Decreto legislativo 30 giugno 2003, n. 196 CODICE INMATERIA DI PROTEZIONE DEI DATI PERSONALI (Pubblicato sulla GU n.174 del 29-7-2003 - Suppl. Ordinarion.123) Testo coordinato con le modifiche introdotte da: PARTE I - DISPOSIZIONI GENERALI PARTE II - DISPOSIZIONI RELATIVE A SPECIFICI SETTORI PARTE III - TUTELA DELL'INTERESSATO E SANZIONI ALLEGATI IL PRESIDENTEDELLA REPUBBLICA Visti gli articoli 76 e 87della Costituzione; Visto l'articolo 1 dellalegge 24 marzo 2001, n.127, recante delega al Governo per l'emanazione di untesto unico in materia di trattamento dei dati personali; Visto l'articolo 26 dellalegge 3 febbraio 2003, n. 14, recante disposizioni per l'adempimento di obblighiderivanti dall'appartenenza dell'Italia alle Comunità europee (leggecomunitaria 2002); Vista la legge 31 dicembre1996, n. 675, e successive modificazioni; Vista la legge 31 dicembre1996, n. 676, recante delega al Governo in materia di tutela delle persone e dialtri soggetti rispetto al trattamento dei dati personali; Vista la direttiva 95/46/CEdel Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa allatutela delle persone fisiche con riguardo al trattamento dei dati personali,nonché alla libera circolazione dei dati; Vista la direttiva 2002/58/CEdel Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa altrattamento dei dati personali e alla tutela della vita privata nel settoredelle comunicazioni elettroniche; Vista la preliminaredeliberazione del Consiglio dei ministri, adottata nella riunione del 9 maggio2003; Sentito il Garante per laprotezione dei dati personali; Acquisito il parere dellecompetenti Commissioni parlamentari della Camera dei deputati e del Senatodella Repubblica; Vista la deliberazione delConsiglio dei ministri, adottata nella riunione del 27 giugno 2003; Sulla proposta del Presidentedel Consiglio dei ministri, del Ministro per la funzione pubblica e delMinistro per le politiche comunitarie, di concerto con i ministri dellagiustizia, dell'economia e delle finanze, degli affari esteri e dellecomunicazioni; emana il seguente decretolegislativo: Parte I -Disposizioni generali TitoloI - Principi generali Art. 1. 1. Chiunque ha diritto alla protezione dei dati personali che lo riguardano.(1) (1) Comma così modificato, da ultimo, dall'art. 14, comma 1, della legge 4 novembre 2010, n. 183, che ha soppresso il secondo periodo del comma aggiunto dall'art. 4, comma 9, della legge 4 marzo 2009, n. 15, che si riporta: "Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione pubblica e la relativa valutazione non sono oggetto di protezione della riservatezza personale". Vedi anche art. 19. 1. Il presente testo unico,di seguito denominato "codice", garantisce che il trattamento deidati personali si svolga nel rispetto dei diritti e delle libertà fondamentali,nonché della dignità dell'interessato, con particolare riferimento allariservatezza, all'identità personale e al diritto alla protezione dei datipersonali. 2. Il trattamento dei datipersonali è disciplinato assicurando un elevato livello di tutela dei diritti edelle libertà di cui al comma 1 nel rispetto dei principi di semplificazione,armonizzazione ed efficacia delle modalità previste per il loro esercizio daparte degli interessati, nonché per l'adempimento degli obblighi da parte deititolari del trattamento. Art. 3. 1. I sistemi informativi e iprogrammi informatici sono configurati riducendo al minimo l'utilizzazione didati personali e di dati identificativi, in modo da escluderne il trattamentoquando le finalità perseguite nei singoli casi possono essere realizzatemediante, rispettivamente, dati anonimi od opportune modalità che permettano diidentificare l'interessato solo in caso di necessità. 1. Ai fini del presente codice si intende per: a) "trattamento", qualunque operazione o complesso dioperazioni, effettuati anche senza l'ausilio di strumenti elettronici,concernenti la raccolta, la registrazione, l'organizzazione, la conservazione,la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione,il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, ladiffusione, la cancellazione e la distruzione di dati, anche se non registratiin una banca di dati; b) "dato personale", qualunque informazione relativa apersona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;(1) c) "dati identificativi", i dati personali che permettonol'identificazione diretta dell'interessato; d) "dati sensibili", i dati personali idonei a rivelarel'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altrogenere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni odorganizzazioni a carattere religioso, filosofico, politico o sindacale, nonchéi dati personali idonei a rivelare lo stato di salute e la vita sessuale; e) "dati giudiziari", i dati personali idonei a rivelareprovvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u),del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, dianagrafe delle sanzioni amministrative dipendenti da reato e dei relativicarichi pendenti, o la qualità di imputato o di indagato ai sensi degliarticoli 60 e 61 del codice di procedura penale; f) "titolare", la persona fisica, la persona giuridica, lapubblica amministrazione e qualsiasi altro ente, associazione od organismo cuicompetono, anche unitamente ad altro titolare, le decisioni in ordine allefinalità, alle modalità del trattamento di dati personali e agli strumentiutilizzati, ivi compreso il profilo della sicurezza; g) "responsabile", la persona fisica, la persona giuridica,la pubblica amministrazione e qualsiasi altro ente, associazione od organismopreposti dal titolare al trattamento di dati personali; h) "incaricati", le persone fisiche autorizzate a compiereoperazioni di trattamento dal titolare o dal responsabile; i) "interessato", la persona fisica cui si riferiscono i dati personali;(2) l) "comunicazione", il dare conoscenza dei dati personali auno o più soggetti determinati diversi dall'interessato, dal rappresentante deltitolare nel territorio dello Stato, dal responsabile e dagli incaricati, inqualunque forma, anche mediante la loro messa a disposizione o consultazione; m) "diffusione", il dare conoscenza dei dati personali asoggetti indeterminati, in qualunque forma, anche mediante la loro messa adisposizione o consultazione; n) "dato anonimo", il dato che in origine, o a seguito ditrattamento, non può essere associato ad un interessato identificato oidentificabile; o) "blocco", la conservazione di dati personali consospensione temporanea di ogni altra operazione del trattamento; p) "banca di dati", qualsiasi complesso organizzato di datipersonali, ripartito in una o più unità dislocate in uno o più siti; q) "Garante", l'autorità di cui all'articolo 153, istituitadalla legge 31 dicembre 1996, n. 675. 