LEGGE
SULLA PRIVACY - II parte -
---
Domande
sulla privacy da rivolgerci?
---
Vuoi verificare
gratutitamente il tuo adeguamento?
---
Hai bisogno di una consulenza
specializzata?
Modulistica, facsimili, lettere
d'incarico
Documento Programmatico,
schede pratiche
a solo
279
€
LEGGE
N. 675/96, TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL
TRATTAMENTO DEI DATI PERSONALI
torna
alla prima parte
Capo
V -
TRATTAMENTI SOGGETTI A REGIME SPECIALE
Art.
27 Trattamento
da parte di soggetti pubblici
1.
Salvo quanto previsto al comma 2, il trattamento di dati personali da
parte di soggetti pubblici, esclusi gli enti pubblici economici, è
consentito soltanto per lo svolgimento delle funzioni istituzionali, nei
limiti stabiliti dalla legge e dai regolamenti.
2. La comunicazione e la diffusione a soggetti pubblici, esclusi gli
enti pubblici economici, dei dati trattati sono ammesse quando siano
previste da norme di legge o di regolamento, o risultino comunque
necessarie per lo svolgimento delle funzioni istituzionali. In tale
ultimo caso deve esserne data previa comunicazione nei modi di cui
all'articolo 7, commi 2 e 3 al Garante che vieta, con provvedimento
motivato, la comunicazione o la diffusione se risultano violate le
disposizioni della presente legge.
3. La comunicazione e la diffusione dei dati personali da parte di
soggetti pubblici a privati o a enti pubblici economici sono ammesse
solo se previste da norme di legge o di regolamento.
4. I criteri di organizzazione delle amministrazioni pubbliche di cui
all'articolo 5 del decreto legislativo 3 febbraio 1993, n. 29, sono
attuati nel pieno rispetto delle disposizioni della presente legge.
Art.
28 Trasferimento
di dati personali all'estero
1.
Il trasferimento anche temporaneo fuori del territorio nazionale, con
qualsiasi forma o mezzo, di dati personali oggetto di trattamento deve
essere previamente notificato al Garante, qualora sia diretto verso un
Paese non appartenente all'Unione europea "e
ricorra uno dei casi individuati ai sensi dell’articolo 7, comma 1.
2.
Il trasferimento può avvenire soltanto dopo quindici giorni dalla data
della notificazione; il termine è di venti giorni qualora il
trasferimento riguardi taluno dei dati di cui agli articoli 22 e 24.
3. Il trasferimento è vietato qualora l'ordinamento dello Stato di
destinazione o di transito dei dati non assicuri un livello di tutela
delle persone adeguato.
4. Il trasferimento è comunque consentito qualora:
a)
l'interessato abbia manifestato il proprio consenso espresso ovvero, se
il trasferimento riguarda taluno dei dati di cui agli articoli 22 e 24,
in forma scritta;
b) sia necessario per l'esecuzione di obblighi derivanti da un contratto
del quale è parte l'interessato o
per
l’esecuzione di misure precontrattuali adottate
su richiesta di quest'ultimo, ovvero per la conclusione o per
l'esecuzione di un contratto stipulato a favore dell'interessato;
c) sia necessario per la salvaguardia di un interesse pubblico rilevante
individuato con legge o con regolamento, ovvero specificato ai sensi
degli articoli 22, comma 3, e 24, se il trasferimento riguarda taluno
dei dati ivi previsti;
d) sia necessario ai fini dello svolgimento delle
investigazioni
difensive di cui alla legge 7 dicembre 2000, n. 397,
o, comunque, per far valere o difendere un diritto in sede giudiziaria,
sempre che i dati siano trasferiti esclusivamente per tali finalità e
per il periodo strettamente necessario al loro perseguimento;
e) sia necessario per la salvaguardia della vita o dell'incolumità
fisica dell'interessato o di un terzo, nel caso in cui l'interessato non
può prestare il proprio consenso per impossibilità fisica, per
incapacità di agire o per incapacità di intendere o di volere;
f) sia effettuato in accoglimento di una richiesta di accesso ai
documenti amministrativi, ovvero di una richiesta di informazioni
estraibili da un pubblico registro, elenco, atto o documento conoscibile
da chiunque, con l'osservanza delle norme che regolano la materia;
g) sia autorizzato dal Garante sulla base di adeguate garanzie per i
diritti dell'interessato, prestate anche con un contratto, ovvero
individuate dalla Commissione europea con le decisioni previste dagli
articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva n. 95/46/CE
del Parlamento europeo e del Consiglio del 24 ottobre 1995
g-bis)
il trattamento sia finalizzato unicamente a scopi di ricerca scientifica
o di statistica e sia effettuato nel rispetto dei codici di deontologia
e di buona condotta sottoscritti ai sensi dell'articolo 31.
5.
Contro il divieto di cui al comma 3 del presente articolo può essere
proposta opposizione ai sensi dell'articolo 29, commi 6 e 7.
6. Le disposizioni del presente articolo non si applicano al
trasferimento di dati personali effettuato nell'esercizio della
professione di giornalista e per l'esclusivo perseguimento delle
relative finalità.
7. La notificazione di cui al comma 1 del presente articolo è
effettuata ai sensi dell'articolo 7 ed è annotata in apposita sezione
del registro previsto dall'articolo 31, comma 1, lettera a). La
notificazione può essere effettuata con un unico atto unitamente a
quella prevista dall'articolo 7.
