.. |
Legge
31 dicembre 1996, n. 675
"Tutela
delle persone e di altri soggetti rispetto al trattamento dei dati
personali" pubblicata
nella Gazzetta Ufficiale n. 5
dell'8 gennaio 1997 - Supplemento Ordinario n. 3 CAPO
I Art.
1. 1.
La presente legge garantisce che il trattamento dei dati personali si
svolga nel rispetto dei diritti, delle libertà fondamentali, nonché
della dignità delle persone fisiche, con particolare riferimento alla
riservatezza e all'identità' personale; garantisce altresì i diritti
delle persone giuridiche e di ogni altro ente o associazione. Art.
2. 1.
La presente legge si applica al trattamento di dati personali da
chiunque effettuato nel territorio dello Stato. Art.
3. 1.
Il trattamento di dati personali effettuato da persone fisiche per fini
esclusivamente personali non e' soggetto all'applicazione della presente
legge, sempreché i dati non siano destinati ad una comunicazione
sistematica o alla diffusione. 2.
Al trattamento di cui al comma 1 si applicano in ogni caso le
disposizioni in tema di sicurezza dei dati di cui all'articolo 15, nonché
le disposizioni di cui agli articoli 18 e 36. Art.
4. 1.
La presente legge non si applica al trattamento di dati personali
effettuato: 2.
Ai trattamenti di cui al comma 1 si applicano in ogni caso le
disposizioni di cui agli articoli 9, 15, 17, 18, 31, 32, commi 6 e 7, e
36, nonché, fatta eccezione per i trattamenti di cui alla lettera b)
del comma 1, le disposizioni di cui agli articoli 7 e 34. Art.
5. 1.
Il trattamento di dati personali svolto senza l'ausilio di mezzi
elettronici o comunque automatizzati e' soggetto alla medesima
disciplina prevista per il trattamento effettuato con l'ausilio di tali
mezzi. Art.
6. 1.
Il trattamento nel territorio dello Stato di dati personali detenuti
all'estero e' soggetto alle disposizioni della presente legge. 2.
Se il trattamento di cui al comma 1 consiste in un trasferimento di dati
personali fuori dal territorio nazionale si applicano in ogni caso le
disposizioni dell'articolo 28. CAPO
II Art.
7. 1.
Il titolare che intenda procedere ad un trattamento di dati personali
soggetto al campo di applicazione della presente legge e' tenuto a darne
notificazione al Garante. 2.
La notificazione e' effettuata preventivamente ed una sola volta, a
mezzo di lettera raccomandata ovvero con altro mezzo idoneo a
certificarne la ricezione, a prescindere dal numero delle operazioni da
svolgere, nonché dalla durata del trattamento e può riguardare uno o
più trattamenti con finalità correlate. Una nuova notificazione e'
richiesta solo se muta taluno degli elementi indicati nel comma 4 e deve
precedere l'effettuazione della variazione. 3.
La notificazione e' sottoscritta dal notificante e dal responsabile del
trattamento. 4.
La notificazione contiene: 5.
I soggetti tenuti ad iscriversi o che devono essere annotati nel
registro delle imprese di cui all'articolo 2188 del codice civile, nonché
coloro che devono fornire le informazioni di cui all'articolo 8, comma
8, lettera d), della legge 29 dicembre 1993, n. 580, alle camere di
commercio, industria, artigianato e agricoltura, possono effettuare la
notificazione per il tramite di queste ultime, secondo le modalità
stabilite con il regolamento di cui all'articolo 33, comma 3. I piccoli
imprenditori e gli artigiani possono effettuare la notificazione anche
per il tramite delle rispettive rappresentanze di categoria; gli
iscritti agli albi professionali anche per il tramite dei rispettivi
ordini professionali. Resta in ogni caso ferma la disposizione di cui al
comma 3. Art.
8. 1.
Il responsabile, se designato, deve essere nominato tra soggetti che per
esperienza, capacità ed affidabilità, forniscano idonea garanzia del
pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza. 2.
Il responsabile procede al trattamento attenendosi alle istruzioni
impartite dal titolare il quale, anche tramite verifiche periodiche,
vigila sulla puntuale osservanza delle disposizioni di cui al comma 1 e
delle proprie istruzioni. 3.
Ove necessario per esigenze organizzative, possono essere designati
responsabili più soggetti, anche mediante suddivisione di compiti. 4.
I compiti affidati al responsabile devono essere analiticamente
specificati per iscritto. 5.
Gli incaricati del trattamento devono elaborare i dati personali ai
quali hanno accesso attenendosi alle istruzioni del titolare o del
responsabile. CAPO
III Sezione
I Art.
9. 1.
I dati personali oggetto di trattamento devono essere: Art.
10. 1.
L'interessato o la persona presso la quale sono raccolti i dati
personali devono essere previamente informati per iscritto circa: 2.
L'informativa di cui al comma 1 può non comprendere gli elementi già
noti alla persona che fornisce i dati o la cui conoscenza può
ostacolare l'espletamento di funzioni pubbliche ispettive o di
controllo, svolte per il perseguimento delle finalità di cui agli
articoli 4, comma 1, lettera e), e 14, comma 1, lettera d). 3.
Quando i dati personali non sono raccolti presso l'interessato,
l'informativa di cui al comma 1 e' data al medesimo interessato all'atto
della registrazione dei dati o, qualora sia prevista la loro
comunicazione, non oltre la prima comunicazione. 4.
