DECRETO LEGISLATIVO 28 DICEMBRE 2001, n. 467
DISPOSIZIONI CORRETTIVE ED INTEGRATIVE DELLA NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI, A NORMA DELL'ARTICOLO 1 DELLA LEGGE 24 MARZO 2001, N. 127
(decreto legislativo approvato nel corso del Consiglio dei ministri n. 31 del 21 dicembre 2001, in corso di pubblicazione sulla G. U. della Repubblica)
CAPO I
(MODIFICAZIONI ED INTEGRAZIONI ALLA LEGGE N. 675/1996)
Art. 1
(DEFINIZIONI E DIRITTO NAZIONALE APPLICABILE)
1. Agli effetti dell'applicazione del presente decreto si applicano le
definizioni elencate nell'articolo 1, comma 2, della legge 31 dicembre
1996, n. 675.
2. Nell'articolo 2 della legge 31 dicembre 1996, n. 675, sono aggiunti
i seguenti commi:
"1-bis. La presente legge si applica anche al trattamento di dati
personali effettuato da chiunque è stabilito nel territorio di
un Paese non appartenente all'Unione europea e impiega, per il trattamento,
mezzi situati nel territorio dello Stato anche diversi da quelli elettronici
o comunque automatizzati, salvo che essi siano utilizzati solo ai fini
di transito nel territorio dell'Unione europea.
1-ter. Nei casi di cui al comma 1-bis il titolare stabilito nel territorio
di un Paese non appartenente all'Unione europea deve designare ai fini
dell'applicazione della presente legge un proprio rappresentante stabilito
nel territorio dello Stato.".
Art. 2
(Trattamenti per fini esclusivamente personali)
1. Nell'articolo 3, comma 2, della legge 31 dicembre 1996, n. 675, le
parole: "le disposizioni di cui agli articoli 18 e 36" sono
sostituite dalle seguenti: "l'articolo 18 ".
Art. 3
(Semplificazione dei casi e delle modalità di notificazione)
1. Nell'articolo 7, comma 1, della legge 31 dicembre 1996, n. 675, è
aggiunto in fine il seguente periodo: "se il trattamento, in ragione
delle relative modalità o della natura dei dati personali, sia
suscettibile di recare pregiudizio ai diritti e alle libertà dell'interessato,
e nei soli casi e con le modalità individuati con il regolamento
di cui all'articolo 33, comma 3".
2. Nell'articolo 7, comma 2, della legge 31 dicembre 1996, n. 675, le
parole: "indicati nel comma 4" sono sostituite dalle seguenti:
"che devono essere indicati".
3. Nell'articolo 7, comma 4, lettera h), della legge 31 dicembre 1996,
n. 675, le parole: "del responsabile;" sono sostituite dalle
seguenti: "del rappresentante del titolare nel territorio dello Stato
e di almeno un responsabile, da indicare nel soggetto eventualmente designato
ai fini di cui all'articolo 13; ".
4. Le disposizioni di cui all'articolo 7, commi 3, 4, 5, 5-bis, 5-ter,
5-quater e 5-quinquies, 13, comma 1, lett. b) e 28, comma 7, della legge
31 dicembre 1996, n. 675 sono abrogate a decorrere dalla data di entrata
in vigore delle modifiche apportate al regolamento di cui all'articolo
33, comma 3, della medesima legge in applicazione del comma 1 del presente
articolo.
Art. 4
(Informativa all'interessato)
1. Nell'articolo 10, comma 1, lettera f), della legge 31 dicembre 1996,
n. 675, le parole: "e, se designato, del responsabile" sono
sostituite dalle seguenti: ", del suo rappresentante nel territorio
dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente
designato ai fini di cui all'articolo 13, indicando il sito della rete
di comunicazione o le modalità attraverso le quali è altrimenti
conoscibile in modo agevole l'elenco aggiornato dei responsabili.".
Art. 5
(Misure precontrattuali e bilanciamento di interessi)
1. Nell'articolo 12, comma 1, lettera b), della legge 31 dicembre 1996,
n. 675, le parole: "per l'acquisizione di informative precontrattuali
attivate" sono sostituite dalle seguenti: "per l'esecuzione
di misure precontrattuali adottate".