2. Ai fini del presente codice si intende, inoltre, per: a) "comunicazione elettronica", ogni informazione scambiatao trasmessa tra un numero finito di soggetti tramite un servizio dicomunicazione elettronica accessibile al pubblico. Sono escluse le informazionitrasmesse al pubblico tramite una rete di comunicazione elettronica, come partedi un servizio di radiodiffusione, salvo che le stesse informazioni sianocollegate ad un abbonato o utente ricevente, identificato o identificabile; b) "chiamata", la connessione istituita da un servizio di comunicazione elettronica accessibile al pubblico che consente la comunicazione bidirezionale; (3) c) "reti di comunicazione elettronica", i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato; (4) d) "rete pubblica di comunicazioni", una rete di comunicazione elettronica utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di reti; (5) e) "servizio di comunicazione elettronica", i serviziconsistenti esclusivamente o prevalentemente nella trasmissione di segnali sureti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e iservizi di trasmissione nelle reti utilizzate per la diffusione circolareradiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), delladirettiva 2002/21/CE del Parlamento europeo e del Consiglio, del7marzo 2002; f) "abbonato", qualunque persona fisica, persona giuridica,ente o associazione parte di un contratto con un fornitore di servizi dicomunicazione elettronica accessibili al pubblico per la fornitura di taliservizi, o comunque destinatario di tali servizi tramite schede prepagate;* g) "utente", qualsiasi persona fisica che utilizza unservizio di comunicazione elettronica accessibile al pubblico, per motiviprivati o commerciali, senza esservi necessariamente abbonata; h) "dati relativi al traffico", qualsiasi dato sottoposto atrattamento ai fini della trasmissione di una comunicazione su una rete dicomunicazione elettronica o della relativa fatturazione; i) "dati relativi all'ubicazione", ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico; (6) l) "servizio a valore aggiunto", il servizio che richiede iltrattamento dei dati relativi al traffico o dei dati relativi all'ubicazionediversi dai dati relativi al traffico, oltre a quanto è necessario per latrasmissione di una comunicazione o della relativa fatturazione; m) "posta elettronica", messaggi contenenti testi, voci,suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, chepossono essere archiviati in rete o nell'apparecchiatura terminale ricevente,fino a che il ricevente non ne ha preso conoscenza. 3. Ai fini del presente codice si intende, altresì, per: a) "misure minime", il complesso delle misure tecniche,informatiche, organizzative, logistiche e procedurali di sicurezza checonfigurano il livello minimo di protezione richiesto in relazione ai rischiprevisti nell'articolo 31; b) "strumenti elettronici", gli elaboratori, i programmi perelaboratori e qualunque dispositivo elettronico o comunque automatizzato concui si effettua il trattamento; c) "autenticazione informatica", l'insieme degli strumentielettronici e delle procedure per la verifica anche indiretta dell'identità; d) "credenziali di autenticazione", i dati ed i dispositivi,in possesso di una persona, da questa conosciuti o ad essa univocamentecorrelati, utilizzati per l'autenticazione informatica; e) "parola chiave", componente di una credenziale diautenticazione associata ad una persona ed a questa nota, costituita da unasequenza di caratteri o altri dati in forma elettronica; f) "profilo di autorizzazione", l'insieme delleinformazioni, univocamente associate ad una persona, che consente diindividuare a quali dati essa può accedere, nonché i trattamenti ad essaconsentiti; g) "sistema di autorizzazione", l'insieme degli strumenti edelle procedure che abilitano l'accesso ai dati e alle modalità di trattamentodegli stessi, in funzione del profilo di autorizzazione del richiedente. g-bis) "violazione di dati personali": violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico. (7) 4. Ai fini del presente codice si intende per: a) "scopi storici", le finalità di studio, indagine, ricercae documentazione di figure, fatti e circostanze del passato; b) "scopi statistici", le finalità di indagine statistica odi produzione di risultati statistici, anche a mezzo di sistemi informativistatistici; c) "scopi scientifici", le finalità di studio e di indaginesistematica finalizzata allo sviluppo delle conoscenze scientifiche in unospecifico settore. * Ai sensi dell'art. 1, comma 12, del decreto legislativo 28 maggio 2012, n. 69, la parola "contraente" ha sostituito la parola "abbonato", ovunque ricorrente nel decreto legislativo 30 giugno 2003, n. 196. Art. 5. Oggetto edambito di applicazione
1. Il presente codice disciplina il trattamento di dati personali,anche detenuti all'estero, effettuato da chiunque è stabilito nel territoriodello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2. Il presente codice si applica anche al trattamento di datipersonali effettuato da chiunque è stabilito nel territorio di un Paese nonappartenente all'Unione europea e impiega, per il trattamento, strumentisituati nel territorio dello Stato anche diversi da quelli elettronici, salvoche essi siano utilizzati solo ai fini di transito nel territorio dell'Unioneeuropea. In caso di applicazione del presente codice, il titolare deltrattamento designa un proprio rappresentante stabilito nel territorio delloStato ai fini dell'applicazione della disciplina sul trattamento dei datipersonali. 3. Il trattamento di dati personali effettuato da persone fisiche perfini esclusivamente personali è soggetto all'applicazione del presente codicesolo se i dati sono destinati ad una comunicazione sistematica o alladiffusione. Si applicano in ogni caso le disposizioni in tema di responsabilitàe di sicurezza dei dati di cui agli articoli 15 e 31. 3-bis Abrogato (1) (1) Il comma, 3-bis, aggiunto dall'art. 6, comma 2, lettera a), numero 1), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, è stato successivamente abrogato dall'art. 40, comma 2, lettera c), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214. Se ne riporta, di seguito, il testo: "Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo - contabili, come definite all'articolo 34, comma 1-ter, non è soggetto all'applicazione del presente codice." Art. 6. Disciplina deltrattamento
1. Le disposizionicontenute nella presente Parte si applicano a tutti i trattamenti di dati,salvo quanto previsto, in relazione ad alcuni trattamenti, dalle disposizioniintegrative o modificative della Parte II.