La disposizione di cui al comma 3 non si applica quando l'informativa
all'interessato comporta un impiego di mezzi che il Garante dichiari
manifestamente sproporzionati rispetto al diritto tutelato, ovvero
rivela, a giudizio del Garante, impossibile, ovvero nel caso in cui i
dati sono trattati in base ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria. La medesima disposizione non
si applica, altresì, quando i dati sono trattati ai fini dello
svolgimento delle investigazioni di cui all'articolo 38 delle norme di
attuazione, di coordinamento e transitorie del codice di procedura
penale, approvate con decreto legislativo 28 luglio 1989, n. 271, e
successive modificazioni, o, comunque, per far valere o difendere un
diritto in sede giudiziaria, sempre che i dati siano trattati
esclusivamente per tali finalità e per il periodo strettamente
necessario al loro perseguimento. Sezione
II Art.
11. 1.
Il trattamento di dati personali da parte di privati o di enti pubblici
economici e' ammesso solo con il consenso espresso dell'interessato. 2.
Il consenso può riguardare l'intero trattamento ovvero una o più
operazioni dello stesso. 3.
Il consenso e' validamente prestato solo se e' espresso liberamente e in
forma specifica e documentata per iscritto, e se sono state rese
all'interessato le informazioni di cui all'articolo 10. Art.
12. 1.
Il consenso non e' richiesto quando il trattamento: Art.
13. 1.
In relazione al trattamento di dati personali l'interessato ha diritto: 2.
Per ciascuna richiesta di cui al comma 1, lettera c), numero 1), può
essere chiesto all'interessato, ove non risulti confermata l'esistenza
di dati che lo riguardano, un contributo spese, non superiore ai costi
effettivamente sopportati, secondo le modalità ed entro i limiti
stabiliti dal regolamento di cui all'articolo 33, comma 3. 3.
I diritti di cui al comma 1 riferiti ai dati personali concernenti
persone decedute possono essere esercitati da chiunque vi abbia
interesse. 4.
Nell'esercizio dei diritti di cui al comma 1 l'interessato può
conferire, per iscritto, delega o procura a persone fisiche o ad
associazioni. 5.
Restano ferme le norme sul segreto professionale degli esercenti la
professione di giornalista, limitatamente alla fonte della notizia. Art.
14. 1.
I diritti di cui all'articolo 13, comma 1, lettere c) e d), non possono
essere esercitati nei confronti dei trattamenti di dati personali
raccolti: 2.
Nei casi di cui al comma 1 il Garante, anche su segnalazione
dell'interessato ai sensi dell'articolo 31, comma 1, lettera d), esegue
i necessari accertamenti nei modi di cui all'articolo 32, commi 6 e 7, e
indica le necessarie modificazioni ed integrazioni, verificandone
l'attuazione. Sezione
III Art.
15. 1.
I dati personali oggetto di trattamento devono essere custoditi e
controllati, anche in relazione alle conoscenze acquisite in base al
progresso tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al minimo, mediante
l'adozione di idonee e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale, dei dati stessi, di accesso
non autorizzato o di trattamento non consentito o non conforme alle
finalità della raccolta. 2.
Le misure minime di sicurezza da adottare in via preventiva sono
individuate con regolamento emanato con decreto del Presidente della
Repubblica, ai sensi dell'articolo 17, comma 1, lettera a), della legge
23 agosto 1988, n. 400, entro centottanta giorni dalla data di entrata
in vigore della presente legge, su proposta del Ministro di grazia e
giustizia, sentiti l'Autorità per l'informatica nella pubblica
amministrazione e il Garante. 3.
Le misure di sicurezza di cui al comma 2 sono adeguate, entro due anni
dalla data di entrata in vigore della presente legge e successivamente
con cadenza almeno biennale, con successivi regolamenti emanati con le
modalità di cui al medesimo comma 2, in relazione all'evoluzione
tecnica del settore e all'esperienza maturata. 4.
Le misure di sicurezza relative ai dati trattati dagli organismi di cui
all'articolo 4, comma 1, lettera b), sono stabilite con decreto del
Presidente del Consiglio dei ministri con l'osservanza delle norme che
regolano la materia. Art.
16. 1.
In caso di cessazione, per qualsiasi causa, del trattamento dei dati, il
titolare deve notificare preventivamente al Garante la loro
destinazione. 2.
I dati possono essere: 3.
La cessione dei dati in violazione di quanto previsto dalla lettera b)
del comma 2 o di altre disposizioni di legge in materia di trattamento
dei dati personali e' nulla ed e' punita ai sensi dell'articolo 39,
comma 1. Art.
17. 1.
Nessun atto o procedimento giudiziario o amministrativo che implichi una
valutazione del comportamento umano può essere fondato unicamente su un
trattamento automatizzato di dati personali volto a definire il profilo
o la personalità dell'interessato. 2.
L'interessato può opporsi ad ogni altro tipo di decisione adottata
sulla base del trattamento di cui al comma 1 del presente articolo, ai
sensi dell'articolo 13, comma 1, lettera d) salvo che la decisione sia
stata adottata in occasione della conclusione o dell'esecuzione di un
contratto, in accoglimento di una proposta dell'interessato o sulla base
di adeguate garanzie individuate dalla legge. Art.
18. 1.