2. Nell'articolo 12, comma 1, della legge 31 dicembre 1996, n. 675, è
inserita in fine la seguente lettera: "h-bis) è necessario,
nei casi individuati dal Garante sulla base dei principi sanciti dalla
legge, per perseguire un legittimo interesse del titolare o di un terzo
destinatario dei dati, qualora non prevalgano i diritti e le libertà
fondamentali, la dignità o un legittimo interesse dell'interessato.".
Art. 6
(Limiti al diritto di accesso)
1. Nell'articolo 14, comma 1, della legge 31 dicembre 1996, n. 675, è
aggiunta in fine la seguente lettera: "e-bis) da fornitori di servizi
di telecomunicazioni accessibili al pubblico, limitatamente ai dati personali
identificativi di chiamate telefoniche entranti, salvo che possa derivarne
pregiudizio per lo svolgimento delle investigazioni difensive di cui alla
legge 7 dicembre 2000, n. 397.".
Art. 7
(Presupposti per la comunicazione e la diffusione dei dati)
1. Nell'articolo 20, comma 1, della legge 31 dicembre 1996, n. 675, dopo
la lettera a) è inserita la seguente: "a-bis) qualora siano
necessarie per l'esecuzione di obblighi derivanti da un contratto del
quale è parte l'interessato o per l'esecuzione di misure precontrattuali
adottate su richiesta di quest'ultimo,".
2. Nell'articolo 20, comma 1, della legge 31 dicembre 1996, n. 675, è
inserita in fine la seguente lettera: "h-bis) limitatamente alla
comunicazione, quando questa sia necessaria, nei casi individuati dal
Garante sulla base dei principi sanciti dalla legge, per perseguire un
legittimo interesse del titolare o di un terzo destinatario dei dati,
qualora non prevalgano i diritti e le libertà fondamentali, la
dignità o un legittimo interesse dell'interessato.".
Art. 8
(Dati sensibili)
1. Nell'articolo 22 della legge 31 dicembre 1996, n. 675, dopo il comma
1-bis è inserito il seguente:
"1-ter. Il comma 1 non si applica, altresì, ai dati riguardanti
l'adesione di associazioni od organizzazioni a carattere sindacale o di
categoria ad altre associazioni, organizzazioni o confederazioni a carattere
sindacale o di categoria".
2. Nell'articolo 22 della legge 31 dicembre 1996, n. 675, il comma 4 è
sostituito dal seguente:
"4. I dati personali indicati al comma 1 possono essere oggetto di
trattamento previa autorizzazione del Garante:
a) qualora il trattamento sia effettuato da associazioni, enti od organismi
senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico,
religioso o sindacale, ivi compresi partiti e movimenti politici, confessioni
e comunità religiose, per il perseguimento di fnalità lecite,
relativamente ai dati personali degli aderenti o dei soggetti che in relazione
a tali finalità hanno contatti regolari con l'associazione, ente
od organismo, sempre che i dati non siano comunicati o diffusi fuori del
relativo ambito e l'ente, l'associazione o l'organismo determinino idonee
garanzie relativamente ai trattamenti effettuati;
b) qualora il trattamento sia necessario per la salvaguardia della vita
o dell'incolumità fisica dell'interessato o di un terzo, nel caso
in cui l'interessato non può prestare il proprio consenso per impossibilità
fisica, per incapacità di agire o per incapacità d'intendere
o di volere;
c) qualora il trattamento sia necessario ai fini dello svolgimento delle
investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397 o,
comunque, per far valere o difendere in sede giudiziaria un diritto, di
rango pari a quello dell'interessato quando i dati siano idonei a rivelare
lo stato di salute e la vita sessuale, sempre che i dati siano trattati
esclusivamente per tali finalità e per il periodo strettamente
necessario al loro perseguimento. Il Garante prescrive le misure e gli
accorgimenti di cui al comma 2 e promuove la sottoscrizione di un apposito
codice di deontologia e di buona condotta secondo le modalità di
cui all'articolo 31, comma 1, lettera h). Resta fermo quanto previsto
dall'articolo 43, comma 2. ".
