a) per "banca di dati", Qualsiasi insieme di dati personali, ripartito in una o piu' unita' dislocate in uno o piu' siti, organizzato secondo una pluralita' di criteri determinati tali da facilitarne il trattamento;
b) per "trattamento", qualunque operazione, svolta con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernente la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati;
c) per "dato personale", qualunque informazione relativa a persona fisica, persona giuridica od ente, identificati o identificabili anche indirettamente, mediante riferimento a qualsiasi altra informazione ivi compreso un numero di identificazione personale;
d) per "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente od organismo cui competono le decisioni in ordine alle finalita' ed alle modalita' del trattamento di dati personali, ivi compreso il profilo della sicurezza;
e) per "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente od organismo preposto dal titolare al trattamento di dati personali;
f) per "interessato", la persona fisica, la persona giuridica o l'ente cui si riferiscono i dati personali;
g) per "comunicazione", il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
h) per "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
i) per "dato anonimo", il dato che in origine, o a seguito di trattamento, non puo' essere associato ad un interessato identificato o identificabile;
l) per "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
m) per "Garante", l'autorita' istituita ai sensi dell'articolo 19.
2. Il trattamento di dati personali svolto senza l'ausilio di mezzi elettronici o comunque automatizzati e' soggetto alle disposizioni della presente legge limitatamente al dati registrati in una banca di dati o che, all'atto della raccolta o nel corso di una successiva operazione, sono suscettibili di essere registrati in una banca di dati.
3. Salvo quanto previsto dall'articolo 18, commi 1 e 2, il trattamento nel territorio dello Stato di dati personali detenuti all'estero e' disciplinato dal comma 3 del medesimo articolo.
4. La presente legge non si applica al trattamento di dati personali effettuato:
a) dal Centro elaborazione dati di cui all'articolo 8 della legge 1 aprile 1981, n. 121, come modificato dall'articolo 33 della presente legge, ovvero sui dati destinati in base alla legge a confluirvi, nonche' ln virtu' della Convenzione di applicazione dell'Accordo di Schengen resa esecutiva con legge 30 settembre 1993, n. 388;
b) dagli organismi di cui agli articoli 3, 4 e 6 della legge 24 ottobre 1977, n. 801, ovvero sui dati coperti da segreto di Stato ai sensi dell'articolo 12 della medesima legge;
c) nell'ambito del servizio del casellario giudiziale di cui al titolo IV del libro decimo del codice di procedura penale e al regio decreto 18 giugno 1931, n. 778, e successive modificazioni, o, in base alla legge, nell'ambito del servizio dei carichi pendenti nella materia penale;
d) in attuazione dell'articolo 371-bis, comma 3, del codice di procedura penale o, per ragioni di giustizia, nell'ambito di uffici giudiziari, del Consiglio superiore della magistratura e del Ministero di grazia e giustizia.
5. La presente legge non si applica, altresi', al trattamento di dati personali di cui sia titolare un soggetto pubblico, effettuato in base ad espresse disposizioni di legge che prevedano specificamente il trattamento e finalizzato alla protezione di interessi concernenti:
a) la difesa o la sicurezza dello Stato;
b) la pubblica sicurezza;
d) la prevenzione, l'accertamento o la repressione dei reati.
6. Oltre a quanto stabilito dagli articoli 6 e 20, le disposizioni degli articoli 4 e 7, commi 1, 2, 3 e 5, si applicano anche ai trattamenti di dati personali esclusi dal campo di applicazione della presente legge ai sensi dei commi 4 e 5 del presente articolo. Le disposizioni di cui ai predetti commi 1, 2, 3 e 5 dell'articolo 7 si applicano altresi' ai trattamenti di cui al comma 1 del presente articolo.
7. Oltre a quanto previsto dall'articolo 8, il trattamento dei dati concernenti persone giuridiche ed enti non e' soggetto alle disposizioni di cui agli articoli 7, comma 4, primo periodo, 11, comma 1, lettera b), n. 1) e 18.
2. Il trattamento di dati personali da parte di privati e di enti pubblici economici e' consentito solo con il consenso espresso dell'interessato. Salvo quanto stabilito nell'articolo 5 e nel Capo IV, il consenso non e' richiesto quando il trattamento:
a) riguarda dati detenuti in base ad un obbligo previsto dalla legge o dalla normativa comunitaria;
b) e' necessario per l'esecuzione di obblighi derivanti da un contratto del quale e' parte l'interessato, ovvero di misure precontrattuali prese su richiesta di quest'ultimo;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;
d) e' finalizzato unicamente a scopi di ricerca scientifica o di statistica;
e) e' effettuato nell'ambito dell'esercizio della professione giornalistica e per l'esclusivo perseguimento delle relative finalita';
f) riguarda dati relativi allo svolgimento di attivita' economiche da parte di persone fisiche e giuridiche, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
g) e' necessario per la salvaguardia della vita o dell'incolumita' fisica dell'interessato.
3. Il consenso dell'interessato puo' riguardare l'intero trattamento ovvero una o piu' operazioni di cui all'articolo 1, comma 1, lettera b).
a) trattati in modo lecito e corretto;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
2. Fermo restando quanto previsto dall'articolo 16, commi e 2, i dati personali idonei a rivelare le anomalie fisiche e psichiche, l'uso di sostanze alcooliche o intossicanti, i comportamenti e le caratteristiche sessuali o comunque concernenti lo stato di salute, possono essere oggetto di trattamento senza il consenso dell'interessato da parte di esercenti le professioni sanitarie, di organismi sanitari pubblici o di enti previdenziali, per esclusive finalita' di tutela dell'incolumita' fisica o della salute di singoli o della collettivita', e limitatamente ai dati e alle operazioni indispensabili al perseguimento delle medesime finalita'.
