma, anche mediante la loro messa a
disposizione o consultazione;
n) "dato
anonimo", il dato che in origine, o a seguito di trattamento, non
può essere associato ad un interessato identificato o identificabile;
o) "blocco",
la conservazione di dati personali con sospensione temporanea di ogni
altra operazione del trattamento;
p) "banca di
dati", qualsiasi complesso organizzato di dati personali, ripartito
in una o più unità dislocate in uno o più siti;
q) "Garante",
l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre
1996, n. 675.
2. Ai fini del
presente codice si intende, inoltre, per:
a)
"comunicazione elettronica", ogni informazione scambiata o
trasmessa tra un numero finito di soggetti tramite un servizio di
comunicazione elettronica accessibile al pubblico. Sono escluse le
informazioni trasmesse al pubblico tramite una rete di comunicazione
elettronica, come parte di un servizio di radiodiffusione, salvo che le
stesse informazioni siano collegate ad un abbonato o utente ricevente,
identificato o identificabile;
b)
"chiamata", la connessione istituita da un servizio telefonico
accessibile al pubblico, che consente la comunicazione bidirezionale in
tempo reale;
c) "reti
di comunicazione elettronica", i sistemi di trasmissione, le
apparecchiature di commutazione o di instradamento e altre risorse che
consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre
ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari,
le reti terrestri mobili e fisse a commutazione di circuito e a
commutazione di pacchetto, compresa Internet, le reti utilizzate per la
diffusione circolare dei programmi sonori e televisivi, i sistemi per il
trasporto della corrente elettrica, nella misura in cui sono utilizzati
per trasmettere i segnali, le reti televisive via cavo,
indipendentemente dal tipo di informazione trasportato;
d) "rete
pubblica di comunicazioni", una rete di comunicazioni elettroniche
utilizzata interamente o prevalentemente per fornire servizi di
comunicazione elettronica accessibili al pubblico;
e)
"servizio di comunicazione elettronica", i servizi consistenti
esclusivamente o prevalentemente nella trasmissione di segnali su reti
di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e
i servizi di trasmissione nelle reti utilizzate per la diffusione
circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera
c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio,
del 7marzo 2002;
f)
"abbonato", qualunque persona fisica, persona giuridica, ente
o associazione parte di un contratto con un fornitore di servizi di
comunicazione elettronica accessibili al pubblico per la fornitura di
tali servizi, o comunque destinatario di tali servizi tramite schede
prepagate;
g)
"utente", qualsiasi persona fisica che utilizza un servizio di
comunicazione elettronica accessibile al pubblico, per motivi privati o
commerciali, senza esservi necessariamente abbonata;
h) "dati
relativi al traffico", qualsiasi dato sottoposto a trattamento ai
fini della trasmissione di una comunicazione su una rete di
comunicazione elettronica o della relativa fatturazione;
i) "dati
relativi all'ubicazione", ogni dato trattato in una rete di
comunicazione elettronica che indica la posizione geografica
dell'apparecchiatura terminale dell'utente di un servizio di
comunicazione elettronica accessibile al pubblico;
l)
"servizio a valore aggiunto", il servizio che richiede il
trattamento dei dati relativi al traffico o dei dati relativi
all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è
necessario per la trasmissione di una comunicazione o della relativa
fatturazione;
m)
"posta elettronica", messaggi contenenti testi, voci, suoni o
immagini trasmessi attraverso una rete pubblica di comunicazione, che
possono essere archiviati in rete o nell'apparecchiatura terminale
ricevente, fino a che il ricevente non ne ha preso conoscenza.
3. Ai fini del
presente codice si intende, altresì, per:
a)
"misure minime", il complesso delle misure tecniche,
informatiche, organizzative, logistiche e procedurali di sicurezza che
configurano il livello minimo di protezione richiesto in relazione ai
rischi previsti nell'articolo 31;
b)
"strumenti elettronici", gli elaboratori, i programmi per
elaboratori e qualunque dispositivo elettronico o comunque automatizzato
con cui si effettua il trattamento;
c)
"autenticazione informatica", l'insieme degli strumenti
elettronici e delle procedure per la verifica anche indiretta
dell'identità;
d)
"credenziali di autenticazione", i dati ed i dispositivi, in
possesso di una persona, da questa conosciuti o ad essa univocamente
correlati, utilizzati per l'autenticazione informatica;
e)
"parola chiave", componente di una credenziale di
autenticazione associata ad una persona ed a questa nota, costituita da
una sequenza di caratteri o altri dati in forma elettronica;
f)
"profilo di autorizzazione", l'insieme delle informazioni,
univocamente associate ad una persona, che consente di individuare a
quali dati essa può accedere, nonché i trattamenti ad essa consentiti;
g)
"sistema di autorizzazione", l'insieme degli strumenti e delle
procedure che abilitano l'accesso ai dati e alle modalità di
trattamento degli stessi, in funzione del profilo di autorizzazione del
richiedente.
4. Ai fini del
presente codice si intende per:
a)
"scopi storici", le finalità di studio, indagine, ricerca e
documentazione di figure, fatti e circostanze del passato;
b)
"scopi statistici", le finalità di indagine statistica o di
produzione di risultati statistici, anche a mezzo di sistemi informativi
statistici;
c)
"scopi scientifici", le finalità di studio e di indagine
sistematica finalizzata allo sviluppo delle conoscenze scientifiche in
uno specifico settore.
Art. 5.
Oggetto ed ambito di applicazione
1. Il presente codice disciplina il trattamento di dati
personali, anche detenuti all'estero, effettuato da chiunque è stabilito
nel territorio dello Stato o in un luogo comunque soggetto alla sovranità
dello Stato.
2. Il presente
codice si applica anche al trattamento di dati personali effettuato da
chiunque è stabilito nel territorio di un Paese non appartenente
all'Unione europea e impiega, per il trattamento, strumenti situati nel
territorio dello Stato anche diversi da quelli elettronici, salvo che essi
siano utilizzati solo ai fini di transito nel territorio dell'Unione
europea. In caso di applicazione del presente codice, il titolare del
trattamento designa un proprio rappresentante stabilito nel territorio
dello Stato ai fini dell'applicazione della disciplina sul trattamento dei
dati personali.
3. Il
trattamento di dati personali effettuato da persone fisiche per fini
esclusivamente personali è soggetto all'applicazione del presente codice
solo se i dati sono destinati ad una comunicazione sistematica o alla
diffusione. Si applicano in ogni caso le disposizioni in tema di
responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
Art. 6.
Disciplina del trattamento
1. Le disposizioni contenute nella presente Parte si applicano a
tutti i trattamenti di dati, salvo quanto previsto, in relazione ad alcuni
trattamenti, dalle disposizioni integrative o modificative della Parte II.
Titolo II - Diritti
dell’interessato
Art. 7. Diritto di accesso ai dati personali ed
altri diritti
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno
di dati personali che lo riguardano, anche se non ancora registrati, e la
loro comunicazione in forma intelligibile.
2.
L'interessato ha diritto di ottenere l'indicazione:
a)
dell'origine dei dati personali;
b) delle
finalità e modalità del trattamento;
c) della
logica applicata in caso di trattamento effettuato con l'ausilio di
strumenti elettronici;
d) degli
estremi identificativi del titolare, dei responsabili e del
rappresentante designato ai sensi dell'articolo 5, comma 2;
e) dei
soggetti o delle categorie di soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza in qualità di
rappresentante designato nel territorio dello Stato, di responsabili o
incaricati.
3.
L'interessato ha diritto di ottenere:
a)
l'aggiornamento, la rettificazione ovvero, quando vi ha interesse,
l'integrazione dei dati;
b) la
cancellazione, la trasformazione in forma anonima o il blocco dei dati
trattati in violazione di legge, compresi quelli di cui non è
necessaria la conservazione in relazione agli scopi per i quali i dati
sono stati raccolti o successivamente trattati;
c)
l'attestazione che le operazioni di cui alle lettere a) e b) sono state
portate a conoscenza, anche per quanto riguarda il loro contenuto, di
coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il
caso in cui tale adempimento si rivela impossibile o comporta un impiego
di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4.
L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi
legittimi al trattamento dei dati personali che lo riguardano, ancorché
pertinenti allo scopo della raccolta;
b) al
trattamento di dati personali che lo riguardano a fini di invio di
materiale pubblicitario o di vendita diretta o per il compimento di
ricerche di mercato o di comunicazione commerciale.
Art. 8.
Esercizio dei diritti
1. I diritti di cui all'articolo 7 sono esercitati con richiesta
rivolta senza formalità al titolare o al responsabile, anche per il
tramite di un incaricato, alla quale è fornito idoneo riscontro senza
ritardo.