Capo
VI -
TUTELA AMMINISTRATIVA E GIURISDIZIONALE
Art.
29 Tutela
1.
I diritti di cui all'articolo 13, comma 1, possono essere fatti valere
dinanzi all'autorità giudiziaria o con ricorso al Garante. Il ricorso
al Garante non può essere proposto qualora, per il medesimo oggetto e
tra le stesse parti, sia stata già adita l'autorità giudiziaria.
2. Salvi i casi in cui il decorso del termine esporrebbe taluno a
pregiudizio imminente ed irreparabile, il ricorso al Garante può essere
proposto solo dopo che siano decorsi cinque giorni dalla richiesta
avanzata sul medesimo oggetto al responsabile. La presentazione del
ricorso rende improponibile un'ulteriore domanda dinanzi all'autorità
giudiziaria tra le stesse parti e per il medesimo oggetto.
3. Nel procedimento dinanzi al Garante il titolare, il responsabile e
l'interessato hanno diritto di essere sentiti, personalmente o a mezzo
di procuratore speciale, e hanno facoltà di presentare memorie o
documenti. Il Garante può disporre, anche d'ufficio, l'espletamento di
perizie.
4. Assunte le necessarie informazioni il Garante, se ritiene fondato il
ricorso, ordina al titolare e al responsabile, con decisione motivata,
la cessazione del comportamento illegittimo, indicando le misure
necessarie a tutela dei diritti dell'interessato e assegnando un termine
per la loro adozione. Il provvedimento è comunicato senza ritardo alle
parti interessate, a cura dell'ufficio del Garante. La mancata pronuncia
sul ricorso, decorsi trenta giorni dalla data di presentazione, equivale
a rigetto.
5. Se la particolarità del caso lo richiede, il Garante può disporre
in via provvisoria il blocco in tutto o in parte di taluno dei dati
ovvero l'immediata sospensione di una o più operazioni del trattamento.
Il provvedimento cessa di avere ogni effetto se, entro i successivi
venti giorni, non è adottata la decisione di cui al comma 4 ed è
impugnabile unitamente a tale decisione.
6. Avverso il provvedimento espresso o il rigetto tacito di cui al comma
4, il titolare o l'interessato possono proporre opposizione al tribunale
del luogo ove risiede il titolare, entro il termine di trenta giorni
dalla data di comunicazione del provvedimento o dalla data del rigetto
tacito. L'opposizione non sospende l'esecuzione del provvedimento.
6-bis. Il decorso dei termini previsti dai commi 4, 5 e 6 è sospeso di
diritto dal 1 al 30 agosto di ciascun anno e riprende a decorrere dalla
fine del periodo di sospensione. Ove il decorso abbia inizio durante
tale periodo, l'inizio stesso è differito alla fine del periodo
medesimo. La sospensione non opera nei casi in cui sussista il
pregiudizio di cui al comma 2 e non preclude l'adozione dei
provvedimenti di cui al comma 5.
7. Il tribunale provvede nei modi di cui agli articoli 737 e seguenti
del codice di procedura civile, anche in deroga al divieto di cui
all'articolo 4 della legge 20 marzo 1865, n. 2248, allegato e), e può
sospendere, a richiesta, l'esecuzione del provvedimento. Avverso il
decreto del tribunale è ammesso unicamente il ricorso per cassazione.
8. Tutte le controversie, ivi comprese quelle inerenti al rilascio
dell'autorizzazione di cui all'articolo 22, comma 1, o che riguardano,
comunque, l'applicazione della presente legge, sono di competenza
dell'autorità giudiziaria ordinaria.
9. Il danno non patrimoniale è risarcibile anche nei casi di violazione
dell'articolo 9.
Capo
VII -
GARANTE PER LA PROTEZIONE DEI DATI
Art.
30 Istituzione
del garante
1.
è istituito il Garante per protezione dei dati personali.
2. Il Garante opera in piena autonomia e con indipendenza di giudizio e
di valutazione.
3. Il Garante è organo collegiale costituito da quattro membri, eletti
due dalla Camera dei deputati e due dal Senato della Repubblica con voto
limitato. Essi eleggono nel loro ambito un presidente, il cui voto
prevale in caso di parità. I membri sono scelti tra persone che
assicurino indipendenza e che siano esperti di riconosciuta competenza
nelle materie del diritto o dell'informatica, garantendo la presenza di
entrambe le qualificazioni.
4. Il presidente e i membri durano in carica quattro anni e non possono
essere confermati per più di una volta; per tutta la durata
dell'incarico il presidente e i membri non possono esercitare, a pena di
decadenza, alcuna attività professionale o di consulenza, né essere
amministratori o dipendenti di enti pubblici o privati, né ricoprire
cariche elettive.
5. All'atto dell'accettazione della nomina il presidente e i membri sono
collocati fuori ruolo se dipendenti di pubbliche amministrazioni o
magistrati in attività di servizio; se professori universitari di
ruolo, sono collocati in aspettativa senza assegni ai sensi
dell'articolo 13 del decreto del Presidente della Repubblica 11 luglio
1980, n. 382, e successive modificazioni. Il personale collocato fuori
ruolo o in aspettativa non può essere sostituito.
6. Al presidente compete una indennità di funzione non eccedente, nel
massimo, la retribuzione spettante al primo presidente della Corte di
cassazione. Ai membri compete un'indennità di funzione non eccedente,
nel massimo, i due terzi di quella spettante al presidente. Le predette
indennità di funzione sono determinate, con il regolamento di cui
all'articolo 33, comma 3, in misura tale da poter essere corrisposte a
carico degli ordinari stanziamenti.