Chiunque cagiona danno ad altri per effetto del trattamento di dati
personali e' tenuto al risarcimento ai sensi dell'articolo 2050 del
codice civile. Sezione
IV Art.
19. 1.
Non si considera comunicazione la conoscenza dei dati personali da parte
delle persone incaricate per iscritto di compiere le operazioni del
trattamento dal titolare o dal responsabile, e che operano sotto la loro
diretta autorità. Art.
20. 1.
La comunicazione e la diffusione dei dati personali da parte di privati
e di enti pubblici economici sono ammesse: 2.
Alla comunicazione e alla diffusione dei dati personali da parte di
soggetti pubblici, esclusi gli enti pubblici economici, si applicano le
disposizioni dell'articolo 27. Art.
21. 1.
Sono vietate la comunicazione e la diffusione di dati personali per
finalità diverse da quelle indicate nella notificazione di cui
all'articolo 7. 2.
Sono altresì vietate la comunicazione e la diffusione di dati personali
dei quali sia stata ordinata la cancellazione, ovvero quando sia decorso
il periodo di tempo indicato nell'articolo 9, comma 1, lettera e). 3.
Il Garante può vietare la diffusione di taluno dei dati relativi a
singoli soggetti, od a categorie di soggetti, quando la diffusione si
pone in contrasto con rilevanti interessi della collettività. Contro il
divieto può essere proposta opposizione ai sensi dell'articolo 29,
commi 6 e 7. 4.
La comunicazione e la diffusione dei dati sono comunque permesse: CAPO
IV Art.
22. 1.
I dati personali idonei a rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale,
nonché i dati personali idonei a rivelare lo stato di salute e la vita
sessuale, possono essere oggetto di trattamento solo con il consenso
scritto dell'interessato e previa autorizzazione del Garante. 2.
Il Garante comunica la decisione adottata sulla richiesta di
autorizzazione entro trenta giorni, decorsi i quali la mancata pronuncia
equivale a rigetto. Con il provvedimento di autorizzazione, ovvero
successivamente, anche sulla base di eventuali verifiche, il Garante può
prescrivere misure e accorgimenti a garanzia dell'interessato, che il
titolare del trattamento e' tenuto ad adottare. 3.
Il trattamento dei dati indicati al comma 1 da parte di soggetti
pubblici, esclusi gli enti pubblici economici, e' consentito solo se
autorizzato da espressa disposizione di legge nella quale siano
specificati i dati che possono essere trattati, le operazioni eseguibili
e le rilevanti finalità di interesse pubblico perseguite. 4.
I dati personali idonei a rivelare lo stato di salute e la vita sessuale
possono essere oggetto di trattamento previa autorizzazione del Garante,
qualora il trattamento sia necessario ai fini dello svolgimento delle
investigazioni di cui all'articolo 38 delle norme di attuazione, di
coordinamento e transitorie del codice di procedura penale, approvate
con decreto legislativo 28 luglio 1989, n. 271, e successive
modificazioni, o, comunque, per far valere o difendere in sede
giudiziaria un diritto di rango pari a quello dell'interessato, sempre
che i dati siano trattati esclusivamente per tali finalità e per il
periodo strettamente necessario al loro perseguimento. Il Garante
prescrive le misure e gli accorgimenti di cui al comma 2 e promuove la
sottoscrizione di un apposito codice di deontologia e di buona condotta
secondo le modalità di cui all'articolo 31, comma 1, lettera h). Resta
fermo quanto previsto dall'articolo 43, comma 2. Art.
23. 1.
Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici
possono, anche senza l'autorizzazione del Garante, trattare i dati
personali idonei a rivelare lo stato di salute, limitatamente ai dati e
alle operazioni indispensabili per il perseguimento di finalità di
tutela dell'incolumità fisica e della salute dell'interessato. Se le
medesime finalità riguardano un terzo o la collettività, in mancanza
del consenso dell'interessato, il trattamento può avvenire previa
autorizzazione del Garante. 2.
I dati personali idonei a rivelare lo stato di salute possono essere
resi noti all'interessato solo per il tramite di un medico designato
dall'interessato o dal titolare. 3.
L'autorizzazione di cui al comma 1 e' rilasciata, salvi i casi di
particolare urgenza, sentito il Consiglio superiore di sanità. E'
vietata la comunicazione dei dati ottenuti oltre i limiti fissati con
l'autorizzazione. 4.
La diffusione dei dati idonei a rivelare lo stato di salute e' vietata,
salvo nel caso in cui sia necessaria per finalità di prevenzione,
accertamento o repressione dei reati, con l'osservanza delle norme che
regolano la materia. Art.
24. 1.
Il trattamento di dati personali idonei a rivelare provvedimenti di cui
all'articolo 686, commi 1, lettere a) e d), 2 e 3, del codice di
procedura penale, e' ammesso soltanto se autorizzato da espressa
disposizione di legge o provvedimento del Garante che specifichino le
rilevanti finalità di interesse pubblico del trattamento, i tipi di
dati trattati e le precise operazioni autorizzate. Art.
25. 1.
Salvo che per i dati idonei a rivelare lo stato di salute e la vita
sessuale, il consenso dell'interessato non e' richiesto quando il
trattamento dei dati di cui all'articolo 22 e' effettuato nell'esercizio
della professione di giornalista e per l'esclusivo perseguimento delle
relative finalità, nei limiti del diritto di cronaca, ed in particolare
dell'essenzialità dell'informazione riguardo a fatti di interesse
pubblico. Al medesimo trattamento, non si applica il limite previsto per
i dati di cui all'articolo 24. Nei casi previsti dal presente comma, il
trattamento svolto in conformità del codice di cui ai commi 2 e 3 può
essere effettuato anche senza l'autorizzazione del Garante. 2.