2. I diritti di
cui all'articolo 7 non possono essere esercitati con richiesta al titolare
o al responsabile o con ricorso ai sensi dell'articolo 145, se i
trattamenti di dati personali sono effettuati:
a) in base
alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito,
con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive
modificazioni, in materia di riciclaggio;
b) in base
alle disposizioni del decreto-legge 31 dicembre 1991, n. 419,
convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e
successive modificazioni, in materia di sostegno alle vittime di
richieste estorsive;
c) da
Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82
della Costituzione;
d) da un
soggetto pubblico, diverso dagli enti pubblici economici, in base ad
espressa disposizione di legge, per esclusive finalità inerenti alla
politica monetaria e valutaria, al sistema dei pagamenti, al controllo
degli intermediari e dei mercati creditizi e finanziari, nonché alla
tutela della loro stabilità;
e) ai sensi
dell'articolo 24, comma 1, lettera f), limitatamente al periodo durante
il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo
svolgimento delle investigazioni difensive o per l'esercizio del diritto
in sede giudiziaria;
f) da
fornitori di servizi di comunicazione elettronica accessibili al
pubblico relativamente a comunicazioni telefoniche in entrata, salvo che
possa derivarne un pregiudizio effettivo e concreto per lo svolgimento
delle investigazioni difensive di cui alla legge 7 dicembre 2000, n.
397;
g) per
ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o
il Consiglio superiore della magistratura o altri organi di autogoverno
o il Ministero della giustizia;
h) ai sensi
dell'articolo 53, fermo restando quanto previsto dalla legge 1 aprile
1981, n. 121.
3. Il Garante,
anche su segnalazione dell'interessato, nei casi di cui al comma 2,
lettere a), b), d), e) ed f) provvede nei modi di cui agli articoli 157,
158 e 159 e, nei casi di cui alle lettere c), g) ed h) del medesimo comma,
provvede nei modi di cui all'articolo 160.
4. L'esercizio
dei diritti di cui all'articolo 7, quando non riguarda dati di carattere
oggettivo, può avere luogo salvo che concerna la rettificazione o
l'integrazione di dati personali di tipo valutativo, relativi a giudizi,
opinioni o ad altri apprezzamenti di tipo soggettivo, nonché
l'indicazione di condotte da tenersi o di decisioni in via di assunzione
da parte del titolare del trattamento.
Art. 9.
Modalità di esercizio
1. La richiesta rivolta al titolare o al responsabile può essere
trasmessa anche mediante lettera raccomandata, telefax o posta
elettronica. Il Garante può individuare altro idoneo sistema in
riferimento a nuove soluzioni tecnologiche. Quando riguarda l'esercizio
dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta può essere
formulata anche oralmente e in tal caso è annotata sinteticamente a cura
dell'incaricato o del responsabile.
2.
Nell'esercizio dei diritti di cui all'articolo 7 l'interessato può
conferire, per iscritto, delega o procura a persone fisiche, enti,
associazioni od organismi. L'interessato può, altresì, farsi assistere
da una persona di fiducia.
3. I diritti di
cui all'articolo 7 riferiti a dati personali concernenti persone decedute
possono essere esercitati da chi ha un interesse proprio, o agisce a
tutela dell'interessato o per ragioni familiari meritevoli di protezione.
4. L'identità
dell'interessato è verificata sulla base di idonei elementi di
valutazione, anche mediante atti o documenti disponibili o esibizione o
allegazione di copia di un documento di riconoscimento. La persona che
agisce per conto dell'interessato esibisce o allega copia della procura,
ovvero della delega sottoscritta in presenza di un incaricato o
sottoscritta e presentata unitamente a copia fotostatica non autenticata
di un documento di riconoscimento dell'interessato. Se l'interessato è
una persona giuridica, un ente o un'associazione, la richiesta è avanzata
dalla persona fisica legittimata in base ai rispettivi statuti od
ordinamenti.
5. La richiesta
di cui all'articolo 7, commi 1 e 2, è formulata liberamente e senza
costrizioni e può essere rinnovata, salva l'esistenza di giustificati
motivi, con intervallo non minore di novanta giorni.
Art.
10. Riscontro all'interessato
1. Per garantire l'effettivo esercizio dei diritti di cui all'articolo 7
il titolare del trattamento è tenuto ad adottare idonee misure volte, in
particolare:
a) ad
agevolare l'accesso ai dati personali da parte dell'interessato, anche
attraverso l'impiego di appositi programmi per elaboratore finalizzati
ad un'accurata selezione dei dati che riguardano singoli interessati
identificati o identificabili;
b) a
semplificare le modalità e a ridurre i tempi per il riscontro al
richiedente, anche nell'ambito di uffici o servizi preposti alle
relazioni con il pubblico.
2. I dati sono
estratti a cura del responsabile o degli incaricati e possono essere
comunicati al richiedente anche oralmente, ovvero offerti in visione
mediante strumenti elettronici, sempre che in tali casi la comprensione
dei dati sia agevole, considerata anche la qualità e la quantità delle
informazioni. Se vi è richiesta, si provvede alla trasposizione dei dati
su supporto cartaceo o informatico, ovvero alla loro trasmissione per via
telematica.
3. Salvo che la
richiesta sia riferita ad un particolare trattamento o a specifici dati
personali o categorie di dati personali, il riscontro all'interessato
comprende tutti i dati personali che riguardano l'interessato comunque
trattati dal titolare. Se la richiesta è rivolta ad un esercente una
professione sanitaria o ad un organismo sanitario si osserva la
disposizione di cui all'articolo 84, comma 1.
4. Quando
l'estrazione dei dati risulta particolarmente difficoltosa il riscontro
alla richiesta dell'interessato può avvenire anche attraverso
l'esibizione o la consegna in copia di atti e documenti contenenti i dati
personali richiesti.
5. Il diritto
di ottenere la comunicazione in forma intelligibile dei dati non riguarda
dati personali relativi a terzi, salvo che la scomposizione dei dati
trattati o la privazione di alcuni elementi renda incomprensibili i dati
personali relativi all'interessato.
6. La
comunicazione dei dati è effettuata in forma intelligibile anche
attraverso l'utilizzo di una grafia comprensibile. In caso di
comunicazione di codici o sigle sono forniti, anche mediante gli
incaricati, i parametri per la comprensione del relativo significato.
7. Quando, a
seguito della richiesta di cui all'articolo 7, commi 1 e 2, lettere a), b)
e c) non risulta confermata l'esistenza di dati che riguardano
l'interessato, può essere chiesto un contributo spese non eccedente i
costi effettivamente sopportati per la ricerca effettuata nel caso
specifico.
8. Il
contributo di cui al comma 7 non può comunque superare l'importo
determinato dal Garante con provvedimento di carattere generale, che può
individuarlo forfettariamente in relazione al caso in cui i dati sono
trattati con strumenti elettronici e la risposta è fornita oralmente. Con
il medesimo provvedimento il Garante può prevedere che il contributo
possa essere chiesto quando i dati personali figurano su uno speciale
supporto del quale è richiesta specificamente la riproduzione, oppure
quando, presso uno o più titolari, si determina un notevole impiego di
mezzi in relazione alla complessità o all'entità delle richieste ed è
confermata l'esistenza di dati che riguardano l'interessato.
9. Il
contributo di cui ai commi 7 e 8 è corrisposto anche mediante versamento
postale o bancario, ovvero mediante carta di pagamento o di credito, ove
possibile all'atto della ricezione del riscontro e comunque non oltre
quindici giorni da tale riscontro.
Titolo III - Regole generali per il
trattamento dei dati
Capo
I - Regole per tutti i trattamenti
Art. 11. Modalità del trattamento e requisiti dei
dati
1. I dati personali oggetto di trattamento sono:
a) trattati
in modo lecito e secondo correttezza;
b) raccolti e
registrati per scopi determinati, espliciti e legittimi, ed utilizzati
in altre operazioni del trattamento in termini compatibili con tali
scopi;
c) esatti e,
se necessario, aggiornati;
d)
pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti o successivamente trattati;
e) conservati
in una forma che consenta l'identificazione dell'interessato per un
periodo di tempo non superiore a quello necessario agli scopi per i
quali essi sono stati raccolti o successivamente trattati.
2. I dati
personali trattati in violazione della disciplina rilevante in materia di
trattamento dei dati personali non possono essere utilizzati.
Art. 12. Codici di deontologia e di buona condotta
1. Il Garante promuove nell'ambito delle categorie interessate,
nell'osservanza del principio di rappresentatività e tenendo conto dei
criteri direttivi delle raccomandazioni del Consiglio d'Europa sul
trattamento di dati personali, la sottoscrizione di codici di deontologia
e di buona condotta per determinati settori, ne verifica la conformità
alle leggi e ai regolamenti anche attraverso l'esame di osservazioni di
soggetti interessati e contribuisce a garantirne la diffusione e il
rispetto.
2. I codici
sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana a cura
del Garante e, con decreto del Ministro della giustizia, sono riportati
nell'allegato A) del presente codice.
3. Il rispetto
delle disposizioni contenute nei codici di cui al comma 1 costituisce
condizione essenziale per la liceità e correttezza del trattamento dei
dati personali effettuato da soggetti privati e pubblici.
4. Le
disposizioni del presente articolo si applicano anche al codice di
deontologia per i trattamenti di dati per finalità giornalistiche
promosso dal Garante nei modi di cui al comma 1 e all’articolo 139.
Art.
13. Informativa
1. L'interessato o la persona presso la quale sono raccolti i
dati personali sono previamente informati oralmente o per iscritto circa:
a) le finalità
e le modalità del trattamento cui sono destinati i dati;
b) la natura
obbligatoria o facoltativa del conferimento dei dati;
c) le
conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti
o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di
responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti
di cui all'articolo 7;
f) gli
estremi identificativi del titolare e, se designati, del rappresentante
nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile.