Art. 9
(Verifiche preliminari)
1. Dopo l'articolo 24 della legge 31 dicembre 1996, n. 675, è inserito
il seguente:
"Articolo 24-bis (Altri dati particolari)
1. Il trattamento dei dati diversi da quelli di cui agli articoli 22 e
24 che presenta rischi specifici per i diritti e le libertà fondamentali,
nonché per la dignità dell'interessato, in relazione alla
natura dei dati o alle modalità del trattamento o agli effetti
che può determinare, è ammesso nel rispetto di misure ed
accorgimenti a garanzia dell'interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal
Garante sulla base dei principi sanciti dalla legge nell'ambito di una
verifica preliminare all'inizio del trattamento, effettuata anche in relazione
a determinate categorie di titolari o di trattamenti, sulla base di un
eventuale interpello del titolare.".
Art. 10
(Semplificazione e garanzie per i trasferimenti di dati personali all'estero)
1. Nell'articolo 28, comma 1, della legge 31 dicembre 1996, n. 675, le
parole: "o riguardi taluno dei dati di cui agli articoli 22 e 24"
sono sostituite dalle seguenti: "e ricorra uno dei casi individuati
ai sensi dell'articolo 7, comma 1".
2. Nell'articolo 28, comma 3, della legge 31 dicembre 1996, n. 675, le
parole da: "ovvero," fino alla fine del periodo sono soppresse.
3. Nell'articolo 28, comma 4, lettera b), della legge 31 dicembre 1996,
n. 675, le parole: "per l'acquisizione di informative precontrattuali
attivate" sono sostituite dalle seguenti: "per l'esecuzione
di misure precontrattuali adottate".
4. Nell'articolo 28, comma 4, lettera g), della legge 31 dicembre 1996,
n. 675, sono inserite in fine le seguenti parole: ", ovvero individuate
dalla Commissione europea con le decisioni previste dagli articoli 25,
paragrafo 6, e 26, paragrafo 4, della direttiva n. 95/46/CE del Parlamento
europeo e del Consiglio del 24 ottobre 1995".
Art. 11
(Misure per il trattamento illecito o non corretto)
1. Nella lettera c) del comma 1 dell'articolo 31 della legge 31 dicembre
1996, n. 675, la parola: "opportune" è sostituita dalle
seguenti: "necessarie o opportune".
2. Nella lettera l) del comma 1 dell'articolo 31 della legge 31 dicembre
1996, n. 675, dopo la parola: "blocco" sono inserite le seguenti:
"se il trattamento risulta illecito o non corretto anche per effetto
della mancata adozione delle misure necessarie di cui alla lettera c),
oppure".
Art. 12
(Sanzione in tema di notificazione)
1. L'articolo 34 della legge 31 dicembre 1996, n. 675 è sostituito
dal seguente:
"Art. 34 (Omessa o incompleta notificazione)
1. Chiunque, essendovi tenuto, non provvede tempestivamente alle notificazioni
in conformità a quanto previsto dagli articoli 7, 16, comma 1,
e 28, ovvero indica in esse notizie incomplete, è punito con la
sanzione amministrativa del pagamento di una somma da lire dieci milioni
a lire sessanta milioni e con la sanzione amministrativa accessoria della
pubblicazione dell'ordinanza-ingiunzione.".
2. Alle violazioni dell'articolo 34 della legge 31 dicembre 1996, n. 675,
commesse prima dell'entrata in vigore del presente decreto si applicano,
in quanto compatibili, le disposizioni di cui agli articoli 100, 101 e
102 del decreto legislativo 30 dicembre 1999, n. 507.
Art. 13
(Trattamento illecito di dati personali)
1. Nell'articolo 35, comma 2, della legge 31 dicembre 1996, n. 675, le
parole: "comunica o diffonde" sono sostituite dalle seguenti:
"procede al trattamento di" e le parole: "e 24, ovvero"
sono sostituite dalle parole: ", 24 e 24-bis, ovvero".