3. Salvo quanto previsto dal comma 2 del presente articolo e dall'articolo 16, comma 2, il trattamento dei dati indicati nel comma 1 ad opera della pubblica amministrazione o di enti pubbli ci e' consentito solo se risulta indispensabile per il perseguimento di rilevanti finalita' di interesse pubblico, e se autorizzato da espressa disposizione di legge nella quale siano specificati i tipi di dati dei quali e' indispensabile il trattamento, le finalita' perseguite e le precise operazioni del trattamento autorizzate.
4. I dati personali idonei a rivelare i provvedimenti di cui all'articolo 686, commi 1, lettere 8) e d), 2 e 3, del codice di procedura penale, possono oggetto di trattamento soltanto in riferimento a banche di dati individuate per legge, di cui sia titolare un soggetto pubblico, nei limiti di quanto stabilito dal comma 3 del presente articolo.
5. Il consenso dell'interessato e l'autorizzazione di cui al comma 1 non sono richiesti quando il trattamento dei dati di cui al presente articolo e' effettuato ai sensi dell'art. 3, comma 2, lettera e).
6. Coloro che esercitano l'attivita' assicurativa possono essere autorizzati dal Garante, sulla base di adeguate garanzie, a trattare i dati personali relativi allo stato di salute, quando il trattamento e' indispensabile per l'accertamento o per la prevenzione di illeciti connessi alla medesima attivita'.
2. L'interessato puo' opporsi ad ogni altro tipo di decisione adottata sulla base del trattamento di cui al comma 1 del presente articolo, ai sensi dell'articolo 11, comma 1, lettera c ).
2. Con decreto del Presidente della Repubblica, da emanare, ai sensi dell'articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400, su proposta del Ministro di grazia e giustizia, di concerto con i Ministri dell'industria, del commercio e dell'artigianato, dell'interno, del tesoro e delle poste e delle telecomunicazioni, entro centottanta giorni dalla data di entrata in vigore della presente legge, sono individuate le misure minime di protezione da adottare ai fini di cui al comma 1 del presente articolo.
3. Con successivo decreto da adottare nelle medesime forme di cui al comma 2 entro il termine di due anni dalla data di entrata in vigore della presente legge, le misure di cui al medesimo comma 2 sono adeguate in relazione all'evoluzione tecnica del settore e all'esperienza maturata. Ulteriori ed analoghi adeguamenti sono apportati successivamente, nelle medesime forme di cui al comma 2, ad intervalli di regola non inferiori, ciascuno, ad un biennio.
4. Se per qualsiasi causa cessa il trattamento dei dati, il titolare e' tenuto a notificare preventivamente al Garante la distruzione dei dati, la loro cessione ad altro titolare, o la conservazione per i fini indicati nell'articolo 2, comma 1. L'eventuale cessione dei dati ad altro titolare e' priva di effetti se consente un trattamento per finalita' incompatibili con gli scopi in base ai quali i dati sono raccolti ovvero se e' compiuta in violazione di altre disposizioni di legge in materia di trattamento di dati personali.
5. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali, e' tenuto al risarcimento se non prova di avere adottato tutte le misure idonee ad evitare il danno.
6. Agli organismi di cui all'articolo 2, comma 4, lettera b), si applicano le regole tecniche stabilite dall'alto funzionario dello Stato cui siano attribuite, con decreto del Presidente del Consiglio dei ministri, le funzioni di autorita' nazionale per la sicurezza.
2. La notificazione di cui al comma 1 puo' riguardare uno o piu' trattamenti aventi finalita' correlate, deve contenere la sottoscrizione del notificante e del responsabile del trattamento autenticate nei modi di legge e deve indicare:
a) il nome, la denominazione o la ragione sociale, il domicilio, la residenza o la sede del titolare;
b) le finalita' del trattamento;
c) la natura dei dati, il luogo ove sono custoditi e le categorie di interessati alle quali si riferiscono;
d) l'ambito di comunicazione e di diffusione dei dati;
e) le categorie di misure tecniche ed organizzative adottate per la sicurezza dei dati;
f) l'eventuale connessione con altri trattamenti o banche di dati, anche fuori del territorio nazionale;
g) il tempo previsto per la conservazione e per la comunicazione o diffusione dei dati;
h) il nome e il domicilio o la residenza del responsabile del trattamento.
3. In difetto di indicazione del responsabile del trattamento e' ritenuto tale il notificante.
4. Ogni variazione inerente al contenuto della notificazione deve essere preventivamente comunicata al Garante mediante nuova notificazione.
5. Salvo che riguardi taluno dei dati di cui all'articolo 5, il trattamento dei dati personali svolto senza l'ausilio di mezzi elettronici o comunque automatizzati, ovvero concernente persone giuridiche o enti, non e soggetto all'obbligo di notificazione.
6. I soggetti tenuti ad iscriversi o che vanno annotati nel registro delle imprese di cui all'articolo 2188 del codice civi le, nonche' coloro che devono fornire le informazioni di cui all'articolo 8, comma 8, lettera d), della legge 29 dicembre 1993, n. 580 alle Camere di commercio, industria, artigianato ed agricoltura, possono effettuare le notificazioni di cui al presente articolo e all'articolo 18 per il tramite di queste ultime, secondo le modalita' stabilite con il decreto di cui all'articolo 21, comma 3.