Quando il titolare ha designato più responsabili è indicato almeno uno
di essi, indicando il sito della rete di comunicazione o le modalità
attraverso le quali è conoscibile in modo agevole l'elenco aggiornato
dei responsabili. Quando è stato designato un responsabile per il
riscontro all'interessato in caso di esercizio dei diritti di cui
all'articolo 7, è indicato tale responsabile.
2.
L'informativa di cui al comma 1 contiene anche gli elementi previsti da
specifiche disposizioni del presente codice e può non comprendere gli
elementi già noti alla persona che fornisce i dati o la cui conoscenza può
ostacolare in concreto l'espletamento, da parte di un soggetto pubblico,
di funzioni ispettive o di controllo svolte per finalità di difesa o
sicurezza dello Stato oppure di prevenzione, accertamento o repressione di
reati.
3. Il Garante
può individuare con proprio provvedimento modalità semplificate per
l'informativa fornita in particolare da servizi telefonici di assistenza e
informazione al pubblico.
4. Se i dati
personali non sono raccolti presso l'interessato, l'informativa di cui al
comma 1, comprensiva delle categorie di dati trattati, è data al medesimo
interessato all'atto della registrazione dei dati o, quando è prevista la
loro comunicazione, non oltre la prima comunicazione.
5. La
disposizione di cui al comma 4 non si applica quando:
a) i dati
sono trattati in base ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria;
b) i dati
sono trattati ai fini dello svolgimento delle investigazioni difensive
di cui alla legge 7 dicembre 2000, n. 397, o, comunque,
per far valere o difendere un diritto in sede giudiziaria, sempre che i
dati siano trattati esclusivamente per tali finalità e per il periodo
strettamente necessario al loro perseguimento;
c)
l'informativa all'interessato comporta un impiego di mezzi che il
Garante, prescrivendo eventuali misure appropriate, dichiari
manifestamente sproporzionati rispetto al diritto tutelato, ovvero si
riveli, a giudizio del Garante, impossibile.
Art.
14. Definizione di profili e della personalità dell'interessato
1. Nessun atto o provvedimento giudiziario o amministrativo che implichi
una valutazione del comportamento umano può essere fondato unicamente su
un trattamento automatizzato di dati personali volto a definire il profilo
o la personalità dell'interessato.
2.
L'interessato può opporsi ad ogni altro tipo di determinazione adottata
sulla base del trattamento di cui al comma 1, ai sensi dell'articolo 7,
comma 4, lettera a), salvo che la determinazione sia stata adottata in
occasione della conclusione o dell'esecuzione di un contratto, in
accoglimento di una proposta dell'interessato o sulla base di adeguate
garanzie individuate dal presente codice o da un provvedimento del Garante
ai sensi dell'articolo 17.
Art.
15. Danni cagionati per effetto del trattamento
1. Chiunque cagiona danno ad altri per effetto del trattamento di dati
personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice
civile.
2. Il danno non
patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.
Art.
16. Cessazione del trattamento
1. In caso di cessazione, per qualsiasi causa, di un trattamento
i dati sono:
a) distrutti;
b) ceduti ad
altro titolare, purchè destinati ad un trattamento in termini
compatibili agli scopi per i quali i dati sono raccolti;
c) conservati
per fini esclusivamente personali e non destinati ad una comunicazione
sistematica o alla diffusione;
d) conservati
o ceduti ad altro titolare, per scopi storici, statistici o scientifici,
in conformità alla legge, ai regolamenti, alla normativa comunitaria e
ai codici di deontologia e di buona condotta sottoscritti ai sensi
dell'articolo 12.
2. La cessione
dei dati in violazione di quanto previsto dal comma 1, lettera b), o di
altre disposizioni rilevanti in materia di trattamento dei dati personali
è priva di effetti.
Art.
17. Trattamento che presenta rischi specifici
1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che
presenta rischi specifici per i diritti e le libertà fondamentali, nonché
per la dignità dell'interessato, in relazione alla natura dei dati o alle
modalità del trattamento o agli effetti che può determinare, è ammesso
nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove
prescritti.
2. Le misure e
gli accorgimenti di cui al comma 1 sono prescritti dal Garante in
applicazione dei principi sanciti dal presente codice, nell'ambito di una
verifica preliminare all'inizio del trattamento, effettuata anche in
relazione a determinate categorie di titolari o di trattamenti, anche a
seguito di un interpello del titolare.
Capo II - Regole ulteriori per i soggetti
pubblici
Art. 18. Principi applicabili a tutti i trattamenti
effettuati da soggetti pubblici
1. Le disposizioni del presente capo riguardano tutti i soggetti
pubblici, esclusi gli enti pubblici economici.
2. Qualunque
trattamento di dati personali da parte di soggetti pubblici è consentito
soltanto per lo svolgimento delle funzioni istituzionali.
3. Nel trattare
i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal
presente codice, anche in relazione alla diversa natura dei dati, nonché
dalla legge e dai regolamenti.
4. Salvo quanto
previsto nella Parte II per gli esercenti le professioni sanitarie e gli
organismi sanitari pubblici, i soggetti pubblici non devono richiedere il
consenso dell'interessato.
5. Si osservano
le disposizioni di cui all'articolo 25 in tema di comunicazione e
diffusione.
Art.
19. Principi applicabili al trattamento di dati diversi da quelli
sensibili e giudiziari
1. Il trattamento da parte di un soggetto pubblico riguardante dati
diversi da quelli sensibili e giudiziari è consentito, fermo restando
quanto previsto dall'articolo 18, comma 2, anche in mancanza di una norma
di legge o di regolamento che lo preveda espressamente.
2. La
comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici
è ammessa quando è prevista da una norma di legge o di regolamento. In
mancanza di tale norma la comunicazione è ammessa quando è comunque
necessaria per lo svolgimento di funzioni istituzionali e può essere
iniziata se è decorso il termine di cui all'articolo 39, comma 2, e non
è stata adottata la diversa determinazione ivi indicata.
3. La
comunicazione da parte di un soggetto pubblico a privati o a enti pubblici
economici e la diffusione da parte di un soggetto pubblico sono ammesse
unicamente quando sono previste da una norma di legge o di regolamento.
Art.
20. Principi applicabili al trattamento di dati sensibili
1. Il trattamento dei dati sensibili da parte di soggetti
pubblici è consentito solo se autorizzato da espressa disposizione di
legge nella quale sono specificati i tipi di dati che possono essere
trattati e di operazioni eseguibili e le finalità di rilevante interesse
pubblico perseguite.
2. Nei casi in
cui una disposizione di legge specifica la finalità di rilevante
interesse pubblico, ma non i tipi di dati sensibili e di operazioni
eseguibili, il trattamento è consentito solo in riferimento ai tipi di
dati e di operazioni identificati e resi pubblici a cura dei soggetti che
ne effettuano il trattamento, in relazione alle specifiche finalità
perseguite nei singoli casi e nel rispetto dei principi di cui
all'articolo 22, con atto di natura regolamentare adottato in conformità
al parere espresso dal Garante ai sensi dell'articolo 154, comma 1,
lettera g), anche su schemi tipo.
3. Se il
trattamento non è previsto espressamente da una disposizione di legge i
soggetti pubblici possono richiedere al Garante l'individuazione delle
attività, tra quelle demandate ai medesimi soggetti dalla legge, che
perseguono finalità di rilevante interesse pubblico e per le quali è
conseguentemente autorizzato, ai sensi dell'articolo 26, comma 2, il
trattamento dei dati sensibili. Il trattamento è consentito solo se il
soggetto pubblico provvede altresì a identificare e rendere pubblici i
tipi di dati e di operazioni nei modi di cui al comma 2.
4.
L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3
è aggiornata e integrata periodicamente.
Art.
21. Principi applicabili al trattamento di dati giudiziari
1. Il trattamento di dati giudiziari da parte di soggetti
pubblici è consentito solo se autorizzato da espressa disposizione di
legge o provvedimento del Garante che specifichino le finalità di
rilevante interesse pubblico del trattamento, i tipi di dati trattati e di
operazioni eseguibili.
2. Le
disposizioni di cui all'articolo 20, commi 2 e 4, si applicano anche al
trattamento dei dati giudiziari.
Art.
22. Principi applicabili al trattamento di dati sensibili e giudiziari
1. I soggetti pubblici conformano il trattamento dei dati sensibili e
giudiziari secondo modalità volte a prevenire violazioni dei diritti,
delle libertà fondamentali e della dignità dell'interessato.
2. Nel fornire
l'informativa di cui all'articolo 13 i soggetti pubblici fanno espresso
riferimento alla normativa che prevede gli obblighi o i compiti in base
alla quale è effettuato il trattamento dei dati sensibili e giudiziari.
3. I soggetti
pubblici possono trattare solo i dati sensibili e giudiziari
indispensabili per svolgere attività istituzionali che non possono essere
adempiute, caso per caso, mediante il trattamento di dati anonimi o di
dati personali di natura diversa.
4. I dati
sensibili e giudiziari sono raccolti, di regola, presso l'interessato.