Art.
31
Compiti
del garante
1.
Il Garante ha il compito di:
a)
istituire e tenere un registro generale dei trattamenti sulla base delle
notificazioni ricevute;
b) controllare se i trattamenti sono effettuati nel rispetto delle norme
di legge e di regolamento e in conformità alla notificazione;
c) segnalare ai relativi titolari o responsabili le modificazioni necessarie
o opportune
al fine di rendere il trattamento conforme alle disposizioni vigenti;
d) ricevere le segnalazioni ed i reclami degli interessati o delle
associazioni che li rappresentano, relativi ad inosservanze di legge o
di regolamento, e provvedere sui ricorsi presentati ai sensi
dell'articolo 29;
e) adottare i provvedimenti previsti dalla legge o dai regolamenti;
f) vigilare sui casi di cessazione, per qualsiasi causa, di un
trattamento;
g) denunciare i fatti configurabili come reati perseguibili d'ufficio,
dei quali viene a conoscenza nell'esercizio o a causa delle sue
funzioni;
h) promuovere nell'ambito delle categorie interessate, nell'osservanza
del principio di rappresentatività, la sottoscrizione di codici di
deontologia e di buona condotta per determinati settori, verificarne la
conformità alle leggi e ai regolamenti anche attraverso l'esame di
osservazioni di soggetti interessati e contribuire a garantirne la
diffusione e il rispetto;
i) curare la conoscenza tra il pubblico delle norme che regolano la
materia e delle relative finalità, nonché delle misure di sicurezza
dei dati di cui all'articolo 15;
l) vietare, in tutto o in parte, il trattamento dei dati o disporne il
blocco se
il trattamento risulta illecito o non corretto anche per effetto della
mancata adozione delle misure necessarie di cui alla lettera c), oppure
quando, in considerazione della natura dei dati o, comunque, delle
modalità del trattamento o degli effetti che esso può determinare, vi
è il concreto rischio del verificarsi di un pregiudizio rilevante per
uno o più interessati;
m) segnalare al Governo l'opportunità di provvedimenti normativi
richiesti dall'evoluzione del settore;
n) predisporre annualmente una relazione sull'attività svolta e sullo
stato di attuazione della presente legge, che è trasmessa al Parlamento
e al Governo entro il 30 aprile dell'anno successivo a quello cui si
riferisce;
o) curare l'attività di assistenza indicata nel capitolo IV della
Convenzione n. 108 sulla protezione delle persone rispetto al
trattamento automatizzato di dati di carattere personale, adottata a
Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio
1989, n. 98, quale autorità designata ai fini della cooperazione tra
Stati ai sensi dell'articolo 13 della Convenzione medesima;
p) esercitare il controllo sui trattamenti di cui all'articolo 4 e
verificare, anche su richiesta dell'interessato, se rispondono ai
requisiti stabiliti dalla legge o dai regolamenti.
2.
Il Presidente del Consiglio dei ministri e ciascun ministro consultano
il Garante all'atto della predisposizione delle norme regolamentari e
degli atti amministrativi suscettibili di incidere sulle materie
disciplinate dalla presente legge.
3. Il registro di cui al comma 1, lettera a), del presente articolo, è
tenuto nei modi di cui all'articolo 33, comma 5. Entro il termine di un
anno dalla data della sua istituzione, il Garante promuove opportune
intese con le province ed eventualmente con altre pubbliche
amministrazioni al fine di assicurare la consultazione del registro
mediante almeno un terminale dislocato su base provinciale,
preferibilmente nell'ambito dell'ufficio per le relazioni con il
pubblico di cui all'articolo 12 del decreto legislativo 3 febbraio 1993,
n. 29, e successive modificazioni.
4. Contro il divieto di cui al comma 1, lettera l), del presente
articolo, può essere proposta opposizione ai sensi dell'articolo 29,
commi 6 e 7.
5. Il Garante e l'Autorità per l'informatica nella pubblica
amministrazione cooperano tra loro nello svolgimento dei rispettivi
compiti; a tal fine, invitano il presidente o un suo delegato membro
dell'altro organo a partecipare alle riunioni prendendo parte alla
discussione di argomenti di comune interesse iscritti all'ordine del
giorno; possono richiedere, altresì, la collaborazione di personale
specializzato addetto all'altro organo.
6. Le disposizioni del comma 5 si applicano anche nei rapporti tra il
Garante e le autorità di vigilanza competenti per il settore
creditizio, per le attività assicurative e per la radiodiffusione e
l'editoria.
Art.
32
Accertamenti
e controlli
1.
Per l'espletamento dei propri compiti il Garante può richiedere al
responsabile, al titolare, all'interessato o anche a terzi di fornire
informazioni e di esibire documenti.
2. Il Garante, qualora ne ricorra la necessità ai fini del controllo
del rispetto delle disposizioni in materia di trattamento dei dati
personali, può disporre accessi alle banche di dati o altre ispezioni e
verifiche nei luoghi ove si svolge il trattamento o nei quali occorre
effettuare rilevazioni comunque utili al medesimo controllo,
avvalendosi, ove necessario, della collaborazione di altri organi dello
Stato.