Art. 14
(Omessa adozione di misure minime di sicurezza)
L'articolo 36 della legge 31 dicembre 1996, n. 675, è sostituito
dal seguente:
"Art. 36 (Omessa adozione di misure necessarie alla sicurezza dei
dati)
1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie
a garantire la sicurezza dei dati personali, in violazione delle disposizioni
dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito
con l'arresto sino a due anni o con l'ammenda da lire dieci milioni a
lire ottanta milioni.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi,
anche con successivo atto del Garante, è impartita una prescrizione
fissando un termine per la regolarizzazione non eccedente il periodo di
tempo tecnicamente necessario, prorogabile in caso di particolare complessità
o per l'oggettiva difficoltà dell'adempimento e comunque non superiore
a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se
risulta l'adempimento alla prescrizione, l'autore del reato è ammesso
dal Garante a pagare una somma pari al quarto del massimo dell'ammenda
stabilita per la contravvenzione. L'adempimento e il pagamento estinguono
il reato. L'organo che impartisce la prescrizione e il pubblico ministero
provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo
19 dicembre 1994, n. 758, in quanto applicabili.".
2. Per i procedimenti penali per il reato di cui all'articolo 36 della
legge 31 dicembre 1996, n. 675 in corso, entro quaranta giorni dall'entrata
in vigore del presente decreto l'autore del reato può fare richiesta
all'autorità giudiziaria di essere ammesso alla procedura indicata
all'articolo 36, comma 2, della medesima legge n. 675 del 1996, come sostituito
dal presente decreto. L'Autorità giudiziaria dispone la sospensione
del procedimento e trasmette gli atti al Garante per la protezione dei
dati personali che provvede ai sensi del medesimo articolo 36, comma 2.
Art. 15
(Inosservanza di provvedimenti di divieto o di blocco)
1. Nell'articolo 37, comma 1, della legge 31 dicembre 1996, n. 675, le
parole: "o dell'articolo 29, commi 4 e 5," sono sostituite dalle
seguenti: "o degli articoli 29, commi 4 e 5, e 31, comma 1, lettera
l),".
Art. 16
(False comunicazioni e dichiarazioni)
1. Dopo l'articolo 37 della legge 31 dicembre 1996, n. 675, è inserito
il seguente:
"Art. 37-bis (Falsità nelle dichiarazioni e nelle notificazioni
al Garante)
1. Chiunque, nelle notificazioni di cui agli articoli 7, 16, comma 1,
e 28 o in atti, documenti o dichiarazioni resi o esibiti in un procedimento
dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente
notizie o circostanze o produce atti o documenti falsi, è punito,
salvo che il fatto costituisca più grave reato, con la reclusione
da sei mesi a tre anni.".
Art. 17
(Adeguamento di sanzioni amministrative)
1. Nell'articolo 39, comma 1, della legge 31 dicembre 1996, n. 675, le
parole: "da lire un milione a lire sei milioni" sono sostituite
dalle seguenti: "da lire cinquemilioni a lire trentamilioni".
2. L'articolo 39, comma 2, della legge 31 dicembre 1996, n. 675, è
sostituito dal seguente:
"2. La violazione delle disposizioni di cui all'articolo 10 è
punita con la sanzione amministrativa del pagamento di una somma da lire
tre milioni a lire diciotto milioni o, nei casi di cui agli articoli 22,
24 e 24-bis o, comunque, di maggiore rilevanza del pregiudizio per uno
o più interessati, da lire cinque milioni a lire trenta milioni.
La somma può essere aumentata sino al triplo quando essa risulti
inefficace in ragione delle condizioni economiche del contravventore.
La violazione della disposizione di cui all'articolo 23, comma 2, è
punita con la sanzione amministrativa del pagamento di una somma da lire
cinquecentomila a lire tre milioni. ".
3. Nell'articolo 39, comma 3, della legge 31 dicembre 1996, n. 675, e
successive modificazioni ed integrazioni, le parole: "presente articolo"
sono sostituite dalle seguenti: "presente capo".