5. In
applicazione dell'articolo 11, comma 1, lettere c), d) ed e), i soggetti
pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati
sensibili e giudiziari, nonché la loro pertinenza, completezza, non
eccedenza e indispensabilità rispetto alle finalità perseguite nei
singoli casi, anche con riferimento ai dati che l'interessato fornisce di
propria iniziativa. Al fine di assicurare che i dati sensibili e
giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro
attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i
dati e gli adempimenti. I dati che, anche a seguito delle verifiche,
risultano eccedenti o non pertinenti o non indispensabili non possono
essere utilizzati, salvo che per l'eventuale conservazione, a norma di
legge, dell'atto o del documento che li contiene. Specifica attenzione è
prestata per la verifica dell'indispensabilità dei dati sensibili e
giudiziari riferiti a soggetti diversi da quelli cui si riferiscono
direttamente le prestazioni o gli adempimenti.
6. I dati
sensibili e giudiziari contenuti in elenchi, registri o banche di dati,
tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche
di cifratura o mediante l'utilizzazione di codici identificativi o di
altre soluzioni che, considerato il numero e la natura dei dati trattati,
li rendono temporaneamente inintelligibili anche a chi è autorizzato ad
accedervi e permettono di identificare gli interessati solo in caso di
necessità.
7. I dati
idonei a rivelare lo stato di salute e la vita sessuale sono conservati
separatamente da altri dati personali trattati per finalità che non
richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità
di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche
di dati senza l'ausilio di strumenti elettronici.
8. I dati
idonei a rivelare lo stato di salute non possono essere diffusi.
9. Rispetto ai
dati sensibili e giudiziari indispensabili ai sensi del comma 3, i
soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni
di trattamento indispensabili per il perseguimento delle finalità per le
quali il trattamento è consentito, anche quando i dati sono raccolti
nello svolgimento di compiti di vigilanza, di controllo o ispettivi.
10. I dati
sensibili e giudiziari non possono essere trattati nell'ambito di test
psico-attitudinali volti a definire il profilo o la personalità
dell'interessato. Le operazioni di raffronto tra dati sensibili e
giudiziari, nonché i trattamenti di dati sensibili e giudiziari ai sensi
dell'articolo 14, sono effettuati solo previa annotazione scritta dei
motivi.
11. In ogni
caso, le operazioni e i trattamenti di cui al comma 10, se effettuati
utilizzando banche di dati di diversi titolari, nonché la diffusione dei
dati sensibili e giudiziari, sono ammessi solo se previsti da espressa
disposizione di legge.
12. Le disposizioni di cui al presente articolo recano principi
applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti
disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati,
dal Senato della Repubblica e dalla Corte costituzionale.
Capo III - Regole ulteriori per privati ed
enti pubblici economici
Art. 23. Consenso
1. Il trattamento di dati personali da parte di privati o di enti pubblici
economici è ammesso solo con il consenso espresso dell'interessato.
2. Il consenso
può riguardare l'intero trattamento ovvero una o più operazioni dello
stesso.
3. Il consenso
è validamente prestato solo se è espresso liberamente e specificamente
in riferimento ad un trattamento chiaramente individuato, se è
documentato per iscritto, e se sono state rese all'interessato le
informazioni di cui all'articolo 13.
4. Il consenso
è manifestato in forma scritta quando il trattamento riguarda dati
sensibili.
Art.
24. Casi nei quali può essere effettuato il trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte
II, quando il trattamento:
a) è
necessario per adempiere ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria;
b) è
necessario per eseguire obblighi derivanti da un contratto del quale è
parte l'interessato o per adempiere, prima della conclusione del
contratto, a specifiche richieste dell'interessato;
c) riguarda
dati provenienti da pubblici registri, elenchi, atti o documenti
conoscibili da chiunque, fermi restando i limiti e le modalità che le
leggi, i regolamenti o la normativa comunitaria stabiliscono per la
conoscibilità e pubblicità dei dati;
d) riguarda
dati relativi allo svolgimento di attività economiche, trattati nel
rispetto della vigente normativa in materia di segreto aziendale e
industriale;
e) è
necessario per la salvaguardia della vita o dell'incolumità fisica di
un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo
non può prestare il proprio consenso per impossibilità fisica, per
incapacità di agire o per incapacità di intendere o di volere, il
consenso è manifestato da chi esercita legalmente la potestà, ovvero
da un prossimo congiunto, da un familiare, da un convivente o, in loro
assenza, dal responsabile della struttura presso cui dimora
l'interessato. Si applica la disposizione di cui all'articolo 82, comma
2;
f) con
esclusione della diffusione, è necessario ai fini dello svolgimento
delle investigazioni difensive di cui alla legge 7 dicembre 2000, n.
397, o, comunque, per far valere o difendere un diritto in sede
giudiziaria, sempre che i dati siano trattati esclusivamente per tali
finalità e per il periodo strettamente necessario al loro
perseguimento, nel rispetto della vigente normativa in materia di
segreto aziendale e industriale;
g) con
esclusione della diffusione, è necessario, nei casi individuati dal
Garante sulla base dei principi sanciti dalla legge, per perseguire un
legittimo interesse del titolare o di un terzo destinatario dei dati,
anche in riferimento all'attività di gruppi bancari e di società
controllate o collegate, qualora non prevalgano i diritti e le libertà
fondamentali, la dignità o un legittimo interesse dell'interessato;
h) con
esclusione della comunicazione all'esterno e della diffusione, è
effettuato da associazioni, enti od organismi senza scopo di lucro,
anche non riconosciuti, in riferimento a soggetti che hanno con essi
contatti regolari o ad aderenti, per il perseguimento di scopi
determinati e legittimi individuati dall'atto costitutivo, dallo statuto
o dal contratto collettivo, e con modalità di utilizzo previste
espressamente con determinazione resa nota agli interessati all'atto
dell'informativa ai sensi dell'articolo 13;
i) è
necessario, in conformità ai rispettivi codici di deontologia di cui
all'allegato A), per esclusivi scopi scientifici o statistici, ovvero
per esclusivi scopi storici presso archivi privati dichiarati di
notevole interesse storico ai sensi dell'articolo 6, comma 2, del
decreto legislativo 29 ottobre 1999, n. 490, di approvazione
del testo unico in materia di beni culturali e ambientali o, secondo
quanto previsto dai medesimi codici, presso altri archivi privati.
Art.
25. Divieti di comunicazione e diffusione
1. La comunicazione e la diffusione sono vietate, oltre che in
caso di divieto disposto dal Garante o dall'autorità giudiziaria:
a) in
riferimento a dati personali dei quali è stata ordinata la
cancellazione, ovvero quando è decorso il periodo di tempo indicato
nell'articolo 11, comma 1, lettera e);
b) per
finalità diverse da quelle indicate nella notificazione del
trattamento, ove prescritta.
2. È fatta
salva la comunicazione o diffusione di dati richieste, in conformità alla
legge, da forze di polizia, dall'autorità giudiziaria, da organismi di
informazione e sicurezza o da altri soggetti pubblici ai sensi
dell'articolo 58, comma 2, per finalità di difesa o di sicurezza dello
Stato o di prevenzione, accertamento o repressione di reati.
Art.
26. Garanzie per i dati sensibili
1. I dati sensibili possono essere oggetto di trattamento solo con il
consenso scritto dell'interessato e previa autorizzazione del Garante,
nell'osservanza dei presupposti e dei limiti stabiliti dal presente
codice, nonché dalla legge e dai regolamenti.
2. Il Garante
comunica la decisione adottata sulla richiesta di autorizzazione entro
quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a
rigetto. Con il provvedimento di autorizzazione, ovvero successivamente,
anche sulla base di eventuali verifiche, il Garante può prescrivere
misure e accorgimenti a garanzia dell'interessato, che il titolare del
trattamento è tenuto ad adottare.
3. Il comma 1
non si applica al trattamento:
a) dei dati
relativi agli aderenti alle confessioni religiose e ai soggetti che con
riferimento a finalità di natura esclusivamente religiosa hanno
contatti regolari con le medesime confessioni, effettuato dai relativi
organi, ovvero da enti civilmente riconosciuti, sempre che i dati non
siano diffusi o comunicati fuori delle medesime confessioni. Queste
ultime determinano idonee garanzie relativamente ai trattamenti
effettuati, nel rispetto dei principi indicati al riguardo con
autorizzazione del Garante;
b) dei dati
riguardanti l'adesione di associazioni od organizzazioni a carattere
sindacale o di categoria ad altre associazioni, organizzazioni o
confederazioni a carattere sindacale o di categoria.