Il Garante promuove, nei modi di cui all'articolo 31, comma 1, lettera
h), l'adozione, da parte del Consiglio nazionale dell'ordine dei
giornalisti, di un apposito codice di deontologia relativo al
trattamento dei dati di cui al comma 1 del presente articolo, effettuato
nell'esercizio della professione di giornalista, che preveda misure ed
accorgimenti a garanzia degli interessati rapportate alla natura dei
dati. Nella fase di formazione del codice, ovvero successivamente, il
Garante prescrive eventuali misure e accorgimenti a garanzia degli
interessati, che il Consiglio e' tenuto a recepire. 3.
Ove entro sei mesi dalla proposta del Garante il codice di deontologia
di cui al comma 2 non sia stato adottato dal Consiglio nazionale
dell'ordine dei giornalisti, esso e' adottato in via sostitutiva dal
Garante ed e' efficace sino alla adozione di un diverso codice secondo
la procedura di cui al comma 2. In caso di violazione delle prescrizioni
contenute nel codice di deontologia, il Garante può vietare il
trattamento ai sensi dell'articolo 31, comma 1, lettera l). 4.
Nel codice di cui ai commi 2 e 3 sono inserite, altresì, prescrizioni
concernenti i dati personali diversi da quelli indicati negli articoli
22 e 24. Art.
26. 1.
Il trattamento nonché la cessazione del trattamento di dati concernenti
persone giuridiche, enti o associazioni non sono soggetti a
notificazione. 2.
Ai dati riguardanti persone giuridiche, enti o associazioni non si
applicano le disposizioni dell'articolo 28. CAPO
V Art.
27. 1.
Salvo quanto previsto al comma 2, il trattamento di dati personali da
parte di soggetti pubblici, esclusi gli enti pubblici economici, e'
consentito soltanto per lo svolgimento delle funzioni istituzionali, nei
limiti stabiliti dalla legge e dai regolamenti. 2.
La comunicazione e la diffusione a soggetti pubblici, esclusi gli enti
pubblici economici, dei dati trattati sono ammesse quando siano previste
da norme di legge o di regolamento, o risultino comunque necessarie per
lo svolgimento delle funzioni istituzionali. In tale ultimo caso deve
esserne data previa comunicazione nei modi di cui all'articolo 7, commi
2 e 3 al Garante che vieta, con procedimento motivato, la comunicazione
o la diffusione se risultano violate le disposizioni della presente
legge. 3.
La comunicazione e la diffusione dei dati personali da parte di soggetti
pubblici a privati o a enti pubblici economici sono ammesse solo se
previste da norme di legge o di regolamento. 4.
I criteri di organizzazione delle amministrazioni pubbliche di cui
all'articolo 5 del decreto legislativo 3 febbraio 1993, n. 29, sono
attuati nel pieno rispetto delle disposizioni della presente legge. Art.
28. 1.
Il trasferimento anche temporaneo fuori del territorio nazionale, con
qualsiasi forma o mezzo, di dati personali oggetto di trattamento deve
essere previamente notificato al Garante, qualora sia diretto verso un
Paese non appartenente all'Unione europea o riguardi taluno dei dati di
cui agli articoli 22 e 24. 2.
Il trasferimento può avvenire soltanto dopo quindici giorni dalla data
della notificazione; il termine e' di venti giorni qualora il
trasferimento riguardi taluno dei dati di cui agli articoli 22 e 24. 3.
Il trasferimento e' vietato qualora l'ordinamento dello Stato di
destinazione o di transito dei dati non assicuri un livello di tutela
delle persone adeguato ovvero, se si tratta dei dati di cui agli
articoli 22 e 24, di grado pari a quello assicurato dall'ordinamento
italiano. Sono valutate anche le modalità del trasferimento e dei
trattamenti previsti, le relative finalità, la natura dei dati e le
misure di sicurezza. 4.
Il trasferimento e' comunque consentito qualora: 5.
Contro il divieto di cui al comma 3 del presente articolo può essere
proposta opposizione ai sensi dell'articolo 29, commi 6 e 7. 6.
Le disposizioni del presente articolo non si applicano al trasferimento
di dati personali effettuato nell'esercizio della professione di
giornalista e per l'esclusivo perseguimento delle relative finalità. 7.
La notificazione di cui al comma 1 del presente articolo e' effettuata
ai sensi dell'articolo 7 ed e' annotata in apposita sezione del registro
previsto dall'articolo 31, comma 1, lettera a). La notificazione può
essere effettuata con un unico atto unitamente a quella prevista
dall'articolo 7. CAPO
VI Art.
29. 1.
I diritti di cui all'articolo 13, comma 1, possono essere fatti valere
dinanzi all'autorità giudiziaria o con ricorso al Garante. Il ricorso
al Garante non può essere proposto qualora, per il medesimo oggetto e
tra le stesse parti, sia stata già adita l'autorità giudiziaria. 2.
