Decreti legislativi

Decreto Legislativo 18 maggio 2018, n. 51

Decreto Legislativo 18 maggio 2018, n. 51

Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita’ competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche’ alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio. (18G00080)

(GU Serie Generale n.119 del 24-05-2018)

Capo I
Disposizioni generali

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;
Visto l’articolo 14 della legge 23 agosto 1988, n. 400;
Vista la direttiva (UE) 2016/680 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativa alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali da parte delle
autorita’ competenti a fini di prevenzione, indagine, accertamento e
perseguimento di reati o esecuzione di sanzioni penali, nonche’ alla
libera circolazione di tali dati e che abroga la decisione quadro
2008/977/GAI del Consiglio;
Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche’ alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
concernente regolamento generale sulla protezione dei dati;
Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo
per il recepimento delle direttive europee e l’attuazione di altri
atti dell’Unione europea – Legge di delegazione europea 2016-2017, e
in particolare l’articolo 11;
Visto il codice in materia di protezione dei dati personali
adottato con decreto legislativo 30 giugno 2003, n. 196;
Vista la preliminare deliberazione del Consiglio dei ministri,
adottata nella riunione dell’8 febbraio 2018;
Acquisito il parere del Garante per la protezione dei dati
personali, espresso nell’adunanza del 22 febbraio 2018;
Acquisito il parere della 2ª Commissione del Senato della
Repubblica;
Considerato che le competenti Commissioni della Camera dei deputati
non hanno espresso il parere entro il termine di cui all’articolo 31,
comma 3, della legge 24 dicembre 2012, n. 234;
Vista la deliberazione del Consiglio dei ministri, adottata nella
riunione del 16 maggio 2018;
Sulla proposta del Presidente del Consiglio dei ministri e del
Ministro della giustizia, di concerto con i Ministri degli affari
esteri e della cooperazione internazionale, dell’interno e
dell’economia e delle finanze;

Emana
il seguente decreto legislativo:

Art. 1

Oggetto e ambito di applicazione

1. Il presente decreto attua nell’ordinamento interno le
disposizioni della direttiva (UE) 2016/680 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativa alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali da
parte delle autorita’ competenti a fini di prevenzione, indagine,
accertamento e perseguimento di reati o esecuzione di sanzioni
penali, nonche’ alla libera circolazione di tali dati, e che abroga
la decisione quadro 2008/977/GAI del Consiglio.
2. Il presente decreto si applica al trattamento interamente o
parzialmente automatizzato di dati personali delle persone fisiche e
al trattamento non automatizzato di dati personali delle persone
fisiche contenuti in un archivio o ad esso destinati, svolti dalle
autorita’ competenti a fini di prevenzione, indagine, accertamento e
perseguimento di reati, o esecuzione di sanzioni penali, incluse la
salvaguardia contro e la prevenzione di minacce alla sicurezza
pubblica.
3. Il presente decreto non si applica ai trattamenti di dati
personali:
a) effettuati nello svolgimento di attivita’ concernenti la
sicurezza nazionale o rientranti nell’ambito di applicazione del
titolo V, capo 2, del trattato sull’Unione europea e per tutte le
attivita’ che non rientrano nell’ambito di applicazione del diritto
dell’Unione europea;
b) effettuati da istituzioni, organi, uffici e agenzie
dell’Unione europea.

Art. 2

Definizioni

1. Ai fini del presente decreto, si applicano le seguenti
definizioni:
a) dati personali: qualsiasi informazione riguardante una persona
fisica identificata o identificabile («interessato»);
b) trattamento: qualsiasi operazione o insieme di operazioni,
compiute con o senza l’ausilio di processi automatizzati, applicate a
dati personali o insiemi di dati personali, come la raccolta, la
registrazione, l’organizzazione, la strutturazione, la conservazione,
l’adattamento o la modifica, l’estrazione, la consultazione, l’uso,
la comunicazione mediante trasmissione, diffusione o qualsiasi altra
forma di messa a disposizione, il raffronto o l’interconnessione, la
limitazione, la cancellazione o la distruzione;
c) limitazione di trattamento: il contrassegno dei dati personali
conservati con l’obiettivo di limitarne il trattamento in futuro;
d) pseudonimizzazione: il trattamento dei dati personali in modo
tale che i dati personali non possano piu’ essere attribuiti a un
interessato specifico senza l’utilizzo di informazioni aggiuntive, a
condizione che tali informazioni aggiuntive siano conservate
separatamente e soggette a misure tecniche e organizzative intese a
garantire che i dati personali non siano attribuiti a una persona
fisica identificata o identificabile;
e) profilazione: qualsiasi forma di trattamento automatizzato di
dati personali consistente nell’utilizzo di tali dati per valutare
determinati aspetti personali relativi a una persona fisica, in
particolare per analizzare o prevedere aspetti riguardanti il
rendimento professionale, la situazione economica, la salute, le
preferenze personali, gli interessi, l’affidabilita’, il
comportamento, l’ubicazione o gli spostamenti di detta persona
fisica;
f) archivio: qualsiasi insieme strutturato di dati personali
accessibili secondo criteri determinati, indipendentemente dal fatto
che tale insieme sia centralizzato, decentralizzato o ripartito in
modo funzionale o geografico;
g) autorita’ competente:
1) qualsiasi autorita’ pubblica dello Stato, di uno Stato
membro dell’Unione europea o di uno Stato terzo competente in materia
di prevenzione, indagine, accertamento e perseguimento di reati o
esecuzione di sanzioni penali, incluse la salvaguardia contro e la
prevenzione di minacce alla sicurezza pubblica;
2) qualsiasi altro organismo o entita’ incaricato dagli
ordinamenti interni di esercitare l’autorita’ pubblica e i poteri
pubblici a fini di prevenzione, indagine, accertamento e
perseguimento di reati o esecuzione di sanzioni penali, incluse la
salvaguardia e la prevenzione di minacce alla sicurezza pubblica;
h) titolare del trattamento: l’autorita’ competente che,
singolarmente o insieme ad altri, determina le finalita’ e i mezzi
del trattamento di dati personali; quando le finalita’ e i mezzi di
tale trattamento sono determinati dal diritto dell’Unione europea o
dello Stato, il titolare del trattamento o i criteri specifici
applicabili alla sua nomina possono essere previsti dal diritto
dell’Unione europea o dello Stato;
i) responsabile del trattamento: la persona fisica o giuridica,
l’autorita’ pubblica, il servizio o altro organismo che tratta dati
personali per conto del titolare del trattamento;
l) destinatario: la persona fisica o giuridica, l’autorita’
pubblica, il servizio o un altro organismo che riceve comunicazione
di dati personali, che si tratti o meno di terzi. Tuttavia, le
autorita’ pubbliche che possono ricevere comunicazione di dati
personali nell’ambito di una specifica indagine conformemente al
diritto dell’Unione europea o dello Stato non sono considerate
destinatari; il trattamento di tali dati da parte di tali autorita’
pubbliche e’ conforme alle norme in materia di protezione dei dati
applicabili secondo le finalita’ del trattamento;
m) violazione dei dati personali: la violazione della sicurezza
che comporta accidentalmente o in modo illecito la distruzione, la
perdita, la modifica, la divulgazione non autorizzata o l’accesso ai
dati personali trasmessi, conservati o comunque trattati;
n) dati genetici: i dati personali relativi alle caratteristiche
genetiche ereditarie o acquisite di una persona fisica, che
forniscono informazioni univoche sulla fisiologia o sulla salute di
detta persona fisica e che risultano in particolare dall’analisi di
un campione biologico della persona fisica in questione;
o) dati biometrici: i dati personali ottenuti da un trattamento
tecnico specifico relativi alle caratteristiche fisiche, fisiologiche
o comportamentali di una persona fisica che ne consentono o
confermano l’identificazione univoca, quali l’immagine facciale o i
dati dattiloscopici;
p) dati relativi alla salute: i dati personali attinenti alla
salute fisica o mentale di una persona fisica, compresa la
prestazione di servizi di assistenza sanitaria, che rivelano
informazioni relative al suo stato di salute;
q) file di log: registro degli accessi e delle operazioni;
r) autorita’ di controllo: l’autorita’ pubblica indipendente
istituita negli Stati membri ai sensi dell’articolo 41 della
direttiva;
s) il Garante: autorita’ di controllo nell’ordinamento interno,
individuata nel Garante per la protezione dei dati personali,
istituito dal decreto legislativo 30 giugno 2003, n. 196;
t) organizzazione internazionale: un’organizzazione e gli
organismi di diritto internazionale pubblico a essa subordinati o
qualsiasi altro organismo istituito da o sulla base di un accordo tra
due o piu’ Stati;
u) Codice: Codice in materia di protezione dei dati personali,
adottato con il decreto legislativo 30 giugno 2003, n. 196;
v) Stato membro: Stato membro dell’Unione europea;
z) Paese terzo: Stato non membro dell’Unione europea;
aa) direttiva: la direttiva (UE) 2016/680 del Parlamento europeo
e del Consiglio del 27 aprile 2016;
bb) regolamento UE: il regolamento (UE) 2016/679 del Parlamento
europeo e del Consiglio del 27 aprile 2016;
cc) Forze di polizia: le Forze di polizia di cui all’articolo 16
della legge 1° aprile 1981, n. 121.