TitoloII - Diritti dell'interessato
Art.7. Diritto di accesso ai dati personali ed altri diritti
1. L'interessato ha diritto di ottenere la conferma dell'esistenza omeno di dati personali che lo riguardano, anche se non ancora registrati, e laloro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato conl'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e delrappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i datipersonali possono essere comunicati o che possono venirne a conoscenza inqualità di rappresentante designato nel territorio dello Stato, di responsabilio incaricati. 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse,l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il bloccodei dati trattati in violazione di legge, compresi quelli di cui non ènecessaria la conservazione in relazione agli scopi per i quali i dati sonostati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sonostate portate a conoscenza, anche per quanto riguarda il loro contenuto, dicoloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso incui tale adempimento si rivela impossibile o comporta un impiego di mezzimanifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che loriguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di inviodi materiale pubblicitario o di vendita diretta o per il compimento di ricerchedi mercato o di comunicazione commerciale. Art. 8. Esercizio deidiritti
1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivoltasenza formalità al titolare o al responsabile, anche per il tramite di unincaricato, alla quale è fornito idoneo riscontro senza ritardo. 2. I diritti di cui all'articolo 7 non possono essere esercitati conrichiesta al titolare o al responsabile o con ricorso ai sensi dell'articolo145, se i trattamenti di dati personali sono effettuati: a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143,convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successivemodificazioni, in materia di riciclaggio; b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n.419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, esuccessive modificazioni, in materia di sostegno alle vittime di richiesteestorsive; c) da Commissioni parlamentari d'inchiesta istituite ai sensidell'articolo 82 della Costituzione; d) da un soggetto pubblico, diverso dagli enti pubblici economici, inbase ad espressa disposizione di legge, per esclusive finalità inerenti allapolitica monetaria e valutaria, al sistema dei pagamenti, al controllo degliintermediari e dei mercati creditizi e finanziari, nonché alla tutela dellaloro stabilità; e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamente al periododurante il quale potrebbe derivarne un pregiudizio effettivo e concreto per losvolgimento delle investigazioni difensive o per l'esercizio del diritto insede giudiziaria; f) da fornitori di servizi di comunicazione elettronica accessibili alpubblico relativamente a comunicazioni telefoniche in entrata, salvo che possaderivarne un pregiudizio effettivo e concreto per lo svolgimento delleinvestigazioni difensive di cui alla legge 7 dicembre 2000, n. 397; g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine egrado o il Consiglio superiore della magistratura o altri organi di autogovernoo il Ministero della giustizia; h) ai sensi dell'articolo 53, fermo restando quanto previsto dallalegge 1 aprile 1981, n. 121. 3. Il Garante, anche su segnalazione dell'interessato, nei casi di cuial comma 2, lettere a), b), d), e) ed f) provvede nei modi di cui agli articoli157, 158 e 159 e, nei casi di cui alle lettere c), g) ed h) del medesimo comma,provvede nei modi di cui all'articolo 160. 4. L'esercizio dei diritti di cui all'articolo 7, quando non riguardadati di carattere oggettivo, può avere luogo salvo che concerna larettificazione o l'integrazione di dati personali di tipo valutativo, relativia giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, nonchél'indicazione di condotte da tenersi o di decisioni in via di assunzione daparte del titolare del trattamento.
1. La richiesta rivoltaal titolare o al responsabile può essere trasmessa anche mediante letteraraccomandata, telefax o posta elettronica. Il Garante può individuare altroidoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguardal'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta puòessere formulata anche oralmente e in tal caso è annotata sinteticamente a curadell'incaricato o del responsabile. 2. Nell'esercizio dei diritti di cui all'articolo 7 l'interessato puòconferire, per iscritto, delega o procura a persone fisiche, enti, associazioniod organismi. L'interessato può, altresì, farsi assistere da una persona difiducia. 3. I diritti di cui all'articolo 7 riferiti a dati personaliconcernenti persone decedute possono essere esercitati da chi ha un interesseproprio, o agisce a tutela dell'interessato o per ragioni familiari meritevolidi protezione. 4. L'identità dell'interessato è verificata sulla base di idoneielementi di valutazione, anche mediante atti o documenti disponibili oesibizione o allegazione di copia di un documento di riconoscimento. La personache agisce per conto dell'interessato esibisce o allega copia della procura,ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta epresentata unitamente a copia fotostatica non autenticata di un documento di riconoscimentodell'interessato.(1) 5. La richiesta di cui all'articolo 7, commi 1 e 2, è formulataliberamente e senza costrizioni e può essere rinnovata, salva l'esistenza digiustificati motivi, con intervallo non minore di novanta giorni. (1) Comma così modificato dall'art. 40, comma 2, lettera d), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, che ha soppresso il seguente ultimo periodo: "Se l'interessato è una persona giuridica, un ente o un'associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti." Art. 10. Riscontroall'interessato
1. Per garantire l'effettivo esercizio dei diritti di cui all'articolo7 il titolare del trattamento è tenuto ad adottare idonee misure volte, inparticolare: a) ad agevolare l'accesso ai dati personali da parte dell'interessato,anche attraverso l'impiego di appositi programmi per elaboratore finalizzati adun'accurata selezione dei dati che riguardano singoli interessati identificatio identificabili; b) a semplificare le modalità e a ridurre i tempi per il riscontro alrichiedente, anche nell'ambito di uffici o servizi preposti alle relazioni conil pubblico. 2. I dati sono estratti a cura del responsabile o degli incaricati epossono essere comunicati al richiedente anche oralmente, ovvero offerti invisione mediante strumenti elettronici, sempre che in tali casi la comprensionedei dati sia agevole, considerata anche la qualità e la quantità delleinformazioni. Se vi è richiesta, si provvede alla trasposizione dei dati susupporto cartaceo o informatico, ovvero alla loro trasmissione per viatelematica. 3. Salvo che la richiesta sia riferita ad un particolare trattamento oa specifici dati personali o categorie di dati personali, il riscontroall'interessato comprende tutti i dati personali che riguardano l'interessatocomunque trattati dal titolare. Se la richiesta è rivolta ad un esercente unaprofessione sanitaria o ad un organismo sanitario si osserva la disposizione dicui all'articolo 84, comma 1. 4. Quando l'estrazione dei dati risulta particolarmente difficoltosail riscontro alla richiesta dell'interessato può avvenire anche attraversol'esibizione o la consegna in copia di atti e documenti contenenti i datipersonali richiesti. 5. Il diritto di ottenere la comunicazione in forma intelligibile deidati non riguarda dati personali relativi a terzi, salvo che la scomposizionedei dati trattati o la privazione di alcuni elementi renda incomprensibili idati personali relativi all'interessato. 6. La comunicazione dei dati è effettuata in forma intelligibile ancheattraverso l'utilizzo di una grafia comprensibile. In caso di comunicazione dicodici o sigle sono forniti, anche mediante gli incaricati, i parametri per lacomprensione del relativo significato. 7. Quando, a seguito della richiesta di cui all'articolo 7, commi 1 e2, lettere a), b) e c) non risulta confermata l'esistenza di dati cheriguardano l'interessato, può essere chiesto un contributo spese non eccedentei costi effettivamente sopportati per la ricerca effettuata nel caso specifico. 8. Il contributo di cui al comma 7 non può comunque superare l'importodeterminato dal Garante con provvedimento di carattere generale, che puòindividuarlo forfettariamente in relazione al caso in cui i dati sono trattaticon strumenti elettronici e la risposta è fornita oralmente. Con il medesimoprovvedimento il Garante può prevedere che il contributo possa essere chiestoquando i dati personali figurano su uno speciale supporto del quale è richiestaspecificamente la riproduzione, oppure quando, presso uno o più titolari, sidetermina un notevole impiego di mezzi in relazione alla complessità oall'entità delle richieste ed è confermata l'esistenza di dati che riguardanol'interessato. 9. Il contributo di cui ai commi 7 e 8 è corrisposto anche medianteversamento postale o bancario, ovvero mediante carta di pagamento o di credito,ove possibile all'atto della ricezione del riscontro e comunque non oltrequindici giorni da tale riscontro.