Salvi i casi in cui il decorso del termine esporrebbe taluno a
pregiudizio imminente ed irreparabile, il ricorso al Garante può essere
proposto solo dopo che siano decorsi cinque giorni dalla richiesta
avanzata sul medesimo oggetto al responsabile. La presentazione del
ricorso rende improponibile un'ulteriore domanda dinanzi all'autorità
giudiziaria tra le stesse parti e per il medesimo oggetto. 3.
Nel procedimento dinanzi al Garante il titolare, il responsabile e
l'interessato hanno diritto di essere sentiti, personalmente o a mezzo
di procuratore speciale, e hanno facoltà di presentare memorie o
documenti. Il Garante può disporre, anche d'ufficio, l'espletamento di
perizie. 4.
Assunte le necessarie informazioni il Garante, se ritiene fondato il
ricorso, ordina al titolare e al responsabile, con decisione motivata,
la cessazione del comportamento illegittimo, indicando le misure
necessarie a tutela dei diritti dell'interessato e assegnando un termine
per la loro adozione. Il provvedimento e' comunicato senza ritardo alle
parti interessate, a cura dell'ufficio del Garante. La mancata pronuncia
sul ricorso, decorsi venti giorni dalla data di presentazione, equivale
a rigetto. 5.
Se la particolarità del caso lo richiede, il Garante può disporre in
via provvisoria il blocco in tutto o in parte di taluno dei dati ovvero
l'immediata sospensione di una o più operazioni del trattamento. Il
provvedimento cessa di avere ogni effetto se, entro i successivi venti
giorni, non e' adottata la decisione di cui al comma 4 ed e' impugnabile
unitamente a tale decisione. 6.
Avverso il provvedimento espresso o il rigetto tacito di cui al comma 4,
il titolare o l'interessato possono proporre opposizione al tribunale
del luogo ove risiede il titolare, entro il termine di trenta giorni
dalla data di comunicazione del procedimento o dalla data del rigetto
tacito. L'opposizione non sospende l'esecuzione del provvedimento. 7.
Il tribunale provvede nei modi di cui agli articoli 737 e seguenti del
codice di procedura civile, anche in deroga al divieto di cui
all'articolo 4 della legge 20 marzo 1865, n. 2248, allegato E), e può
sospendere, a richiesta, l'esecuzione del provvedimento. Avverso il
decreto del tribunale e' ammesso unicamente il ricorso per cassazione. 8.
Tutte le controversie, ivi comprese quelle inerenti al rilascio
dell'autorizzazione di cui all'articolo 22, comma 1, o che riguardano,
comunque, l'applicazione della presente legge, sono di competenza
dell'autorità giudiziaria ordinaria. 9.
Il danno non patrimoniale e' risarcibile anche nei casi di violazione
dell'articolo 9.
CAPO
VII Art.
30. 1.
E' istituito il Garante per la tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali. 2.
Il Garante opera in piena autonomia e con indipendenza di giudizio e di
valutazione. 3.
Il Garante e' organo collegiale costituito da quattro membri, eletti due
dalla Camera dei deputati e due dal Senato della Repubblica con voto
limitato. Essi eleggono nel loro ambito un presidente, il cui voto
prevale in caso di parità. I membri sono scelti tra persone che
assicurino indipendenza e che siano esperti di riconosciuta competenza
nelle materie del diritto o dell'informatica, garantendo la presenza di
entrambe le qualificazioni. 4.
Il presidente e i membri durano in carica quattro anni e non possono
essere confermati per più di una volta; per tutta la durata
dell'incarico il presidente e i membri non possono esercitare, a pena di
decadenza, alcuna attività professionale o di consulenza, ne' essere
amministratori o dipendenti di enti pubblici o privati, ne' ricoprire
cariche elettive. 5.
All'atto dell'accettazione della nomina il presidente e i membri sono
collocati fuori ruolo se dipendenti di pubbliche amministrazioni o
magistrati in attività di servizio; se professori universitari di
ruolo, sono collocati in aspettativa senza assegni ai sensi
dell'articolo 13 del decreto del Presidente della Repubblica 11 luglio
1980, n. 382, e successive modificazioni. Il personale collocato fuori
ruolo o in aspettativa non può essere sostituito. 6.
Al presidente compete una indennità di funzione non eccedente, nel
massimo, la retribuzione spettante al primo presidente della Corte di
cassazione. Ai membri compete un'indennità di funzione non eccedente,
nel massimo, i due terzi di quella spettante al presidente. Le predette
indennità di funzione sono determinate, con il regolamento di cui
all'articolo 33, comma 3, in misura tale da poter essere corrisposte a
carico degli ordinari stanziamenti. Art.
31. 1.
Il Garante ha il compito di: 2.
Il Presidente del Consiglio dei ministri e ciascun ministro consultano
il Garante all'atto della predisposizione delle norme regolamentari e
degli atti amministrativi suscettibili di incidere sulle materie
disciplinate dalla presente legge. 3.
Il registro di cui al comma 1, lettera a), del presente articolo, e'
tenuto nei modi di cui all'articolo 33, comma 5. Entro il termine di un
anno dalla data della sua istituzione, il Garante promuove opportune
intese con le province ed eventualmente con altre pubbliche
amministrazioni al fine di assicurare la consultazione del registro
mediante almeno un terminale dislocato su base provinciale,
preferibilmente nell'ambito dell'ufficio per le relazioni con il
pubblico di cui all'articolo 12 del decreto legislativo 3 febbraio 1993,
n. 29, e successive modificazioni. 4.
