|
In caso di esistenza contratto
con LIP s.n.c. ti avvertiamo che:
Ai sensi dell'art. 10 della
Legge n. 675 del 1996, Ti informiamo che il trattamento dei Tuoi dati,
che avverrà con modalità informatica, ha come scopo quello di procedere
alla esecuzione del contratto.
Ove necessario alla esecuzione del contratto provvederemo a trasmettere
i Tuoi dati alle società di consulenza professionale, nonché alle altre
società che provvederanno a trattare fasi di vendita o spedizione dei
prodotti.
Il conferimento dei dati è obbligatorio in quanto è necessario allo scopo
di eseguire il contratto di vendita o di assistenza.
In ogni caso non utilizzeremo le informazioni in nostro possesso per scopi
diversi da quelli di cui sopra, né li comunicheremo ad altre società.
In relazione al trattamento dei dati Tu potrai esercitare presso le competenti
sedi i diritti previsti dall'art. 13 della Legge n. 675 del 1996.
Noi siamo titolari del trattamento dei Tuoi dati.
Legge applicabile.
Tutti i contratti conclusi con noi si intendono perfezionati in Italia
e sono sottoposti alla Legge italiana Legge 31 dicembre 1996, n. 675 Tutela
delle persone e di altri soggetti rispetto al trattamento dei dati personali
pubblicata nella Gazzetta Ufficiale n. 5 dello 8 gennaio 1997 - Supplemento
Ordinario n. 3
CAPO I PRINCIPI GENERALI
- Art. 1.(Finalita' e definizioni).1.
La presente legge garantisce che il trattamento dei dati personali si
svolga nel rispetto dei diritti, delle libertà fondamentali, nonché
della dignità delle persone fisiche, con particolare riferimento alla
riservatezza e all'identità personale; garantisce altresì i diritti
delle persone giuridiche e di ogni altro ente o associazione. 2. Ai
fini della presente legge si intende:a) per banca di dati, qualsiasi
complesso di dati personali, ripartito in una o piu' unità dislocate
in uno o più siti, organizzato secondo una pluralità di criteri determinati
tali da facilitarne il trattamento;b) per trattamento, qualunque operazione
o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici
o comunque automatizzati, concernenti la raccolta, la registrazione,
organizzazione, la conservazione, l'elaborazione, la modificazione,
la selezione, estrazione, il raffronto, utilizzo, interconnessione,
il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione
di dati;c) per dato personale, qualunque informazione relativa a persona
fisica, persona giuridica, ente od associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra informazione,
ivi compreso un numero di identificazione personale;d) per titolare,
la persona fisica, la persona giuridica, la pubblica amministrazione
e qualsiasi altro ente, associazione od organismo cui competono le decisioni
in ordine alle finalità ed alle modalità del trattamento di dati personali,
ivi compreso il profilo della sicurezza;e) per responsabile, la persona
fisica, la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo preposti dal titolare al trattamento
di dati personali;f) per interessato, la persona fisica, la persona
giuridica, l'ente o l'associazione cui si riferiscono i dati personali;g)
per comunicazione, il dare conoscenza dei dati personali a uno o più
soggetti determinati diversi dall'interessato, in qualunque forma, anche
mediante la loro messa a disposizione o consultazione;h) per diffusione,
il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque
forma, anche mediante la loro messa a disposizione o consultazione;i)
per dato anonimo, il dato che in origine, o a seguito di trattamento,
non può essere associato ad un interessato identificato o identificabile)
per blocco, la conservazione di dati personali con sospensione temporanea
di ogni altra operazione del trattamento;m) per Garante, l'autorità
istituita ai sensi dell'articolo 30.
- Art. 2.(Ambito di applicazione).1.
La presente legge si applica al trattamento di dati personali da chiunque
effettuato nel territorio dello Stato.
- Art. 3.(Trattamento di
dati per fini esclusivamente personali).1. Il trattamento di dati personali
effettuato da persone fisiche per fini esclusivamente personali non
è soggetto alla applicazione della presente legge, semprechè i dati
non siano destinati ad una comunicazione sistematica o alla diffusione.
2. Al trattamento di cui al comma 1 si applicano in ogni caso le disposizioni
in tema di sicurezza dei dati di cui al articolo 15, nonchè le disposizioni
di cui agli articoli 18 e 36.
- Art. 4.(Particolari trattamenti
in ambito pubblico).1. La presente legge non si applica al trattamento
di dati personali effettuato:a) dal Centro elaborazione dati di cui
all'articolo 8 della legge 1 aprile 1981, n. 121, come modificato dal
articolo 43, comma 1, della presente legge, ovvero sui dati destinati
a confluirvi in base alla legge, nonchè in virtù del accordo di adesione
alla Convenzione di applicazione dell'Accordo di Schengen, reso esecutivo
con legge 30 settembre 1993, n. 388;b) dagli organismi di cui agli articoli
3, 4 e 6 della legge 24 ottobre 1977, n. 801, ovvero sui dati coperti
da segreto di Stato ai sensi dell'articolo 12 della medesima legge;c)
nel ambito del servizio del casellario giudiziale di cui al titolo IV
del libro decimo del codice di procedura penale e al regio decreto 18
giugno 1931, n. 778, e successive modificazioni, o, in base alla legge,
nel ambito del servizio dei carichi pendenti nella materia penale;d)
in attuazione del articolo 371-bis, comma 3, del codice di procedura
penale o, per ragioni di giustizia, nel ambito di uffici giudiziari,
del Consiglio superiore della magistratura e del Ministero di grazia
e giustizia;e) da altri soggetti pubblici per finalità di difesa o di
sicurezza dello Stato o di prevenzione, accertamento o repressione dei
reati, in base ad espresse disposizioni di legge che prevedano specificamente
il trattamento. 2. Ai trattamenti di cui al comma 1 si applicano in
ogni caso le disposizioni di cui agli articoli 9, 15, 17, 18, 31, 32,
commi 6 e 7, e 36, nonchè, fatta eccezione per i trattamenti di cui
alla lettera b) del comma 1, le disposizioni di cui agli articoli 7
e 34.
- Art. 5.(Trattamento di
dati svolto senza l'ausilio di mezzi elettronici).1. Il trattamento
di dati personali svolto senza l'ausilio di mezzi elettronici o comunque
automatizzati è soggetto alla medesima disciplina prevista per il trattamento
effettuato con ausilio di tali mezzi.
- Art. 6.(Trattamento di
dati detenuti all'estero).1. Il trattamento nel territorio dello Stato
di dati personali detenuti all'estero è soggetto alle disposizioni della
presente legge. 2. Se il trattamento di cui al comma 1 consiste in un
trasferimento di dati personali fuori dal territorio nazionale si applicano
in ogni caso le disposizioni dell'articolo 28.
CAPO II OBBLIGHI PER IL TITOLARE DEL TRATTAMENTO
- Art. 7.(Notificazione)
1. Il titolare che intenda procedere ad un trattamento di dati personali
soggetto al campo di applicazione della presente legge è tenuto
a darne notificazione al Garante. 2. La notificazione è effettuata
preventivamente ed una sola volta, a mezzo di lettera raccomandata
ovvero con altro mezzo idoneo a certificarne la ricezione, a prescindere
dal numero delle operazioni da svolgere, nonchè dalla durata del
trattamento e può riguardare uno o piu' trattamenti con finalità
correlate. Una nuova notificazione è richiesta solo se muta taluno
degli elementi indicati nel comma 4 e deve precedere l'effettuazione
della variazione. 3. La notificazione e' sottoscritta dal notificante
e dal responsabile del trattamento. 4. La notificazione contiene:a)
il nome, la denominazione o la ragione sociale e il domicilio, la
residenza o la sede del titolare;b) le finalità e modalità del trattamento;c)
la natura dei dati, il luogo ove sono custoditi e le categorie di
interessati cui i dati si riferiscono;d) l'ambito di comunicazione
e di diffusione dei dati;e) i trasferimenti di dati previsti verso
Paesi non appartenenti all'Unione europea o, qualora riguardino
taluno dei dati di cui agli articoli 22 e 24, fuori del territorio
nazionale;f) una descrizione generale che permetta di valutare l'adeguatezza
delle misure tecniche ed organizzative adottate per la sicurezza
dei dati;g) l'indicazione della banca di dati o delle banche di
dati cui si riferisce il trattamento, nonchè l'eventuale connessione
con altri trattamenti o banche di dati, anche fuori dal territorio
nazionale;h) il nome, la denominazione o la ragione sociale e il
domicilio, la residenza o la sede del responsabile; in mancanza
di tale indicazione si considera responsabile il notificante;i)
la qualità e la legittimazione del notificante. 5. I soggetti tenuti
ad iscriversi o che devono essere annotati nel registro delle imprese
di cui all'articolo 2188 del codice civile, nonchè coloro che devono
fornire le informazioni di cui all'articolo 8, comma 8, lettera
d), della legge 29 dicembre 1993, n. 580, alle camere di commercio,
industria, artigianato e agricoltura, possono effettuare la notificazione
per il tramite di queste ultime, secondo le modalità stabilite con
il regolamento di cui all'articolo 33, comma 3. I piccoli imprenditori
e gli artigiani possono effettuare la notificazione anche per il
tramite delle rispettive rappresentanze di categoria; gli iscritti
agli albi professionali anche per il tramite dei rispettivi ordini
professionali. Resta in ogni caso ferma la disposizione di cui al
comma 3.