3. Gli accertamenti di cui al comma 2 sono disposti previa
autorizzazione del presidente del tribunale competente per territorio in
relazione al luogo dell'accertamento, il quale provvede senza ritardo
sulla richiesta del Garante, con decreto motivato; le relative modalità
di svolgimento sono individuate con il regolamento di cui all'articolo
33, comma 3.
4. I soggetti interessati agli accertamenti sono tenuti a farli
eseguire.
5. Resta fermo quanto previsto dall'articolo 220 delle norme di
attuazione, di coordinamento e transitorie del codice di procedura
penale, approvate con decreto legislativo 28 luglio 1989, n. 271.
6. Per i trattamenti di cui agli articoli 4 e 14, comma 1, gli
accertamenti sono effettuati per il tramite di un membro designato dal
Garante. Se il trattamento non risulta conforme alle disposizioni di
legge o di regolamento, il Garante indica al titolare o al responsabile
le necessarie modificazioni ed integrazioni e ne verifica l'attuazione.
Se l'accertamento è stato richiesto dall'interessato, a quest'ultimo è
fornito in ogni caso un riscontro circa il relativo esito, salvo che
ricorrano i motivi di cui all'articolo 10, comma 4, della legge 1.
aprile 1981, n. 121, come sostituito dall'articolo 42, comma 1, della
presente legge, o motivi di difesa o di sicurezza dello Stato.
7. Gli accertamenti di cui al comma 6 non sono delegabili. Qualora
risulti necessario in ragione della specificità della verifica, il
membro designato può farsi assistere da personale specializzato che è
tenuto al segreto ai sensi dell'articolo 33, comma 6. Gli atti e i
documenti acquisiti sono custoditi secondo modalità tali da assicurarne
la segretezza e sono conoscibili dal presidente e dai membri del Garante
e, se necessario per lo svolgimento delle funzioni dell'organo, da un
numero delimitato di addetti al relativo ufficio, individuati dal
Garante sulla base di criteri definiti dal regolamento di cui
all'articolo 33, comma 3. Per gli accertamenti relativi agli organismi e
ai dati di cui all'articolo 4, comma 1, lettera b), il membro designato
prende visione degli atti e dei documenti rilevanti e riferisce
oralmente nelle riunioni del Garante.
Art.
33 Ufficio
del Garante
1.
Alle dipendenze del Garante è posto un ufficio composto, in sede di
prima applicazione della presente legge, da dipendenti dello Stato e di
altre amministrazioni pubbliche, collocati fuori ruolo nelle forme
previste dai rispettivi ordinamenti, il cui servizio presso il medesimo
ufficio è equiparato ad ogni effetto di legge a quello prestato nelle
rispettive amministrazioni di provenienza. Il relativo contingente è
determinato, in misura non superiore a quarantacinque unità, su
proposta del Garante medesimo, con decreto del Presidente del Consiglio
dei ministri, di concerto con i Ministri del tesoro e per la funzione
pubblica, entro novanta giorni dalla data di elezione del Garante.
Il segretario generale può essere scelto anche tra magistrati ordinari
o amministrativi.
1-bis. è istituito il ruolo organico del personale dipendente del
Garante. Con proprio regolamento il Garante definisce:
a) l'ordinamento delle carriere e le modalità del reclutamento secondo
le procedure previste dall'articolo 36 del decreto legislativo 3
febbraio 1993, n. 29, e successive modificazioni;
b) le modalità dell'inquadramento in ruolo del personale in servizio
alla data di entrata in vigore del regolamento;
c) il trattamento giuridico ed economico del personale, secondo i
criteri previsti dalla legge 31 luglio 1997, n. 249, e, per gli
incarichi di funzioni dirigenziali, dall'articolo 19, comma 6, del
citato decreto legislativo n. 29, come sostituito dall'articolo 13 del
decreto legislativo 31 marzo 1998, n. 80, tenuto conto delle specifiche
esigenze funzionali e organizzative.
Il regolamento è pubblicato nella Gazzetta Ufficiale.
Nelle more della più generale razionalizzazione del trattamento
economico delle autorità amministrative indipendenti, al personale è
attribuito l'ottanta per cento del trattamento economico del personale
dell'Autorità per le garanzie nelle comunicazioni.
Per il periodo intercorrente tra l'8 maggio 1997 e la data di entrata in
vigore del regolamento, resta ferma l'indennità di cui all'articolo 41
del decreto del Presidente della Repubblica 10 luglio 1991, n. 231,
corrisposta al personale in servizio. Dal 1 gennaio 1998 e fino alla
data di entrata in vigore del medesimo regolamento, è inoltre
corrisposta la differenza tra il nuovo trattamento e la retribuzione già
in godimento maggiorata della predetta indennità di funzione.
1-ter.
L'ufficio può avvalersi, per motivate esigenze, di dipendenti dello
Stato o di altre amministrazioni pubbliche o di enti pubblici collocati
in posizione di fuori ruolo nelle forme previste dai rispettivi
ordinamenti, ovvero in aspettativa ai sensi dell'articolo 13 del decreto
del Presidente della Repubblica 11 luglio 1980, n. 382, e successive
modificazioni, in numero non superiore, complessivamente, a venti unità
e per non oltre il venti per cento delle qualifiche dirigenziali,
lasciando non coperto un corrispondente numero di posti di ruolo. Al
personale di cui al presente comma è corrisposta una indennità pari
alla eventuale differenza tra il trattamento erogato
dall'amministrazione o dall'ente di provenienza e quello spettante al
corrispondente personale di ruolo, e comunque non inferiore alla
indennità di cui all'articolo 41 del citato decreto del Presidente
della Repubblica n. 231 del 1991.