TitoloIII - Regole generali per il trattamento dei dati Capo I - Regole per tutti i trattamenti
Art.11. Modalità del trattamento e requisiti dei dati
1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi,ed utilizzati in altre operazioni del trattamento in termini compatibili contali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per lequali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazionedell'interessato per un periodo di tempo non superiore a quello necessario agliscopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevantein materia di trattamento dei dati personali non possono essere utilizzati.
Art.12. Codici di deontologia e di buona condotta
1. Il Garante promuove nell'ambito delle categorie interessate,nell'osservanza del principio di rappresentatività e tenendo conto dei criteridirettivi delle raccomandazioni del Consiglio d'Europa sul trattamento di datipersonali, la sottoscrizione di codici di deontologia e di buona condotta per determinatisettori, ne verifica la conformità alle leggi e ai regolamenti anche attraversol'esame di osservazioni di soggetti interessati e contribuisce a garantirne ladiffusione e il rispetto. 2. I codici sono pubblicati nella Gazzetta Ufficiale della Repubblicaitaliana a cura del Garante e, con decreto del Ministro della giustizia, sonoriportati nell'allegato A) del presente codice. 3. Il rispetto delle disposizioni contenute nei codici di cui al comma1 costituisce condizione essenziale per la liceità e correttezza deltrattamento dei dati personali effettuato da soggetti privati e pubblici. 4. Le disposizioni del presente articolo si applicano anche al codicedi deontologia per i trattamenti di dati per finalità giornalistiche promossodal Garante nei modi di cui al comma 1 e all'articolo 139. 1. L'interessato o la persona presso la quale sono raccolti i datipersonali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati idati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personalipossono essere comunicati o che possono venirne a conoscenza in qualità diresponsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, delrappresentante nel territorio dello Stato ai sensi dell'articolo 5 e delresponsabile. Quando il titolare ha designato più responsabili è indicatoalmeno uno di essi, indicando il sito della rete di comunicazione o le modalitàattraverso le quali è conoscibile in modo agevole l'elenco aggiornato deiresponsabili. Quando è stato designato un responsabile per il riscontroall'interessato in caso di esercizio dei diritti di cui all'articolo 7, èindicato tale responsabile. 2. L'informativa di cui al comma 1 contiene anche gli elementiprevisti da specifiche disposizioni del presente codice e può non comprenderegli elementi già noti alla persona che fornisce i dati o la cui conoscenza puòostacolare in concreto l'espletamento, da parte di un soggetto pubblico, difunzioni ispettive o di controllo svolte per finalità di difesa o sicurezzadello Stato oppure di prevenzione, accertamento o repressione di reati. 3. Il Garante può individuare con proprio provvedimento modalitàsemplificate per l'informativa fornita in particolare da servizi telefonici diassistenza e informazione al pubblico. 4. Se i dati personali non sono raccolti presso l'interessato,l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati,è data al medesimo interessato all'atto della registrazione dei dati o, quandoè prevista la loro comunicazione, non oltre la prima comunicazione. 5. La disposizione di cui al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge, daun regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento delle investigazionidifensive di cui alla legge 7 dicembre 2000, n. 397, o,comunque, per far valere o difendere un diritto in sede giudiziaria, sempre chei dati siano trattati esclusivamente per tali finalità e per il periodo strettamentenecessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che ilGarante, prescrivendo eventuali misure appropriate, dichiari manifestamentesproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio delGarante, impossibile. 5-bis. L'informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell'eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all'invio del curriculum, il titolare è tenuto a fornire all'interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).(1) (1) Comma aggiunto dall'art. 6, comma 2, lettera a), numero 2), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106. Art. 14. Definizione diprofili e della personalità dell'interessato
1. Nessun atto o provvedimento giudiziario o amministrativo cheimplichi una valutazione del comportamento umano può essere fondato unicamentesu un trattamento automatizzato di dati personali volto a definire il profilo ola personalità dell'interessato. 2. L'interessato può opporsi ad ogni altro tipo di determinazioneadottata sulla base del trattamento di cui al comma 1, ai sensi dell'articolo7, comma 4, lettera a), salvo che la determinazione sia stata adottata inoccasione della conclusione o dell'esecuzione di un contratto, in accoglimentodi una proposta dell'interessato o sulla base di adeguate garanzie individuatedal presente codice o da un provvedimento del Garante ai sensi dell'articolo17. Art. 15. Dannicagionati per effetto del trattamento
1. Chiunque cagiona danno ad altri per effetto del trattamento di datipersonali è tenuto al risarcimento ai sensi dell'articolo 2050 del codicecivile. 2. Il danno non patrimoniale è risarcibile anche in caso di violazionedell'articolo 11. Art. 16. Cessazione deltrattamento
1. In caso di cessazione, per qualsiasi causa, di un trattamento idati sono: a) distrutti; b) ceduti ad altro titolare, purchè destinati ad un trattamento intermini compatibili agli scopi per i quali i dati sono raccolti; c) conservati per fini esclusivamente personali e non destinati ad unacomunicazione sistematica o alla diffusione; d) conservati o ceduti ad altro titolare, per scopi storici,statistici o scientifici, in conformità alla legge, ai regolamenti, allanormativa comunitaria e ai codici di deontologia e di buona condottasottoscritti ai sensi dell'articolo 12. 2. La cessione dei dati in violazione di quanto previsto dal comma 1,lettera b), o di altre disposizioni rilevanti in materia di trattamento deidati personali è priva di effetti. Art. 17. Trattamentoche presenta rischi specifici
1. Il trattamento dei dati diversi da quelli sensibili egiudiziari che presenta rischi specifici per i diritti e le libertàfondamentali, nonché per la dignità dell'interessato, in relazione alla naturadei dati o alle modalità del trattamento o agli effetti che può determinare, èammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, oveprescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dalGarante in applicazione dei principi sanciti dal presente codice, nell'ambitodi una verifica preliminare all'inizio del trattamento, effettuata anche inrelazione a determinate categorie di titolari o di trattamenti, anche a seguitodi un interpello del titolare.