Art. 3

Principi applicabili
al trattamento di dati personali

1. I dati personali di cui all’articolo 1, comma 2, sono:
a) trattati in modo lecito e corretto;
b) raccolti per finalita’ determinate, espresse e legittime e
trattati in modo compatibile con tali finalita’;
c) adeguati, pertinenti e non eccedenti rispetto alle finalita’
per le quali sono trattati;
d) esatti e, se necessario, aggiornati; devono essere adottate
tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalita’ per le quali
sono trattati;
e) conservati con modalita’ che consentano l’identificazione
degli interessati per il tempo necessario al conseguimento delle
finalita’ per le quali sono trattati, sottoposti a esame periodico
per verificarne la persistente necessita’ di conservazione,
cancellati o anonimizzati una volta decorso tale termine;
f) trattati in modo da garantire un’adeguata sicurezza e
protezione da trattamenti non autorizzati o illeciti e dalla perdita,
dalla distruzione o dal danno accidentali, mediante l’adozione di
misure tecniche e organizzative adeguate.
2. Il trattamento per una delle finalita’ di cui all’articolo 1,
comma 2, diversa da quella per cui i dati sono raccolti, e’
consentito se il titolare del trattamento, anche se diverso da quello
che ha raccolto i dati, e’ autorizzato a trattarli per detta
finalita’, conformemente al diritto dell’Unione europea o
dell’ordinamento interno e se il trattamento e’ necessario e
proporzionato a tale diversa finalita’, conformemente al diritto
dell’Unione europea o dell’ordinamento interno.
3. Il trattamento per le finalita’ di cui all’articolo 1, comma 2,
puo’ comprendere l’archiviazione nel pubblico interesse, l’utilizzo
scientifico, storico o statistico, fatte salve le garanzie adeguate
per i diritti e le liberta’ degli interessati.
4. Il titolare del trattamento e’ responsabile del rispetto dei
principi di cui ai commi 1, 2 e 3.

Art. 4

Conservazione e verifica della qualita’ dei dati,
distinzione tra categorie di interessati e di dati

1. Il titolare del trattamento, tenuto conto della finalita’ del
trattamento e per quanto possibile, distingue i dati personali in
relazione alle diverse categorie di interessati previste dalla legge
e i dati fondati su fatti da quelli fondati su valutazioni. La
distinzione in relazione alle diverse categorie di interessati si
applica, in particolare, alle seguenti categorie di interessati:
persone sottoposte a indagine; imputati; persone sottoposte a
indagine o imputate in procedimento connesso o collegato; persone
condannate con sentenza definitiva; persone offese dal reato; parti
civili; persone informate sui fatti; testimoni.
2. Le autorita’ competenti adottano misure adeguate a garantire che
i dati personali inesatti, incompleti o non aggiornati non siano
trasmessi o resi disponibili. A tal fine ciascuna autorita’
competente, per quanto possibile, verifica la qualita’ dei dati
personali prima che questi siano trasmessi o resi disponibili e
correda la loro trasmissione delle informazioni che consentono
all’autorita’ ricevente di valutarne il grado di esattezza,
completezza, aggiornamento e affidabilita’.
3. Quando risulta che i dati personali sono stati trasmessi
illecitamente o sono inesatti, il destinatario ne e’ tempestivamente
informato. In tal caso, i dati personali devono essere rettificati o
cancellati o il trattamento deve essere limitato a norma
dell’articolo 12.

Art. 5

Liceita’ del trattamento

1. Il trattamento e’ lecito se e’ necessario per l’esecuzione di un
compito di un’autorita’ competente per le finalita’ di cui
all’articolo 1, comma 2, e si basa sul diritto dell’Unione europea o
su disposizioni di legge o, nei casi previsti dalla legge, di
regolamento che individuano i dati personali e le finalita’ del
trattamento.
2. Con decreto del Presidente della Repubblica, adottato ai sensi
dell’articolo 17, comma 1, della legge 23 agosto 1988, n. 400, sono
individuati, per i trattamenti o le categorie di trattamenti non
occasionali di cui al comma 1, i termini, ove non gia’ stabiliti da
disposizioni di legge o di regolamento, e le modalita’ di
conservazione dei dati, i soggetti legittimati ad accedervi, le
condizioni di accesso, le modalita’ di consultazione, nonche’ le
modalita’ e le condizioni per l’esercizio dei diritti di cui agli
articoli 9, 10, 11 e 13. I termini di conservazione sono determinati
in conformita’ ai criteri indicati all’articolo 3, comma 1, tenendo
conto delle diverse categorie di interessati e delle finalita’
perseguite.

Art. 6

Condizioni di trattamento specifiche

1. I dati personali raccolti per le finalita’ di cui all’articolo
1, comma 2, non possono essere trattati per finalita’ diverse, salvo
che tale trattamento sia consentito dal diritto dell’Unione europea o
dalla legge.
2. Ai trattamenti eseguiti per finalita’ diverse da quelle di cui
all’articolo 1, comma 2, comprese le attivita’ di archiviazione nel
pubblico interesse, di ricerca scientifica o storica o per finalita’
statistiche, si applica il regolamento UE, salve le disposizioni di
cui all’articolo 58 del Codice.
3. Se il diritto dell’Unione europea o le disposizioni legislative
o regolamentari prevedono condizioni specifiche per il trattamento
dei dati personali, l’autorita’ competente che trasmette tali dati
informa il destinatario delle condizioni e dell’obbligo di
rispettarle.
4. L’autorita’ competente che trasmette i dati applica le stesse
condizioni previste per le trasmissioni di dati all’interno dello
Stato ai destinatari di altri Stati membri o ad agenzie, uffici e
organi istituiti a norma del titolo V, capi 4 e 5, del Trattato sul
funzionamento dell’Unione europea.

Art. 7

Trattamento di categorie
particolari di dati personali

1. Il trattamento di dati di cui all’articolo 9 del regolamento UE
e’ autorizzato solo se strettamente necessario e assistito da
garanzie adeguate per i diritti e le liberta’ dell’interessato e
specificamente previsto dal diritto dell’Unione europea o da legge o,
nei casi previsti dalla legge, da regolamento, ovvero, ferme le
garanzie dei diritti e delle liberta’, se necessario per
salvaguardare un interesse vitale dell’interessato o di un’altra
persona fisica o se ha ad oggetto dati resi manifestamente pubblici
dall’interessato.

Art. 8

Processo decisionale automatizzato
relativo alle persone fisiche

1. Sono vietate le decisioni basate unicamente su un trattamento
automatizzato, compresa la profilazione, che producono effetti
negativi nei confronti dell’interessato, salvo che siano autorizzate
dal diritto dell’Unione europea o da specifiche disposizioni di
legge.
2. Le disposizioni di legge devono prevedere garanzie adeguate per
i diritti e le liberta’ dell’interessato. In ogni caso e’ garantito
il diritto di ottenere l’intervento umano da parte del titolare del
trattamento.
3. Le decisioni di cui al comma 1 non possono basarsi sulle
categorie particolari di dati personali di cui all’articolo 9 del
regolamento UE, salvo che siano in vigore misure adeguate a
salvaguardia dei diritti, delle liberta’ e dei legittimi interessi
dell’interessato.
4. Fermo il divieto di cui all’articolo 21 della Carta dei diritti
fondamentali dell’Unione europea, e’ vietata la profilazione
finalizzata alla discriminazione di persone fisiche sulla base di
categorie particolari di dati personali di cui all’articolo 9 del
regolamento UE.