- Art. 8.(Responsabile).1.
Il responsabile, se designato, deve essere nominato tra soggetti
che per esperienza, capacità ed affidabilità, forniscano idonea
garanzia del pieno rispetto delle vigenti disposizioni in materia
di trattamento, ivi compreso il profilo relativo alla sicurezza.
2. Il responsabile procede al trattamento attenendosi alle istruzioni
impartite dal titolare il quale, anche tramite verifiche periodiche,
vigila sulla puntuale osservanza delle disposizioni di cui al comma
1 e delle proprie istruzioni. 3. Ove necessario per esigenze organizzative,
possono essere designati responsabili più soggetti, anche mediante
suddivisione di compiti. 4. I compiti affidati al responsabile devono
essere analiticamente specificati per iscritto. 5. Gli incaricati
del trattamento devono elaborare i dati personali ai quali hanno
accesso attenendosi alle istruzioni del titolare o del responsabile.
CAPO III TRATTAMENTO DEI DATI PERSONALI Sezione IRaccolta e requisiti
dei dati
- Art. 9. (Modalità
di raccolta e requisiti dei dati personali).1. I dati personali
oggetto di trattamento devono essere:a) trattati in modo lecito
e secondo correttezza;b) raccolti e registrati per scopi determinati,
espliciti e legittimi, ed utilizzati in altre operazioni del
trattamento in termini non incompatibili con tali scopi;c) esatti
e, se necessario, aggiornati;d) pertinenti, completi e non eccedenti
rispetto alle finalità per le quali sono raccolti o successivamente
trattati;e) conservati in una forma che consenta l'identificazione
dell'interessato per un periodo di tempo non superiore a quello
necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati.
- Art. 10.(Informazioni
rese al momento detta raccolta).1. L'interessato o la persona
presso la quale sono raccolti i dati personali devono essere
previamente informati per iscritto circa:a) le finalità e le
modalità del trattamento cui sono destinati i dati;b) la natura
obbligatoria o facoltativa del conferimento dei dati;c) le conseguenze
di un eventuale rifiuto di rispondere;d) i soggetti o le categorie
di soggetti ai quali i dati possono essere comunicati e l'ambito
di diffusione dei dati medesimi;e) i diritti di cui all'articolo
13;f) il nome, la denominazione o la ragione sociale e il domicilio,
la residenza o la sede del titolare e, se designato, del responsabile.
2. L'informativa di cui al comma 1 può non comprendere gli elementi
già noti alla persona che fornisce i dati o la cui conoscenza
può ostacolare l'espletamento di funzioni pubbliche ispettive
o di controllo, svolte per il perseguimento delle finalità di
cui agli articoli 4, comma 1, lettera e), e 14, comma 1, lettera
d). 3. Quando i dati personali non sono raccolti presso l'interessato,
l'informativa di cui al comma 1 e' data al medesimo interessato
all'atto della registrazione dei dati o, qualora sia prevista
la loro comunicazione, non oltre la prima comunicazione. 4.
La disposizione di cui al comma 3 non si applica quando l'informativa
all'interessato comporta un impiego di mezzi che il Garante
dichiari manifestamente sproporzionati rispetto al diritto tutelato,
ovvero rivela, a giudizio del Garante, impossibile, ovvero nel
caso in cui i dati sono trattati in base ad un obbligo previsto
dalla legge, da un regolamento o dalla normativa comunitaria.
La medesima disposizione non si applica, altresì, quando i dati
sono trattati ai fini dello svolgimento delle investigazioni
di cui all'articolo 38 delle norme di attuazione, di coordinamento
e transitorie del codice di procedura penale, approvate con
decreto legislativo 28 luglio 1989, n. 271, e successive modificazioni,
o, comunque, per far valere o difendere un diritto in sede giudiziaria,
sempre che i dati siano trattati esclusivamente per tali finalità
e per il periodo strettamente necessario al loro perseguimento.
Sezione II Diritti dell'interessato del trattamento dei dati
- Art. 11.(Consenso).1.
Il trattamento di dati personali da parte di privati o di
enti pubblici economici e' ammesso solo con il consenso
espresso dellinteressato. 2. Il consenso può riguardare
intero trattamento ovvero una o più operazioni dello stesso.
3. Il consenso è validamente prestato solo se è espresso
liberamente e in forma specifica e documentata per iscritto,
e se sono state rese all'interessato le informazioni di
cui al articolo 10.
- Art. 12.(Casi
di esclusione del consenso).1. Il consenso non è richiesto
quando il trattamento:a) riguarda dati raccolti e detenuti
in base ad un obbligo previsto dalla legge, da un regolamento
o dalla normativa comunitaria;b) è necessario per la esecuzione
di obblighi derivanti da un contratto del quale è parte
linteressato o per lacquisizione di informative precontrattuali
attivate su richiesta di quest'ultimo, ovvero per l'adempimento
di un obbligo legale;c) riguarda dati provenienti da pubblici
registri, elenchi, atti o documenti conoscibili da chiunque;d)
è finalizzato unicamente a scopi di ricerca scientifica
o di statistica e si tratta di dati anonimi;e) viene effettuato
nel esercizio della professione di giornalista e per esclusivo
perseguimento delle relative finalità, nel rispetto del
codice di deontologia di cui al articolo 25;f) riguarda
dati relativi allo svolgimento di attività economiche raccolti
anche ai fini indicati nel articolo 13, comma 1, lettera
e), nel rispetto della vigente normativa in materia di segreto
aziendale e industriale;g) è necessario per la salvaguardia
della vita o della incolumità fisica dell'interessato o
di un terzo, nel caso in cui l'interessato non può prestare
il proprio consenso per impossibilità fisica, per incapacità
di agire o per incapacità di intendere o di volere;h) è
necessario ai fini dello svolgimento delle investigazioni
di cui all'articolo 38 delle norme di attuazione, di coordinamento
e transitorie del codice di procedura penale, approvate
con decreto legislativo 28 luglio 1989, n. 271, e successive
modificazioni, o, comunque, per far valere o difendere un
diritto in sede giudiziaria, sempre che i dati siano trattati
esclusivamente per tali finalità e per il periodo strettamente
necessario al loro perseguimento.
- Art. 13.(Diritti
dell'interessato).1. In relazione al trattamento di dati
personali l'interessato ha diritto:a) di conoscere, mediante
accesso gratuito al registro di cui all'articolo 31, comma
1, lettera a), l'esistenza di trattamenti di dati che possono
riguardarlo;b) di essere informato su quanto indicato all'articolo
7, comma 4, lettere a), b) e h);c) di ottenere, a cura del
titolare o del responsabile, senza ritardo:1) la conferma
dell'esistenza o meno di dati personali che lo riguardano,
anche se non ancora registrati, e la comunicazione in forma
intellegibile dei medesimi dati e della loro origine, nonchè
della logica e delle finalità su cui si basa il trattamento;
la richiesta può essere rinnovata, salva l'esistenza di
giustificati motivi, con intervallo non minore di novanta
giorni;2) la cancellazione, la trasformazione in forma anonima
o il blocco dei dati trattati in violazione di legge, compresi
quelli di cui non è necessaria la conservazione in relazione
agli scopi per i quali i dati sono stati raccolti o successivamente
trattati;3) l'aggiornamento, la rettificazione ovvero, qualora
vi abbia interesse, l'integrazione dei dati;4) l'attestazione
che le operazioni di cui ai numeri 2) e 3) sono state portate
a conoscenza, anche per quanto riguarda il loro contenuto,
di coloro ai quali i dati sono stati comunicati o diffusi,
eccettuato il caso in cui tale adempimento si riveli impossibile
o comporti un impiego di mezzi manifestamente sproporzionato
rispetto al diritto tutelato:d) di opporsi, in tutto o in
parte, per motivi legittimi, al trattamento dei dati personali
che lo riguardano, ancorche' pertinenti allo scopo della
raccolta;e) di opporsi, in tutto o in parte, al trattamento
di dati personali che lo riguardano, previsto a fini di
informazione commerciale o di invio di materiale pubblicitario
o di vendita diretta ovvero per il compimento di ricerche
di mercato o di comunicazione commerciale interattiva e
di essere informato dal titolare, non oltre il momento in
cui i dati sono comunicati o diffusi, della possibilita'
di esercitare gratuitamente tale diritto. 2. Per ciascuna
richiesta di cui al comma 1, lettera c), numero 1), puo'
essere chiesto all'interessato, ove non risulti confermata
l'esistenza di dati che lo riguardano, un contributo spese,
non superiore ai costi effettivamente sopportati, secondo
le modalita' ed entro i limiti stabiliti dal regolamento
di cui all'articolo 33, comma 3. 3. I diritti di cui al
comma 1 riferiti ai dati personali concernenti persone decedute
possono essere esercitati da chiunque vi abbia interesse.