Art. 18
(Adeguamento dei trattamenti alla disciplina comunitaria)
1. Nell'articolo 41, comma 1, della legge 31 dicembre 1996, n. 675, è
aggiunto in fine il seguente periodo: "Le disposizioni del presente
comma restano in vigore sino alla data del 30 giugno 2003.".
Art. 19
(Investigazioni difensive)
1. Negli articoli 10, comma 4, 12, comma 1, lettera h), 20, comma 1, lettera
g) e 28, comma 4, lettera d), le parole: "investigazioni di cui all'articolo
38 delle norme di attuazione, di coordinamento e transitorie del codice
di procedura penale, approvate con decreto legislativo 28 luglio 1989,
n. 271, e successive modificazioni," sono sostituite dalle parole:
"investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397,".
CAPO II
(Attuazione dei principi di protezione dei dati in determinati settori)
Art. 20
(Codici di deontologia e di buona condotta)
1. Al fine di garantire la piena attuazione dei principi previsti dalla
disciplina in materia di trattamento dei dati personali, ai sensi dell'articolo
31, comma 1, lett. h), della legge 31 dicembre 1996, n. 675, il Garante
promuove entro il 30 giugno 2002 la sottoscrizione di codici di deontologia
e di buona condotta per i soggetti pubblici e privati interessati al trattamento
dei dati personali nei settori indicati al comma 2, tenendo conto della
specificità dei trattamenti nei diversi ambiti, nonché dei
criteri direttivi delle raccomandazioni del Consiglio d'Europa indicate
nell'articolo 1, comma 1, lettera b), della legge 31 dicembre 1996, n.
676.
2. I codici di cui al comma 1 riguardano il trattamento di dati personali:
a) effettuati da fornitori di servizi di comunicazione e informazione
offerti per via telematica, con particolare riguardo ai criteri per assicurare
ed uniformare una più adeguata informazione e consapevolezza degli
utenti delle reti di telecomunicazione gestite da soggetti pubblici e
privati rispetto ai tipi di dati personali trattati e alle modalità
del loro trattamento, in particolare attraverso informative fornite in
linea in modo agevole ed interattivo, per favorire una più ampia
trasparenza e correttezza nei confronti dei medesimi utenti e il pieno
rispetto dei principi di cui all'articolo 9 della legge 31 dicembre 1996,
n. 675, anche ai fini dell'eventuale rilascio di certificazioni attestanti
la qualità delle modalità prescelte e il livello di sicurezza
assicurato;
b) necessari per finalità previdenziali o per la gestione del rapporto
di lavoro, prevedendo anche specifiche modalità per l'informativa
all'interessato e per l'eventuale prestazione del consenso relativamente
alla pubblicazione di annunci per finalità di occupazione e alla
ricezione di curricula contenenti dati personali anche sensibili;
c) effettuato a fini di invio di materiale pubblicitario o di vendita
diretta, ovvero per il compimento di ricerche di mercato o di comunicazione
commerciale interattiva, prevedendo anche, per i casi in cui il trattamento
non presuppone il consenso dell'interessato, forme semplificate per manifestare
e rendere meglio conoscibile l'eventuale dichiarazione di non voler ricevere
determinate comunicazioni;
d) svolto a fini di informazione commerciale, prevedendo anche, in correlazione
con quanto previsto dall'articolo 10, comma 4, della legge 31 dicembre
1996, n. 675, modalità semplificate per l'informativa all'interessato
e idonei meccanismi per favorire la qualità e l'esattezza dei dati
raccolti e comunicati;
e) effettuato nell'ambito di sistemi informativi di cui sono titolari
soggetti privati, utilizzati a fini di concessione di crediti al consumo
o comunque riguardanti l'affidabilità e la puntualità nei
pagamenti da parte degli interessati, individuando anche specifiche modalità
per favorire la comunicazione di dati personali esatti e aggiornati nel
rispetto dei diritti dell'interessato;
f) provenienti da archivi, registri, elenchi, atti o documenti tenuti
da soggetti pubblici, anche individuando i casi in cui debba essere indicata
la fonte di acquisizione dei dati e prevedendo garanzie appropriate per
l'associazione di dati provenienti da più archivi, tenendo presente
quanto previsto dalla Raccomandazione del Consiglio d'Europa N. R (91)
10 in relazione all'articolo 9 della legge 31 dicembre 1996, n. 675;
g) effettuato con strumenti automatizzati di rilevazione di immagini,
prevedendo specifiche modalità di trattamento e forme semplificate
di informativa all'interessato per garantirne la liceità e la correttezza
anche in riferimento a quanto previsto dall'articolo 9 della legge 31
dicembre 1996, n. 675.