7. Qualora riguardi taluno dei dati di cui all'articolo 5, comma 1, secondo periodo, il trattamento non puo' essere iniziato prima che siano decorsi quarantacinque giorni dalla data della notificazione. Durante tale termine, ovvero successivamente, il Garante puo' disporre opportune verifiche e l'adozione di misure o accorgimenti a garanzia dell'interessato, che il titolare e tenuto ad adottare.
2. Ove necessario per esigenze organizzative, possono essere designati responsabili del trattamento piu' soggetti, anche mediante suddivisione di compiti.
3. I compiti affidati al responsabile del trattamento devono essere analiticamente specificati per iscritto.
a) le finalita' e le modalita' del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze, nei suoi confronti o nei confronti dell'interessato, di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 11;
f) il nome e il domicilio o la residenza del titolare del trattamento e, se designato, del relativo responsabile.
2. L'informativa di cui al comma 1 puo' non comprendere gli elementi gia' noti alla persona che fornisce i dati o la cui conoscenza puo' ostacolare l'espletamento di funzioni pubbliche ispettive o di controllo, l'accertamento di illeciti o l'irroga zione di sanzioni da parte di organi pubblici.
3. Nei casi in cui il trattamento presuppone il consenso dell'interessato, questo deve intendersi validamente prestato solo se e' espresso liberamente e in forma specifica, e se e' stato osservato il disposto del comma 1.
a) di conoscere, mediante accesso al registro di cui all'articolo 20, comma 1, lettera a), l'esistenza di trattamenti di dati che possono riguardarlo, e di essere informato al contempo su quanto indicato all'articolo 8, comma 2, lettere a) e b);
b) di ottenere, a cura del responsabile del trattamento, senza ritardo:
1) la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la comunicazione in forma intellegibile dei medesimi dati e della loro origine, nonche' dei criteri che sono alla base dell'elaborazione e delle altre operazioni del trattamento;
2) la cancellazione, il blocco o la trasformazione in forma anonima dei dati trattati in violazione di legge, compresi quelli di cui non e' necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti;
3) l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l'integrazione dei dati;
4) l'attestazione che le operazioni di cui ai numeri 2) e 3) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale conoscenza si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
5) la cancellazione dei dati utilizzati al fine di invio di corrispondenza o materiale pubblicitario;
c) di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorche' pertinenti allo scopo della raccolta.
2. L'accesso previsto dal comma 1, lettera a), e' gratuito. La richiesta di cui alla lettera b), numero 1), del medesimo comma, puo' essere rinnovata nei confronti del medesimo trattamento, salvo che sussistano giustificati motivi, con scadenze non inferiori a novanta giorni. Per ciascuna richiesta di cui alla medesima lettera b), numero 1), puo' essere chiesto all'interessato un contributo spese, secondo le modalita' ed entro i limiti stabiliti dal decreto di cui all'articolo 21, comma 3.
3. In riferimento ai dati personali concernenti persone decedute, i diritti previsti dal presente articolo possono essere esercitati da chiunque vi abbia interesse.
4. Per le richieste al responsabile del trattamento e per quanto previsto dal comma 1, lettera a), l'interessato puo' delegare, per iscritto, persone fisiche o associazioni.
5. Restano ferme le norme sul segreto professionale degli esercenti la professione giornalistica.
a) in base alle disposizioni del decreto legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni;
b) in base alle disposizioni del decreto legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni;
c) da Commissioni parlamentari istituite ai sensi dell'articolo 82 della Costituzione;
d) da un soggetto pubblico, in base ad espressa disposizione di legge, per esclusive finalita' inerenti la politica monetaria e valutaria, il sistema dei pagamenti, il controllo degli intermediari e dei mercati creditizi e finanziari nonche' la tutela della loro stabilita'.
2. Nei casi di cui al comma 1 del presente articolo, il Garante, anche su segnalazione dell'interessato ai sensi dell'articolo 20, comma 1, lettera d), esegue le necessarie verifiche nei modi di cui al comma 2 del medesimo articolo 20, indica le necessarie modificazioni ed integrazioni e ne verifica l'attuazione.
3. La comunicazione all'interessato di dati personali di carattere sanitario puo' essere effettuata solo per il tramite di un medico designato dall'interessato o dal titolare.
a) con il consenso espresso dell'interessato;
b) se i dati provengono da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalita' che le leggi e i regolamenti stabiliscono per la loro conoscibilita' e pubblicita';
c) in adempimento di un obbligo previsto dalla legge o dalla normativa comunitaria;
d) nell'ambito dell'esercizio della professione giornalistica e per l'esclusivo perseguimento delle relative finalita';
e) se i dati attengono allo svolgimento di attivita' economiche da parte di persone fisiche e giuridiche, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
f) quando il trattamento e' necessario per la salvaguardia della vita o dell'incolumita' fisica dell'interessato.
2. Agli effetti della presente legge, non e' considerata comunicazione la conoscenza dei dati personali da parte delle persone incaricate per iscritto di compiere le operazioni del trattamento del titolare o dal responsabile, e che operano sotto la loro diretta autorita'.
2. Sono altresi' vietate la comunicazione e la diffusione di dati personali dei quali sia stata ordinata la cancellazione, ovvero quando sia decorso il periodo di tempo indicato nell'articolo 4, comma 1, lettera e).
3. Il Garante puo' vietare la diffusione di taluno dei dati relativi a singoli soggetti, od a categorie di soggetti, quando la diffusione si pone in contrasto con rilevanti interessi della collettivita'. Il provvedimento e' impugnabile ai sensi dell'articolo 22, commi 6 e 7.