Contro il divieto di cui al comma 1, lettera l), del presente articolo,
può essere proposta opposizione ai sensi dell'articolo 29, commi 6 e 7.
5.
Il Garante e l'autorità per l'informatica nella pubblica
amministrazione cooperano tra loro nello svolgimento dei rispettivi
compiti; a tal fine, invitano il presidente o un suo delegato membro
dell'altro organo a partecipare alle riunioni prendendo parte alla
discussione di argomenti di comune interesse iscritti all'ordine del
giorno; possono richiedere, altresì, la collaborazione di personale
specializzato addetto all'altro organo. 6.
Le disposizioni del comma 5 si applicano anche nei rapporti tra il
Garante e le autorità di vigilanza competenti per il settore
creditizio, per le attività assicurative e per la radiodiffusione e
l'editoria. Art.
32. 1.
Per l'espletamento dei propri compiti il Garante può richiedere al
responsabile, al titolare, all'interessato o anche a terzi di fornire
informazioni e di esibire documenti. 2.
Il Garante, qualora ne ricorra la necessità ai fini del controllo del
rispetto delle disposizioni in materia di trattamento dei dati
personali, può disporre accessi alle banche di dati o altre ispezioni e
verifiche nei luoghi ove si svolge il trattamento o nei quali occorre
effettuare rilevazioni comunque utili al medesimo controllo,
avvalendosi, ove necessario, della collaborazione di altri organi dello
Stato. 3.
Gli accertamenti di cui al comma 2 sono disposti previa autorizzazione
del presidente del tribunale competente per territorio in relazione al
luogo dell'accertamento, il quale provvede senza ritardo sulla richiesta
del Garante, con decreto motivato; le relative modalità di svolgimento
sono individuate con il regolamento di cui all'articolo 33, comma 3. 4.
I soggetti interessati agli accertamenti sono tenuti a farli eseguire. 5.
Resta fermo quanto previsto dall'articolo 220 delle norme di attuazione,
di coordinamento e transitorie del codice di procedura penale, approvate
con decreto legislativo 28 luglio 1989, n. 271. 6.
Per i trattamenti di cui agli articoli 4 e 14, comma 1, gli accertamenti
sono effettuati per il tramite di un membro designato dal Garante. Se il
trattamento non risulta conforme alle disposizioni di legge o di
regolamento, il Garante indica al titolare o al responsabile le
necessarie modificazioni ed integrazioni e ne verifica l'attuazione. Se
l'accertamento e' stato richiesto dall'interessato, a quest'ultimo e'
fornito in ogni caso un riscontro circa il relativo esito, salvo che
ricorrano i motivi di cui all'articolo 10, comma 4, della legge 1 aprile
1981, n. 121, come sostituito dall'articolo 42, comma 1, della presente
legge, o motivi di difesa o di sicurezza dello Stato. 7.
Gli accertamenti di cui al comma 6 non sono delegabili. Qualora risulti
necessario in ragione della specificità della verifica, il membro
designato può farsi assistere da personale specializzato che e' tenuto
al segreto ai sensi dell'articolo 33, comma 6. Gli atti e i documenti
acquisiti sono custoditi secondo modalità tali da assicurarne la
segretezza e sono conoscibili dal presidente e dai membri del Garante e,
se necessario per lo svolgimento delle funzioni dell'organo, da un
numero delimitato di addetti al relativo ufficio, individuati dal
Garante sulla base di criteri definiti dal regolamento di cui
all'articolo 33, comma 3. Per gli accertamenti relativi agli organismi e
ai dati di cui all'articolo 4, comma 1, lettera b), il membro designato
prende visione degli atti e dei documenti rilevanti e riferisce
oralmente nelle riunioni del Garante . Art.
33. 1.
Alle dipendenze del Garante e' posto un ufficio composto da dipendenti
dello Stato e di altre amministrazioni pubbliche, collocati fuori ruolo
nelle forme previste dai rispettivi ordinamenti, il cui servizio presso
il medesimo ufficio e' equiparato ad ogni effetto di legge a quello
prestato nelle rispettive amministrazioni di provenienza. Il relativo
contingente e' determinato in misura non superiore a quarantacinque unità,
su proposta del Garante medesimo, con decreto del Presidente del
Consiglio dei ministri, di concerto con i Ministri del tesoro e per la
funzione pubblica, entro novanta giorni dalla data di elezione del
Garante. 2.
Le spese di funzionamento dell'ufficio del Garante sono poste a carico
di un fondo stanziato a tale scopo nel bilancio dello Stato e iscritto
in apposito capitolo dello stato di previsione del Ministero del tesoro.
Il rendiconto della gestione finanziaria e' soggetto al controllo della
Corte dei conti. 3.
Le norme concernenti l'organizzazione ed il funzionamento dell'ufficio
del Garante, nonché quelle dirette a disciplinare la riscossione dei
diritti di segreteria e la gestione delle spese, anche in deroga alle
disposizioni sulla contabilità generale dello Stato, sono adottate con
regolamento emanato con decreto del Presidente della Repubblica, entro
tre mesi dalla data di entrata in vigore della presente legge, previa
deliberazione del Consiglio dei ministri, sentito il Consiglio di Stato,
su proposta del Presidente del Consiglio dei ministri, di concerto con i
Ministri del tesoro, di grazia e giustizia e dell'interno, e su parere
conforme del Garante stesso. Nel medesimo regolamento sono altresì
previste le norme concernenti il procedimento dinanzi al Garante di cui
all'articolo 29, commi da 1 a 5, secondo modalità tali da assicurare,
nella speditezza del procedimento medesimo, il pieno rispetto del
contraddittorio tra le parti interessate, nonché le norme volte a
precisare le modalità per l'esercizio dei diritti di cui all'articolo
13, nonché della notificazione di cui all'articolo 7, per via
telematica o mediante supporto magnetico o lettera raccomandata con
avviso di ricevimento o altro idoneo sistema. Il parere del Consiglio di
Stato sullo schema di regolamento e' reso entro trenta giorni dalla
ricezione della richiesta; decorso tale termine il regolamento può
comunque essere emanato. 4.