Capo II
Diritti dell’interessato

Art. 9

Comunicazioni e modalita’
per l’esercizio dei diritti dell’interessato

1. Il titolare del trattamento adotta misure adeguate a fornire
all’interessato tutte le informazioni di cui all’articolo 10 ed
effettua le comunicazioni relative al trattamento di cui agli
articoli 8, 11, 12, 13, 14 e 27, in forma concisa, intellegibile e
facilmente accessibile, con un linguaggio semplice e chiaro. Le
informazioni sono fornite con qualsiasi mezzo adeguato, anche per via
elettronica, se possibile con le stesse modalita’ della richiesta.
2. Il titolare del trattamento facilita l’esercizio dei diritti di
cui agli articoli 8, 11, 12, 13 e 14 da parte dell’interessato.
3. Il titolare del trattamento informa l’interessato senza
ingiustificato ritardo e per iscritto dell’esito della sua richiesta.
4. E’ assicurata la gratuita’ del rilascio di informazioni ai sensi
dell’articolo 10 e dell’esercizio dei diritti previsti dagli articoli
8, 11, 12, 13, 14 e 27. Si applicano le disposizioni di cui
all’articolo 12, paragrafo 5, secondo periodo, del regolamento UE.
5. Fermo quanto previsto dall’articolo 5, comma 1, con decreto
adottato dal Ministro competente sono individuati, ove necessario
anche per categorie, i trattamenti non occasionali effettuati con
strumenti elettronici per le finalita’ di cui all’articolo 1, comma
2, previsti da disposizioni di legge o di regolamento, nonche’ i
relativi titolari.

Art. 10

Informazioni da rendere disponibili
o da fornire all’interessato

1. Il titolare del trattamento mette a disposizione
dell’interessato, anche sul proprio sito internet, le seguenti
informazioni:
a) l’identita’ e i dati di contatto del titolare del trattamento;
b) i dati di contatto del responsabile della protezione dei dati,
se previsto;
c) le finalita’ del trattamento cui sono destinati i dati
personali;
d) la sussistenza del diritto di proporre reclamo al Garante e i
relativi dati di contatto;
e) la sussistenza del diritto di chiedere al titolare del
trattamento l’accesso ai dati e la rettifica o la cancellazione dei
dati personali e la limitazione del trattamento dei dati personali
che lo riguardano.
2. In aggiunta alle informazioni di cui al comma 1, il titolare del
trattamento, quando previsto da disposizioni di legge o di
regolamento, fornisce all’interessato le seguenti ulteriori
informazioni, funzionali all’esercizio dei propri diritti:
a) il titolo giuridico del trattamento;
b) il periodo di conservazione dei dati personali o, se non e’
possibile, i criteri per determinare tale periodo;
c) le categorie di destinatari dei dati personali, anche in Paesi
terzi o in seno a organizzazioni internazionali;
d) le ulteriori informazioni ritenute utili all’esercizio dei
diritti, in particolare nel caso in cui i dati personali siano stati
raccolti all’insaputa dell’interessato.

Art. 11

Diritto di accesso dell’interessato

1. L’interessato ha il diritto di ottenere dal titolare del
trattamento conferma dell’esistenza di un trattamento in corso di
dati personali che lo riguardano e, in tal caso, l’accesso ai dati e
alle seguenti informazioni:
a) le finalita’ e il titolo giuridico del trattamento;
b) le categorie di dati personali trattati;
c) i destinatari o le categorie di destinatari a cui i dati
personali sono stati comunicati;
d) il periodo di conservazione dei dati personali o, se non e’
possibile, i criteri per determinare tale periodo;
e) il diritto di chiedere al titolare del trattamento la
rettifica o la cancellazione dei dati personali o la limitazione del
trattamento dei dati personali che lo riguardano;
f) il diritto di proporre reclamo al Garante, con i relativi dati
di contatto;
g) la comunicazione dei dati personali oggetto del trattamento e
di tutte le informazioni disponibili sulla loro origine.
2. Nei casi di cui all’articolo 14, comma 2, il titolare del
trattamento informa l’interessato, senza ingiustificato ritardo e per
iscritto, di ogni rifiuto o limitazione dell’accesso e dei relativi
motivi, nonche’ del diritto di proporre reclamo dinanzi al Garante o
di proporre ricorso giurisdizionale.
3. Il titolare del trattamento documenta i motivi di fatto o di
diritto su cui si basa la decisione di cui al comma 2. Tali
informazioni sono rese disponibili al Garante.

Art. 12

Diritto di rettifica o cancellazione di dati personali
e limitazione di trattamento

1. L’interessato ha il diritto di ottenere dal titolare del
trattamento, senza ingiustificato ritardo, la rettifica dei dati
personali inesatti che lo riguardano. Tenuto conto delle finalita’
del trattamento, l’interessato ha il diritto di ottenere
l’integrazione dei dati personali incompleti, anche fornendo una
dichiarazione integrativa.
2. Fermo quanto previsto dall’articolo 14, comma 1 e 2, il titolare
del trattamento cancella senza ingiustificato ritardo i dati
personali, quando il trattamento si pone in contrasto con le
disposizioni di cui agli articoli 3, 5 o 7 e in ogni altro caso
previsto dalla legge.
3. In luogo della cancellazione, il titolare del trattamento limita
il trattamento quando l’esattezza dei dati, contestata
dall’interessato, non puo’ essere accertata o se i dati devono essere
conservati a fini probatori.
4. Quando il trattamento e’ limitato per l’impossibilita’ di
accertare l’esattezza dei dati, il titolare del trattamento informa
l’interessato prima di revocare la limitazione.
5. L’interessato ha diritto di essere informato per iscritto dal
titolare del trattamento del rifiuto di rettifica, di cancellazione o
di limitazione del trattamento e dei relativi motivi, nonche’ del
diritto di proporre reclamo dinanzi al Garante o di proporre ricorso
giurisdizionale.
7. Il titolare del trattamento comunica le rettifiche dei dati
personali inesatti all’autorita’ competente da cui provengono.
8. Qualora i dati personali siano stati rettificati o cancellati o
il trattamento sia stato limitato ai sensi dei commi 1, 2 e 3, il
titolare del trattamento ne informa i destinatari e questi
provvedono, sotto la propria responsabilita’, alla rettifica o
cancellazione dei dati personali ovvero alla limitazione del
trattamento.

Art. 13

Esercizio dei diritti dell’interessato
e verifica da parte del Garante

1. Al di fuori dei casi di trattamento effettuato dall’autorita’
giudiziaria per le finalita’ di cui all’articolo 1, comma 2, i
diritti dell’interessato possono essere esercitati anche tramite il
Garante con le modalita’ di cui all’articolo 160 del codice.
2. Il titolare del trattamento informa l’interessato della facolta’
di cui al comma 1.
3. Nei casi di cui al comma 1, il Garante informa l’interessato di
aver eseguito tutte le verifiche necessarie o di aver svolto un
riesame, nonche’ del diritto dell’interessato di proporre ricorso
giurisdizionale.

Art. 14

Limitazioni dell’esercizio dei diritti dell’interessato

1. I diritti di cui agli articoli 10, 11 e 12, relativamente ai
dati personali contenuti in una decisione giudiziaria, in atti o
documenti oggetto di trattamento nel corso di accertamenti o
indagini, nel casellario giudiziale o in un fascicolo oggetto di
trattamento nel corso di un procedimento penale o in fase di
esecuzione penale, sono esercitati conformemente a quanto previsto
dalle disposizioni di legge o di regolamento che disciplinano tali
atti e procedimenti. Chiunque vi abbia interesse, durante il
procedimento penale o dopo la sua definizione, puo’ chiedere, con le
modalita’ di cui all’articolo 116 del codice di procedura penale, la
rettifica, la cancellazione o la limitazione dei dati personali che
lo riguardano. Il giudice provvede con le forme dell’articolo 130 del
codice di procedura penale.
2. Fermo quanto previsto dal comma 1, l’esercizio dei diritti di
cui agli articoli 11, commi 1 e 2, e 12, comma 5, nonche’
l’adempimento dell’obbligo di cui all’articolo 10, comma 2, possono
essere ritardati, limitati o esclusi, con disposizione di legge o di
regolamento adottato ai sensi dell’articolo 5, comma 2, nella misura
e per il tempo in cui cio’ costituisca una misura necessaria e
proporzionata, tenuto conto dei diritti fondamentali e dei legittimi
interessi della persona fisica interessata al fine di:
a) non compromettere il buon esito dell’attivita’ di prevenzione,
indagine, accertamento e perseguimento di reati o l’esecuzione di
sanzioni penali, nonche’ l’applicazione delle misure di prevenzione
personali e patrimoniali e delle misure di sicurezza;
b) tutelare la sicurezza pubblica;
c) tutelare la sicurezza nazionale;
d) tutelare i diritti e le liberta’ altrui.