4. I dati
sensibili possono essere oggetto di trattamento anche senza consenso,
previa autorizzazione del Garante:
a) quando il
trattamento è effettuato da associazioni, enti od organismi senza scopo
di lucro, anche non riconosciuti, a carattere politico, filosofico,
religioso o sindacale, ivi compresi partiti e movimenti politici, per il
perseguimento di scopi determinati e legittimi individuati dall'atto
costitutivo, dallo statuto o dal contratto collettivo, relativamente ai
dati personali degli aderenti o dei soggetti che in relazione a tali
finalità hanno contatti regolari con l'associazione, ente od organismo,
sempre che i dati non siano comunicati all'esterno o diffusi e l'ente,
associazione od organismo determini idonee garanzie relativamente ai
trattamenti effettuati, prevedendo espressamente le modalità di
utilizzo dei dati con determinazione resa nota agli interessati all'atto
dell'informativa ai sensi dell'articolo 13;
b) quando il
trattamento è necessario per la salvaguardia della vita o
dell'incolumità fisica di un terzo. Se la medesima finalità riguarda
l'interessato e quest'ultimo non può prestare il proprio consenso per
impossibilità fisica, per incapacità di agire o per incapacità di
intendere o di volere, il consenso è manifestato da chi esercita
legalmente la potestà, ovvero da un prossimo congiunto, da un
familiare, da un convivente o, in loro assenza, dal responsabile della
struttura presso cui dimora l'interessato. Si applica la disposizione di
cui all'articolo 82, comma 2;
c) quando il
trattamento è necessario ai fini dello svolgimento delle investigazioni
difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per
far valere o difendere in sede giudiziaria un diritto, sempre che i dati
siano trattati esclusivamente per tali finalità e per il periodo
strettamente necessario al loro perseguimento. Se i dati sono idonei a
rivelare lo stato di salute e la vita sessuale, il diritto deve essere
di rango pari a quello dell'interessato, ovvero consistente in un
diritto della personalità o in un altro diritto o libertà fondamentale
e inviolabile;
d) quando è
necessario per adempiere a specifici obblighi o compiti previsti dalla
legge, da un regolamento o dalla normativa comunitaria per la gestione
del rapporto di lavoro, anche in materia di igiene e sicurezza del
lavoro e della popolazione e di previdenza e assistenza, nei limiti
previsti dall'autorizzazione e ferme restando le disposizioni del codice
di deontologia e di buona condotta di cui all'articolo 111.
5. I dati
idonei a rivelare lo stato di salute non possono essere diffusi.
Art.
27. Garanzie per i dati giudiziari
1. Il trattamento di dati giudiziari da parte di privati o di
enti pubblici economici è consentito soltanto se autorizzato da espressa
disposizione di legge o provvedimento del Garante che specifichino le
rilevanti finalità di interesse pubblico del trattamento, i tipi di dati
trattati e di operazioni eseguibili.
Titolo IV - Soggetti che effettuano
il trattamento
Art. 28. Titolare del trattamento
1. Quando il trattamento è effettuato da una persona giuridica,
da una pubblica amministrazione o da un qualsiasi altro ente, associazione
od organismo, titolare del trattamento è l'entità nel suo complesso o
l'unità od organismo periferico che esercita un potere decisionale del
tutto autonomo sulle finalità e sulle modalità del trattamento, ivi
compreso il profilo della sicurezza.
Art.
29. Responsabile del trattamento
1. Il responsabile è designato dal titolare facoltativamente.
2. Se
designato, il responsabile è individuato tra soggetti che per esperienza,
capacità ed affidabilità forniscano idonea garanzia del pieno rispetto
delle vigenti disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza.
3. Ove
necessario per esigenze organizzative, possono essere designati
responsabili più soggetti, anche mediante suddivisione di compiti.
4. I compiti
affidati al responsabile sono analiticamente specificati per iscritto dal
titolare.
5. Il
responsabile effettua il trattamento attenendosi alle istruzioni impartite
dal titolare il quale, anche tramite verifiche periodiche, vigila sulla
puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie
istruzioni.
Art.
30. Incaricati del trattamento
1. Le operazioni di trattamento possono essere effettuate solo da
incaricati che operano sotto la diretta autorità del titolare o del
responsabile, attenendosi alle istruzioni impartite.
2. La
designazione è effettuata per iscritto e individua puntualmente l'ambito
del trattamento consentito. Si considera tale anche la documentata
preposizione della persona fisica ad una unità per la quale è
individuato, per iscritto, l'ambito del trattamento consentito agli
addetti all'unità medesima.
Titolo
V - Sicurezza dei dati e dei sistemi
Capo
I - Misure di sicurezza
Art. 31. Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi e controllati,
anche in relazione alle conoscenze acquisite in base al progresso tecnico,
alla natura dei dati e alle specifiche caratteristiche del trattamento, in
modo da ridurre al minimo, mediante l'adozione di idonee e preventive
misure di sicurezza, i rischi di distruzione o perdita, anche accidentale,
dei dati stessi, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalità della raccolta.
Art. 32. Particolari titolari
1. Il fornitore di un servizio di comunicazione elettronica accessibile al
pubblico adotta ai sensi dell'articolo 31 idonee misure tecniche e
organizzative adeguate al rischio esistente, per salvaguardare la
sicurezza dei suoi servizi, l'integrità dei dati relativi al traffico,
dei dati relativi all'ubicazione e delle comunicazioni elettroniche
rispetto ad ogni forma di utilizzazione o cognizione non consentita.
2. Quando la
sicurezza del servizio o dei dati personali richiede anche l'adozione di
misure che riguardano la rete, il fornitore del servizio di comunicazione
elettronica accessibile al pubblico adotta tali misure congiuntamente con
il fornitore della rete pubblica di comunicazioni. In caso di mancato
accordo, su richiesta di uno dei fornitori, la controversia è definita
dall'Autorità per le garanzie nelle comunicazioni secondo le modalità
previste dalla normativa vigente.
3. Il fornitore
di un servizio di comunicazione elettronica accessibile al pubblico
informa gli abbonati e, ove possibile, gli utenti, se sussiste un
particolare rischio di violazione della sicurezza della rete, indicando,
quando il rischio è al di fuori dell'ambito di applicazione delle misure
che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1 e 2,
tutti i possibili rimedi e i relativi costi presumibili. Analoga
informativa è resa al Garante e all'Autorità per le garanzie nelle
comunicazioni.
Capo II - Misure minime di sicurezza
Art. 33. Misure minime
1. Nel quadro dei più generali obblighi di sicurezza di cui
all'articolo 31, o previsti da speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad adottare le misure minime individuate
nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad
assicurare un livello minimo di protezione dei dati personali.
Art.
34. Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti elettronici
è consentito solo se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell'allegato B), le seguenti misure minime:
a)
autenticazione informatica;
b) adozione
di procedure di gestione delle credenziali di autenticazione;
c)
utilizzazione di un sistema di autorizzazione;
d)
aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici;
e) protezione
degli strumenti elettronici e dei dati rispetto a trattamenti illeciti
di dati, ad accessi non consentiti e a determinati programmi
informatici;
f) adozione
di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
g) tenuta di
un aggiornato documento programmatico sulla sicurezza;
h) adozione
di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita
sessuale effettuati da organismi sanitari.
Art.
35. Trattamenti senza l'ausilio di strumenti elettronici
1. Il trattamento di dati personali effettuato senza l'ausilio di
strumenti elettronici è consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti
misure minime:
a)
aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative;
b) previsione
di procedure per un'idonea custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi compiti;
c) previsione
di procedure per la conservazione di determinati atti in archivi ad
accesso selezionato e disciplina delle modalità di accesso finalizzata
all'identificazione degli incaricati.
Art.
36. Adeguamento
1. Il disciplinare tecnico di cui all'allegato B), relativo alle
misure minime di cui al presente capo, è aggiornato periodicamente con
decreto del Ministro della giustizia di concerto con il Ministro per le
innovazioni e le tecnologie, in relazione all'evoluzione tecnica e
all'esperienza maturata nel settore.
Titolo VI - Adempimenti
Art. 37. Notificazione del trattamento
1. Il titolare notifica al Garante il trattamento di dati personali cui
intende procedere, solo se il trattamento riguarda:
a) dati
genetici, biometrici o dati che indicano la posizione geografica di
persone od oggetti mediante una rete di comunicazione elettronica;
b) dati
idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini
di procreazione assistita, prestazione di servizi sanitari per via
telematica relativi a banche di dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive e diffusive,
sieropositività, trapianto di organi e tessuti e monitoraggio della
spesa sanitaria;
c) dati
idonei a rivelare la vita sessuale o la sfera psichica trattati da
associazioni, enti od organismi senza scopo di lucro, anche non
riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati
trattati con l'ausilio di strumenti elettronici volti a definire il
profilo o la personalità dell'interessato, o ad analizzare abitudini o
scelte di consumo, ovvero a monitorare l'utilizzo di servizi di
comunicazione elettronica con esclusione dei trattamenti tecnicamente
indispensabili per fornire i servizi medesimi agli utenti;
e) dati
sensibili registrati in banche di dati a fini di selezione del personale
per conto terzi, nonché dati sensibili utilizzati per sondaggi di
opinione, ricerche di mercato e altre ricerche campionarie;
f) dati
registrati in apposite banche di dati gestite con strumenti elettronici
e relative al rischio sulla solvibilità economica, alla situazione
patrimoniale, al corretto adempimento di obbligazioni, a comportamenti
illeciti o fraudolenti.
1-bis. La
notificazione relativa al trattamento dei dati di cui al comma 1 non è
dovuta se relativa all'attività dei medici di famiglia e dei pediatri di
libera scelta, in quanto tale funzione è tipica del loro rapporto
professionale con il Servizio sanitario nazionale.