Capo II - Regole ulteriori per i soggettipubblici
Art.18. Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici
1. Le disposizioni delpresente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblicieconomici. 2. Qualunque trattamento di dati personali da parte di soggettipubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali. 3. Nel trattare i dati il soggetto pubblico osserva i presupposti e ilimiti stabiliti dal presente codice, anche in relazione alla diversa naturadei dati, nonché dalla legge e dai regolamenti. 4. Salvo quanto previsto nella Parte II per gli esercenti le professionisanitarie e gli organismi sanitari pubblici, i soggetti pubblici non devonorichiedere il consenso dell'interessato. 5. Si osservano le disposizioni di cui all'articolo 25 in tema dicomunicazione e diffusione. Art. 19. Principiapplicabili al trattamento di dati diversi da quelli sensibili e giudiziari 1. Il trattamento da parte di un soggetto pubblico riguardante datidiversi da quelli sensibili e giudiziari è consentito, fermo restando quantoprevisto dall'articolo 18, comma 2, anche in mancanza di una norma di legge odi regolamento che lo preveda espressamente. 2. La comunicazione da parte di un soggetto pubblico ad altri soggettipubblici è ammessa quando è prevista da una norma di legge o di regolamento. Inmancanza di tale norma la comunicazione è ammessa quando è comunque necessariaper lo svolgimento di funzioni istituzionali e può essere iniziata se è decorsoil termine di cui all'articolo 39, comma 2, e non è stata adottata la diversadeterminazione ivi indicata. 3. La comunicazione da parte di un soggetto pubblico a privati o aenti pubblici economici e la diffusione da parte di un soggetto pubblico sonoammesse unicamente quando sono previste da una norma di legge o di regolamento. 3-bis. "abrogato".(1)
Art. 20. Principiapplicabili al trattamento di dati sensibili 1. Il trattamento dei dati sensibili da parte di soggetti pubblici èconsentito solo se autorizzato da espressa disposizione di legge nella qualesono specificati i tipi di dati che possono essere trattati e di operazionieseguibili e le finalità di rilevante interesse pubblico perseguite. 2. Nei casi in cui una disposizione di legge specifica la finalità dirilevante interesse pubblico, ma non i tipi di dati sensibili e di operazionieseguibili, il trattamento è consentito solo in riferimento ai tipi di dati edi operazioni identificati e resi pubblici a cura dei soggetti che neeffettuano il trattamento, in relazione alle specifiche finalità perseguite neisingoli casi e nel rispetto dei principi di cui all'articolo 22, con atto dinatura regolamentare adottato in conformità al parere espresso dal Garante aisensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo. 3. Se il trattamento non è previsto espressamente da una disposizionedi legge i soggetti pubblici possono richiedere al Garante l'individuazionedelle attività, tra quelle demandate ai medesimi soggetti dalla legge, cheperseguono finalità di rilevante interesse pubblico e per le quali èconseguentemente autorizzato, ai sensi dell'articolo 26, comma 2, iltrattamento dei dati sensibili. Il trattamento è consentito solo se il soggettopubblico provvede altresì a identificare e rendere pubblici i tipi di dati e dioperazioni nei modi di cui al comma 2. 4. L'identificazione dei tipi di dati e di operazioni di cui ai commi2 e 3 è aggiornata e integrata periodicamente. Art. 21. Principi applicabili al trattamento di dati giudiziari 1. Il trattamento di dati giudiziari da parte di soggetti pubblici èconsentito solo se autorizzato da espressa disposizione di legge oprovvedimento del Garante che specifichino le finalità di rilevante interessepubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. 1-bis. Il trattamento dei dati giudiziari è altresí consentito quando è effettuato in attuazione di protocolli d'intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell'interno o con i suoi uffici periferici di cui all'articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, previo parere del Garante per la protezione dei dati personali, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.(1) 2. Le disposizioni di cui all'articolo 20, commi 2 e 4, si applicanoanche al trattamento dei dati giudiziari.