Capo III
Titolare del trattamento e responsabile del trattamento
Sezione I
Obblighi generali

Art. 15

Obblighi del titolare del trattamento

1. Il titolare del trattamento, tenuto conto della natura,
dell’ambito di applicazione, del contesto e delle finalita’ del
trattamento, nonche’ dei rischi per i diritti e le liberta’ delle
persone fisiche, mette in atto misure tecniche e organizzative
adeguate per garantire che il trattamento sia effettuato in
conformita’ alle norme del presente decreto.
2. Le misure di cui al comma 1 sono riesaminate e aggiornate
qualora necessario e, ove proporzionato rispetto all’attivita’ di
trattamento, includono l’attuazione di politiche adeguate in materia
di protezione dei dati da parte del titolare del trattamento.

Art. 16

Protezione dei dati fin dalla progettazione
e protezione per impostazione predefinita

1. Il titolare del trattamento, tenuto conto delle cognizioni
tecniche disponibili e dei costi di attuazione, della natura,
dell’ambito di applicazione, del contesto e delle finalita’ del
trattamento, nonche’ dei rischi per i diritti e le liberta’ delle
persone fisiche, mette in atto misure tecniche e organizzative
adeguate, quale la pseudonimizzazione, per garantire la protezione
dei dati e per tutelare i diritti degli interessati, in conformita’
alle norme del presente decreto.
2. Il titolare del trattamento mette in atto misure tecniche e
organizzative adeguate per garantire che siano trattati, per
impostazione predefinita, solo i dati personali necessari per ogni
specifica finalita’ del trattamento. Tale obbligo vale per la
quantita’ dei dati personali raccolti, la portata del trattamento, il
periodo di conservazione e l’accessibilita’. In particolare, tali
misure garantiscono che, per impostazione predefinita, non siano resi
accessibili dati personali a un numero indefinito di persone fisiche
senza l’intervento della persona fisica.

Art. 17

Contitolari del trattamento

1. Due o piu’ titolari del trattamento che determinano
congiuntamente le finalita’ e i mezzi del trattamento sono
contitolari del trattamento.
2. I contitolari del trattamento determinano mediante accordo con
modalita’ trasparenti gli ambiti delle rispettive responsabilita’ per
l’osservanza delle norme di cui al presente decreto, salvo che detti
ambiti siano determinati dal diritto dell’Unione europea o da
disposizioni legislative o regolamentari.
3. Con l’accordo di cui al comma 2 e’ designato il punto di
contatto per gli interessati. Indipendentemente dalle disposizioni di
tale accordo, l’interessato puo’ esercitare i diritti nei confronti
di e contro ciascun titolare del trattamento.

Art. 18

Responsabile del trattamento

1. Qualora un trattamento debba essere effettuato per conto del
titolare del trattamento, quest’ultimo ricorre a responsabili del
trattamento che garantiscono misure tecniche e organizzative adeguate
ad assicurare la protezione dei dati personali e la tutela dei
diritti dell’interessato.
2. Il responsabile del trattamento non puo’ ricorrere a un altro
responsabile senza preventiva autorizzazione scritta del titolare del
trattamento.
3. L’esecuzione dei trattamenti da parte di un responsabile del
trattamento e’ disciplinata da un contratto o da altro atto giuridico
che prevede l’oggetto, la durata, la natura e la finalita’ del
trattamento, il tipo di dati personali e le categorie di interessati,
gli obblighi e i diritti del titolare del trattamento. Tale contratto
o diverso atto giuridico prevede anche che il responsabile del
trattamento:
a) agisca soltanto su istruzione del titolare del trattamento;
b) garantisca che le persone autorizzate al trattamento dei dati
personali si siano impegnate alla riservatezza o abbiano un adeguato
obbligo legale di riservatezza;
c) assista il titolare del trattamento con ogni mezzo adeguato
per garantire il rispetto delle disposizioni relative ai diritti
dell’interessato;
d) su scelta del titolare del trattamento, cancelli o gli
restituisca tutti i dati personali dopo che e’ terminata la
prestazione dei servizi di trattamento di dati e cancelli le copie
esistenti, salvo che il diritto dell’Unione europea o la legge
preveda la conservazione dei dati personali;
e) metta a disposizione del titolare del trattamento tutte le
informazioni necessarie per dimostrare il rispetto delle condizioni
di cui al presente articolo;
f) rispetti le condizioni di cui ai commi 2 e 3 nel caso di
ricorso ad altro responsabile del trattamento.
4. Il contratto o il diverso atto di cui al comma 3 e’ stipulato
per iscritto, anche in formato elettronico.
5. Se un responsabile del trattamento determina, in violazione del
presente decreto, le finalita’ e i mezzi del trattamento, e’
considerato titolare del trattamento.

Art. 19

Trattamento sotto l’autorita’ del titolare del trattamento
o del responsabile del trattamento

1. Il responsabile del trattamento o chiunque agisca sotto la sua
autorita’ o sotto quella del titolare del trattamento puo’ trattare i
dati personali cui ha accesso solo in conformita’ alle istruzioni del
titolare del trattamento, salvo che sia diversamente previsto dal
diritto dell’Unione europea o da disposizioni di legge o, nei casi
previsti dalla legge, di regolamento.

Art. 20

Registri delle attivita’ di trattamento

1. I titolari del trattamento tengono un registro di tutte le
categorie di attivita’ di trattamento sotto la propria
responsabilita’. Tale registro contiene le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e,
se previsti, di ogni contitolare del trattamento e del responsabile
della protezione dei dati;
b) le finalita’ del trattamento;
c) le categorie di destinatari a cui i dati personali sono stati
o saranno comunicati, compresi i destinatari di paesi terzi o presso
organizzazioni internazionali;
d) una descrizione delle categorie di interessati e delle
categorie di dati personali;
e) se previsto, il ricorso alla profilazione;
f) se previste, le categorie di trasferimenti di dati personali
verso un Paese terzo o verso organizzazioni internazionali;
g) un’indicazione del titolo giuridico del trattamento cui sono
destinati i dati personali, anche in caso di trasferimento;
h) ove possibile, i termini ultimi previsti per la cancellazione
delle diverse categorie di dati personali;
i) ove possibile, una descrizione generale delle misure di
sicurezza tecniche e organizzative di cui all’articolo 25, comma 1.
2. I responsabili del trattamento tengono un registro di tutte le
categorie di attivita’ di trattamento svolte per conto di un titolare
del trattamento, contenente le seguenti informazioni:
a) il nome e i dati di contatto del responsabile o dei
responsabili del trattamento, di ogni titolare del trattamento per
conto del quale agiscono e, se esistente, del responsabile della
protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni
titolare del trattamento;
c) i trasferimenti di dati personali effettuati su istruzione del
titolare del trattamento verso un Paese terzo o verso
un’organizzazione internazionale;
d) ove possibile, una descrizione generale delle misure di
sicurezza tecniche e organizzative di cui all’articolo 25, comma 1.
3. I registri di cui ai commi 1 e 2 sono tenuti in forma scritta,
anche in formato elettronico. Su richiesta, il titolare del
trattamento e il responsabile del trattamento mettono tali registri a
disposizione del Garante.

Art. 21

Registrazione

1. Le operazioni di raccolta, modifica, consultazione,
comunicazione, trasferimento, interconnessione e cancellazione di
dati, eseguite in sistemi di trattamento automatizzati, sono
registrate in appositi file di log, da conservare per la durata
stabilita con il decreto di cui all’articolo 5, comma 2.
2. Le registrazioni delle operazioni di cui al comma 1 debbono
consentire di conoscere i motivi, la data e l’ora di tali operazioni
e, se possibile, di identificare la persona che ha eseguito le
operazioni e i destinatari.
3. Le registrazioni sono usate ai soli fini della verifica della
liceita’ del trattamento, per finalita’ di controllo interno, per
garantire l’integrita’ e la sicurezza dei dati personali e
nell’ambito di procedimenti penali.
4. Su richiesta e fatto salvo quanto previsto dall’articolo 37,
comma 3, il titolare del trattamento e il responsabile del
trattamento mettono le registrazioni a disposizione del Garante.