4. Nell'esercizio dei diritti di cui al comma 1 l'interessato
può conferire, per iscritto, delega o procura a persone
fisiche o ad associazioni. 5. Restano ferme le norme sul
segreto professionale degli esercenti la professione di
giornalista, limitatamente alla fonte della notizia.
- Art. 14.(Limiti
all'esercizio dei diritti).1. I diritti di cui all'articolo
13, comma 1, lettere c) e d), non possono essere esercitati
nei confronti dei trattamenti di dati personali raccolti:a)
in base alle disposizioni del decreto-legge 3 maggio 1991,
n. 143, convertito, con modificazioni, dalla legge 5 luglio
1991, n. 197, e successive modificazioni;b) in base alle
disposizioni del decreto-legge 31 dicembre 1991, n. 419,
convertito, con modificazioni, dalla legge 18 febbraio 1992,
n. 172, e successive modificazioni;c) da Commissioni parlamentari
di inchiesta istituite ai sensi dell'articolo 82 della Costituzione;d)
da un soggetto pubblico, diverso dagli enti pubblici economici,
in base ad espressa disposizione di legge, per esclusive
finalita' inerenti la politica monetaria e valutaria, il
sistema dei pagamenti, il controllo degli intermediari e
dei mercati creditizi e finanziari nonchè la tutela della
loro stabilità;e) ai sensi dell'articolo 12, comma 1, lettera
h), limitatamente al periodo durante il quale potrebbe derivarne
pregiudizio per lo svolgimento delle investigazioni o per
l'esercizio del diritto di cui alla medesima lettera h).
2. Nei casi di cui al comma 1 il Garante, anche su segnalazione
dell'interessato ai sensi dell'articolo 31, comma 1, lettera
d), esegue i necessari accertamenti nei modi di cui all'articolo
32, commi 6 e 7, e indica le necessarie modificazioni ed
integrazioni, verificandone l'attuazione. Sezione III Sicurezza
nel trattamento dei dati, limiti alla utilizzabilità dei
dati e risarcimento del danno
- Art. 15.(Sicurezza
dei dati).1. I dati personali oggetto di trattamento devono
essere custoditi e controllati, anche in relazione alle
conoscenze acquisite in base al progresso tecnico, alla
natura dei dati e alle specifiche caratteristiche del trattamento,
in modo da ridurre al minimo, mediante l'adozione di idonee
e preventive misure di sicurezza, i rischi di distruzione
o perdita, anche accidentale, dei dati stessi, di accesso
non autorizzato o di trattamento non consentito o non conforme
alle finalita' della raccolta. 2. Le misure minime di sicurezza
da adottare in via preventiva sono individuate con regolamento
emanato con decreto del Presidente della Repubblica, ai
sensi dell'articolo 17, comma 1, lettera a), della legge
23 agosto 1988, n. 400, entro centottanta giorni dalla data
di entrata in vigore della presente legge, su proposta del
Ministro di grazia e giustizia, sentiti l'Autorita' per
l'informatica nella pubblica amministrazione e il Garante.
3. Le misure di sicurezza di cui al comma 2 sono adeguate,
entro due anni dalla data di entrata in vigore della presente
legge e successivamente con cadenza almeno biennale, con
successivi regolamenti emanati con le modalita' di cui al
medesimo comma 2, in relazione all'evoluzione tecnica del
settore e all'esperienza maturata. 4. Le misure di sicurezza
relative ai dati trattati dagli organismi di cui all'articolo
4, comma 1, lettera b), sono stabilite con decreto del Presidente
del Consiglio dei ministri con l'osservanza delle norme
che regolano la materia.
- Art. 16.(Cessazione
del trattamento dei dati).1. In caso di cessazione, per
qualsiasi causa, del trattamento dei dati, il titolare deve
notificare preventivamente al Garante la loro destinazione.
2. I dati possono essere:a) distrutti;b) ceduti ad altro
titolare purchè destinati ad un trattamento per finalità
analoghe agli scopi per i quali i dati sono raccolti;c)
conservati per fini esclusivamente personali e non destinati
ad una comunicazione sistematica o alla diffusione. 3. La
cessione dei dati in violazione di quanto previsto dalla
lettera b) del comma 2 o di altre disposizioni di legge
in materia di trattamento dei dati personali e' nulla ed
e' punita ai sensi dell'articolo 39, comma 1.
- Art. 17.(Limiti
all'utilizzabilita' di dati personali).1. Nessun atto o
procedimento giudiziario o amministrativo che implichi una
valutazione del comportamento umano puo' essere fondato
unicamente su un trattamento automatizzato di dati personali
volto a definire il profilo o la personalità dell'interessato.
2. L'interessato può opporsi ad ogni altro tipo di decisione
adottata sulla base del trattamento di cui al comma 1 del
presente articolo, ai sensi dell'articolo 13, comma 1, lettera
d) salvo che la decisione sia stata adottata in occasione
della conclusione o dell'esecuzione di un contratto, in
accoglimento di una proposta dell'interessato o sulla base
di adeguate garanzie individuate dalla legge.
- Art. 18.(Danni
cagionati per effetto del trattamento di dati personali).1.
Chiunque cagiona danno ad altri per effetto del trattamento
di dati personali è tenuto al risarcimento ai sensi dell'articolo
2050 del codice civile.
Sezione IV Comunicazione e diffusione dei dati
- Art. 19.(Incaricati
del trattamento).1. Non si considera comunicazione la conoscenza
dei dati personali da parte delle persone incaricate per
iscritto di compiere le operazioni del trattamento dal titolare
o dal responsabile, e che operano sotto la loro diretta
autorità.
- Art. 20.(Requisiti
per la comunicazione e la diffusione dei dati).1. La comunicazione
e la diffusione dei dati personali da parte di privati e
di enti pubblici economici sono ammesse:a) con il consenso
espresso dell'interessato;b) se i dati provengono da pubblici
registri, elenchi, atti o documenti conoscibili da chiunque,
fermi restando i limiti e le modalita' che le leggi e i
regolamenti stabiliscono per la loro conoscibilita' e pubblicita';c)
in adempimento di un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria;d) nell'esercizio
della professione di giornalista e per l'esclusivo perseguimento
delle relative finalita', nei limiti al diritto di cronaca
posti a tutela della riservatezza ed in particolare dell'essenzialita'
dell'informazione riguardo a fatti di interesse pubblico
e nel rispetto del codice di deontologia di cui all'articolo
25;e) se i dati sono relativi allo svolgimento di attivita'
economiche, nel rispetto della vigente normativa in materia
di segreto aziendale e industriale;f) qualora siano necessarie
per la salvaguardia della vita o dell'incolumita' fisica
dell'interessato o di un terzo, nel caso in cui l'interessato
non puo' prestare il proprio consenso per impossibilita'
fisica, per incapacita' di agire o per incapacita' di intendere
o di volere;g) limitatamente alla comunicazione, qualora
questa sia necessaria ai fini dello svolgimento delle investigazioni
di cui all'articolo 38 delle norme di attuazione, di coordinamento
e transitorie del codice di procedura penale, approvate
con decreto legislativo 28 luglio 1989, n. 271, e successive
modificazioni, o, comunque, per far valere o difendere un
diritto in sede giudiziaria, nel rispetto della normativa
di cui alla lettera e) del presente comma, sempre che i
dati siano trattati esclusivamente per tali finalita' e
per il periodo strettamente necessario al loro perseguimento.h)
limitatamente alla comunicazione, quando questa sia effettuata
nell'ambito dei gruppi bancari di cui all'articolo 60 del
testo unico delle leggi in materia bancaria e creditizia
approvato con decreto legislativo 1 settembre 1993, n. 385,
nonche' tra societa' controllate e societa' collegate ai
sensi dell'articolo 2359 del codice civile, i cui trattamenti
con finalita' correlate sono stati notificati ai sensi dell'articolo
7, comma 2, per il perseguimento delle medesime finalita'
per le quali i dati sono stati raccolti. 2. Alla comunicazione
e alla diffusione dei dati personali da parte di soggetti
pubblici, esclusi gli enti pubblici economici, si applicano
le disposizioni dell'articolo 27.