2. Il Garante
può individuare altri trattamenti suscettibili di recare pregiudizio ai
diritti e alle libertà dell'interessato, in ragione delle relative
modalità o della natura dei dati personali, con proprio provvedimento
adottato anche ai sensi dell'articolo 17. Con analogo provvedimento
pubblicato sulla Gazzetta Ufficiale della Repubblica italiana il Garante
può anche individuare, nell'ambito dei trattamenti di cui al comma 1,
eventuali trattamenti non suscettibili di recare detto pregiudizio e
pertanto sottratti all'obbligo di notificazione.
3. La
notificazione è effettuata con unico atto anche quando il trattamento
comporta il trasferimento all'estero dei dati.
4. Il Garante
inserisce le notificazioni ricevute in un registro dei trattamenti
accessibile a chiunque e determina le modalità per la sua consultazione
gratuita per via telematica, anche mediante convenzioni con soggetti
pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la
consultazione del registro possono essere trattate per esclusive finalità
di applicazione della disciplina in materia di protezione dei dati
personali.
Art.
38. Modalità di notificazione
1. La notificazione del trattamento è presentata al Garante
prima dell'inizio del trattamento ed una sola volta, a prescindere dal
numero delle operazioni e della durata del trattamento da effettuare, e può
anche riguardare uno o più trattamenti con finalità correlate.
2. La
notificazione è validamente effettuata solo se è trasmessa per via
telematica utilizzando il modello predisposto dal Garante e osservando le
prescrizioni da questi impartite, anche per quanto riguarda le modalità
di sottoscrizione con firma digitale e di conferma del ricevimento della
notificazione.
3. Il Garante
favorisce la disponibilità del modello per via telematica e la
notificazione anche attraverso convenzioni stipulate con soggetti
autorizzati in base alla normativa vigente, anche presso associazioni di
categoria e ordini professionali.
4. Una nuova
notificazione è richiesta solo anteriormente alla cessazione del
trattamento o al mutamento di taluno degli elementi da indicare nella
notificazione medesima.
5. Il Garante
può individuare altro idoneo sistema per la notificazione in riferimento
a nuove soluzioni tecnologiche previste dalla normativa vigente.
6. Il titolare
del trattamento che non è tenuto alla notificazione al Garante ai sensi
dell'articolo 37 fornisce le notizie contenute nel modello di cui al comma
2 a chi ne fa richiesta, salvo che il trattamento riguardi pubblici
registri, elenchi, atti o documenti conoscibili da chiunque.
Art.
39. Obblighi di comunicazione
1. Il titolare del trattamento è tenuto a comunicare previamente al
Garante le seguenti circostanze:
a)
comunicazione di dati personali da parte di un soggetto pubblico ad
altro soggetto pubblico non prevista da una norma di legge o di
regolamento, effettuata in qualunque forma anche mediante convenzione;
b)
trattamento di dati idonei a rivelare lo stato di salute previsto dal
programma di ricerca biomedica o sanitaria di cui all'articolo 110,
comma 1, primo periodo.
2. I
trattamenti oggetto di comunicazione ai sensi del comma 1 possono essere
iniziati decorsi quarantacinque giorni dal ricevimento della comunicazione
salvo diversa determinazione anche successiva del Garante.
3. La
comunicazione di cui al comma 1 è inviata utilizzando il modello
predisposto e reso disponibile dal Garante, e trasmessa a quest'ultimo per
via telematica osservando le modalità di sottoscrizione con firma
digitale e conferma del ricevimento di cui all'articolo 38, comma 2,
oppure mediante telefax o lettera raccomandata.
Art.
40. Autorizzazioni generali
1. Le disposizioni del presente codice che prevedono un'autorizzazione del
Garante sono applicate anche mediante il rilascio di autorizzazioni
relative a determinate categorie di titolari o di trattamenti, pubblicate
nella Gazzetta Ufficiale della Repubblica italiana.
Art.
41. Richieste di autorizzazione
1. Il titolare del trattamento che rientra nell'ambito di
applicazione di un'autorizzazione rilasciata ai sensi dell'articolo 40 non
è tenuto a presentare al Garante una richiesta di autorizzazione se il
trattamento che intende effettuare è conforme alle relative prescrizioni.
2. Se una
richiesta di autorizzazione riguarda un trattamento autorizzato ai sensi
dell'articolo 40 il Garante può provvedere comunque sulla richiesta se le
specifiche modalità del trattamento lo giustificano.
3. L'eventuale
richiesta di autorizzazione è formulata utilizzando esclusivamente il
modello predisposto e reso disponibile dal Garante e trasmessa a
quest'ultimo per via telematica, osservando le modalità di sottoscrizione
e conferma del ricevimento di cui all'articolo 38, comma 2. La medesima
richiesta e l'autorizzazione possono essere trasmesse anche mediante
telefax o lettera raccomandata.
4. Se il
richiedente è invitato dal Garante a fornire informazioni o ad esibire
documenti, il termine di quarantacinque giorni di cui all'articolo 26,
comma 2, decorre dalla data di scadenza del termine fissato per
l'adempimento richiesto.
5. In presenza
di particolari circostanze, il Garante può rilasciare un'autorizzazione
provvisoria a tempo determinato.
Titolo
VII - Trasferimento dei dati all'estero
Art. 42. Trasferimenti all'interno dell'Unione
europea
1. Le disposizioni del presente codice non possono essere applicate in
modo tale da restringere o vietare la libera circolazione dei dati
personali fra gli Stati membri dell'Unione europea, fatta salva
l'adozione, in conformità allo stesso codice, di eventuali provvedimenti
in caso di trasferimenti di dati effettuati al fine di eludere le medesime
disposizioni.
Art.
43. Trasferimenti consentiti in Paesi terzi
1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con
qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se
diretto verso un Paese non appartenente all'Unione europea è consentito
quando:
a)
l'interessato ha manifestato il proprio consenso espresso o, se si
tratta di dati sensibili, in forma scritta;
b) è
necessario per l'esecuzione di obblighi derivanti da un contratto del
quale è parte l'interessato o per adempiere, prima della conclusione
del contratto, a specifiche richieste dell'interessato, ovvero per la
conclusione o per l'esecuzione di un contratto stipulato a favore
dell'interessato;
c) è
necessario per la salvaguardia di un interesse pubblico rilevante
individuato con legge o con regolamento o, se il trasferimento riguarda
dati sensibili o giudiziari, specificato o individuato ai sensi degli
articoli 20 e 21;
d) è
necessario per la salvaguardia della vita o dell'incolumità fisica di
un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo
non può prestare il proprio consenso per impossibilità fisica, per
incapacità di agire o per incapacità di intendere o di volere, il
consenso è manifestato da chi esercita legalmente la potestà, ovvero
da un prossimo congiunto, da un familiare, da un convivente o, in loro
assenza, dal responsabile della struttura presso cui dimora
l'interessato. Si applica la disposizione di cui all'articolo 82, comma
2;
e) è
necessario ai fini dello svolgimento delle investigazioni difensive di
cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o
difendere un diritto in sede giudiziaria, sempre che i dati siano
trasferiti esclusivamente per tali finalità e per il periodo
strettamente necessario al loro perseguimento, nel rispetto della
vigente normativa in materia di segreto aziendale e industriale;
f) è
effettuato in accoglimento di una richiesta di accesso ai documenti
amministrativi, ovvero di una richiesta di informazioni estraibili da un
pubblico registro, elenco, atto o documento conoscibile da chiunque, con
l'osservanza delle norme che regolano la materia;
g) è
necessario, in conformità ai rispettivi codici di deontologia di cui
all'allegato A), per esclusivi scopi scientifici o statistici, ovvero
per esclusivi scopi storici presso archivi privati dichiarati di
notevole interesse storico ai sensi dell'articolo 6, comma 2, del
decreto legislativo 29 ottobre 1999, n. 490, di
approvazione del testo unico in materia di beni culturali e ambientali
o, secondo quanto previsto dai medesimi codici, presso altri archivi
privati;
h) il
trattamento concerne dati riguardanti persone giuridiche, enti o
associazioni.
Art.
44. Altri trasferimenti consentiti
1. Il trasferimento di dati personali oggetto di trattamento, diretto
verso un Paese non appartenente all'Unione europea, è altresì consentito
quando è autorizzato dal Garante sulla base di adeguate garanzie per i
diritti dell'interessato:
a)
individuate dal Garante anche in relazione a garanzie prestate con un
contratto;
b)
individuate con le decisioni previste dagli articoli 25, paragrafo 6, e
26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del
Consiglio, del 24 ottobre 1995, con le quali la Commissione europea
constata che un Paese non appartenente all'Unione europea garantisce un
livello di protezione adeguato o che alcune clausole contrattuali
offrono garanzie sufficienti.
Art.
45. Trasferimenti vietati
1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento
anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o
mezzo, di dati personali oggetto di trattamento, diretto verso un Paese
non appartenente all'Unione europea, è vietato quando l'ordinamento del
Paese di destinazione o di transito dei dati non assicura un livello di
tutela delle persone adeguato. Sono valutate anche le modalità del
trasferimento e dei trattamenti previsti, le relative finalità, la natura
dei dati e le misure di sicurezza.
Parte
II - Disposizioni relative a specifici settori
Titolo I - Trattamenti in ambito
giudiziario
Capo I - Profili generali
Art. 46. Titolari dei trattamenti
1. Gli uffici giudiziari di ogni ordine e grado, il Consiglio
superiore della magistratura, gli altri organi di autogoverno e il
Ministero della giustizia sono titolari dei trattamenti di dati personali
relativi alle rispettive attribuzioni conferite per legge o regolamento.