Art. 22

Cooperazione con il Garante

1. Salvo quanto previsto dall’articolo 37, comma 3, il titolare del
trattamento e il responsabile del trattamento cooperano, su
richiesta, con il Garante.

Art. 23

Valutazione d’impatto
sulla protezione dei dati

1. Se il trattamento, per l’uso di nuove tecnologie e per la sua
natura, per l’ambito di applicazione, per il contesto e per le
finalita’, presenta un rischio elevato per i diritti e le liberta’
delle persone fisiche, il titolare del trattamento, prima di
procedere al trattamento, effettua una valutazione del suo impatto
sulla protezione dei dati personali.
2. La valutazione di cui al comma 1 contiene una descrizione
generale dei trattamenti previsti, una valutazione dei rischi per i
diritti e le liberta’ degli interessati, le misure previste per
affrontare tali rischi, le garanzie, le misure di sicurezza e i
meccanismi per garantire la protezione dei dati personali e il
rispetto delle norme del presente decreto.

Art. 24

Consultazione preventiva del Garante

1. Salvo quanto previsto dall’articolo 37, comma 6, il titolare del
trattamento o il responsabile del trattamento consultano il Garante
prima del trattamento di dati personali che figureranno in un nuovo
archivio di prossima creazione se:
a) una valutazione d’impatto sulla protezione dei dati di cui
all’articolo 23 indica che il trattamento presenterebbe un rischio
elevato in assenza di misure adottate dal titolare del trattamento
per attenuare il rischio; oppure
b) il tipo di trattamento presenta un rischio elevato per i
diritti e le liberta’ degli interessati anche in ragione
dell’utilizzo di tecnologie, procedure o meccanismi nuovi ovvero di
dati genetici o biometrici.
2. Il Garante e’ consultato nel corso dell’esame di un progetto di
legge o di uno schema di decreto legislativo ovvero di uno schema di
regolamento o decreto non avente carattere regolamentare,
suscettibile di rilevare ai fini della garanzia del diritto alla
protezione dei dati personali.
3. Il Garante puo’ stabilire un elenco di trattamenti soggetti a
consultazione preventiva ai sensi del comma 1.
4. Il titolare del trattamento trasmette al Garante la valutazione
d’impatto sulla protezione dei dati di cui all’articolo 23 e, su
richiesta, ogni altra informazione, al fine di consentire a detta
autorita’ di effettuare una valutazione della conformita’ del
trattamento, dei rischi per la protezione dei dati personali
dell’interessato e delle relative garanzie.
5. Ove ritenga che il trattamento di cui al comma 1 violi le
disposizioni del presente decreto, il Garante fornisce, entro un
termine di sei settimane dal ricevimento della richiesta di
consultazione, un parere per iscritto al titolare del trattamento e,
se esistente, al responsabile del trattamento. Il Garante si avvale
dei poteri di cui all’articolo 37, comma 3.
6. Il termine di cui al comma 5 puo’ essere prorogato di un mese
nel caso di trattamento complesso. Il Garante informa della proroga e
dei motivi del ritardo il titolare del trattamento e, se esistente,
il responsabile del trattamento, entro un mese dal ricevimento della
richiesta di consultazione.

Sezione II
Sicurezza dei dati personali

Art. 25

Sicurezza del trattamento

1. Il titolare del trattamento e il responsabile del trattamento,
tenuto conto delle cognizioni tecniche disponibili, dei costi di
attuazione, della natura, dell’oggetto, del contesto e delle
finalita’ del trattamento, nonche’ del grado di rischio per i diritti
e le liberta’ delle persone fisiche, mettono in atto misure tecniche
e organizzative che garantiscano un livello di sicurezza adeguato al
rischio di violazione dei dati.
2. Per il trattamento automatizzato il titolare o il responsabile
del trattamento, previa valutazione dei rischi, adottano misure volte
a:
a) vietare alle persone non autorizzate l’accesso alle
attrezzature utilizzate per il trattamento («controllo dell’accesso
alle attrezzature»);
b) impedire che supporti di dati possano essere letti, copiati,
modificati o asportati da persone non autorizzate («controllo dei
supporti di dati»);
c) impedire che i dati personali siano inseriti senza
autorizzazione e che i dati personali conservati siano visionati,
modificati o cancellati senza autorizzazione («controllo della
conservazione»);
d) impedire che persone non autorizzate utilizzino sistemi di
trattamento automatizzato mediante attrezzature per la trasmissione
di dati («controllo dell’utente»);
e) garantire che le persone autorizzate a usare un sistema di
trattamento automatizzato abbiano accesso solo ai dati personali cui
si riferisce la loro autorizzazione d’accesso («controllo
dell’accesso ai dati»);
f) garantire la possibilita’ di individuare i soggetti ai quali
siano stati o possano essere trasmessi o resi disponibili i dati
personali utilizzando attrezzature per la trasmissione di dati
(«controllo della trasmissione»);
g) garantire la possibilita’ di verificare e accertare a
posteriori quali dati personali sono stati introdotti nei sistemi di
trattamento automatizzato, il momento della loro introduzione e la
persona che l’ha effettuata («controllo dell’introduzione»);
h) impedire che i dati personali possano essere letti, copiati,
modificati o cancellati in modo non autorizzato durante i
trasferimenti di dati personali o il trasporto di supporti di dati
(«controllo del trasporto»);
i) garantire che, in caso di interruzione, i sistemi utilizzati
possano essere ripristinati («recupero»);
l) garantire che le funzioni del sistema siano operative, che
eventuali errori di funzionamento siano segnalati («affidabilita’») e
che i dati personali conservati non possano essere falsati da un
errore di funzionamento del sistema («integrita’»).

Art. 26

Notifica al Garante
di una violazione di dati personali

1. Salvo quanto previsto dall’articolo 37, comma 6, in caso di
violazione di dati personali, il titolare del trattamento notifica la
violazione al Garante con le modalita’ di cui all’articolo 33 del
regolamento UE.
2. Se la violazione dei dati personali riguarda dati personali che
sono stati trasmessi dal o al titolare del trattamento di un altro
Stato membro, le informazioni previste dal citato articolo 33 del
regolamento UE sono comunicate, senza ingiustificato ritardo, al
titolare del trattamento di tale Stato membro.

Art. 27

Comunicazione di una violazione
di dati personali all’interessato

1. Quando la violazione di dati personali e’ suscettibile di
presentare un rischio elevato per i diritti e le liberta’ delle
persone fisiche, si osservano le disposizioni in tema di
comunicazioni di cui all’articolo 34 del regolamento UE.
2. La comunicazione all’interessato di cui al comma 1 puo’ essere
ritardata, limitata od omessa alle condizioni e per i motivi di cui
all’articolo 14, comma 2.

Sezione III
Responsabile della protezione dei dati

Art. 28

Designazione del responsabile
della protezione dei dati

1. Il titolare del trattamento designa un responsabile della
protezione dei dati.
2. Il responsabile della protezione dei dati e’ designato in
funzione delle qualita’ professionali, in particolare della
conoscenza specialistica della normativa e delle prassi in materia di
protezione dei dati, e della capacita’ di assolvere i compiti di cui
all’articolo 30.
3. Puo’ essere designato un unico responsabile della protezione dei
dati per piu’ autorita’ competenti, tenuto conto della loro struttura
organizzativa e dimensione.
4. Il titolare del trattamento pubblica i dati di contatto del
responsabile della protezione dei dati e, salvo quanto previsto
dall’articolo 37, comma 6, li comunica al Garante.

Art. 29

Posizione del responsabile
della protezione dei dati

1. Il titolare del trattamento si assicura che il responsabile
della protezione dei dati sia coinvolto adeguatamente e
tempestivamente in tutte le questioni riguardanti la protezione dei
dati personali.
2. Il titolare del trattamento coadiuva il responsabile della
protezione dei dati nell’esecuzione dei compiti di cui all’articolo
30 fornendogli le risorse necessarie per assolvere tali compiti, per
accedere ai dati personali e ai trattamenti e per mantenere la
propria conoscenza specialistica.