- Art. 21.(Divieto
di comunicazione e diffusione).1. Sono vietate la comunicazione
e la diffusione di dati personali per finalita' diverse
da quelle indicate nella notificazione di cui all'articolo
7. 2. Sono altresi' vietate la comunicazione e la diffusione
di dati personali dei quali sia stata ordinata la cancellazione,
ovvero quando sia decorso il periodo di tempo indicato nell'articolo
9, comma 1, lettera e). 3. Il Garante puo' vietare la diffusione
di taluno dei dati relativi a singoli soggetti, od a categorie
di soggetti, quando la diffusione si pone in contrasto con
rilevanti interessi della collettivita'. Contro il divieto
puo' essere proposta opposizione ai sensi dell'articolo
29, commi 6 e 7. 4. La comunicazione e la diffusione dei
dati sono comunque permesse:a) qualora siano necessarie
per finalita' di ricerca scientifica o di statistica e si
tratti di dati anonimi;b) quando siano richieste dai soggetti
di cui all'articolo 4, comma 1, lettere b), d) ed e), per
finalita' di difesa o di sicurezza dello Stato o di prevenzione,
accertamento o repressione di reati, con l'osservanza delle
norme che regolano la materia.
CAPO IV TRATTAMENTO DI DATI PARTICOLARI
- Art.
22.(Dati sensibili).1. I dati personali idonei a rivelare
l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni
a carattere religioso, filosofico, politico o sindacale,
nonche' i dati personali idonei a rivelare lo stato
di salute e la vita sessuale, possono essere oggetto
di trattamento solo con il consenso scritto dell'interessato
e previa autorizzazione del Garante. 2. Il Garante comunica
la decisione adottata sulla richiesta di autorizzazione
entro trenta giorni, decorsi i quali la mancata pronuncia
equivale a rigetto. Con il provvedimento di autorizzazione,
ovvero successivamente, anche sulla base di eventuali
verifiche, il Garante puo' prescrivere misure e accorgimenti
a garanzia dell'interessato, che il titolare del trattamento
e' tenuto ad adottare. 3. Il trattamento dei dati indicati
al comma 1 da parte di soggetti pubblici, esclusi gli
enti pubblici economici, e' consentito solo se autorizzato
da espressa disposizione di legge nella quale siano
specificati i dati che possono essere trattati, le operazioni
eseguibili e le rilevanti finalita' di interesse pubblico
perseguite. 4. I dati personali idonei a rivelare lo
stato di salute e la vita sessuale possono essere oggetto
di trattamento previa autorizzazione del Garante, qualora
il trattamento sia necessario ai fini dello svolgimento
delle investigazioni di cui all'articolo 38 delle norme
di attuazione, di coordinamento e transitorie del codice
di procedura penale, approvate con decreto legislativo
28 luglio 1989, n. 271, e successive modificazioni,
o, comunque, per far valere o difendere in sede giudiziaria
un diritto di rango pari a quello dell'interessato,
sempre che i dati siano trattati esclusivamente per
tali finalita' e per il periodo strettamente necessario
al loro perseguimento. Il Garante prescrive le misure
e gli accorgimenti di cui al comma 2 e promuove la sottoscrizione
di un apposito codice di deontologia e di buona condotta
secondo le modalita' di cui all'articolo 31, comma 1,
lettera h). Resta fermo quanto previsto dall'articolo
43, comma 2.
- Art.
23.(Dati inerenti alla salute).1. Gli esercenti le professioni
sanitarie e gli organismi sanitari pubblici possono,
anche senza l'autorizzazione del Garante, trattare i
dati personali idonei a rivelare lo stato di salute,
limitatamente ai dati e alle operazioni indispensabili
per il perseguimento di finalita' di tutela dell'incolumita'
fisica e della salute dell'interessato. Se le medesime
finalita' riguardano un terzo o la collettivita', in
mancanza del consenso dell'interessato, il trattamento
puo' avvenire previa autorizzazione del Garante. 2.
I dati personali idonei a rivelare lo stato di salute
possono essere resi noti all'interessato solo per il
tramite di un medico designato dall'interessato o dal
titolare. 3. L'autorizzazione di cui al comma 1 e' rilasciata,
salvi i casi di particolare urgenza, sentito il Consiglio
superiore di sanita'. E' vietata la comunicazione dei
dati ottenuti oltre i limiti fissati con l'autorizzazione.
4. La diffusione dei dati idonei a rivelare lo stato
di salute e' vietata, salvo nel caso in cui sia necessaria
per finalita' di prevenzione, accertamento o repressione
dei reati, con l'osservanza delle norme che regolano
la materia.
- Art.
24.(Dati relativi ai provvedimenti di cui all'articolo
686 del codice di procedura penale).1. Il trattamento
di dati personali idonei a rivelare provvedimenti di
cui all'articolo 686, commi 1, lettere a) e d), 2 e
3, del codice di procedura penale, e' ammesso soltanto
se autorizzato da espressa disposizione di legge o provvedimento
del Garante che specifichino le rilevanti finalita'
di interesse pubblico del trattamento, i tipi di dati
trattati e le precise operazioni autorizzate.
- Art.
25.(Trattamento di dati particolari nell'esercizio della
professione di giornalista).1. Salvo che per i dati
idonei a rivelare lo stato di salute e la vita sessuale,
il consenso dell'interessato non e' richiesto quando
il trattamento dei dati di cui all'articolo 22 e' effettuato
nell'esercizio della professione di giornalista e per
l'esclusivo perseguimento delle relative finalita',
nei limiti del diritto di cronaca, ed in particolare
dell'essenzialita' dell'informazione riguardo a fatti
di interesse pubblico. Al medesimo trattamento, non
si applica il limite previsto per i dati di cui all'articolo
24. Nei casi previsti dal presente comma, il trattamento
svolto in conformita' del codice di cui ai commi 2 e
3 puo' essere effettuato anche senza l'autorizzazione
del Garante. 2. Il Garante promuove, nei modi di cui
all'articolo 31, comma 1, lettera h), l'adozione, da
parte del Consiglio nazionale dell'ordine dei giornalisti,
di un apposito codice di deontologia relativo al trattamento
dei dati di cui al comma 1 del presente articolo, effettuato
nell'esercizio della professione di giornalista, che
preveda misure ed accorgimenti a garanzia degli interessati
rapportate alla natura dei dati. Nella fase di formazione
del codice, ovvero successivamente, il Garante prescrive
eventuali misure e accorgimenti a garanzia degli interessati,
che il Consiglio e' tenuto a recepire. 3. Ove entro
sei mesi dalla proposta del Garante il codice di deontologia
di cui al comma 2 non sia stato adottato dal Consiglio
nazionale dell'ordine dei giornalisti, esso e' adottato
in via sostitutiva dal Garante ed e' efficace sino alla
adozione di un diverso codice secondo la procedura di
cui al comma 2. In caso di violazione delle prescrizioni
contenute nel codice di deontologia, il Garante puo'
vietare il trattamento ai sensi dell'articolo 31, comma
1, lettera l). 4. Nel codice di cui ai commi 2 e 3 sono
inserite, altresi', prescrizioni concernenti i dati
personali diversi da quelli indicati negli articoli
22 e 24.
- Art.
26.(Dati concernenti persone giuridiche).1. Il trattamento
nonche' la cessazione del trattamento di dati concernenti
persone giuridiche, enti o associazioni non sono soggetti
a notificazione. 2. Ai dati riguardanti persone giuridiche,
enti o associazioni non si applicano le disposizioni
dell'articolo 28.
CAPO V TRATTAMENTI SOGGETTI A REGIME SPECIALE
- Art.
27.(Trattamento da parte di soggetti pubblici).1.
Salvo quanto previsto al comma 2, il trattamento
di dati personali da parte di soggetti pubblici,
esclusi gli enti pubblici economici, e' consentito
soltanto per lo svolgimento delle funzioni istituzionali,
nei limiti stabiliti dalla legge e dai regolamenti.
2. La comunicazione e la diffusione a soggetti pubblici,
esclusi gli enti pubblici economici, dei dati trattati
sono ammesse quando siano previste da norme di legge
o di regolamento, o risultino comunque necessarie
per lo svolgimento delle funzioni istituzionali.