Art. 22. Principiapplicabili al trattamento di dati sensibili e giudiziari 1. I soggetti pubblici conformano il trattamento dei dati sensibili egiudiziari secondo modalità volte a prevenire violazioni dei diritti, dellelibertà fondamentali e della dignità dell'interessato. 2. Nel fornire l'informativa di cui all'articolo 13 i soggettipubblici fanno espresso riferimento alla normativa che prevede gli obblighi o icompiti in base alla quale è effettuato il trattamento dei dati sensibili egiudiziari. 3. I soggetti pubblici possono trattare solo i dati sensibili egiudiziari indispensabili per svolgere attività istituzionali che non possonoessere adempiute, caso per caso, mediante il trattamento di dati anonimi o didati personali di natura diversa. 4. I dati sensibili e giudiziari sono raccolti, di regola, pressol'interessato. 5. In applicazione dell'articolo 11, comma 1, lettere c), d) ed e), isoggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento deidati sensibili e giudiziari, nonché la loro pertinenza, completezza, noneccedenza e indispensabilità rispetto alle finalità perseguite nei singolicasi, anche con riferimento ai dati che l'interessato fornisce di propriainiziativa. Al fine di assicurare che i dati sensibili e giudiziari sianoindispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggettipubblici valutano specificamente il rapporto tra i dati e gli adempimenti. Idati che, anche a seguito delle verifiche, risultano eccedenti o non pertinentio non indispensabili non possono essere utilizzati, salvo che per l'eventualeconservazione, a norma di legge, dell'atto o del documento che li contiene.Specifica attenzione è prestata per la verifica dell'indispensabilità dei datisensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferisconodirettamente le prestazioni o gli adempimenti. 6. I dati sensibili e giudiziari contenuti in elenchi, registri obanche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattaticon tecniche di cifratura o mediante l'utilizzazione di codici identificativi odi altre soluzioni che, considerato il numero e la natura dei dati trattati, lirendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervie permettono di identificare gli interessati solo in caso di necessità. 7. I dati idonei a rivelare lo stato di salute e la vita sessuale sonoconservati separatamente da altri dati personali trattati per finalità che nonrichiedono il loro utilizzo. I medesimi dati sono trattati con le modalità dicui al comma 6 anche quando sono tenuti in elenchi, registri o banche di datisenza l'ausilio di strumenti elettronici. 8. I dati idonei a rivelare lo stato di salute non possono esserediffusi. 9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensi delcomma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente leoperazioni di trattamento indispensabili per il perseguimento delle finalitàper le quali il trattamento è consentito, anche quando i dati sono raccoltinello svolgimento di compiti di vigilanza, di controllo o ispettivi. 10. I dati sensibili e giudiziari non possono essere trattatinell'ambito di test psico-attitudinali volti a definire il profilo o lapersonalità dell'interessato. Le operazioni di raffronto tra dati sensibili egiudiziari, nonché i trattamenti di dati sensibili e giudiziari ai sensidell'articolo 14, sono effettuati solo previa annotazione scritta dei motivi. 11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, seeffettuati utilizzando banche di dati di diversi titolari, nonché la diffusionedei dati sensibili e giudiziari, sono ammessi solo se previsti da espressadisposizione di legge. 12. Le disposizioni di cui al presente articolorecano principi applicabili, in conformità ai rispettivi ordinamenti, aitrattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera deideputati, dal Senato della Repubblica e dalla Corte costituzionale. Capo III - Regole ulteriori per privati edenti pubblici economici 1. Il trattamento di dati personali da parte di privati o dienti pubblici economici è ammesso solo con il consenso espressodell'interessato. 2. Il consenso può riguardare l'intero trattamento ovvero una o piùoperazioni dello stesso. 3. Il consenso è validamente prestato solo se è espresso liberamente especificamente in riferimento ad un trattamento chiaramente individuato, se èdocumentato per iscritto, e se sono state rese all'interessato le informazionidi cui all'articolo 13. 4. Il consenso è manifestato in forma scritta quando il trattamentoriguarda dati sensibili. Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso 1. Il consenso non è richiesto, oltre che nei casi previstinella Parte II, quando il trattamento: a) è necessario per adempiere ad un obbligo previsto dalla legge, daun regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto delquale è parte l'interessato o per adempiere, prima della conclusione delcontratto, a specifiche richieste dell'interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti odocumenti conoscibili da chiunque, fermi restando i limiti e le modalità che leleggi, i regolamenti o la normativa comunitaria stabiliscono per laconoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche,trattati nel rispetto della vigente normativa in materia di segreto aziendale eindustriale; e) è necessario per la salvaguardia della vita o dell'incolumitàfisica di un terzo. Se la medesima finalità riguarda l'interessato equest'ultimo non può prestare il proprio consenso per impossibilità fisica, perincapacità di agire o per incapacità di intendere o di volere, il consenso èmanifestato da chi esercita legalmente la potestà, ovvero da un prossimocongiunto, da un familiare, da un convivente o, in loro assenza, dalresponsabile della struttura presso cui dimora l'interessato. Si applica ladisposizione di cui all'articolo 82, comma 2; f) con esclusione della diffusione, è necessario ai fini dellosvolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000,n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria,sempre che i dati siano trattati esclusivamente per tali finalità e per ilperiodo strettamente necessario al loro perseguimento, nel rispetto dellavigente normativa in materia di segreto aziendale e industriale; g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire unlegittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato;(1) h) con esclusione della comunicazione all'esterno e della diffusione,è effettuato da associazioni, enti od organismi senza scopo di lucro, anche nonriconosciuti, in riferimento a soggetti che hanno con essi contatti regolari oad aderenti, per il perseguimento di scopi determinati e legittimi individuatidall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalitàdi utilizzo previste espressamente con determinazione resa nota agliinteressati all'atto dell'informativa ai sensi dell'articolo 13; i) è necessario, in conformità ai rispettivi codici di deontologia dicui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero peresclusivi scopi storici presso archivi privati dichiarati di notevole interessestorico ai sensi dell'articolo 6, comma 2, del decreto legislativo29 ottobre 1999, n. 490, di approvazione del testo unico in materiadi beni culturali e ambientali o, secondo quanto previsto dai medesimi codici,presso altri archivi privati. i-bis) riguarda dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5-bis.(2) i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall'art. 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell'articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all'articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa di cui all'articolo 13.(2)