Art. 30

Compiti del responsabile
della protezione dei dati

1. Il titolare del trattamento conferisce al responsabile della
protezione dei dati almeno i seguenti compiti:
a) informare il titolare del trattamento e i dipendenti che
effettuano il trattamento degli obblighi derivanti dal presente
decreto nonche’ da altre disposizioni dell’Unione europea o dello
Stato relative alla protezione dei dati;
b) vigilare sull’osservanza del presente decreto e di altre
disposizioni dell’Unione europea o dello Stato relative alla
protezione dei dati nonche’ delle previsioni di programma del
titolare del trattamento in materia di protezione dei dati personali,
compresi l’attribuzione delle responsabilita’, la sensibilizzazione e
la formazione del personale che partecipa ai trattamenti e alle
connesse attivita’ di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione
d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai
sensi dell’articolo 23;
d) cooperare con il Garante;
e) fungere da punto di contatto per il Garante per questioni
connesse al trattamento, tra cui la consultazione preventiva di cui
all’articolo 24, ed effettuare, ove necessario, consultazioni
relativamente a qualunque altra questione.

Capo IV
Trasferimento di dati personali verso paesi terzi o organizzazioni
internazionali

Art. 31

Principi generali in materia
di trasferimento di dati personali

1. Il trasferimento di dati personali oggetto di un trattamento o
destinati a essere oggetto di un trattamento dopo il trasferimento
verso un Paese terzo o un’organizzazione internazionale, compresi
trasferimenti successivi verso un altro Paese terzo o un’altra
organizzazione internazionale e’ consentito se:
a) il trasferimento e’ necessario per le finalita’ di cui
all’articolo 1, comma 2;
b) i dati personali sono trasferiti al titolare del trattamento
in un Paese terzo o a un’organizzazione internazionale che sia
un’autorita’ competente per le finalita’ di cui all’articolo 1, comma
2;
c) qualora i dati personali siano trasmessi o resi disponibili da
uno Stato membro, tale Stato ha fornito la propria autorizzazione
preliminare al trasferimento conformemente al proprio diritto
nazionale;
d) la Commissione europea ha adottato una decisione di
adeguatezza, a norma dell’articolo 32 o, in mancanza, sono state
fornite o esistono garanzie adeguate ai sensi dell’articolo 33; in
assenza di una decisione di adeguatezza e di garanzie adeguate, si
applicano deroghe per situazioni specifiche ai sensi dell’articolo
34; e
e) in caso di trasferimento successivo a un altro Paese terzo o a
un’altra organizzazione internazionale, l’autorita’ competente che ha
effettuato il trasferimento originario o un’altra autorita’
competente dello stesso Stato membro autorizza il trasferimento
successivo dopo avere valutato tutti i fattori pertinenti, tra cui la
gravita’ del reato, la finalita’ per la quale i dati personali sono
stati trasferiti e il livello di protezione dei dati personali
previsto nel Paese terzo o nell’organizzazione internazionale verso i
quali i dati personali sono successivamente trasferiti.
2. In assenza dell’autorizzazione preliminare di un altro Stato
membro di cui al comma 1, lettera c), il trasferimento di dati
personali e’ consentito solo se necessario per prevenire una minaccia
grave e immediata alla sicurezza pubblica di uno Stato membro o di un
Paese terzo o agli interessi vitali di uno Stato membro e
l’autorizzazione preliminare non puo’ essere ottenuta
tempestivamente. L’autorita’ competente a rilasciare l’autorizzazione
preliminare e’ informata senza ritardo.

Art. 32

Trasferimento sulla base
di una decisione di adeguatezza

1. Il trasferimento di dati personali verso un Paese terzo o
un’organizzazione internazionale e’ consentito se la Commissione
europea ha deciso che il Paese terzo, un territorio o uno o piu’
settori specifici all’interno del Paese terzo, o l’organizzazione
internazionale garantiscono un livello di protezione adeguato. In tal
caso non sono necessarie autorizzazioni specifiche.

Art. 33

Trasferimenti soggetti a garanzie adeguate

1. In mancanza o in caso di revoca, modifica o sospensione di una
decisione di adeguatezza di cui all’articolo 32, il trasferimento di
dati personali verso un Paese terzo o un’organizzazione
internazionale e’ consentito se:
a) sono fornite garanzie adeguate per la protezione dei dati
personali attraverso uno strumento giuridicamente vincolante; o
b) il titolare del trattamento, valutate tutte le circostanze
relative allo specifico trasferimento, ritiene che sussistano
garanzie adeguate per la protezione dei dati personali.
2. Il titolare del trattamento informa il Garante dei trasferimenti
effettuati ai sensi del comma 1, lettera b), e ne conserva
documentazione che, su richiesta, mette a disposizione del Garante,
con l’indicazione della data e dell’ora del trasferimento,
dell’autorita’ competente ricevente, della motivazione del
trasferimento e dei dati personali trasferiti.

Art. 34

Deroghe in situazioni specifiche

1. In mancanza o in caso di revoca, modifica o sospensione di una
decisione di adeguatezza ai sensi dell’articolo 32 o di garanzie
adeguate di cui all’articolo 33, il trasferimento o una categoria di
trasferimenti di dati personali verso un Paese terzo o
un’organizzazione internazionale sono consentiti se necessari per una
delle seguenti finalita’:
a) per tutelare un interesse vitale dell’interessato o di
un’altra persona;
b) per salvaguardare i legittimi interessi dell’interessato
quando lo preveda il diritto dello Stato membro che trasferisce i
dati personali;
c) per prevenire una minaccia grave e immediata alla sicurezza
pubblica di uno Stato membro o di un Paese terzo;
d) in singoli casi, per le finalita’ di cui all’articolo 1, comma
2;
e) in singoli casi, per accertare, esercitare o difendere un
diritto in sede giudiziaria in relazione alle finalita’ di cui
all’articolo 1, comma 2.
2. Nei casi di cui al comma 1, lettere d) ed e), i dati personali
non sono trasferiti se l’autorita’ competente che effettua il
trasferimento valuta i diritti e le liberta’ fondamentali
dell’interessato prevalenti rispetto all’interesse pubblico al
trasferimento.
3. Il trasferimento effettuato ai sensi del comma 1 deve essere
documentato e, su richiesta, la documentazione deve essere messa a
disposizione del Garante con l’indicazione della data e dell’ora del
trasferimento, dell’autorita’ competente ricevente, della motivazione
del trasferimento e dei dati personali trasferiti.

Art. 35

Trasferimenti di dati personali
a destinatari stabiliti in Paesi terzi

1. In deroga a quanto previsto dall’articolo 31, comma 1, lettera
b), e fatti salvi eventuali accordi internazionali di cui al comma 2,
le autorita’ competenti di cui all’articolo 2, comma 1, lettera g),
numero 1), possono, in singoli e specifici casi previsti da norme di
legge o di regolamento o dal diritto dell’Unione europea, trasferire
dati personali direttamente a destinatari stabiliti in Paesi terzi
se:
a) il trasferimento e’ strettamente necessario per l’assolvimento
di un compito previsto dal diritto dell’Unione europea o
dall’ordinamento interno, per le finalita’ di cui all’articolo 1,
comma 2;
b) l’autorita’ competente che effettua il trasferimento valuta
che i diritti e le liberta’ fondamentali dell’interessato non
prevalgono sull’interesse pubblico che rende necessario il
trasferimento;
c) l’autorita’ competente che effettua il trasferimento ritiene
che il trasferimento a un’autorita’ per le finalita’ di cui
all’articolo 1, comma 2, nel Paese terzo sia inefficace o inidoneo,
in particolare in quanto non puo’ essere effettuato tempestivamente;
d) l’autorita’ competente ai fini di cui all’articolo 1, comma 2,
nel Paese terzo e’ informata senza ingiustificato ritardo, salvo che
cio’ pregiudichi la finalita’ per cui il trasferimento e’ effettuato;
e) l’autorita’ competente che effettua il trasferimento informa
il destinatario della finalita’ specifica o delle finalita’
specifiche per le quali i dati personali devono essere trattati, a
condizione che tale trattamento sia necessario.
2. Per accordo internazionale di cui al comma 1 si intende
qualsiasi accordo internazionale bilaterale o multilaterale in vigore
tra gli Stati membri e Paesi terzi nel settore della cooperazione
giudiziaria in materia penale e della cooperazione di polizia.
3. L’autorita’ competente informa il Garante dei trasferimenti
previsti dal presente articolo.
4. Il trasferimento effettuato ai sensi del comma 1 e’ documentato.