In tale ultimo caso deve esserne data previa comunicazione
nei modi di cui all'articolo 7, commi 2 e 3 al Garante
che vieta, con procedimento motivato, la comunicazione
o la diffusione se risultano violate le disposizioni
della presente legge. 3. La comunicazione e la diffusione
dei dati personali da parte di soggetti pubblici
a privati o a enti pubblici economici sono ammesse
solo se previste da norme di legge o di regolamento.
4. I criteri di organizzazione delle amministrazioni
pubbliche di cui all'articolo 5 del decreto legislativo
3 febbraio 1993, n. 29, sono attuati nel pieno rispetto
delle disposizioni della presente legge.
- Art.
28.(Trasferimento di dati personali all'estero).1.
Il trasferimento anche temporaneo fuori del territorio
nazionale, con qualsiasi forma o mezzo, di dati
personali oggetto di trattamento deve essere previamente
notificato al Garante, qualora sia diretto verso
un Paese non appartenente all'Unione europea o riguardi
taluno dei dati di cui agli articoli 22 e 24. 2.
Il trasferimento puo' avvenire soltanto dopo quindici
giorni dalla data della notificazione; il termine
e' di venti giorni qualora il trasferimento riguardi
taluno dei dati di cui agli articoli 22 e 24. 3.
Il trasferimento e' vietato qualora l'ordinamento
dello Stato di destinazione o di transito dei dati
non assicuri un livello di tutela delle persone
adeguato ovvero, se si tratta dei dati di cui agli
articoli 22 e 24, di grado pari a quello assicurato
dall'ordinamento italiano. Sono valutate anche le
modalita' del trasferimento e dei trattamenti previsti,
le relative finalita', la natura dei dati e le misure
di sicurezza. 4. Il trasferimento e' comunque consentito
qualora:a) l'interessato abbia manifestato il proprio
consenso espresso ovvero, se il trasferimento riguarda
taluno dei dati di cui agli articoli 22 e 24, in
forma scritta;b) sia necessario per l'esecuzione
di obblighi derivanti da un contratto del quale
e' parte l'interessato o per l'acquisizione di informative
precontrattuali attivate su richiesta di quest'ultimo,
ovvero per la conclusione o per l'esecuzione di
un contratto stipulato a favore dell'interessato;c)
sia necessario per la salvaguardia di un interesse
pubblico rilevante individuato con legge o con regolamento,
ovvero specificato ai sensi degli articoli 22, comma
3, e 24, se il trasferimento riguarda taluno dei
dati ivi previsti;d) sia necessario ai fini dello
svolgimento delle investigazioni di cui all'articolo
38 delle norme di attuazione, di coordinamento e
transitorie del codice di procedura penale, approvate
con decreto legislativo 28 luglio 1989, n. 271,
e successive modificazioni, o, comunque, per far
valere o difendere un diritto in sede giudiziaria,
sempre che i dati siano trasferiti esclusivamente
per tali finalita' e per il periodo strettamente
necessario al loro perseguimento;e) sia necessario
per la salvaguardia della vita o dell'incolumita'
fisica dell'interessato o di un terzo, nel caso
in cui l'interessato non puo' prestare il proprio
consenso per impossibilita' fisica, per incapacita'
di agire o per incapacita' di intendere o di volere;f)
sia effettuato in accoglimento di una richiesta
di accesso ai documenti amministrativi, ovvero di
una richiesta di informazioni estraibili da un pubblico
registro, elenco, atto o documento conoscibile da
chiunque, con l'osservanza delle norme che regolano
la materia;g) sia autorizzato dal Garante sulla
base di adeguate garanzie per i diritti dell'interessato,
prestate anche con un contratto. 5. Contro il divieto
di cui al comma 3 del presente articolo puo' essere
proposta opposizione ai sensi dell'articolo 29,
commi 6 e 7. 6. Le disposizioni del presente articolo
non si applicano al trasferimento di dati personali
effettuato nell'esercizio della professione di giornalista
e per l'esclusivo perseguimento delle relative finalita'.
7. La notificazione di cui al comma 1 del presente
articolo e' effettuata ai sensi dell'articolo 7
ed e' annotata in apposita sezione del registro
previsto dall'articolo 31, comma 1, lettera a).
La notificazione puo' essere effettuata con un unico
atto unitamente a quella prevista dall'articolo
7.
CAPO VI TUTELA AMMINISTRATIVA E GIURISDIZIONALE
- Art.
29.(Tutela).1. I diritti di cui all'articolo
13, comma 1, possono essere fatti valere dinanzi
all'autorita' giudiziaria o con ricorso al Garante.
Il ricorso al Garante non puo' essere proposto
qualora, per il medesimo oggetto e tra le stesse
parti, sia stata gia' adita l'autorita' giudiziaria.
2. Salvi i casi in cui il decorso del termine
esporrebbe taluno a pregiudizio imminente ed
irreparabile, il ricorso al Garante puo' essere
proposto solo dopo che siano decorsi cinque
giorni dalla richiesta avanzata sul medesimo
oggetto al responsabile. La presentazione del
ricorso rende improponibile un'ulteriore domanda
dinanzi all'autorita' giudiziaria tra le stesse
parti e per il medesimo oggetto. 3. Nel procedimento
dinanzi al Garante il titolare, il responsabile
e l'interessato hanno diritto di essere sentiti,
personalmente o a mezzo di procuratore speciale,
e hanno facolta' di presentare memorie o documenti.
Il Garante puo' disporre, anche d'ufficio, l'espletamento
di perizie. 4. Assunte le necessarie informazioni
il Garante, se ritiene fondato il ricorso, ordina
al titolare e al responsabile, con decisione
motivata, la cessazione del comportamento illegittimo,
indicando le misure necessarie a tutela dei
diritti dell'interessato e assegnando un termine
per la loro adozione. Il provvedimento e' comunicato
senza ritardo alle parti interessate, a cura
dell'ufficio del Garante. La mancata pronuncia
sul ricorso, decorsi venti giorni dalla data
di presentazione, equivale a rigetto. 5. Se
la particolarita' del caso lo richiede, il Garante
puo' disporre in via provvisoria il blocco in
tutto o in parte di taluno dei dati ovvero l'immediata
sospensione di una o piu' operazioni del trattamento.
Il provvedimento cessa di avere ogni effetto
se, entro i successivi venti giorni, non e'
adottata la decisione di cui al comma 4 ed e'
impugnabile unitamente a tale decisione. 6.
Avverso il provvedimento espresso o il rigetto
tacito di cui al comma 4, il titolare o l'interessato
possono proporre opposizione al tribunale del
luogo ove risiede il titolare, entro il termine
di trenta giorni dalla data di comunicazione
del procedimento o dalla data del rigetto tacito.
L'opposizione non sospende l'esecuzione del
provvedimento. 7. Il tribunale provvede nei
modi di cui agli articoli 737 e seguenti del
codice di procedura civile, anche in deroga
al divieto di cui all'articolo 4 della legge
20 marzo 1865, n. 2248, allegato E), e puo'
sospendere, a richiesta, l'esecuzione del provvedimento.
Avverso il decreto del tribunale e' ammesso
unicamente il ricorso per cassazione. 8. Tutte
le controversie, ivi comprese quelle inerenti
al rilascio dell'autorizzazione di cui all'articolo
22, comma 1, o che riguardano, comunque, l'applicazione
della presente legge, sono di competenza dell'autorita'
giudiziaria ordinaria. 9. Il danno non patrimoniale
e' risarcibile anche nei casi di violazione
dell'articolo
9.CAPO VII GARANTE PER LA TUTELA DELLE PERSONALE
E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO
DEI DATI PERSONALI
- Art.
30.(Istituzione del Garante).1. E' istituito
il Garante per la tutela delle persone e
di altri soggetti rispetto al trattamento
dei dati personali. 2. Il Garante opera
in piena autonomia e con indipendenza di
giudizio e di valutazione. 3. Il Garante
e' organo collegiale costituito da quattro
membri, eletti due dalla Camera dei deputati
e due dal Senato della Repubblica con voto
limitato. Essi eleggono nel loro ambito
un presidente, il cui voto prevale in caso
di parita'. I membri sono scelti tra persone
che assicurino indipendenza e che siano
esperti di riconosciuta competenza nelle
materie del diritto o dell'informatica,
garantendo la presenza di entrambe le qualificazioni.