1-quater.
Con proprio regolamento il Garante ripartisce l'organico, fissato nel
limite di cento unità, tra il personale dei diversi livelli e quello
delle qualifiche dirigenziali e disciplina l'organizzazione, il
funzionamento dell'ufficio, la riscossione e la utilizzazione dei
diritti di segreteria, ivi compresi quelli corrisposti dall'8 maggio
1997, e la gestione delle spese, anche in deroga alle norme sulla
contabilità generale dello Stato.
Il regolamento è pubblicato nella Gazzetta Ufficiale.
1-quinquies.
In aggiunta al personale di ruolo, l'ufficio può assumere direttamente
dipendenti con contratto a tempo determinato disciplinato dalle norme di
diritto privato, in numero non superiore a venti unità, ivi compresi i
consulenti assunti con contratto a tempo determinato ai sensi del comma
4.
1-sexies.
All'ufficio del Garante, al fine di garantire la responsabilità e
l'autonomia ai sensi della legge 7 agosto 1990, n. 241, e successive
modificazioni, e del decreto legislativo 3 febbraio 1993, n. 29, e
successive modificazioni, si applicano i principi riguardanti
l'individuazione e le funzioni del responsabile del procedimento, nonchè
quelli relativi alla distinzione fra le funzioni di indirizzo e di
controllo, attribuite agli organi di vertice, e quelli concernenti le
funzioni di gestione attribuite ai dirigenti.
2. Le spese di funzionamento dell'ufficio del Garante sono poste a
carico di un fondo stanziato a tale scopo nel bilancio dello Stato e
iscritto in apposito capitolo dello stato di previsione del Ministero
del tesoro. Il rendiconto della gestione finanziaria è soggetto al
controllo della Corte dei conti.
3. In sede di prima applicazione della presente legge, le norme
concernenti l'organizzazione ed il funzionamento dell'ufficio del
Garante, nonché quelle dirette a disciplinare la riscossione dei
diritti di segreteria e la gestione delle spese, anche in deroga alle
disposizioni sulla contabilità generale dello Stato, sono adottate con
regolamento emanato con decreto del Presidente della Repubblica, entro
tre mesi dalla data di entrata in vigore
della presente legge, previa deliberazione del Consiglio dei ministri,
sentito il Consiglio di Stato, su proposta del Presidente del Consiglio
dei ministri, di concerto con i Ministri del tesoro, di grazia e
giustizia e dell'interno, e su parere conforme del Garante stesso. Nel
medesimo regolamento sono determinate le indennità di cui all'articolo
30, comma 6, e altresì previste le norme concernenti il procedimento
dinanzi al Garante di cui all'articolo 29, commi da 1 a 5, secondo
modalità tali da assicurare, nella speditezza del procedimento
medesimo, il pieno rispetto del contraddittorio tra le parti
interessate, nonché le norme volte a precisare le modalità per
l'esercizio dei diritti di cui all'articolo 13, nonché della
notificazione di cui all'articolo 7, per via telematica o mediante
supporto magnetico o lettera raccomandata con avviso di ricevimento o
altro idoneo sistema. Il parere del Consiglio di Stato sullo schema di
regolamento è reso entro trenta giorni dalla ricezione della richiesta;
decorso tale termine il regolamento può comunque essere emanato.
3-bis. Con effetto dalla data di entrata in vigore del regolamento di
cui al comma 1-quater, cessano di avere vigore le norme adottate ai
sensi del comma 3, primo periodo.
4. Nei casi in cui la natura tecnica o la delicatezza dei problemi lo
richiedano, il Garante può avvalersi dell'opera di consulenti, i quali
sono remunerati in base alle vigenti tariffe professionali ovvero sono
assunti con contratti a tempo determinato di durata non superiore a due
anni, che possono essere rinnovati per non più di due volte.
5. Per l'espletamento dei propri compiti, l'ufficio del Garante può
avvalersi di sistemi automatizzati ad elaborazione informatica e di
strumenti telematici propri ovvero, salvaguardando le garanzie previste
dalla presente legge, appartenenti all'Autorità per l'informatica nella
pubblica amministrazione o, in caso di indisponibilità, ad enti
pubblici convenzionati.
6. Il personale addetto all'ufficio del Garante ed i consulenti sono
tenuti al segreto su tutto ciò di cui siano venuti a conoscenza,
nell'esercizio delle proprie funzioni, in ordine a banche di dati e ad
operazioni di trattamento.
6-bis. Il personale dell'ufficio del Garante addetto agli accertamenti
di cui all'articolo 32 riveste, in numero non superiore a cinque unità,
nei limiti del servizio cui è destinato e secondo le rispettive
attribuzioni, la qualifica di ufficiale o agente di polizia giudiziaria.
Capo
VIII -
SANZIONI
Art.
34 Omessa
o infedele notificazione
1.
Chiunque, essendovi tenuto, non provvede tempestivamente alle
notificazioni in conformità a quanto previsto dagli articoli 7, 16,
comma 1, e 28, ovvero indica in esse notizie incomplete, è punito con
la sanzione amministrativa del pagamento di una somma da lire dieci
milioni a lire sessanta milioni e con la sanzione amministrativa
accessoria della pubblicazione dell’ordinanza-ingiunzione.".
2.