Art. 36

Cooperazione internazionale per la protezione dei dati personali e
accordi internazionali precedentemente conclusi

1. In relazione ai Paesi terzi e alle organizzazioni
internazionali, sono adottate misure appropriate per le finalita’ di
cui all’articolo 50 del regolamento UE.
2. Restano in vigore, fino alla loro modifica, sostituzione o
revoca, gli accordi internazionali relativi al trasferimento di dati
personali verso Paesi terzi o organizzazioni internazionali conclusi
anteriormente al 6 maggio 2016 e che sono conformi al diritto
dell’Unione europea applicabile a tale data.

Capo V
Tutela e sanzioni amministrative

Art. 37

Autorita’ di controllo

1. Il Garante e’ l’autorita’ di controllo incaricata di vigilare
sull’applicazione delle norme di cui al presente decreto, al fine di
tutelare i diritti e le liberta’ fondamentali delle persone fisiche
con riguardo al trattamento di dati personali e di agevolare la
libera circolazione dei dati all’interno dell’Unione europea.
2. Ai fini di cui al comma 1 sono attribuite al Garante le funzioni
di cui all’articolo 154 del Codice, nonche’ le seguenti:
a) promozione di una diffusa conoscenza e della consapevolezza
circa i rischi, le norme, le garanzie e i diritti in relazione al
trattamento;
b) promozione della consapevolezza in capo ai titolari e
responsabili del trattamento dell’importanza degli obblighi previsti
dal presente decreto;
c) espressione di pareri nei casi previsti dalla legge;
d) rilascio, su richiesta dell’interessato, di informazioni in
merito all’esercizio dei diritti previsti dal presente decreto e, se
del caso, cooperazione, a tal fine, con le autorita’ di controllo di
altri Stati membri;
e) trattazione dei reclami proposti da un interessato, da un
organismo, un’organizzazione o un’associazione ai sensi dell’articolo
40 e compimento delle indagini sull’oggetto del reclamo, informando
il reclamante dello stato e dell’esito delle indagini entro un
termine ragionevole, in particolare ove siano necessarie ulteriori
indagini o un coordinamento con un’altra autorita’ di controllo;
f) supporto agli interessati nella proposizione dei reclami;
g) accertamento della liceita’ del trattamento ai sensi
dell’articolo 13 e informazione all’interessato entro un termine
ragionevole dell’esito della verifica ai sensi del comma 3 di detto
articolo, o dei motivi per cui non e’ stata effettuata;
h) collaborazione, anche tramite scambi di informazioni, con le
altre autorita’ di controllo e attivita’ di assistenza reciproca, al
fine di garantire l’applicazione e l’attuazione del presente decreto;
i) verifica degli sviluppi tecnologici e sociali che presentano
un interesse, se ed in quanto incidenti sulla protezione dei dati
personali, in particolare l’evoluzione delle tecnologie
dell’informazione e della comunicazione;
l) prestazione di consulenza in merito ai trattamenti di cui
all’articolo 24;
m) contribuzione alle attivita’ del comitato di cui all’articolo
68 del regolamento UE;
3. Ai fini di cui al comma 1 sono attribuiti al Garante i seguenti
poteri:
a) svolgere indagini sull’applicazione del presente decreto,
anche sulla base di informazioni ricevute da un’altra autorita’ di
controllo o da un’altra autorita’ pubblica. Lo svolgimento delle
indagini e’ disciplinato dalle disposizioni del Codice;
b) ottenere, dal titolare del trattamento e dal responsabile del
trattamento, l’accesso a tutti i dati personali oggetto del
trattamento e a tutte le informazioni necessarie per l’adempimento
dei suoi compiti;
c) rivolgere avvertimenti al titolare del trattamento o al
responsabile del trattamento in ordine alle possibili violazioni
delle norme del presente decreto;
d) ingiungere al titolare del trattamento o al responsabile del
trattamento di conformare i trattamenti alle disposizioni del
presente decreto, se del caso, con specifiche modalita’ ed entro un
determinato termine, ordinando in particolare la rettifica o la
cancellazione di dati personali o la limitazione del trattamento ai
sensi dell’articolo 12;
e) imporre una limitazione provvisoria o definitiva al
trattamento, incluso il divieto e il blocco dello stesso;
f) promuovere la segnalazione riservata di violazioni del
presente decreto;
g) denunciare i reati dei quali viene a conoscenza nell’esercizio
o a causa delle funzioni;
h) predisporre annualmente una relazione sull’attivita’ svolta,
da trasmettere al Parlamento e al Governo, ai sensi dell’articolo
154, comma 1, del Codice e da mettere a disposizione del pubblico,
della Commissione europea e del comitato di cui all’articolo 68 del
regolamento UE, in cui puo’ figurare un elenco delle tipologie di
violazioni notificate e di sanzioni imposte.
4. I poteri di cui al comma 3 sono esercitati nei modi, nelle forme
e con le garanzie previste dalla legge.
5. Le funzioni e i poteri di cui ai commi 2 e 3 sono esercitati
senza spese per l’interessato o per il responsabile della protezione
dati. Il Garante non provvede in ordine alle richieste manifestamente
infondate o inammissibili in quanto ripropongono, senza nuovi
elementi, richieste gia’ rigettate.
6. Il Garante non e’ competente in ordine al controllo del rispetto
delle norme del presente decreto, limitatamente ai trattamenti
effettuati dall’autorita’ giudiziaria nell’esercizio delle funzioni
giurisdizionali, nonche’ di quelle giudiziarie del pubblico
ministero.

Art. 38

Assistenza reciproca

1. Il Garante coopera con la Commissione europea al fine di
contribuire alla coerente applicazione del diritto dell’Unione in
materia di protezione dei dati personali, scambia con le autorita’ di
controllo degli altri Stati membri le informazioni utili e presta
assistenza reciproca al fine di attuare e applicare il presente
decreto in maniera coerente, e di cooperare efficacemente con loro.
L’assistenza reciproca comprende le richieste di informazioni e le
misure di controllo, quali le richieste di effettuare consultazioni,
ispezioni e indagini.
2. Il Garante adotta, con proprio provvedimento, le misure di cui
all’articolo 61, paragrafo 2, del regolamento UE.
3. Le richieste di assistenza sono conformi alle modalita’ di cui
all’articolo 61, paragrafo 3, del regolamento UE.
4. Il Garante non puo’ rifiutare di dare seguito alla richiesta,
salvo che sia incompetente o l’intervento richiesto violi il diritto
interno o dell’Unione europea.
5. Il Garante osserva le disposizioni di cui all’articolo 61,
paragrafi 5, 6 e 7, del regolamento UE.

Art. 39

Reclamo al Garante
e ricorso giurisdizionale

1. Fermo quanto previsto dall’articolo 37, comma 6, l’interessato,
se ritiene che il trattamento dei dati personali che lo riguardano
violi le disposizioni del presente decreto, puo’ proporre reclamo al
Garante, con le modalita’ di cui agli articoli 142 e 143 del Codice.
2. Il Garante informa l’interessato dello stato o dell’esito del
reclamo, compresa la possibilita’ del ricorso giurisdizionale.
3. Per l’inosservanza delle disposizioni del presente decreto in
violazione dei suoi diritti, l’interessato puo’ proporre ricorso
giurisdizionale secondo quanto previsto e regolato dalla disciplina
contenuta nella parte III, titolo I, capo II del Codice.

Art. 40

Rappresentanza degli interessati

1. L’interessato puo’ dare mandato a un ente del terzo settore
soggetto alla disciplina del decreto legislativo 3 luglio 2017, n.
117, che sia attivo nel settore della tutela dei diritti e delle
liberta’ degli interessati con riguardo alla protezione dei dati
personali, al fine di esercitare per suo conto i diritti di cui
all’articolo 39, ferme le disposizioni in materia di patrocinio
previste dal codice di procedura civile.

Art. 41

Diritto al risarcimento

1. Il titolare o il responsabile del trattamento sono tenuti, a
norma dell’articolo 82 del regolamento UE, al risarcimento del danno
patrimoniale o non patrimoniale cagionato da un trattamento o da
qualsiasi altro atto compiuti in violazione delle disposizioni del
presente decreto.