4. Il presidente e i membri durano in carica
quattro anni e non possono essere confermati
per piu' di una volta; per tutta la durata
dell'incarico il presidente e i membri non
possono esercitare, a pena di decadenza,
alcuna attivita' professionale o di consulenza,
ne' essere amministratori o dipendenti di
enti pubblici o privati, ne' ricoprire cariche
elettive. 5. All'atto dell'accettazione
della nomina il presidente e i membri sono
collocati fuori ruolo se dipendenti di pubbliche
amministrazioni o magistrati in attivita'
di servizio; se professori universitari
di ruolo, sono collocati in aspettativa
senza assegni ai sensi dell'articolo 13
del decreto del Presidente della Repubblica
11 luglio 1980, n. 382, e successive modificazioni.
Il personale collocato fuori ruolo o in
aspettativa non puo' essere sostituito.
6. Al presidente compete una indennita'
di funzione non eccedente, nel massimo,
la retribuzione spettante al primo presidente
della Corte di cassazione. Ai membri compete
un'indennita' di funzione non eccedente,
nel massimo, i due terzi di quella spettante
al presidente. Le predette indennita' di
funzione sono determinate, con il regolamento
di cui all'articolo 33, comma 3, in misura
tale da poter essere corrisposte a carico
degli ordinari stanziamenti.
- Art.
31.(Compiti del Garante).1. Il Garante ha
il compito di:a) istituire e tenere un registro
generale dei trattamenti sulla base delle
notificazioni ricevute;b) controllare se
i trattamenti sono effettuati nel rispetto
delle norme di legge e di regolamento e
in conformita' alla notificazione;c) segnalare
ai relativi titolari o responsabili le modificazioni
opportune al fine di rendere il trattamento
conforme alle disposizioni vigenti;d) ricevere
le segnalazioni ed i reclami degli interessati
o delle associazioni che li rappresentano,
relativi ad inosservanze di legge o di regolamento,
e provvedere sui ricorsi presentati ai sensi
dell'articolo 29;e) adottare i provvedimenti
previsti dalla legge o dai regolamenti;f)
vigilare sui casi di cessazione, per qualsiasi
causa, di un trattamento;g) denunciare i
fatti configurabili come reati perseguibili
d'ufficio, dei quali viene a conoscenza
nell'esercizio o a causa delle sue funzioni;h)
promuovere nell'ambito delle categorie interessate,
nell'osservanza del principio di rappresentativita',
la sottoscrizione di codici di deontologia
e di buona condotta per determinati settori,
verificarne la conformita' alle leggi e
ai regolamenti anche attraverso l'esame
di osservazioni di soggetti interessati
e contribuire a garantirne la diffusione
e il rispetto;i) curare la conoscenza tra
il pubblico delle norme che regolano la
materia e delle relative finalita', nonche'
delle misure di sicurezza dei dati di cui
all'articolo 15;l) vietare, in tutto o in
parte, il trattamento dei dati o disporne
il blocco quando, in considerazione della
natura dei dati o, comunque, delle modalita'
del trattamento o degli effetti che esso
puo' determinare, vi e' il concreto rischio
del verificarsi di un pregiudizio rilevante
per uno o piu' interessati;m) segnalare
al Governo l'opportunita' di provvedimenti
normativi richiesti dall'evoluzione del
settore;n) predisporre annualmente una relazione
sull'attivita' svolta e sullo stato di attuazione
della presente legge, che e' trasmessa al
Parlamento e al Governo entro il 30 aprile
dell'anno successivo a quello cui si riferisce;o)
curare l'attivita' di assistenza indicata
nel capitolo IV della Convenzione n. 108
sulla protezione delle persone rispetto
al trattamento automatizzato di dati di
carattere personale, adottata a Strasburgo
il 28 gennaio 1981 e resa esecutiva con
legge 21 febbraio 1989, n. 98, quale autorita'
designata ai fini della cooperazione tra
Stati ai sensi dell'articolo 13 della Convenzione
medesima;p) esercitare il controllo sui
trattamenti di cui all'articolo 4 e verificare,
anche su richiesta dell'interessato, se
rispondono ai requisiti stabiliti dalla
legge o dai regolamenti. 2. Il Presidente
del Consiglio dei ministri e ciascun ministro
consultano il Garante all'atto della predisposizione
delle norme regolamentari e degli atti amministrativi
suscettibili di incidere sulle materie disciplinate
dalla presente legge. 3. Il registro di
cui al comma 1, lettera a), del presente
articolo, e' tenuto nei modi di cui all'articolo
33, comma 5. Entro il termine di un anno
dalla data della sua istituzione, il Garante
promuove opportune intese con le province
ed eventualmente con altre pubbliche amministrazioni
al fine di assicurare la consultazione del
registro mediante almeno un terminale dislocato
su base provinciale, preferibilmente nell'ambito
dell'ufficio per le relazioni con il pubblico
di cui all'articolo 12 del decreto legislativo
3 febbraio 1993, n. 29, e successive modificazioni.
4. Contro il divieto di cui al comma 1,
lettera l), del presente articolo, puo'
essere proposta opposizione ai sensi dell'articolo
29, commi 6 e 7. 5. Il Garante e l'Autorita'
per l'informatica nella pubblica amministrazione
cooperano tra loro nello svolgimento dei
rispettivi compiti; a tal fine, invitano
il presidente o un suo delegato membro dell'altro
organo a partecipare alle riunioni prendendo
parte alla discussione di argomenti di comune
interesse iscritti all'ordine del giorno;
possono richiedere, altresi', la collaborazione
di personale specializzato addetto all'altro
organo. 6. Le disposizioni del comma 5 si
applicano anche nei rapporti tra il Garante
e le autorita' di vigilanza competenti per
il settore creditizio, per le attivita'
assicurative e per la radiodiffusione e
l'editoria.
- Art.
32.(Accertamenti e controlli).1. Per l'espletamento
dei propri compiti il Garante puo' richiedere
al responsabile, al titolare, all'interessato
o anche a terzi di fornire informazioni
e di esibire documenti. 2. Il Garante, qualora
ne ricorra la necessita' ai fini del controllo
del rispetto delle disposizioni in materia
di trattamento dei dati personali, puo'
disporre accessi alle banche di dati o altre
ispezioni e verifiche nei luoghi ove si
svolge il trattamento o nei quali occorre
effettuare rilevazioni comunque utili al
medesimo controllo, avvalendosi, ove necessario,
della collaborazione di altri organi dello
Stato. 3. Gli accertamenti di cui al comma
2 sono disposti previa autorizzazione del
presidente del tribunale competente per
territorio in relazione al luogo dell'accertamento,
il quale provvede senza ritardo sulla richiesta
del Garante, con decreto motivato; le relative
modalita' di svolgimento sono individuate
con il regolamento di cui all'articolo 33,
comma 3. 4. I soggetti interessati agli
accertamenti sono tenuti a farli eseguire.
5. Resta fermo quanto previsto dall'articolo
220 delle norme di attuazione, di coordinamento
e transitorie del codice di procedura penale,
approvate con decreto legislativo 28 luglio
1989, n. 271. 6. Per i trattamenti di cui
agli articoli 4 e 14, comma 1, gli accertamenti
sono effettuati per il tramite di un membro
designato dal Garante. Se il trattamento
non risulta conforme alle disposizioni di
legge o di regolamento, il Garante indica
al titolare o al responsabile le necessarie
modificazioni ed integrazioni e ne verifica
l'attuazione. Se l'accertamento e' stato
richiesto dall'interessato, a quest'ultimo
e' fornito in ogni caso un riscontro circa
il relativo esito, salvo che ricorrano i
motivi di cui all'articolo 10, comma 4,
della legge 1 aprile 1981, n. 121, come
sostituito dall'articolo 42, comma 1, della
presente legge, o motivi di difesa o di
sicurezza dello Stato. 7. Gli accertamenti
di cui al comma 6 non sono delegabili. Qualora
risulti necessario in ragione della specificita'
della verifica, il membro designato puo'
farsi assistere da personale specializzato
che e' tenuto al segreto ai sensi dell'articolo
33, comma 6. Gli atti e i documenti acquisiti
sono custoditi secondo modalita' tali da
assicurarne la segretezza e sono conoscibili
dal presidente e dai membri del Garante
e, se necessario per lo svolgimento delle
funzioni dell'organo, da un numero delimitato
di addetti al relativo ufficio, individuati
dal Garante sulla base di criteri definiti
dal regolamento di cui all'articolo 33,
comma 3. Per gli accertamenti relativi agli
organismi e ai dati di cui all'articolo
4, comma 1, lettera b), il membro designato
prende visione degli atti e dei documenti
rilevanti e riferisce oralmente nelle riunioni
del Garante .
- Art.