Alle violazioni dell’articolo 34 della legge 31 dicembre 1996, n. 675,
commesse prima dell’entrata in vigore del presente decreto si
applicano, in quanto compatibili, le disposizioni di cui agli articoli
100, 101 e 102 del decreto legislativo 30 dicembre 1999, n. 507.
Art.
35
Trattamento illecito di dati personali
1.
Salvo che il fatto costituisca più grave reato, chiunque, al fine di
trarne per sé o per altri profitto o di recare ad altri un danno, procede
al trattamento
di dati personali in violazione di quanto disposto dagli articoli 11, 20
e 27, è punito con la reclusione sino a due anni o, se il fatto
consiste nella comunicazione o diffusione, con la reclusione da tre mesi
a due anni.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di
trarne per sé o per altri profitto o di recare ad altri un danno,
procede
al trattamento di
dati personali in violazione di quanto disposto dagli articoli 21, 22,
23 e 24
e 24-bis, ovvero
del divieto di cui all'articolo 28, comma 3, è punito con la reclusione
da tre mesi a due anni.
3. Se dai fatti di cui ai commi 1 e 2 deriva nocumento, la reclusione è
da uno a tre anni.
Art.
36
Omessa
adozione di misure necessarie alla sicurezza dei dati
1.
Chiunque, essendovi tenuto, omette di adottare le misure necessarie a
garantire la sicurezza dei dati personali, in violazione delle
disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è
punito con l'arresto sino a due anni o con l'ammenda da lire dieci
milioni a lire ottanta milioni.
2.
All’autore del reato, all’atto dell’accertamento o, nei casi
complessi, anche con
successivo
atto del Garante, è impartita una prescrizione fissando un termine per
la regolarizzazione non eccedente il periodo di tempo tecnicamente
necessario, prorogabile in caso di particolare complessità o per
l’oggettiva difficoltà dell’adempimento e comunque non superiore a
sei mesi. Nei sessanta giorni successivi allo scadere del termine, se
risulta l’adempimento alla prescrizione, l'autore del reato è ammesso
dal Garante a pagare una somma pari al quarto del massimo dell'ammenda
stabilita per la contravvenzione. L'adempimento e il pagamento
estinguono il reato. L’organo che impartisce la prescrizione e il
pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e
24 del decreto legislativo 19 dicembre 1994, n. 758, in quanto
applicabili.".
2.
Per i procedimenti penali per il reato di cui all’articolo 36 della
legge 31 dicembre 1996, n. 675 in corso, entro quaranta giorni
dall’entrata in vigore del presente
decreto
l’autore del reato può fare richiesta all’autorità giudiziaria di
essere ammesso alla procedura indicata all’articolo 36, comma 2, della
medesima legge n. 675 del 1996, come sostituito dal presente decreto.
L’Autorità giudiziaria dispone la sospensione del procedimento e
trasmette gli atti al Garante per la protezione dei dati personali che
provvede ai sensi del medesimo articolo 36, comma 2.
Art.
37 Inosservanza
dei provvedimenti del garante
1.
Chiunque, essendovi tenuto, non osserva il provvedimento adottato
dal Garante ai sensi dell'articolo 22, comma 2,
o
degli articoli 29, commi 4 e 5, e 31, comma 1, lettera l,
è punito con la reclusione da tre mesi a due anni.
"Art.
37-bis (Falsità nelle dichiarazioni e nelle notificazioni al Garante)
1.
Chiunque, nelle notificazioni di cui agli articoli 7, 16, comma 1, e 28
o in atti, documenti o dichiarazioni resi o esibiti in un procedimento
dinanzi al Garante o nel corso di accertamenti, dichiara o attesta
falsamente notizie o circostanze o produce atti o documenti falsi, è
punito, salvo che il fatto costituisca più grave reato, con la
reclusione da sei mesi a tre anni.".
Art.
38 Pena
accessoria
1.
La condanna per uno dei delitti previsti dalla presente legge importa la
pubblicazione della sentenza.
Art.
39 Sanzioni
amministrative
1.Chiunque
omette di fornire le informazioni o di esibire i documenti richiesti dal
Garante ai sensi degli articoli 29, comma 4, e 32, comma 1, è punito
con la sanzione amministrativa del pagamento di una somma da
lire cinquemilioni a lire trentamilioni"..
2.
La violazione delle disposizioni di cui all’articolo 10 è punita con
la sanzione amministrativa del pagamento di una somma da lire tre
milioni a lire diciotto milioni o, nei casi di cui agli articoli 22, 24
e 24-bis o, comunque, di maggiore rilevanza del pregiudizio per uno o più
interessati, da lire cinque milioni a lire trenta milioni. La somma può
essere aumentata sino al triplo quando essa risulti inefficace in
ragione delle condizioni economiche del contravventore. La violazione
della disposizione di cui all’articolo 23, comma 2, è punita con la
sanzione amministrativa del pagamento di una somma da lire
cinquecentomila a lire tre milioni
3.
L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di
cui al presente
articolo
è il Garante. Si osservano, in quanto applicabili, le disposizioni
della legge 24 novembre 1981, n. 689, e successive modificazioni.
I proventi, nella misura del cinquanta per cento del totale annuo, sono
riassegnati al fondo di cui all'articolo 33, comma 2, e sono utilizzati
unicamente per l'esercizio dei compiti di cui agli articoli 31, comma 1,
lettera i) e 32.
Capo
IX -
DISPOSIZIONI TRANSITORIE E FINALI ED ABROGAZIONI
Art.
40 Comunicazioni
al garante
1.