Nei casi in cui la natura tecnica o la delicatezza dei problemi lo
richiedano, il Garante può avvalersi dell'opera di consulenti, i quali
sono remunerati in base alle vigenti tariffe professionali. 5.
Per l'espletamento dei propri compiti, l'ufficio del Garante può
avvalersi di sistemi automatizzati ad elaborazione informatica e di
strumenti telematici propri ovvero, salvaguardando le garanzie previste
dalla presente legge, appartenenti all'autorità per l'informatica nella
pubblica amministrazione o, in caso di indisponibilità, ad enti
pubblici convenzionati. 6.
Il personale addetto all'ufficio del Garante ed i consulenti sono tenuti
al segreto su tutto ciò di cui siano venuti a conoscenza,
nell'esercizio delle proprie funzioni, in ordine a banche di dati e ad
operazioni di trattamento. CAPO
VIII Art.
34. 1.
Chiunque, essendovi tenuto, non provvede alle notificazioni prescritte
dagli articoli 7 e 28, ovvero indica in esse notizie incomplete o non
rispondenti al vero, e' punito con la reclusione da tre mesi a due anni.
Se il fatto concerne la notificazione prevista dall'articolo 16, comma
1, la pena e' della reclusione sino ad un anno. Art.
35. 1.
Salvo che il fatto costituisca più grave reato, chiunque, al fine di
trarne per sé o per altri profitto o di recare ad altri un danno,
procede al trattamento di dati personali in violazione di quanto
disposto dagli articoli 11, 20 e 27, e' punito con la reclusione sino a
due anni o, se il fatto consiste nella comunicazione o diffusione, con
la reclusione da tre mesi a due anni. 2.
Salvo che il fatto costituisca più grave reato, chiunque, al fine di
trarne per sé o per altri profitto o di recare ad altri un danno,
comunica o diffonde dati personali in violazione di quanto disposto
dagli articoli 21, 22, 23 e 24, ovvero del divieto di cui all'articolo
28, comma 3, e' punito con la reclusione da tre mesi a due anni. 3.
Se dai fatti di cui ai commi 1 e 2 deriva nocumento, la reclusione e' da
uno a tre anni. Art.
36. 1.
Chiunque, essendovi tenuto, omette di adottare le misure necessarie a
garantire la sicurezza dei dati personali, in violazione delle
disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, e'
punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento,
la pena e' della reclusione da due mesi a due anni. 2.
Se il fatto di cui al comma 1 e' commesso per colpa si applica la
reclusione fino ad un anno. Art.
37. 1.
Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal
Garante ai sensi dell'articolo 22, comma 2, o dell'articolo 29, commi 4
e 5, e' punito con la reclusione da tre mesi a due anni. Art.
38. 1.
La condanna per uno dei delitti previsti dalla presente legge importa la
pubblicazione della sentenza. Art.
39. 1.
Chiunque omette di fornire le informazioni o di esibire i documenti
richiesti dal Garante ai sensi degli articoli 29, comma 4, e 32, comma
1, e' punito con la sanzione amministrativa del pagamento di una somma
da lire un milione a lire sei milioni. 2.
La violazione delle disposizioni di cui agli articoli 10 e 23, comma 2,
e' punita con la sanzione amministrativa del pagamento di una somma da
lire cinquecentomila a lire tre milioni. 3.
L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di
cui al presente articolo e' il Garante. Si osservano, in quanto
applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e
successive modificazioni. CAPO
IX Art.
40. 1.
Copia dei procedimenti emessi dall'autorità giudiziaria in relazione a
quanto previsto dalla presente legge e dalla legge 23 dicembre 1993, n.
547, e' trasmessa, a cura della cancelleria, al Garante. Art.
41. 1.
Fermo restando l'esercizio dei diritti di cui agli articoli 13 e 29, le
disposizioni della presente legge che prescrivono il consenso
dell'interessato non si applicano in riferimento ai dati personali
raccolti precedentemente alla data di entrata in vigore della legge
stessa, o il cui trattamento sia iniziato prima di tale data. Resta
salva l'applicazione delle disposizioni relative alla comunicazione e
alla diffusione dei dati prevista dalla presente legge. 2.
Per i trattamenti di dati personali iniziati prima della data di entrata
in vigore della presente legge o nei novanta giorni successivi a tale
data, le notificazioni prescritte dagli articoli 7 e 28 devono essere
effettuate entro il termine di sei mesi dalla data di pubblicazione
nella Gazzetta Ufficiale del decreto di cui all'articolo 33, comma 1,
ovvero, per i trattamenti di cui all'articolo 5 riguardanti dati diversi
da quelli di cui agli articoli 22 e 24, entro il 31 gennaio 1998. 3.