33.(Ufficio del Garante).1. Alle dipendenze
del Garante e' posto un ufficio composto
da dipendenti dello Stato e di altre amministrazioni
pubbliche, collocati fuori ruolo nelle forme
previste dai rispettivi ordinamenti, il
cui servizio presso il medesimo ufficio
e' equiparato ad ogni effetto di legge a
quello prestato nelle rispettive amministrazioni
di provenienza. Il relativo contingente
e' determinato in misura non superiore a
quarantacinque unita', su proposta del Garante
medesimo, con decreto del Presidente del
Consiglio dei ministri, di concerto con
i Ministri del tesoro e per la funzione
pubblica, entro novanta giorni dalla data
di elezione del Garante. 2. Le spese di
funzionamento dell'ufficio del Garante sono
poste a carico di un fondo stanziato a tale
scopo nel bilancio dello Stato e iscritto
in apposito capitolo dello stato di previsione
del Ministero del tesoro. Il rendiconto
della gestione finanziaria e' soggetto al
controllo della Corte dei conti. 3. Le norme
concernenti l'organizzazione ed il funzionamento
dell'ufficio del Garante, nonche' quelle
dirette a disciplinare la riscossione dei
diritti di segreteria e la gestione delle
spese, anche in deroga alle disposizioni
sulla contabilita' generale dello Stato,
sono adottate con regolamento emanato con
decreto del Presidente della Repubblica,
entro tre mesi dalla data di entrata in
vigore della presente legge, previa deliberazione
del Consiglio dei ministri, sentito il Consiglio
di Stato, su proposta del Presidente del
Consiglio dei ministri, di concerto con
i Ministri del tesoro, di grazia e giustizia
e dell'interno, e su parere conforme del
Garante stesso. Nel medesimo regolamento
sono altresi' previste le norme concernenti
il procedimento dinanzi al Garante di cui
all'articolo 29, commi da 1 a 5, secondo
modalita' tali da assicurare, nella speditezza
del procedimento medesimo, il pieno rispetto
del contraddittorio tra le parti interessate,
nonche' le norme volte a precisare le modalita'
per l'esercizio dei diritti di cui all'articolo
13, nonche' della notificazione di cui all'articolo
7, per via telematica o mediante supporto
magnetico o lettera raccomandata con avviso
di ricevimento o altro idoneo sistema. Il
parere del Consiglio di Stato sullo schema
di regolamento e' reso entro trenta giorni
dalla ricezione della richiesta; decorso
tale termine il regolamento puo' comunque
essere emanato. 4. Nei casi in cui la natura
tecnica o la delicatezza dei problemi lo
richiedano, il Garante puo' avvalersi dell'opera
di consulenti, i quali sono remunerati in
base alle vigenti tariffe professionali.
5. Per l'espletamento dei propri compiti,
l'ufficio del Garante puo' avvalersi di
sistemi automatizzati ad elaborazione informatica
e di strumenti telematici propri ovvero,
salvaguardando le garanzie previste dalla
presente legge, appartenenti all'Autorita'
per l'informatica nella pubblica amministrazione
o, in caso di indisponibilita', ad enti
pubblici convenzionati. 6. Il personale
addetto all'ufficio del Garante ed i consulenti
sono tenuti al segreto su tutto cio' di
cui siano venuti a conoscenza, nell'esercizio
delle proprie funzioni, in ordine a banche
di dati e ad operazioni di trattamento.
CAPO VIII SANZIONI
- Art.
34.(Omessa o infedele notificazione).1.
Chiunque, essendovi tenuto, non provvede
alle notificazioni prescritte dagli
articoli 7 e 28, ovvero indica in esse
notizie incomplete o non rispondenti
al vero, e' punito con la reclusione
da tre mesi a due anni. Se il fatto
concerne la notificazione prevista dall'articolo
16, comma 1, la pena e' della reclusione
sino ad un anno.
- Art.
35.(Trattamento illecito di dati personali).1.
Salvo che il fatto costituisca piu'
grave reato, chiunque, al fine di trarne
per se' o per altri profitto o di recare
ad altri un danno, procede al trattamento
di dati personali in violazione di quanto
disposto dagli articoli 11, 20 e 27,
e' punito con la reclusione sino a due
anni o, se il fatto consiste nella comunicazione
o diffusione, con la reclusione da tre
mesi a due anni. 2. Salvo che il fatto
costituisca piu grave reato, chiunque,
al fine di trarne per se' o per altri
profitto o di recare ad altri un danno,
comunica o diffonde dati personali in
violazione di quanto disposto dagli
articoli 21, 22, 23 e 24, ovvero del
divieto di cui all'articolo 28, comma
3, e' punito con la reclusione da tre
mesi a due anni. 3. Se dai fatti di
cui ai commi 1 e 2 deriva nocumento,
la reclusione e' da uno a tre anni.
- Art.
36.(Omessa adozione di misure necessarie
alla sicurezza dei dati).1. Chiunque,
essendovi tenuto, omette di adottare
le misure necessarie a garantire la
sicurezza dei dati personali, in violazione
delle disposizioni dei regolamenti di
cui ai commi 2 e 3 dell'articolo 15,
e' punito con la reclusione sino ad
un anno. Se dal fatto deriva nocumento,
la pena e' della reclusione da due mesi
a due anni. 2. Se il fatto di cui al
comma 1 e' commesso per colpa si applica
la reclusione fino ad un anno.
- Art.
37.(Inosservanza dei provvedimenti del
Garante).1. Chiunque, essendovi tenuto,
non osserva il provvedimento adottato
dal Garante ai sensi dell'articolo 22,
comma 2, o dell'articolo 29, commi 4
e 5, e' punito con la reclusione da
tre mesi a due anni.
- Art.
38.(Pena accessoria).1. La condanna
per uno dei delitti previsti dalla presente
legge importa la pubblicazione della
sentenza.
- Art.
39.(Sanzioni amministrative).1. Chiunque
omette di fornire le informazioni o
di esibire i documenti richiesti dal
Garante ai sensi degli articoli 29,
comma 4, e 32, comma 1, e' punito con
la sanzione amministrativa del pagamento
di una somma da lire un milione a lire
sei milioni. 2. La violazione delle
disposizioni di cui agli articoli 10
e 23, comma 2, e' punita con la sanzione
amministrativa del pagamento di una
somma da lire cinquecentomila a lire
tre milioni. 3. L'organo competente
a ricevere il rapporto e ad irrogare
le sanzioni di cui al presente articolo
e' il Garante. Si osservano, in quanto
applicabili, le disposizioni della legge
24 novembre 1981, n. 689, e successive
modificazioni. CAPO IX DISPOSIZIONI
TRANSITORIE E FINALI ED ABROGAZIONE
- Art.
40.(Comunicazioni al Garante).1. Copia
dei procedimenti emessi dall'autorita'
giudiziaria in relazione a quanto previsto
dalla presente legge e dalla legge 23
dicembre 1993, n. 547, e' trasmessa,
a cura della cancelleria, al Garante.
- Art.
41.(Disposizioni transitorie).1. Fermo
restando l'esercizio dei diritti di
cui agli articoli 13 e 29, le disposizioni
della presente legge che prescrivono
il consenso dell'interessato non si
applicano in riferimento ai dati personali
raccolti precedentemente alla data di
entrata in vigore della legge stessa,
o il cui trattamento sia iniziato prima
di tale data. Resta salva l'applicazione
delle disposizioni relative alla comunicazione
e alla diffusione dei dati prevista
dalla presente legge. 2. Per i trattamenti
di dati personali iniziati prima della
data di entrata in vigore della presente
legge o nei novanta giorni successivi
a tale data, le notificazioni prescritte
dagli articoli 7 e 28 devono essere
effettuate entro il termine di sei mesi
dalla data di pubblicazione nella Gazzetta
Ufficiale del decreto di cui all'articolo
33, comma 1, ovvero, per i trattamenti
di cui all'articolo 5 riguardanti dati
diversi da quelli di cui agli articoli
22 e 24, entro il 31 gennaio 1998. 3.
Le misure minime di sicurezza di cui
all'articolo 15, comma 2, devono essere
adottate entro il termine di sei mesi
dalla data di entrata in vigore del
regolamento ivi previsto. Fino al decorso
di tale termine, i dati personali devono
essere custoditi in maniera tale da
evitare un incremento dei rischi di
cui all'articolo 15, comma 1. 4. Le
misure di cui all'articolo 15, comma
3, devono essere adottate entro il termine
di sei mesi dalla data di entrata in
vigore dei regolamenti ivi previsti.
5. Nei dodici mesi successivi alla data
di entrata in vigore della presente
legge, i trattamenti dei dati di cui
all'articolo 22, comma 3, ad opera di
soggetti pubblici, esclusi gli enti
pubblici economici, e all'articolo 24,
possono essere proseguiti anche in assenza
delle disposizioni di legge ivi indicate,
previa comunicazione al Garante. 6.