Art. 25. Divieti dicomunicazione e diffusione 1. La comunicazione e la diffusione sono vietate, oltre che in caso didivieto disposto dal Garante o dall'autorità giudiziaria: a) in riferimento a dati personali dei quali è stata ordinata lacancellazione, ovvero quando è decorso il periodo di tempo indicatonell'articolo 11, comma 1, lettera e); b) per finalità diverse da quelle indicate nella notificazione deltrattamento, ove prescritta. 2. È fatta salva la comunicazione o diffusione di dati richieste, inconformità alla legge, da forze di polizia, dall'autorità giudiziaria, daorganismi di informazione e sicurezza o da altri soggetti pubblici ai sensidell'articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato odi prevenzione, accertamento o repressione di reati. Art. 26. Garanzie per i dati sensibili 1. I dati sensibili possono essere oggetto di trattamento solo con ilconsenso scritto dell'interessato e previa autorizzazione del Garante,nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice,nonché dalla legge e dai regolamenti. 2. Il Garante comunica la decisione adottata sulla richiesta diautorizzazione entro quarantacinque giorni, decorsi i quali la mancatapronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovverosuccessivamente, anche sulla base di eventuali verifiche, il Garante puòprescrivere misure e accorgimenti a garanzia dell'interessato, che il titolaredel trattamento è tenuto ad adottare. 3. Il comma 1 non si applica al trattamento: a) dei dati relativi agli aderenti alle confessioni religiose e aisoggetti che con riferimento a finalità di natura esclusivamente religiosahanno contatti regolari con le medesime confessioni, effettuato dai relativiorgani, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusio comunicati fuori delle medesime confessioni. Queste ultime determinano idoneegaranzie relativamente ai trattamenti effettuati, nel rispetto dei principiindicati al riguardo con autorizzazione del Garante; b) dei dati riguardanti l'adesione di associazioni od organizzazioni acarattere sindacale o di categoria ad altre associazioni, organizzazioni oconfederazioni a carattere sindacale o di categoria. b-bis) dei dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5-bis.(1) 4. I dati sensibili possono essere oggetto di trattamento anche senzaconsenso, previa autorizzazione del Garante: a) quando il trattamento è effettuato da associazioni, enti odorganismi senza scopo di lucro, anche non riconosciuti, a carattere politico,filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici,per il perseguimento di scopi determinati e legittimi individuati dall'attocostitutivo, dallo statuto o dal contratto collettivo, relativamente ai datipersonali degli aderenti o dei soggetti che in relazione a tali finalità hannocontatti regolari con l'associazione, ente od organismo, sempre che i dati nonsiano comunicati all'esterno o diffusi e l'ente, associazione od organismodetermini idonee garanzie relativamente ai trattamenti effettuati, prevedendoespressamente le modalità di utilizzo dei dati con determinazione resa notaagli interessati all'atto dell'informativa ai sensi dell'articolo 13; b) quando il trattamento è necessario per la salvaguardia della vita odell'incolumità fisica di un terzo. Se la medesima finalità riguardal'interessato e quest'ultimo non può prestare il proprio consenso perimpossibilità fisica, per incapacità di agire o per incapacità di intendere odi volere, il consenso è manifestato da chi esercita legalmente la potestà,ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loroassenza, dal responsabile della struttura presso cui dimora l'interessato. Siapplica la disposizione di cui all'articolo 82, comma 2; c) quando il trattamento è necessario ai fini dello svolgimento delleinvestigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o,comunque, per far valere o difendere in sede giudiziaria un diritto, sempre chei dati siano trattati esclusivamente per tali finalità e per il periodostrettamente necessario al loro perseguimento. Se i dati sono idonei a rivelarelo stato di salute e la vita sessuale, il diritto deve essere di rango pari aquello dell'interessato, ovvero consistente in un diritto della personalità oin un altro diritto o libertà fondamentale e inviolabile; d) quando è necessario per adempiere a specifici obblighi o compitiprevisti dalla legge, da un regolamento o dalla normativa comunitaria per lagestione del rapporto di lavoro, anche in materia di igiene e sicurezza dellavoro e della popolazione e di previdenza e assistenza, nei limiti previstidall'autorizzazione e ferme restando le disposizioni del codice di deontologiae di buona condotta di cui all'articolo 111. 5. I dati idonei a rivelare lo stato di salute non possono esserediffusi.
Art. 27. Garanzie per i dati giudiziari 1. Il trattamento di dati giudiziari da parte di privati o di entipubblici economici è consentito soltanto se autorizzato da espressadisposizione di legge o provvedimento del Garante che specifichino le rilevantifinalità di interesse pubblico del trattamento, i tipi di dati trattati e dioperazioni eseguibili. Si applica quanto previsto dall'articolo 21, comma 1-bis.(1)
TitoloIV - Soggetti che effettuano il trattamento Art.28. Titolare del trattamento 1. Quando il trattamentoè effettuato da una persona giuridica, da una pubblica amministrazione o da unqualsiasi altro ente, associazione od organismo, titolare del trattamento èl'entità nel suo complesso o l'unità od organismo periferico che esercita unpotere decisionale del tutto autonomo sulle finalità e sulle modalità deltrattamento, ivi compreso il profilo della sicurezza. Art. 29. Responsabiledel trattamento 1. Il responsabile è designato dal titolare facoltativamente. 2. Se designato, il responsabile è individuato tra soggetti che peresperienza, capacità ed affidabilità forniscano idonea garanzia del pienorispetto delle vigenti disposizioni in materia di trattamento, ivi compreso ilprofilo relativo alla sicurezza. 3. Ove necessario per esigenze organizzative, possono essere designatiresponsabili più soggetti, anche mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono analiticamente specificatiper iscritto dal titolare. 5. Il responsabile effettua il trattamento attenendosi alle istruzioniimpartite dal titolare il quale, anche tramite verifiche periodiche, vigilasulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprieistruzioni. Art. 30. Incaricati deltrattamento 1. Le operazioni di trattamento possono essere effettuate soloda incaricati che operano sotto la diretta autorità del titolare o delresponsabile, attenendosi alle istruzioni impartite. 2. La designazione è effettuata per iscritto e individua puntualmentel'ambito del trattamento consentito. Si considera tale anche la documentatapreposizione della persona fisica ad una unità per la quale è individuato, periscritto, l'ambito del trattamento consentito agli addetti all'unità medesima. Titolo V - Sicurezzadei dati e dei sistemi Capo I - Misure di sicurezza 1. I dati personali oggetto di trattamento sono custoditi econtrollati, anche in relazione alle conoscenze acquisite in base al progressotecnico, alla natura dei dati e alle specifiche caratteristiche deltrattamento, in modo da ridurre al minimo, mediante l'adozione di idonee epreventive misure di sicurezza, i rischi di distruzione o perdita, ancheaccidentale, dei dati stessi, di accesso non autorizzato o di trattamento nonconsentito o non conforme alle finalità della raccolta. 