Le misure minime di sicurezza di cui all'articolo 15, comma 2, devono
essere adottate entro il termine di sei mesi dalla data di entrata in
vigore del regolamento ivi previsto. Fino al decorso di tale termine, i
dati personali devono essere custoditi in maniera tale da evitare un
incremento dei rischi di cui all'articolo 15, comma 1. 4.
Le misure di cui all'articolo 15, comma 3, devono essere adottate entro
il termine di sei mesi dalla data di entrata in vigore dei regolamenti
ivi previsti. 5.
Nei dodici mesi successivi alla data di entrata in vigore della presente
legge, i trattamenti dei dati di cui all'articolo 22, comma 3, ad opera
di soggetti pubblici, esclusi gli enti pubblici economici, e
all'articolo 24, possono essere proseguiti anche in assenza delle
disposizioni di legge ivi indicate, previa comunicazione al Garante. 6.
In sede di prima applicazione della presente legge, fino alla elezione
del Garante ai sensi dell'articolo 30, le funzioni del Garante sono
svolte dal presidente dell'autorità per l'informatica nella pubblica
amministrazione, fatta eccezione per l'esame dei ricorsi di cui
all'articolo 29. 7.
Le disposizioni della presente legge che prevedono un'autorizzazione del
Garante si applicano, limitatamente alla medesima autorizzazione, a
decorrere dal trentesimo giorno successivo alla data di entrata in
vigore della presente legge. Art.
42. 1.
L'articolo 10 della legge 1 aprile 1981, n. 121, e' sostituito dal
seguente: 2.
Il comma 1 dell'articolo 4 del decreto legislativo 12 febbraio 1993, n.
39, e' sostituito dal seguente: 3.
Il comma 1 dell'articolo 5 del decreto legislativo 12 febbraio 1993, n.
39, e' sostituito dal seguente: 4.
Negli articoli 9, comma 2, e 10, comma 2, della legge 30 settembre 1993,
n. 388, le parole: "Garante per la protezione dei dati" sono
sostituite dalle seguenti: "Garante per la tutela delle persone e
di altri soggetti rispetto al trattamento dei dati personali". Art.
43. 1.
Sono abrogate le disposizioni di legge o di regolamento incompatibili
con la presente legge e, in particolare, il quarto comma dell'articolo 8
ed il quarto comma dell'articolo 9 della legge 1 aprile 1981, n. 121.
Entro sei mesi dalla data di emanazione del decreto di cui all'articolo
33, comma 1, della presente legge, il Ministro dell'interno trasferisce
all'ufficio del Garante il materiale informativo raccolto a tale data in
attuazione del citato articolo 8 della legge n. 121 del 1981. 2.
Restano ferme le disposizioni della legge 20 maggio 1970, n. 300, e
successive modificazioni, nonché, in quanto compatibili, le
disposizioni della legge 5 giugno 1990, n. 135, e successive
modificazioni, del decreto legislativo 6 settembre 1989, n. 322, nonché
le vigenti norme in materia di accesso ai documenti amministrativi ed
agli archivi di Stato. Restano altresì ferme le disposizioni di legge
che stabiliscono divieti o limiti più restrittivi in materia di
trattamento di taluni dati personali. 3.
Per i trattamenti di cui all'articolo 4, comma 1, lettera e), della
presente legge, resta fermo l'obbligo di conferimento di dati ed
informazioni di cui all'articolo 6, primo comma, lettera a), della legge
1 aprile 1981, n. 121. CAPO
X Art.
44. 1.
All'onere derivante dall'attuazione della presente legge, valutato in
lire 8.029 milioni per il 1997 ed in lire 12.045 milioni a decorrere dal
1998, si provvede mediante corrispondente riduzione dello stanziamento
iscritto, ai fini del bilancio triennale 1997-1999, al capitolo 6856
dello stato di previsione del Ministero del tesoro per l'anno 1997,
all'uopo utilizzando, per il 1997, quanto a lire 4.553 milioni,
l'accantonamento riguardante il Ministero degli affari esteri e, quanto
a lire 3.476 milioni, l'accantonamento riguardante la Presidenza del
Consiglio dei ministri e, per gli anni 1998 e 1999, quanto a lire 6.830
milioni, le proiezioni per gli stessi anni dell'accantonamento
riguardante il Ministero degli affari esteri e, quanto a lire 5.215
milioni, le proiezioni per gli stessi anni dell'accantonamento
riguardante la Presidenza del Consiglio dei ministri. 2.
Il Ministro del tesoro e' autorizzato ad apportare, con propri decreti,
le occorrenti variazioni di bilancio. Art.
45. 1.
La presente legge entra in vigore centoventi giorni dopo la sua
pubblicazione nella Gazzetta Ufficiale. Per i trattamenti svolti senza
l'ausilio di mezzi elettronici o comunque automatizzati che non
riguardano taluni dei dati di cui agli articoli 22 e 24, le disposizioni
della presente legge si applicano a decorrere dal 1 gennaio 1998. Fermo
restando quanto previsto dall'art. 9, comma 2 della legge 30 settembre
1993, n. 388, la presente legge entra in vigore il giorno successivo a
quello della sua pubblicazione nella Gazzetta Ufficiale, limitatamente
ai trattamenti di dati effettuati in esecuzione dell'accordo di cui
all'articolo 4, comma 1, lettera a) e alla nomina del Garante.
|
.. |