Copia dei provvedimenti emessi dall'autorità giudiziaria in relazione a
quanto previsto dalla presente legge e dalla legge 23 dicembre 1993, n.
547, è trasmessa, a cura della cancelleria, al Garante.
Art.
41
Disposizioni
transitorie
1.
Fermo restando l'esercizio dei diritti di cui agli articoli 13 e 29, le
disposizioni della presente legge che prescrivono il consenso
dell'interessato non si applicano in riferimento ai dati personali
raccolti precedentemente alla data di entrata in vigore della legge
stessa, o il cui trattamento sia iniziato prima di tale data. Resta
salva l'applicazione delle disposizioni relative alla comunicazione e
alla diffusione dei dati previste dalla presente legge. Le
disposizioni del presente comma restano in vigore sino alla data del 30
giugno 2003
2.
Per i trattamenti di dati personali iniziati prima del 1 gennaio 1998 le
notificazioni prescritte dagli articoli 7 e 28 sono effettuate dal 1
gennaio 1998 al 31 marzo 1998 ovvero, per i trattamenti di cui
all'articolo 5 riguardanti dati diversi da quelli di cui agli articoli
22 e 24, nonchè per quelli di cui all'articolo 4, comma 1, lettere c),
d) ed e), dal 1 aprile 1998 al 30 giugno 1998.
3. Le misure minime di sicurezza di cui all'articolo 15, comma 2, devono
essere adottate entro il termine di sei mesi dalla data di entrata in
vigore del regolamento ivi previsto. Fino al decorso di tale termine, i
dati personali devono essere custoditi in maniera tale da evitare un
incremento dei rischi di cui all'articolo 15, comma 1.
4. Le misure di cui all'articolo 15, comma 3, devono essere adottate
entro il termine di sei mesi dalla data di entrata in vigore dei
regolamenti ivi previsti.
5. Nei ventiquattro mesi successivi alla data di entrata in vigore della
presente legge, i trattamenti dei dati di cui all'articolo 22, comma 3,
ad opera di soggetti pubblici, esclusi gli enti pubblici economici, e
all'articolo 24, possono essere proseguiti anche in assenza delle
disposizioni di legge ivi indicate, previa comunicazione al Garante.
6. In sede di prima applicazione della presente legge, fino alla
elezione del Garante ai sensi dell'articolo 30, le funzioni del Garante
sono svolte dal presidente dell'Autorità per l'informatica nella
pubblica amministrazione, fatta eccezione per l'esame dei ricorsi di cui
all'articolo 29.
7. Le disposizioni della presente legge che prevedono un'autorizzazione
del Garante si applicano, limitatamente alla medesima autorizzazione e
fatta eccezione per la disposizione di cui all'articolo 28, comma 4,
lettera g), a decorrere dal 30 novembre 1997. Le medesime disposizioni
possono essere applicate dal Garante anche mediante il rilascio di
autorizzazioni relative a determinate categorie di titolari o di
trattamenti.
7-bis. In sede di prima applicazione della presente legge, le
informative e le comunicazioni di cui agli articoli 10, comma 3, e 27,
comma 2, possono essere date entro il 30 novembre 1997.
Art.
42 Modifiche
a disposizioni vigenti
1.
L'articolo 10 della legge 1. aprile 1981, n. 121, è sostituito dal
seguente:
"Art.
10 - Controlli 1. Il controllo sul Centro elaborazione dati è
esercitato dal Garante per la protezione dei dati personali, nei modi
previsti dalla legge e dai regolamenti.
2. I dati e le informazioni conservati negli archivi del Centro possono
essere utilizzati in procedimenti giudiziari o amministrativi soltanto
attraverso l'acquisizione delle fonti originarie indicate nel primo
comma dell'articolo 7, fermo restando quanto stabilito dall'articolo 240
del codice di procedura penale. Quando nel corso di un procedimento
giurisdizionale o amministrativo viene rilevata l'erroneità o
l'incompletezza dei dati e delle informazioni, o l'illegittimità del
loro trattamento, l'autorità procedente ne dà notizia al Garante per
la tutela delle persone e di altri soggetti rispetto al trattamento dei
dati personali.
3. La persona alla quale si riferiscono i dati può chiedere all'ufficio
di cui alla lettera a) del primo comma dell'articolo 5 la conferma
dell'esistenza di dati personali che lo riguardano, la loro
comunicazione in forma intellegibile e, se i dati risultano trattati in
violazione di vigenti disposizioni di legge o di regolamento, la loro
cancellazione o trasformazione in forma anonima.
4. Esperiti i necessari accertamenti, l'ufficio comunica al richiedente,
non oltre venti giorni dalla richiesta, le determinazioni adottate.
L'ufficio può omettere di provvedere sulla richiesta se ciò può
pregiudicare azioni od operazioni a tutela dell'ordine e della sicurezza
pubblica o di prevenzione e repressione della criminalità, dandone
informazione al Garante per la protezione dei dati personali.
5. Chiunque viene a conoscenza dell'esistenza di dati personali che lo
riguardano, trattati anche in forma non automatizzata in violazione di
disposizioni di legge o di regolamento, può chiedere al tribunale del
luogo ove risiede il titolare del trattamento di compiere gli
accertamenti necessari e di ordinare la rettifica, l'integrazione, la
cancellazione o la trasformazione in forma anonima dei dati medesimi. Il
tribunale provvede nei modi di cui agli articoli 737 e seguenti del
codice di procedura civile".