Art. 42

Sanzioni amministrative

1. Salvo che il fatto costituisca reato e ad esclusione dei
trattamenti svolti in ambito giudiziario, la violazione delle
disposizioni di cui all’articolo 3, comma 1, lettere a), b), d), e)
ed f), all’articolo 4, commi 2 e 3, all’articolo 6, commi 3 e 4,
all’articolo 7, all’articolo 8, e’ punita con la sanzione
amministrativa del pagamento di una somma da 50.000 euro a 150.000
euro. La medesima sanzione amministrativa si applica al trasferimento
dei dati personali verso un Paese terzo o un’organizzazione
internazionale in assenza della decisione di adeguatezza della
Commissione europea, salvo quanto previsto dagli articoli 33 e 34.
2. Salvo che il fatto costituisca reato e ad esclusione dei
trattamenti svolti in ambito giudiziario, e’ punita con la sanzione
amministrativa del pagamento di una somma da 20.000 euro a 80.000
euro la violazione delle disposizioni di cui all’articolo 14, comma
2. Con la medesima sanzione e’ punita la violazione delle
disposizioni di cui all’articolo 17, comma 2, all’articolo 18, commi
1, 2, 3 e 4, all’articolo 19, all’articolo 20, all’articolo 21,
all’articolo 22, all’articolo 23, all’articolo 24, commi 1 e 4,
all’articolo 26, all’articolo 27, all’articolo 28, commi 1 e 4,
all’articolo 29, comma 2.
3. Nella determinazione della sanzione amministrativa da applicare
secondo quanto previsto dai commi 1 e 2 si tiene conto dei criteri di
cui all’articolo 83, paragrafo 2, lettere a), b), c), d), e), f), g),
h), i), k), del regolamento UE.
4. Il procedimento per l’applicazione delle sanzioni e’ regolato
dall’articolo 166 del Codice. Si applica altresi’ l’articolo 165 del
Codice.

Capo VI
Illeciti penali

Art. 43

Trattamento illecito di dati

1. Salvo che il fatto costituisca piu’ grave reato, chiunque, al
fine di trarne per se’ o per altri profitto o di recare ad altri un
danno, procede al trattamento di dati personali in violazione di
quanto disposto dall’articolo 5, comma 1, e’ punito, se dal fatto
deriva nocumento, con la reclusione da sei mesi a un anno e sei mesi
o, se la condotta comporta comunicazione o diffusione dei dati, con
la reclusione da sei mesi a due anni.
2. Salvo che il fatto costituisca piu’ grave reato, chiunque, al
fine di trarne per se’ o per altri profitto o di recare ad altri un
danno, procede al trattamento di dati personali in violazione di
quanto disposto dall’articolo 7 o dall’articolo 8, comma 4, e’
punito, se dal fatto deriva nocumento, con la reclusione da uno a tre
anni.

Art. 44

Falsita’ in atti e dichiarazioni al Garante

1. Salvo che il fatto costituisca piu’ grave reato, chiunque, in un
procedimento dinanzi al Garante riguardante il trattamento dei dati
di cui all’articolo 1, comma 2, o nel corso di accertamenti
riguardanti i medesimi dati, dichiara o attesta falsamente notizie o
circostanze o produce atti o documenti falsi, e’ punito con la
reclusione da sei mesi a tre anni.

Art. 45

Inosservanza di provvedimenti del Garante

1. Chiunque, essendovi tenuto, non osserva il provvedimento
adottato dal Garante ai sensi dell’articolo 143, comma 1, lettera c),
del Codice, in un procedimento riguardante il trattamento dei dati di
cui all’articolo 1, comma 2, e’ punito con la reclusione da tre mesi
a due anni.

Art. 46

Pene accessorie

1. La condanna per uno dei delitti previsti dal presente decreto
importa la pubblicazione della sentenza, ai sensi dell’articolo 36,
secondo e terzo comma, del codice penale.

Capo VII
Disposizioni integrative sui trattamenti
delle Forze di polizia

Art. 47

Modalita’ di trattamento e flussi di dati
da parte delle Forze di polizia

1. Nei casi in cui le autorita’ di pubblica sicurezza o le Forze di
polizia possono acquisire in conformita’ alle vigenti disposizioni di
legge o di regolamento dati, informazioni, atti e documenti da altri
soggetti, l’acquisizione puo’ essere effettuata anche per via
telematica. A tal fine gli organi o uffici interessati possono
avvalersi di convenzioni volte ad agevolare la consultazione da parte
dei medesimi organi o uffici, mediante reti di comunicazione
elettronica, di pubblici registri, elenchi, schedari e banche di
dati, nel rispetto delle pertinenti disposizioni e dei principi di
cui agli articoli da 3 a 8. Le convenzioni-tipo sono adottate dal
Ministero dell’interno, su conforme parere del Garante, e
stabiliscono le modalita’ dei collegamenti e degli accessi anche al
fine di assicurare l’accesso selettivo ai soli dati necessari al
perseguimento delle finalita’ di cui all’articolo 1, comma 2.
2. I dati trattati dalle Forze di polizia per le finalita’ di cui
all’articolo 1, comma 2, sono conservati separatamente da quelli
registrati per finalita’ amministrative che non richiedono il loro
utilizzo.
3. Fermo restando quanto previsto dagli articoli da 2 a 7, il
Centro elaborazione dati del Dipartimento della pubblica sicurezza
assicura l’aggiornamento periodico, la proporzionalita’, la
pertinenza e la non eccedenza dei dati personali trattati anche
attraverso interrogazioni autorizzate del casellario giudiziale e del
casellario dei carichi pendenti del Ministero della giustizia di cui
al decreto del Presidente della Repubblica 14 novembre 2002, n. 313,
o di altre banche di dati delle Forze di polizia, necessarie per le
finalita’ di cui all’articolo 1, comma 1.
4. Gli organi, uffici e comandi di polizia verificano
periodicamente i requisiti di cui agli articoli da 2 a 7 in
riferimento ai dati trattati anche senza l’ausilio di strumenti
elettronici, e provvedono al loro aggiornamento anche sulla base
delle procedure adottate dal Centro elaborazione dati ai sensi del
comma 3, o, per i trattamenti effettuati senza l’ausilio di strumenti
elettronici, mediante annotazioni o integrazioni dei documenti che li
contengono.

Art. 48

Tutela dell’interessato

1. Restano ferme le disposizioni di cui dall’articolo 10, commi 3,
4 e 5, della legge 1° aprile 1981, n. 121, e successive
modificazioni, concernenti i controlli sul Centro elaborazione dati
del Dipartimento della pubblica sicurezza.
2. Le disposizioni di cui all’articolo 10, commi 3, 4 e 5, della
legge n. 121 del 1981, si applicano, oltre ai dati destinati a
confluire nel Centro elaborazione dati di cui al comma 1, ai dati
trattati con l’ausilio di strumenti elettronici da organi, uffici o
comandi delle Forze di polizia di cui all’articolo 16 della predetta
legge n. 121 del 1981.

Capo VIII
Disposizioni di coordinamento e abrogazioni

Art. 49

Abrogazioni e disposizioni di coordinamento

1. Gli articoli 53, 54, 55 e 56 del Codice sono abrogati.
2. L’articolo 57 del Codice e’ abrogato decorso un anno dalla data
di entrata in vigore del presente decreto.
3. I decreti adottati in attuazione degli articoli 53 e 57 del
Codice continuano ad applicarsi fino all’adozione di diversa
disciplina ai sensi degli articoli 5, comma 2, e 9, comma 5.

Art. 50

Clausola di invarianza finanziaria

1. Dall’attuazione delle disposizioni di cui al presente decreto
non devono derivare nuovi o maggiori oneri per la finanza pubblica.
Le amministrazioni interessate provvedono agli adempimenti previsti
dal presente decreto con le risorse umane, finanziarie e strumentali
disponibili a legislazione vigente.
Il presente decreto, munito del sigillo dello Stato, sara’ inserito
nella Raccolta ufficiale degli atti normativi della Repubblica
italiana. E’ fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare.
Dato a Roma, addi’ 18 maggio 2018

MATTARELLA

Gentiloni Silveri, Presidente del
Consiglio dei ministri

Orlando, Ministro della giustizia

Alfano, Ministro degli affari esteri
e della cooperazione internazionale

Minniti, Ministro dell’interno

Padoan, Ministro dell’economia e
delle finanze

Visto, il Guardasigilli: Orlando

Versione per la stampa