3. Il rispetto delle disposizioni in essi contenute costituisce condizione
essenziale per la liceità del trattamento dei dati.
4. I codici sono pubblicati nella Gazzetta Ufficiale della Repubblica
italiana a cura del Garante e riportati in allegato al testo unico delle
disposizioni in materia previsto dall'articolo 1, comma 4, della legge
24 marzo 2001, n. 127.
CAPO III
(Modificazioni ed integrazioni al d.lg. n. 171/1998)
Art. 21
(Modalità di pagamento alternative alla fatturazione)
1. All'articolo 5, comma 1, del decreto legislativo 13 maggio 1998, n.
171, le parole: "consentono che" è sostituita dalle seguenti:
"sono tenuti a predisporre ogni misura idonea affinché ".
2. Dopo il comma 1 dell'articolo 5 del decreto legislativo 13 maggio 1998,
n. 171, è inserito il seguente: "1-bis. I fornitori di cui
al comma 1 sono tenuti a documentare al Garante, entro il 30 giugno 2002,
le misure predisposte. In caso di mancata documentazione si applica la
sanzione amministrativa prevista dall'articolo 39, comma 1, della legge
31 dicembre 1996, n. 675. In mancanza di idonee misure il Garante provvede
altresì ai sensi dell'articolo 31, comma 1, lettere c) ed l), della
medesima legge.".
Art. 22
(Informazione al pubblico sull'identificazione della linea chiamante e
collegata)
1. All'articolo 6, comma 6, del decreto legislativo 13 maggio 1998, n.
171, le parole "di tale servizio" sono sostituite dalle seguenti:
"di tale servizio e delle possibilità previste ai commi 1,
2, 3 e 4".
Art. 23
(Chiamate di emergenza)
1. L'articolo 7 del decreto legislativo 13 maggio 1998, n. 171, è
così modificato:
a) la rubrica è sostituita dalla seguente: "Chiamate di disturbo
e di emergenza";
b) dopo il comma 2, è aggiunto il seguente: "2-bis. Il fornitore
di una rete di telecomunicazioni pubblica o di un servizio di telecomunicazioni
accessibili al pubblico deve predisporre procedure adeguate e trasparenti
per garantire, linea per linea, l'annullamento della soppressione dell'identificazione
della linea chiamante da parte dei servizi abilitati a ricevere chiamate
d'emergenza.".
Art. 24
(Disposizioni transitorie)
1. Le disposizioni di cui agli articoli 3, comma 3, 4, 22 e 23 del presente
decreto si applicano a decorrere dal 1 marzo 2002.
2. I provvedimenti attuativi delle disposizioni di cui agli articoli 5,
comma 2, e 9 sono adottati, in sede di prima applicazione del presente
decreto, entro centoventi giorni a decorrere dal 1 ottobre 2002.
3. In sede di prima applicazione della disposizione di cui alla lettera
a) del comma 4 dell'articolo 22 della legge 31 dicembre 1996, n. 675,
introdotta dall'articolo 8 del presente decreto, le garanzie previste
nella medesima lettera a) sono determinate dall'associazione, dall'ente
o dall'organismo entro il 30 giugno 2002.
Art. 25
(Entrata in vigore)
1. Le disposizioni di cui al presente decreto entrano in vigore il 1 febbraio
2002.
Il presente decreto, munito del sigillo dello Stato, sarà inserito
nella Raccolta ufficiale degli atti normativi della Repubblica italiana.
È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.