2. La comunicazione o diffusione dei dati personali di cui al comma 1 nei confronti di privati o di enti pubblici economici e' consentita solo se prevista da norme di legge o di regolamento.
3. I criteri di organizzazione delle amministrazioni pubbliche di cui all'articolo 5, comma 1, del decreto legislativo 3 febbraio 1993, n. 29, sono attuati nel pieno rispetto delle disposizioni della presente legge.
2. Il Garante puo' autorizzare la comunicazione di taluno dei dati di cui al comma 1, concernenti uno o piu' soggetti, tra strutture determinate, oppure di singole specie di dati relativi a talune categorie di soggetti tra strutture specializzate, quando sia indispensabile per scopi di prevenzione e cura sia dell'interessato che di altri soggetti o della collettivita'. L'autorizzazione e' rilasciata, salvi i casi di particolare urgenza, sentito il Consiglio superiore di sanita'. E' vietata la comunicazione dei dati ottenuti oltre i limiti fissati con l'autorizzazione.
3. Salvo quanto stabilito dell'articolo 17, comma 1, lettera b), la diffusione dei dati personali sanitari e' vietata.
a) Quando siano necessarie per finalita' di ricerca scientifica o di statistica, e si tratti di dati anonimi;
b) quando siano necessarie per scopi concernenti la difesa dello Stato, la prevenzione o l'accertamento di illeciti o l'irrogazione di sanzioni, con l'osservanza delle norme che regolano la materia.
2. Il trasferimento di dati personali fuori del territorio nazionale puo' essere vietato ove il Garante accerti che l'ordinamento del Paese nel territorio del quale o tramite il territorio del quale ha luogo il trasferimento non garantisca un livello di protezione di grado pari a quello assicurato nell'ordinamento italiano, valutata anche la natura dei dati e le finalita' del trattamento. Si applica, per l'opposizione al divieto, il disposto dell'articolo 22, comma 6.
3. Chiunque intenda procedere nel territorio dello Stato al trattamento di dati personali detenuti all'estero, e' tenuto a darne preventiva comunicazione al Garante, nella quale devono essere specificate le finalita' del trattamento e la natura dei dati. Il trattamento e' soggetto alle disposizioni della presente legge se l'ordinamento del Paese nel quale i dati sono detenuti a quello assicurato nell'ordinamento italiano, valutata anche la natura dei dati e le finalita' del trattamento. Il Garante procede in proposito ai necessari accertamenti, dandone tempestivamente notizia al soggetto che ha effettuato la comunicazione.
4. La notificazione prevista dal comma 1 deve contenere le indicazioni previste dall'articolo 8, ed e' annotata in apposita sezione del registro previsto dall'articolo 20, comma 1, lettera a).
2. Il Garante opera in piena autonomia e con indipendenza di giudizio e di valutazione.
3. Il Garante e' organo collegiale costituito dal presidente e da quattro membri, nominati con decreto del Presidente della Repubblica, su proposta formulata d'intesa tra loro dai Presidenti del Senato della Repubblica e della Camera dei deputati. Il presidente e i membri sono scelti tra persone che assicurino indipendenza e che siano esperti di riconosciuta competenza delle materie del diritto e dell'informatica.
4. Il presidente e i membri durano in carica quattro anni e non possono essere confermati per piu' di una volta; per tutta la durata dell'incarico il presidente e i membri non possono esercitare, a pena di decadenza, alcuna attivita' professionale o di consulenza, ne' essere amministratori o dipendenti di enti pubblici o privati, ne' ricoprire cariche elettive.
5. All'atto dell'accettazione della nomina il presidente e i membri sono collocati fuori ruolo se dipendenti di pubbliche amministrazioni o magistrati in attivita' di Servizio; se professori universitari di ruolo, sono collocati in aspettativa senza assegni ai sensi dell'articolo 13 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, e successive modificazioni. Il personale collocato fuori ruolo o in aspettativa non puo' essere sostituito.
6. Al presidente compete una indennita' di funzione non eccedente, nel massimo, la retribuzione spettante ai presidenti di sezione della Corte di cassazione. Al membri compete un'indennita' di funzione non eccedente, nel massimo, i due terzi di quella spettante al presidente. Le predette indennita' di funzione sono determinate, con il decreto di cui all'articolo 21, comma 3, in misura tale da poter essere corrisposte a carico degli ordinari stanziamenti.
a) istituire e tenere un registro generale dei trattamenti sulla base delle notificazioni ricevute;
b) controllare se i trattamenti di dati sono effettuati nel rispetto delle norme di legge o di regolamento e in conformita' della notificazione;
c) segnalare ai relativi titolari o responsabili le modificazioni opportune al fine di rendere il trattamento conforme alle disposizioni vigenti;
d) ricevere le segnalazioni ed i reclami degli interessati o delle associazioni che li rappresentano, relative ad inosservanze di legge o di regolamento, e provvedere sui ricorsi presentati ai sensi dell'articolo 22;
e) adottare i provvedimenti previsti dalla legge o dai regolamenti;
f) vigilare sui casi di cessazione, per qualsiasi causa, di un trattamento;
g) denunciare i fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a causa delle sue funzioni;
h) promuovere nell'ambito di categorie interessate, nell'osservanza del principio di rappresentativita', la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, verificarne la conformita' alle leggi e ai regolamenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuire a garantirne la diffusione e il rispetto;
i) curare la diffusione tra il pubblico dell'attivita' svolta, della conoscenza delle norme che regolano la materia e delle relative finalita', nonche' delle misure di sicurezza di cui all'articolo 7;
l) vietare, in tutto o in parte, il trattamento dei dati o disporne il blocco quando, in considerazione della natura dei dati o, comunque, delle modalita' del trattamento o degli effetti che esso puo' determinare, vi e' il concreto rischio del verificarsi di un pregiudizio rilevante per uno o piu' interessati;
m) segnalare al Governo l'opportunita' di provvedimenti normativi richiesti dall'evoluzione del settore;
n) predisporre annualmente una relazione sull'attivita' svolta e sullo stato di attuazione presente legge, che e' trasmessa al Parlamento, a cura del Presidente del Consiglio dei ministri, entro il 30 aprile dell'anno successivo a quello cui si riferisce;
o) curare, quale autorita' designata ai fini della cooperazione tra stati ai sensi dell'articolo 13 della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981, e resa esecutiva con legge 21 febbraio 1989, n. 98, l'attivita' di assistenza indicata nel capitolo IV della convenzione medesima;
p) esercitare il controllo sui trattamenti previsti dall'articolo 2, commi 4 e 5, e verificare, anche su richiesta dell'interessato, se rispondono ai requisiti stabiliti dalla legge o dai regolamenti.