2. Il comma 1 dell'articolo 4 del decreto legislativo 12 febbraio 1993,
n. 39, è sostituito dal seguente:
"1.
è istituita l'Autorità per l'informatica nella pubblica
amministrazione, denominata "Autorità" ai fini del presente
decreto; tale Autorità opera in piena autonomia e con indipendenza di
giudizio e di valutazione".
3. Il comma 1 dell'articolo 5 del decreto legislativo 12 febbraio 1993,
n. 39, è sostituito dal seguente:
"1.
Le norme concernenti l'organizzazione ed il funzionamento dell'Autorità,
l'istituzione del ruolo del personale, il relativo trattamento giuridico
ed economico e l'ordinamento delle carriere, nonché la gestione delle
spese nei limiti previsti dal presente decreto, anche in deroga alle
disposizioni sulla contabilità generale dello Stato, sono adottate con
regolamento emanato con decreto del Presidente della Repubblica, previa
deliberazione del Consiglio dei ministri, sentito il Consiglio di Stato,
su proposta del Presidente del Consiglio dei ministri, di concerto con
il Ministro del tesoro e su parere conforme dell'Autorità medesima. Il
parere del Consiglio di Stato sullo schema di regolamento è reso entro
trenta giorni dalla ricezione della richiesta, decorsi i quali il
regolamento può comunque essere emanato. Si applica il trattamento
economico previsto per il personale del Garante per l'editoria e la
radiodiffusione ovvero dell'organismo che dovesse subentrare nelle
relative funzioni, fermo restando il limite massimo complessivo di
centocinquanta unità. Restano altresì fermi gli stanziamenti dei
capitoli di cui al comma 2, così come determinati per il 1995 e tenendo
conto dei limiti di incremento previsti per la categoria IV per il
triennio 1996-1998".
4. Negli articoli 9, comma 2, e 10, comma 2, della legge 30 settembre
1993, n. 388, le parole: "Garante per la protezione dei dati"
sono sostituite dalle seguenti: "Garante per la tutela delle
persone e di altri soggetti rispetto al trattamento dei dati
personali".
Art.
43 Abrogazioni
1.
Sono abrogate le disposizioni di legge o di regolamento incompatibili
con la presente legge e, in particolare, il quarto comma dell'articolo 8
ed il quarto comma dell'articolo 9 della legge 1. aprile 1981, n. 121.
Entro sei mesi dalla data di emanazione del decreto di cui all'articolo
33, comma 1, della presente legge, il Ministro dell'interno trasferisce
all'ufficio del Garante il materiale informativo raccolto a tale data in
attuazione del citato articolo 8 della legge n. 121 del 1981.
2. Restano ferme le disposizioni della legge 20 maggio 1970, n. 300, e
successive modificazioni, nonché, in quanto compatibili, le
disposizioni della legge 5 giugno 1990, n. 135, e successive
modificazioni, del decreto legislativo 6 settembre 1989, n. 322, nonché
le vigenti norme in materia di accesso ai documenti amministrativi ed
agli archivi di Stato. Restano altresì ferme le disposizioni di legge
che stabiliscono divieti o limiti più restrittivi in materia di
trattamento di taluni dati personali.
3. Per i trattamenti di cui all'articolo 4, comma 1, lettera e), della
presente legge, resta fermo l'obbligo di conferimento di dati ed
informazioni di cui all'articolo 6, primo comma, lettera a), della legge
1. aprile 1981, n. 121.
Capo
X -
COPERTURA FINANZIARIA ED ENTRATA IN VIGORE
Art.
44 Copertura
finanziaria
1.
All'onere derivante dall'attuazione della presente legge, valutato in
lire 8.029 milioni per il 1997 ed in lire 12.045 milioni a decorrere dal
1998, si provvede mediante corrispondente riduzione dello stanziamento
iscritto, ai fini del bilancio triennale 1997-1999, al capitolo 6856
dello stato di previsione del Ministero del tesoro per l'anno 1997,
all'uopo utilizzando, per il 1997, quanto a lire 4.553 milioni,
l'accantonamento riguardante il Ministero degli affari esteri e, quanto
a lire 3.476 milioni, l'accantonamento riguardante la Presidenza del
Consiglio dei ministri e, per gli anni 1998 e 1999, quanto a lire 6.830
milioni, le proiezioni per gli stessi anni dell'accantonamento
riguardante il Ministero degli affari esteri e, quanto a lire 5.215
milioni, le proiezioni per gli stessi anni dell'accantonamento
riguardante la Presidenza del Consiglio dei ministri.
2. Il Ministro del tesoro è autorizzato ad apportare, con propri
decreti, le occorrenti variazioni di bilancio.
Art.
45 Entrata
in vigore
1.
La presente legge entra in vigore centoventi giorni dopo la sua
pubblicazione nella Gazzetta Ufficiale. Per i trattamenti svolti senza
l'ausilio di mezzi elettronici o comunque automatizzati che non
riguardano taluno dei dati di cui agli articoli 22 e 24, le disposizioni
della presente legge si applicano a decorrere dal 1 gennaio 1998. Fermo
restando quanto previsto dall'articolo 9, comma 2, della legge 30
settembre 1993, n. 388, la presente legge entra in vigore il giorno
successivo a quello della sua pubblicazione nella Gazzetta Ufficiale,
limitatamente ai trattamenti di dati effettuati in esecuzione
dell'accordo di cui all'articolo 4, comma 1, lettera a) e alla nomina
del Garante.