In sede di prima applicazione della
presente legge, fino alla elezione del
Garante ai sensi dell'articolo 30, le
funzioni del Garante sono svolte dal
presidente dell'Autorita' per l'informatica
nella pubblica amministrazione, fatta
eccezione per l'esame dei ricorsi di
cui all'articolo 29. 7. Le disposizioni
della presente legge che prevedono un'autorizzazione
del Garante si applicano, limitatamente
alla medesima autorizzazione, a decorrere
dal trentesimo giorno successivo alla
data di entrata in vigore della presente
legge.
- Art.
42.(Modifiche a disposizioni vigenti).1.
L'articolo 10 della legge 1 aprile 1981,
n. 121, e' sostituito dal seguente articolo
10 (Controlli): 1. Il controllo sul
Centro elaborazione dati e' esercitato
dal Garante per la tutela delle persone
e di altri soggetti rispetto al trattamento
dei dati personali, nei modi previsti
dalla legge e dai regolamenti.2. I dati
e le informazioni conservati negli archivi
del Centro possono essere utilizzati
in procedimenti giudiziari o amministrativi
soltanto attraverso l'acquisizione delle
fonti originarie indicate nel primo
comma dell'articolo 7, fermo restando
quanto stabilito dall'articolo 240 del
codice di procedura penale. Quando nel
corso di un procedimento giurisdizionale
o amministrativo viene rilevata l'erroneita'
o l'incompletezza dei dati e delle informazioni,
o l'illegittimita' del loro trattamento,
l'autorita' procedente ne da' notizia
al Garante per la tutela delle persone
e di altri soggetti rispetto al trattamento
dei dati personali.3. La persona alla
quale si riferiscono i dati puo' chiedere
all'ufficio di cui alla lettera a) del
primo comma dell'articolo 5 la conferma
dell'esistenza di dati personali che
lo riguardano, la loro comunicazione
in forma intellegibile e, se i dati
risultano trattati in violazione di
vigenti disposizioni di legge o di regolamento,
la loro cancellazione o trasformazione
in forma anonima.4. Esperiti i necessari
accertamenti, l'ufficio comunica al
richiedente, non oltre venti giorni
dalla richiesta, le determinazioni adottate.
L'ufficio puo' omettere di provvedere
sulla richiesta se cio' puo' pregiudicare
azioni od operazioni a tutela dell'ordine
e della sicurezza pubblica o di prevenzione
e repressione della criminalita', dandone
informazione al Garante per la tutela
delle persone e di altri soggetti rispetto
al trattamento dei dati personali.5.
Chiunque viene a conoscenza dell'esistenza
di dati personali che lo riguardano,
trattati anche in forma non automatizzata
in violazione di disposizioni di legge
o di regolamento, puo' chiedere al tribunale
del luogo ove risiede il titolare del
trattamento di compiere gli accertamenti
necessari e di ordinare la rettifica,
l'integrazione, la cancellazione o la
trasformazione in forma anonima dei
dati medesimi. Il tribunale provvede
nei modi di cui agli articoli 737 e
seguenti del codice di procedura civile.
2. Il comma 1 dell'articolo 4 del decreto
legislativo 12 febbraio 1993, n. 39,
e' sostituito dal seguente: 1. E' istituita
l'Autorità per l'informatica nella pubblica
amministrazione, denominata Autorita
ai fini del presente decreto; tale Autorità
opera in piena autonomia e con indipendenza
di giudizio e di valutazione. 3. Il
comma 1 dell'articolo 5 del decreto
legislativo 12 febbraio 1993, n. 39,
e' sostituito dal seguente: 1. Le norme
concernenti l'organizzazione ed il funzionamento
dell'Autorita', l'istituzione del ruolo
del personale, il relativo trattamento
giuridico ed economico e l'ordinamento
delle carriere, nonche' la gestione
delle spese nei limiti previsti dal
presente decreto, anche in deroga alle
disposizioni sulla contabilità generale
dello Stato, sono adottate con regolamento
emanato con decreto del Presidente della
Repubblica, previa deliberazione del
Consiglio dei ministri, sentito il Consiglio
di Stato, su proposta del Presidente
del Consiglio dei ministri, di concerto
con il Ministro del tesoro e su parere
conforme dell'Autorita' medesima. Il
parere del Consiglio di Stato sullo
schema di regolamento e' reso entro
trenta giorni dalla ricezione della
richiesta, decorsi i quali il regolamento
puo' comunque essere emanato. Si applica
il trattamento economico previsto per
il personale del Garante per l'editoria
e la radiodiffusione ovvero dell'organismo
che dovesse subentrare nelle relative
funzioni, fermo restando il limite massimo
complessivo di centocinquanta unità.
Restano altresì fermi gli stanziamenti
dei capitoli di cui al comma 2, cosi'
come determinati per il 1995 e tenendo
conto dei limiti di incremento previsti
per la categoria IV per il triennio
1996-1998. 4. Negli articoli 9, comma
2, e 10, comma 2, della legge 30 settembre
1993, n. 388, le parole: Garante per
la protezione dei datisono sostituite
dalle seguenti: Garante per la tutela
delle persone e di altri soggetti rispetto
al trattamento dei dati personali.
- Art.
43.(Abrogazioni).1. Sono abrogate le
disposizioni di legge o di regolamento
incompatibili con la presente legge
e, in particolare, il quarto comma dell'articolo
8 ed il quarto comma dell'articolo 9
della legge 1 aprile 1981, n. 121. Entro
sei mesi dalla data di emanazione del
decreto di cui all'articolo 33, comma
1, della presente legge, il Ministro
dell'interno trasferisce all'ufficio
del Garante il materiale informativo
raccolto a tale data in attuazione del
citato articolo 8 della legge n. 121
del 1981. 2. Restano ferme le disposizioni
della legge 20 maggio 1970, n. 300,
e successive modificazioni, nonche',
in quanto compatibili, le disposizioni
della legge 5 giugno 1990, n. 135, e
successive modificazioni, del decreto
legislativo 6 settembre 1989, n. 322,
nonche' le vigenti norme in materia
di accesso ai documenti amministrativi
ed agli archivi di Stato. Restano altresi'
ferme le disposizioni di legge che stabiliscono
divieti o limiti piu' restrittivi in
materia di trattamento di taluni dati
personali. 3. Per i trattamenti di cui
all'articolo 4, comma 1, lettera e),
della presente legge, resta fermo l'obbligo
di conferimento di dati ed informazioni
di cui all'articolo 6, primo comma,
lettera a), della legge 1 aprile 1981,
n. 121. CAPO XCOPERTURA FINANZIARIA
ED ENTRATA IN VIGORE
- Art.
44.(Copertura finanziaria).1. All'onere
derivante dall'attuazione della presente
legge, valutato in lire 8.029 milioni
per il 1997 ed in lire 12.045 milioni
a decorrere dal 1998, si provvede mediante
corrispondente riduzione dello stanziamento
iscritto, ai fini del bilancio triennale
1997-1999, al capitolo 6856 dello stato
di previsione del Ministero del tesoro
per l'anno 1997, all'uopo utilizzando,
per il 1997, quanto a lire 4.553 milioni,
l'accantonamento riguardante il Ministero
degli affari esteri e, quanto a lire
3.476 milioni, l'accantonamento riguardante
la Presidenza del Consiglio dei ministri
e, per gli anni 1998 e 1999, quanto
a lire 6.830 milioni, le proiezioni
per gli stessi anni dell'accantonamento
riguardante il Ministero degli affari
esteri e, quanto a lire 5.215 milioni,
le proiezioni per gli stessi anni dell'accantonamento
riguardante la Presidenza del Consiglio
dei ministri. 2. Il Ministro del tesoro
e' autorizzato ad apportare, con propri
decreti, le occorrenti variazioni di
bilancio.
- Art.
45.(Entrata in vigore).1. La presente
legge entra in vigore centoventi giorni
dopo la sua pubblicazione nella Gazzetta
Ufficiale. Per i trattamenti svolti
senza l'ausilio di mezzi elettronici
o comunque automatizzati che non riguardano
taluni dei dati di cui agli articoli
22 e 24, le disposizioni della presente
legge si applicano a decorrere dal 1
gennaio 1998. Fermo restando quanto
previsto dall'art. 9, comma 2 della
legge 30 settembre 1993, n. 388, la
presente legge entra in vigore il giorno
successivo a quello della sua pubblicazione
nella Gazzetta Ufficiale, limitatamente
ai trattamenti di dati effettuati in
esecuzione dell'accordo di cui all'articolo
4, comma 1, lettera a) e alla nomina
del Garante
|