2. Nell'espletamento dei propri compiti, il Garante puo' richiedere al responsabile o al titolare della banca di dati, all'interessato o anche a terzi, di fornire tutte le informazioni necessarie. Puo' inoltre disporre, ove necessario avvalendosi della collaborazione di amministrazioni dello Stato, ispezioni o accessi al fine di effettuare, anche mediante accesso diretto alla banca di dati, verifiche e controlli. Per i trattamenti di cui al comma 1, lettera p), del presente articolo, e all'articolo 12, comma 1, le verifiche sono eseguite per il tramite di un membro designato dal Garante. Se il trattamento non risulta conforme alle disposizioni di legge o di regolamento il Garante indica al titolare o al responsabile le necessarie modificazioni e ne verifica l'attuazione. Se l'accertamento e' stato richiesto dall'interessato, a quest'ultimo e' fornito in ogni caso fornito un riscontro circa il relativo esito, salvo che ricorrano motivi di cui all'articolo 10, comma 4, della legge l aprile 1981, n. 121.
3. Il registro di cui al comma 1, lettera a), del presente articolo, e' tenuto nei modi di cui all'articolo 21, comma 5. Entro il termine di un anno dalla data della sua istituzione, il Garante promuove opportune intese con amministrazioni locali ed enti pubblici al fine di assicurarne la consultabilita' anche mediante terminali dislocati su base almeno provinciale.
4. Il provvedimento di cui al comma l, lettera 1), e' impugnabile ai sensi dell'articolo 22, commi 6 e 7.
2. Le spese di funzionamento dell'Ufficio del Garante sono poste a carico di un fondo stanziato a tale scopo nel bilancio dello Stato e iscritto in apposito capitolo dello stato di previsione del Ministero del tesoro. Il rendiconto della gestione finanziaria e' soggetto al controllo della Corte dei conti.
3. Le norme concernenti l'organizzazione ed il funzionamento dell'Ufficio del Garante, nonche' quelle dirette a disciplinare la riscossione dei diritti di segreteria e la gestione delle spese, anche in deroga alle disposizioni sulla contabilita' generale dello Stato, sono approvate con decreto del Presidente della Repubblica, da emanare entro tre mesi dalla data di entrata in vigore della presente legge, previa deliberazione del Consiglio dei ministri, su proposta del Presidente del Consiglio dei ministri, di concerto con i Ministri del tesoro e di grazia e giustizia, e su parere conforme del Garante stesso. Nel medesimo decreto sono altresi' previste le norme concernenti il procedimento dinanzi al Garante di cui all'articolo 22, commi da 1 a 5, secondo modalita' tali da assicurare, nella speditezza del procedimento medesimo, il pieno rispetto del contraddittorio tra le parti interessate.
4. Nei casi in cui la natura tecnica o la delicatezza dei problemi lo richiedano, il Garante puo' avvalersi dell'opera di consulenti i quali sono remunerati in base alle vigenti tariffe professionali.
5. Per l'espletamento dei propri compiti, l'Ufficio del Garante puo' avvalersi di sistemi automatizzati ad elaborazione informatica e di strumenti telematici propri o di enti pubblici convenzionati.
6. Il personale addetto all'Ufficio ed i consulenti sono tenuti al segreto per quel che concerne il contenuto delle banche di dati e le relative modalita' di funzionamento, di cui siano venuti a conoscenza nell'esercizio delle loro funzioni.
2. Salvi i casi in cui il decorso del termine esporrebbe taluno a pregiudizio imminente ed irreparabile, il ricorso puo' essere proposto solo dopo che siano decorsi tre giorni dalla richiesta avanzata sul medesimo oggetto al responsabile del trattamento. Fermo restando quanto stabilito dal comma 6, la presentazione del ricorso rende improponibile un'ulteriore domanda dinanzi all'autorita' giudiziaria tra le stesse parti e per il medesimo oggetto.
3. Il titolare, il responsabile e l'interessato hanno diritto di essere sentiti, personalmente o a mezzo di procuratore speciale, e hanno facolta' di presentare memorie o documenti. Il Garante puo' disporre, anche d'ufficio, l'espletamento di perizie.
4. Assunte le necessarie informazioni il Garante, se ritiene fondato il ricorso, ordina al titolare e al responsabile, con decisione motivata, la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell'interessato, e assegnando un termine per la loro adozione. La mancata pronuncia sul ricorso, decorsi venti giorni dalla data di presentazione, equivale al suo rigetto. Il provvedimento e' comunicato senza ritardo alle parti interessate, a cura dell'Ufficio del Garante.