2. Con decreto del
Ministro della giustizia sono individuati, nell'allegato C) al presente
codice, i trattamenti non occasionali di cui al comma 1 effettuati con
strumenti elettronici, relativamente a banche di dati centrali od oggetto
di interconnessione tra più uffici o titolari. I provvedimenti con cui il
Consiglio superiore della magistratura e gli altri organi di autogoverno
di cui al comma 1 individuano i medesimi trattamenti da essi effettuati
sono riportati nell'allegato C) con decreto del Ministro della giustizia.
Art. 47.
Trattamenti per ragioni di giustizia
1. In caso di trattamento di dati personali effettuato presso
uffici giudiziari di ogni ordine e grado, presso il Consiglio superiore
della magistratura, gli altri organi di autogoverno e il Ministero della
giustizia, non si applicano, se il trattamento è effettuato per ragioni
di giustizia, le seguenti disposizioni del codice:
a) articoli 9, 10, 12,
13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45;
b) articoli da 145 a
151.
2. Agli effetti
del presente codice si intendono effettuati per ragioni di giustizia i
trattamenti di dati personali direttamente correlati alla trattazione
giudiziaria di affari e di controversie, o che, in materia di trattamento
giuridico ed economico del personale di magistratura, hanno una diretta
incidenza sulla funzione giurisdizionale, nonché le attività ispettive
su uffici giudiziari. Le medesime ragioni di giustizia non ricorrono per
l'ordinaria attività amministrativo-gestionale di personale, mezzi o
strutture, quando non è pregiudicata la segretezza di atti direttamente
connessi alla predetta trattazione.
Art.
48. Banche di dati di uffici giudiziari
1. Nei casi in cui l'autorità giudiziaria di ogni ordine e grado può
acquisire in conformità alle vigenti disposizioni processuali dati,
informazioni, atti e documenti da soggetti pubblici, l'acquisizione può
essere effettuata anche per via telematica. A tale fine gli uffici
giudiziari possono avvalersi delle convenzioni-tipo stipulate dal
Ministero della giustizia con soggetti pubblici, volte ad agevolare la
consultazione da parte dei medesimi uffici, mediante reti di comunicazione
elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel
rispetto delle pertinenti disposizioni e dei principi di cui agli articoli
3 e 11 del presente codice.
Art.
49. Disposizioni di attuazione
1. Con decreto del Ministro della giustizia sono adottate, anche ad
integrazione del decreto del Ministro di grazia e giustizia 30 settembre
1989, n. 334, le disposizioni regolamentari necessarie per l'attuazione
dei principi del presente codice nella materia penale e civile.
Capo II - Minori
Art. 50. Notizie o immagini relative a minori
1. Il divieto di cui all'articolo 13 del decreto del Presidente
della Repubblica 22 settembre 1988, n. 448, di pubblicazione e
divulgazione con qualsiasi mezzo di notizie o immagini idonee a consentire
l'identificazione di un minore si osserva anche in caso di coinvolgimento
a qualunque titolo del minore in procedimenti giudiziari in materie
diverse da quella penale.
Capo III - Informatica giuridica
Art. 51. Principi generali
1. Fermo restando quanto previsto dalle disposizioni processuali
concernenti la visione e il rilascio di estratti e di copie di atti e
documenti, i dati identificativi delle questioni pendenti dinanzi
all'autorità giudiziaria di ogni ordine e grado sono resi accessibili a
chi vi abbia interesse anche mediante reti di comunicazione elettronica,
ivi compreso il sito istituzionale della medesima autorità nella rete
Internet.
2. Le sentenze
e le altre decisioni dell'autorità giudiziaria di ogni ordine e grado
depositate in cancelleria o segreteria sono rese accessibili anche
attraverso il sistema informativo e il sito istituzionale della medesima
autorità nella rete Internet, osservando le cautele previste dal presente
capo.
Art.
52. Dati identificativi degli interessati
1. Fermo restando quanto previsto dalle disposizioni concernenti la
redazione e il contenuto di sentenze e di altri provvedimenti
giurisdizionali dell'autorità giudiziaria di ogni ordine e grado,
l'interessato può chiedere per motivi legittimi, con richiesta depositata
nella cancelleria o segreteria dell'ufficio che procede prima che sia
definito il relativo grado di giudizio, che sia apposta a cura della
medesima cancelleria o segreteria, sull'originale della sentenza o del
provvedimento, un'annotazione volta a precludere, in caso di riproduzione
della sentenza o provvedimento in qualsiasi forma, per finalità di
informazione giuridica su riviste giuridiche, supporti elettronici o
mediante reti di comunicazione elettronica, l'indicazione delle generalità
e di altri dati identificativi del medesimo interessato riportati sulla
sentenza o provvedimento.
2. Sulla
richiesta di cui al comma 1 provvede in calce con decreto, senza ulteriori
formalità, l'autorità che pronuncia la sentenza o adotta il
provvedimento. La medesima autorità può disporre d'ufficio che sia
apposta l'annotazione di cui al comma 1, a tutela dei diritti o della
dignità degli interessati.
3. Nei casi di
cui ai commi 1 e 2, all'atto del deposito della sentenza o provvedimento,
la cancelleria o segreteria vi appone e sottoscrive anche con timbro la
seguente annotazione, recante l'indicazione degli estremi del presente
articolo: "In caso di diffusione omettere le generalità e gli altri
dati identificativi di ...".
4. In caso di
diffusione anche da parte di terzi di sentenze o di altri provvedimenti
recanti l'annotazione di cui al comma 2, o delle relative massime
giuridiche, è omessa l'indicazione delle generalità e degli altri dati
identificativi dell'interessato.
5. Fermo
restando quanto previsto dall'articolo 734-bis del codice penale
relativamente alle persone offese da atti di violenza sessuale, chiunque
diffonde sentenze o altri provvedimenti giurisdizionali dell'autorità
giudiziaria di ogni ordine e grado è tenuto ad omettere in ogni caso,
anche in mancanza dell'annotazione di cui al comma 2, le generalità,
altri dati identificativi o altri dati anche relativi a terzi dai quali può
desumersi anche indirettamente l'identità di minori, oppure delle parti
nei procedimenti in materia di rapporti di famiglia e di stato delle
persone.
6. Le
disposizioni di cui al presente articolo si applicano anche in caso di
deposito di lodo ai sensi dell'articolo 825 del codice di procedura
civile. La parte può formulare agli arbitri la richiesta di cui al comma 1
prima della pronuncia del lodo e gli arbitri appongono sul lodo
l'annotazione di cui al comma 3, anche ai sensi del comma 2. Il
collegio arbitrale costituito presso la camera arbitrale per i lavori
pubblici ai sensi dell'articolo 32 della legge 11 febbraio 1994, n.
109, provvede in modo analogo in caso di richiesta di una parte.
7. Fuori dei
casi indicati nel presente articolo è ammessa la diffusione in ogni forma
del contenuto anche integrale di sentenze e di altri provvedimenti
giurisdizionali.
Titolo II - Trattamenti da parte di
forze di polizia
Capo I - Profili generali
Art.
53. Ambito applicativo e titolari dei trattamenti
1. Al trattamento di dati personali effettuato dal Centro
elaborazione dati del Dipartimento di pubblica sicurezza o da forze di
polizia sui dati destinati a confluirvi in base alla legge, ovvero da
organi di pubblica sicurezza o altri soggetti pubblici per finalità di
tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o
repressione dei reati, effettuati in base ad espressa disposizione di
legge che preveda specificamente il trattamento, non si applicano le
seguenti disposizioni del codice:
a) articoli
9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45;
b) articoli
da 145 a 151.
2. Con decreto
del Ministro dell'interno sono individuati, nell'allegato C) al presente
codice, i trattamenti non occasionali di cui al comma 1 effettuati con
strumenti elettronici, e i relativi titolari.
Art.
54. Modalità di trattamento e flussi di dati
1. Nei casi in cui le autorità di pubblica sicurezza o le forze di
polizia possono acquisire in conformità alle vigenti disposizioni di
legge o di regolamento dati, informazioni, atti e documenti da altri
soggetti, l'acquisizione può essere effettuata anche per via telematica.
A tal fine gli organi o uffici interessati possono avvalersi di
convenzioni volte ad agevolare la consultazione da parte dei medesimi
organi o uffici, mediante reti di comunicazione elettronica, di pubblici
registri, elenchi, schedari e banche di dati, nel rispetto delle
pertinenti disposizioni e dei principi di cui agli articoli 3 e 11.
Le convenzioni-tipo sono adottate dal Ministero dell'interno, su conforme
parere del Garante, e stabiliscono le modalità dei collegamenti e degli
accessi anche al fine di assicurare l'accesso selettivo ai soli dati
necessari al perseguimento delle finalità di cui all'articolo 53.
2. I dati
trattati per le finalità di cui al medesimo articolo 53 sono conservati
separatamente da quelli registrati per finalità amministrative che non
richiedono il loro utilizzo.