5. Se la particolarita' del caso lo richiede, il Garante puo' disporre in via provvisoria, con provvedimento non impugnabile, il blocco in tutto o in parte di taluno dei dati ovvero l'immediata sospensione di una o piu' operazioni del trattamento. Il provvedimento cessa di avere ogni effetto se, entro i successivi venti giorni, non e' adottata la decisione di cui al comma 4.
6. Avverso il provvedimento di cui al comma 4, il titolare o l'interessato possono proporre opposizione al tribunale del luogo ove risiede il titolare, entro il termine di trenta giorni dalla data di comunicazione. L'opposizione non sospende l'esecuzione del provvedimento.
7. Il tribunale provvede nei modi di cui agli articoli 737 e seguenti del codice di procedura civile anche in deroga al divieto di cui all'articolo 4 della legge 20 marzo 1865, n. 2248, allegato E), e puo' sospendere, a richiesta, l'esecuzione del provvedimento.
8. Le controversie inerenti il rilascio dell'autorizzazione di cui all'articolo 5, comma 1, o che riguardano, comunque, l'applicazione della presente legge sono di competenza dell'autorita' giudiziaria ordinaria.
9. Il danno non patrimoniale e' risarcibile anche nei casi di violazione dell'articolo 4.
2. Chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, comunica o diffonde dati personali in violazione di quanto disposto dagli articoli 13, 14, 15 o 16 ovvero del divieto di cui all'articolo 18, comma 2, e' punito con la reclusione da tre mesi a due anni.
3. Se dai fatti di cui ai commi 1 e 2 deriva nocumento, la reclusione e' da uno a quattro anni.
2. Se il fatto di cui al comma 1 e' commesso per colpa, le pene sono diminuite fino alla meta'.
2. La violazione del disposto di cui agli articoli 10, commi 1 e 2, e 12, comma 3, e' punita con la sanzione amministrativa pecuniaria da lire cinquecentomila a lire tre milioni.
3. L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente articolo e' il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novem bre 1981, n. 689.
2. Entro un anno dalla data di entrata in vigore della presente legge, le regioni a statuto speciale e le provincie autonome di Trento e Bolzano adeguano i rispettivi ordinamenti ai principi fondamentali desumibili dalla legge medesima, che costituiscono norme fondamentali di riforma economicoÄsociale della Repubblica.
2. Per i trattamenti di dati personali iniziati prima della data di entrata in vigore della presente legge o nei novanta giorni successivi a tale data, le notificazioni e le comunicazioni prescritte dagli articoli 8 e 18 devono essere effettuate entro il termine di sei mesi dalla data di pubblicazione nella Gazzetta ufficiale del decreto di cui all'articolo 21, comma 1 ovvero, nelle ipotesi di cui all'articolo 2, comma 2, entro il termine di nove mesi dalla medesima data.
3. Le misure di protezione di cui all'articolo 7, comma 2, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore del decreto ivi previsto. Fino al decorso di tale termine, i dati personali devono essere custoditi in maniera tale da evitare un incremento del rischio di cui all'articolo 7, comma 1.
4. Le misure di protezione di cui all'articolo 7, comma 3, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore dei decreti ivi previsti.
5. Nei dodici mesi successivi alla data di entrata in vigore della presente legge, i trattamenti dei dati di cui all'articolo 5, comma 3, ad opera della pubblica amministrazione e degli enti pubblici, possono essere proseguiti anche in assenza delle disposizioni di legge ivi indicate, previa informativa al Garante.
6. Per i trattamenti svolti senza l'ausilio di mezzi elettronici o comunque automatizzati che non riguardano taluno dei dati di cui all'articolo 5, le disposizioni della presente legge si applicano a decorrere dal 1ø luglio 1996. I termini di cui al comma 2 decorrono da tale data.
7. In sede di prima applicazione della presente legge e comunque non oltre l'entrata in vigore del decreto legislativo di cui all'articolo 34, comma 2, l'ufficio di presidente del Garante e' ricoperto dal presidente dell'Autorita' per l'informatica nella pubblica amministrazione.
"ART. 10. (Controlli). Ä 1. Il controllo sul centro elaborazione dati e' esercitato dal Garante per la protezione dei dati, nei modi previsti dalla legge e dai regolamenti.
2. I dati e le informazioni conservati negli archivi del Centro possono essere utilizzati in procedimenti giudiziari o amministrativi soltanto attraverso l'acquisizione delle fonti originarie indicate nel primo comma dell'articolo 7, fermo restando quanto stabilito dall'articolo 240 del codice di procedura penale. Quando nel corso di un procedimento giurisdizionale o amministrativo viene rilevata l'erroneita' o l'incompletezza dei dati e delle informazioni, o l'illegittimita' del loro trattamento, l'autorita' procedente ne da' notizia al Garante per la protezione dei dati.
3. La persona alla quale si riferiscono i dati puo' chiedere all'ufficio di cui alla lettera a) del primo comma dell'articolo 5 la conferma dell'esistenza di dati personali che lo riguardano, la loro comunicazione in forma intellegibile e, se i dati risul tano trattati in violazione di vigenti disposizioni di legge o di regolamento, la loro cancellazione o trasformazione in forma anonima.
4. Esperiti i necessari accertamenti, l'ufficio comunica al richiedente, non oltre venti giorni dalla richiesta, le determinazioni adottate. L'ufficio puo' omettere di provvedere sulla richiesta se cio' puo' pregiudicare azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione della criminalita', dandone informazione al Garante per la protezione dei dati.
5. Chiunque viene a conoscenza dell'esistenza di dati personali che lo riguardano, trattati anche in forma non automatizzata in violazione di disposizioni di legge o di regolamento, puo' chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare la rettifica, l'integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi. Il tribunale provvede nei modi di cui agli articoli 737 e seguenti del codice di procedura civile."
2. L'articolo 4, comma 1, del decreto legislativo 12 feb braio 1993, n. 39, e' sostituito dal seguente:
"1. E' istituita l'Autorita' per l'informatica nella pubblica amministrazione, denominata Autorita' ai fini del presente decreto; tale Autorita' opera in piena autonomia e con indipendenza di giudizio e di valutazione."
3. Nell'articolo 4, comma 2, del decreto legislativo 12 febbraio 1993, n. 39, il secondo ed il terzo periodo sono sostituiti dal seguente: "Il presidente e' nominato con decreto del Presidente della Repubblica, su proposta formulata, d'intesa tra loro, dai Presidenti del Senato della Repubblica e della Camera dei deputati. Gli altri membri sono nominati con decreto del Presidente della Repubblica da emanarsi entro quindici giorni dalla nomina del presidente, su proposta di quest'ultimo, previa deliberazione del Consiglio dei ministri.".
4. L'articolo 5, comma 1, del decreto legislativo 12 febbraio 1993, n. 39, e' sostituito dal seguente:
"1. Le norme concernenti l'organizzazione ed il funzionamento dell'Autorita', il trattamento giuridico ed economico del persona le e l'ordinamento delle carriere, nonche' la gestione delle spese nei limiti previsti dal presente decreto, anche in deroga alle disposizioni sulla contabilita' generale dello Stato, sono appro vate con decreto del Presidente della Repubblica, previa delibe razione del Consiglio dei ministri, su proposta del Presidente del Consiglio dei ministri, di concerto con il Ministro del tesoro e su parere conforme dell'Autorita' medesima.".
2. Sono altresi' abrogate le disposizioni di legge o di regolamento incompatibili con le norme della presente legge. Restano ferme le disposizioni della legge 20 maggio 1970, n. 300, e successive modificazioni, nonche', in quanto compatibili, le disposizioni della legge 5 giugno 1990, n. 135, e successive modificazioni, del decreto legislativo 6 settembre 1989, n. 322, nonche' le vigenti norme in materia di accesso ai documenti amministrativi e di archivi di Stato. Restano altresi' ferme le disposizioni di legge che stabiliscono divieti o limiti piu' restrittivi in materia di trattamento di taluni dati personali.
a) specifiche modalita' di trattamento dei dati personali utilizzati a fini storici, di ricerca e di statistica con particolare riferimento alla durata della loro conservazione, tenendo conto anche dei principi contenuti nella raccomandazione n. R (83) 10) adottata il 23 settembre 1983 dal Consiglio d'Europa;
b) limiti e condizioni per il trattamento di informazioni consistenti in un numero di identificazione personale o altra informazione analoga, ivi compreso il codice fiscale, con specifico riguardo al collegamento con altri dati personali;
c) modalita' da osservarsi, nell'ambito dell'attivita' di diffusione di dati personali effettuata, anche a mezzo di riproduzione su disco nell'ambito dell'esercizio della professione giornalistica e per l'esclusivo perseguimento delle relative finalita', ai fini del rispetto del principio di conservazione dei dati in una forma che consenta l'identificazione dell'interessato per un periodo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti;
d) forme semplificate di notificazione del trattamento dei dati personali e del loro trasferimento all'estero, ed ulteriori casi di esonero dal relativo obbligo per specifici trattamenti da individuarsi preventivamente che, in ragione delle relative modalita' o della natura dei dati personali, presentano minori rischi di un danno all'interessato, ferma restando l'applicabilita' delle altre disposizioni di legge; previsione di adeguate garanzie in riferimento a casi di esonero per trattamenti effettuati da associazioni senza scopo di lucro per il perseguimento di finalita' legittime;
e) i trattamenti di cui all'articolo 2, commi 4 e 5, al fine di assicurare la piena attuazione dei principi previsti dalla legislazione in materia di protezione dei dati personali con gli adattamenti resi necessari dalla specificita' degli interessi perseguiti con l'istituzione delle banche dati ivi indicate, con riferimento anche al trattamento di dati che implica maggiori rischi di un danno all'interessato e alle modalita' attraverso le quali si puo' esplicare il controllo sul rispetto delle disposi zioni di legge, nel rispetto dei principi stabiliti dalla conven zione n. 108 sulla protezione delle persone rispetto al tratta mento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio 1989, n. 98, e dalla normativa comunitaria in materia, e tenendo anche conto dei criteri di cui alla raccomandazione n. R. (87) 15), adottata il 17 settembre 1987 dal Consiglio d'Europa; previsione, in armonia con tali disposizioni, ulteriori regole volte a favorire lo sviluppo dell'informatica giuridica e le modalita' di collegamento, per l'autorita' giudiziaria e per l'au torita' di pubblica sicurezza, con le banche dati della pubblica amministrazione;
f) eventuali limiti al diritto di accesso dell'interessato e ai diritti complementari, laddove ricorrano finalita' di protezione dell'interessato medesimo o di diritti altrui, nel rispetto di quanto stabilito dall'articolo 9 della citata convenzione n. 108;
g) la piena attuazione dei principi previsti dalla legislazione in materia di protezione dei dati personali nell'ambito dei diversi settori di attivita', tenendo conto anche dei criteri direttivi indicati nelle seguenti raccomandazioni adottate dal Consiglio d'Europa:
1) n. R. (81) 1) del 23 gennaio 1981, in materia di dati sanitari, e
successive modificazioni;
2) n. R. (85) 20), sui dati utilizzati per fini di direct marketing;
3) n. R. (86) 1), sui dati impiegati per scopi di sicurezza sociale;
4) n. R. (89) 2), sui dati utilizzati per finalita' di lavo ro;
5) n. R (90) 19), in materia di dati personali utilizzati per finalita'
di pagamento e di altre operazioni connesse;
6) n. R. (91) 10), sulla comunicazione a terzi dei dati personali
detenuti da organi pubblici;
h) ulteriori, eventuali, presupposti di legittimazione del trattamento
di dati in ragione del perseguimento di una finalita' legittima
d'interesse del titolare o di terzi destinatari dei dati, a condizione
che non ricorra un interesse prevalente, un diritto o una liberta'
fondamentale dell'interessato;
i) ulteriori, eventuali, casi di autorizzazione preventiva al trattamento da parte del Garante, in riferimento ad operazioni o trattamenti determinati che implicano specifici rischi per diritti e le liberta' dell'interessato;
l) le modalita' applicative della legislazione in materia di protezione dei dati ai nuovi mezzi di comunicazione ed informazione per via telematica, anche al fine di salvaguardare il diritto all'informazione e i diritti degli utenti, e di individuare i compiti del gestore in rapporto ai servizi aperti al pubblico o riservati alla corrispondenza privata, e alle connessioni con sistemi sviluppati su base internazionale.