3. Fermo
restando quanto previsto dall'articolo 11, il Centro elaborazioni dati di
cui all'articolo 53 assicura l'aggiornamento periodico e la pertinenza e
non eccedenza dei dati personali trattati anche attraverso interrogazioni
autorizzate del casellario giudiziale e del casellario dei carichi
pendenti del Ministero della giustizia di cui al decreto del Presidente
della Repubblica 14 novembre 2002, n. 313, o di altre banche di dati di
forze di polizia, necessarie per le finalità di cui all'articolo 53.
4. Gli organi,
uffici e comandi di polizia verificano periodicamente i requisiti di cui
all'articolo 11 in riferimento ai dati trattati anche senza l'ausilio di
strumenti elettronici, e provvedono al loro aggiornamento anche sulla base
delle procedure adottate dal Centro elaborazioni dati ai sensi del comma
3, o, per i trattamenti effettuati senza l'ausilio di strumenti
elettronici, mediante annotazioni o integrazioni dei documenti che li
contengono.
Art.
55. Particolari tecnologie
1. Il trattamento di dati personali che implica maggiori rischi di un
danno all'interessato, con particolare riguardo a banche di dati genetici
o biometrici, a tecniche basate su dati relativi all'ubicazione, a banche
di dati basate su particolari tecniche di elaborazione delle informazioni
e all'introduzione di particolari tecnologie, è effettuato nel rispetto
delle misure e degli accorgimenti a garanzia dell'interessato prescritti
ai sensi dell'articolo 17 sulla base di preventiva comunicazione ai sensi
dell'articolo 39.
Art.
56. Tutela dell'interessato
1. Le disposizioni di cui all'articolo 10, commi 3, 4 e 5, della legge 1
aprile 1981, n. 121, e successive modificazioni, si applicano anche, oltre
che ai dati destinati a confluire nel Centro elaborazioni dati di cui
all'articolo 53, a dati trattati con l'ausilio di strumenti elettronici da
organi, uffici o comandi di polizia.
Art.
57. Disposizioni di attuazione
1. Con decreto del Presidente della Repubblica, previa
deliberazione del Consiglio dei ministri, su proposta del Ministro
dell'interno, di concerto con il Ministro della giustizia, sono
individuate le modalità di attuazione dei principi del presente codice
relativamente al trattamento dei dati effettuato per le finalità di cui
all'articolo 53 dal Centro elaborazioni dati e da organi, uffici o comandi
di polizia, anche ad integrazione e modifica del decreto del Presidente
della Repubblica 3 maggio 1982, n. 378, e in attuazione della
Raccomandazione R (87) 15 del Consiglio d'Europa del 17 settembre 1987, e
successive modificazioni. Le modalità sono individuate con particolare
riguardo:
a) al
principio secondo cui la raccolta dei dati è correlata alla specifica
finalità perseguita, in relazione alla prevenzione di un pericolo
concreto o alla repressione di reati, in particolare per quanto riguarda
i trattamenti effettuati per finalità di analisi;
b)
all'aggiornamento periodico dei dati, anche relativi a valutazioni
effettuate in base alla legge, alle diverse modalità relative ai dati
trattati senza l'ausilio di strumenti elettronici e alle modalità per
rendere conoscibili gli aggiornamenti da parte di altri organi e uffici
cui i dati sono stati in precedenza comunicati;
c) ai
presupposti per effettuare trattamenti per esigenze temporanee o
collegati a situazioni particolari, anche ai fini della verifica dei
requisiti dei dati ai sensi dell'articolo 11, dell'individuazione delle
categorie di interessati e della conservazione separata da altri dati
che non richiedono il loro utilizzo;
d)
all'individuazione di specifici termini di conservazione dei dati in
relazione alla natura dei dati o agli strumenti utilizzati per il loro
trattamento, nonché alla tipologia dei procedimenti nell'ambito dei
quali essi sono trattati o i provvedimenti sono adottati;
e) alla
comunicazione ad altri soggetti, anche all'estero o per l'esercizio di
un diritto o di un interesse legittimo, e alla loro diffusione, ove
necessaria in conformità alla legge;
f) all'uso di
particolari tecniche di elaborazione e di ricerca delle informazioni,
anche mediante il ricorso a sistemi di indice.
Titolo
III - Difesa e sicurezza dello Stato
Capo I - Profili generali
Art. 58. Disposizioni applicabili
1. Ai trattamenti effettuati dagli organismi di cui agli articoli
3, 4 e 6 della legge 24 ottobre 1977, n. 801, ovvero sui dati coperti da
segreto di Stato ai sensi dell'articolo 12 della medesima legge, le
disposizioni del presente codice si applicano limitatamente a quelle
previste negli articoli da 1 a 6, 11, 14, 15, 31, 33, 58, 154, 160 e 169.
2. Ai
trattamenti effettuati da soggetti pubblici per finalità di difesa o di
sicurezza dello Stato, in base ad espresse disposizioni di legge che
prevedano specificamente il trattamento, le disposizioni del presente
codice si applicano limitatamente a quelle indicate nel comma 1, nonché
alle disposizioni di cui agli articoli 37, 38 e 163.
3. Le misure di
sicurezza relative ai dati trattati dagli organismi di cui al comma 1 sono
stabilite e periodicamente aggiornate con decreto del Presidente del
Consiglio dei ministri, con l'osservanza delle norme che regolano la
materia.
4. Con decreto
del Presidente del Consiglio dei ministri sono individuate le modalità di
applicazione delle disposizioni applicabili del presente codice in
riferimento alle tipologie di dati, di interessati, di operazioni di
trattamento eseguibili e di incaricati, anche in relazione
all'aggiornamento e alla conservazione.
Titolo
IV - Trattamenti in ambito pubblico
Capo I - Accesso a documenti amministrativi
Art. 59. Accesso a documenti amministrativi
1. Fatto salvo quanto previsto dall'articolo 60, i presupposti,
le modalità, i limiti per l'esercizio del diritto di accesso a documenti
amministrativi contenenti dati personali, e la relativa tutela
giurisdizionale, restano disciplinati dalla legge 7 agosto 1990, n. 241, e
successive modificazioni e dalle altre disposizioni di legge in materia,
nonché dai relativi regolamenti di attuazione, anche per ciò che
concerne i tipi di dati sensibili e giudiziari e le operazioni di
trattamento eseguibili in esecuzione di una richiesta di accesso. Le
attività finalizzate all'applicazione di tale disciplina si considerano
di rilevante interesse pubblico.
Art.
60. Dati idonei a rivelare lo stato di salute e la vita sessuale
1. Quando il trattamento concerne dati idonei a rivelare lo stato
di salute o la vita sessuale, il trattamento è consentito se la
situazione giuridicamente rilevante che si intende tutelare con la
richiesta di accesso ai documenti amministrativi è di rango almeno pari
ai diritti dell'interessato, ovvero consiste in un diritto della
personalità o in un altro diritto o libertà fondamentale e inviolabile.
Capo II - Registri pubblici e albi
professionali
Art. 61. Utilizzazione di dati pubblici
1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un
codice di deontologia e di buona condotta per il trattamento dei dati
personali provenienti da archivi, registri, elenchi, atti o documenti
tenuti da soggetti pubblici, anche individuando i casi in cui deve essere
indicata la fonte di acquisizione dei dati e prevedendo garanzie
appropriate per l'associazione di dati provenienti da più archivi,
tenendo presente quanto previsto dalla Raccomandazione R (91) 10 del
Consiglio d'Europa in relazione all'articolo 11.
2. Agli effetti
dell'applicazione del presente codice i dati personali diversi da quelli
sensibili o giudiziari, che devono essere inseriti in un albo
professionale in conformità alla legge o ad un regolamento, possono
essere comunicati a soggetti pubblici e privati o diffusi, ai sensi
dell'articolo 19, commi 2 e 3, anche mediante reti di comunicazione
elettronica. Può essere altresì menzionata l'esistenza di provvedimenti
che dispongono la sospensione o che incidono sull'esercizio della
professione.
3. L'ordine o
collegio professionale può, a richiesta della persona iscritta nell'albo
che vi ha interesse, integrare i dati di cui al comma 2 con ulteriori dati
pertinenti e non eccedenti in relazione all'attività professionale.
4. A richiesta
dell'interessato l'ordine o collegio professionale può altresì fornire a
terzi notizie o informazioni relative, in particolare, a speciali
qualificazioni professionali non menzionate nell'albo, ovvero alla
disponibilità ad assumere incarichi o a ricevere materiale informativo a
carattere scientifico inerente anche a convegni o seminari.
Capo III - Stato civile, anagrafi e liste
elettorali
Art. 62. Dati sensibili e giudiziari
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli
20 e 21, le finalità relative alla tenuta degli atti e dei registri dello
stato civile, delle anagrafi della popolazione residente in Italia e dei
cittadini italiani residenti all'estero, e delle liste elettorali, nonché
al rilascio di documenti di riconoscimento o al cambiamento delle
generalità.
Art.
63. Consultazione di atti
1. Gli atti dello stato civile conservati negli Archivi di Stato
sono consultabili nei limiti previsti dall'articolo 107 del decreto
legislativo 29 ottobre 1999, n. 490.
Capo IV - Finalità di rilevante interesse
pubblico
Art. 64. Cittadinanza, immigrazione e condizione
dello straniero
1. Si considerano di rilevante interesse pubblico, ai sensi degli artico