2. Con i decreti di cui al comma 1 sono adottate le disposizioni modificative ed integrative della legislazione in materia di protezione dei dati personali e del decreto legislativo 13 febbraio 1993, n. 39, come modificato dall'articolo 32, commi 2 e 3, al fine di assicurare il raccordo tra le attivita' del Garante e dell'Autorita' per l'informatica nella pubblica amministrazione, il coordinamento o l'integrazione dei rispettivi uffici, l'armonizzazione dello stato giuridico ed economico del relativo personale e la contitolarita' delle funzioni di presidente dei due organi.
3. I decreti di cui al comma 1 del presente articolo sono adottati ai sensi dell'articolo 14 della legge 23 agosto 1988, n. 400. Sui relativi schemi il Governo richiede il parere delle competenti Commissioni permanenti ai sensi del comma 4 del mede simo articolo.
2. Il Ministro del tesoro e' autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio.
Con il disegno di legge concernente la "Tutela delle persone rispetto al trattamento di dati personali" viene istituita la figura del "Garante per la protezione dei dati" (articolo 19). Alle dipendenze del Garante e' posto un ufficio composto di dipendenti dello Stato e di altre amministrazioni pubbliche, collocati fuori ruolo (articolo 21). Il provvedimento medesimo dispone che il Garante, nell'espletamento dei propri compiti e nei casi in cui la natura tecnica o la delicatezza dei problemi lo richiedano, potra' avvalersi dell'opera di consulenti (articolo 21). Allo scopo di quantificare gli oneri per il personale, e le spese di funzionamento derivanti dalle disposizioni dianzi citate, si forniscono i seguenti dati e notizie a carattere generale e particolare.
Le spese generali e amministrative per l'ordinario funzionamento degli uffici dell'Autorita' (spese per acquisto stampa e pubblicazioni, per cancelleria e stampati, spese postali, telegrafiche e telefoniche, ecc.) possono prevedersi in lire 60 milioni per il 1995 e in lire 120 milioni dal 1996.
Per l'Ufficio del Garante e' prevista, altresi', la possibilita' di avvalersi di sistemi automatizzati ad elaborazione informatica e di strumenti telematici. Il costo complessivo, comprensivo delle spese di manutenzione e gestione, tiene conto anche delle spese di impiantistica, quali l'aria condizionata, I'insonorizzazione degli ambienti, una rete interna di trasmissione dati, stampanti ed altri accessori.
Detti oneri possono essere valutati in lire 280 milioni per il 1995 ed in lire 200 milioni dal 1996.
Il prospetto A individua in 50 le unita' occorrenti per l'Ufficio del Garante (45 componenti piu' i cinque componenti l'Autorita').
Sono state quindi fissate in 43 le unita' con specifiche esigenze logisti che. ll totale di queste unita' e' stato moltiplicato per il coefficiente fisso di metri quadrati 18 per persona. La superficie necessaria e' stata quindi stabilita in metri quadrati 774.
Tale superficie e' stata portata a metri quadrati 960, con un incremento di metri quadrati 186 per una adeguata sistemazione logistica del Garante e degli altri membri.
L'edificio, considerando un canone medio annuo di lire 300.000 per metro quadrato, in zona semicentrale, comporta un onere locativo complessivo di lire 288.000.000 (960 x 300.000).
Tenuto, altresi', conto delle spese per oneri accessori, manutenzione ordinaria e custodia, i relativi oneri possono essere valutati in lire 325 milioni annui dal 1996 (per il 1995 lire 162,5).
Per gli oneri connessi alle consulenze di cui all'articolo 21, comma 4, puo' prevedersi una spesa di lire 20 milioni per il 1995 e lire 40 milioni dal 1996. Per l'effettuazione di ispezioni, verifiche, controlli e, comunque, di indagini conoscitive di cui all'articolo 20, comma 2, puo' prevedersi un onere di spesa di lire 70 milioni per il 1995 e in lire 130 milioni dal 1996.