1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 31, anche attraverso altri soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis. (2) 1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati. (3) 1-ter. Le misure di cui ai commi 1 e 1-bis garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché assicurano l'attuazione di una politica di sicurezza. (3) 2. Quando la sicurezza del servizio o dei dati personali richiedeanche l'adozione di misure che riguardano la rete, il fornitore del servizio dicomunicazione elettronica accessibile al pubblico adotta tali misurecongiuntamente con il fornitore della rete pubblica di comunicazioni. In casodi mancato accordo, su richiesta di uno dei fornitori, la controversia èdefinita dall'Autorità per le garanzie nelle comunicazioni secondo le modalitàpreviste dalla normativa vigente. 3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa i contraenti e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell'ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1, 1-bis e 2, tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa è resa al Garante e all'Autorità per le garanzie nelle comunicazioni. (4)
Art. 32-bis Adempimenti conseguenti ad una violazione di dati personali (1) 1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione. 3. La comunicazione di cui al comma 2 non è dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione. 4. Ove il fornitore non vi abbia già provveduto, il Garante può, considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad laltra persona l'avvenuta violazione. 5. La comunicazione al contraente o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione al Garante descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio. 6. Il Garante può emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonché alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di lattuazione adottate dalla Commissione europea ai sensi dell'articolo 4, paragrafo 5, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE. 7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Garante di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario figurano unicamente le informazioni necessarie a tal fine. 8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui al presente articolo.
Capo II - Misure minime di sicurezza 1. Nel quadro dei più generali obblighi di sicurezza di cuiall'articolo 31, o previsti da speciali disposizioni, i titolari deltrattamento sono comunque tenuti ad adottare le misure minime individuate nelpresente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livellominimo di protezione dei dati personali. Art. 34. Trattamenticon strumenti elettronici 1. Il trattamento di dati personali effettuato con strumentielettronici è consentito solo se sono adottate, nei modi previsti daldisciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali diautenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito deltrattamento consentito ai singoli incaricati e addetti alla gestione o allamanutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto atrattamenti illeciti di dati, ad accessi non consentiti e a determinatiprogrammi informatici; f) adozione di procedure per la custodia di copie di sicurezza, ilripristino della disponibilità dei dati e dei sistemi; g) "soppresso"(1); h) adozione di tecniche di cifratura o di codici identificativi perdeterminati trattamenti di dati idonei a rivelare lo stato di salute o la vitasessuale effettuati da organismi sanitari. 1-bis. "abrogato".(2) 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo - contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.(3)
Art. 35. Trattamenti senza l'ausilio di strumenti elettronici 1. Il trattamento di dati personali effettuato senza l'ausilio distrumenti elettronici è consentito solo se sono adottate, nei modi previsti daldisciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito deltrattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documentiaffidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti inarchivi ad accesso selezionato e disciplina delle modalità di accessofinalizzata all'identificazione degli incaricati. 1. Il disciplinaretecnico di cui all'allegato B), relativo alle misure minime di cui al presentecapo, è aggiornato periodicamente con decreto del Ministro della giustizia diconcerto con il Ministro per le innovazioni e le tecnologie e il Ministro per lasemplificazione normativa, in relazione all'evoluzione tecnica e all'esperienzamaturata nel settore.
TitoloVI - Adempimenti Art.37. Notificazione del trattamento 1. Il titolare notifica al Garante il trattamento di datipersonali cui intende procedere, solo se il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizionegeografica di persone od oggetti mediante una rete di comunicazioneelettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale,trattati a fini di procreazione assistita, prestazione di servizi sanitari pervia telematica relativi a banche di dati o alla fornitura di beni, indaginiepidemiologiche, rilevazione di malattie mentali, infettive e diffusive,sieropositività, trapianto di organi e tessuti e monitoraggio della spesasanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichicatrattati da associazioni, enti od organismi senza scopo di lucro, anche nonriconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l'ausilio di strumenti elettronici volti adefinire il profilo o la personalità dell'interessato, o ad analizzareabitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi dicomunicazione elettronica con esclusione dei trattamenti tecnicamenteindispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione delpersonale per conto terzi, nonché dati sensibili utilizzati per sondaggi diopinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumentielettronici e relative al rischio sulla solvibilità economica, alla situazionepatrimoniale, al corretto adempimento di obbligazioni, a comportamenti illecitio fraudolenti. 1-bis. La notificazione relativa al trattamento dei dati di cui alcomma 1 non è dovuta se relativa all'attività dei medici di famiglia e deipediatri di libera scelta, in quanto tale funzione è tipica del loro rapportoprofessionale con il Servizio sanitario nazionale.(1)
2. Il Garante può individuare altri trattamenti suscettibili di recarepregiudizio ai diritti e alle libertà dell'interessato, in ragione dellerelative modalità o della natura dei dati personali, con proprio provvedimentoadottato anche ai sensi dell'articolo 17. Con analogo provvedimento pubblicatosulla Gazzetta Ufficiale della Repubblica italiana il Garante può ancheindividuare, nell'ambito dei trattamenti di cui al comma 1, eventualitrattamenti non suscettibili di recare detto pregiudizio e pertanto sottrattiall'obbligo di notificazione. 3. La notificazione è effettuata con unico atto anche quando iltrattamento comporta il trasferimento all'estero dei dati. 4. Il Garante inserisce le notificazioni ricevute in un registro deitrattamenti accessibile a chiunque e determina le modalità per la suaconsultazione gratuita per via telematica, anche mediante convenzioni consoggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramitela consultazione del registro possono essere trattate per esclusive finalità diapplicazione della disciplina in materia di protezione dei dati personali. Art. 38. Modalità di notificazione 1. La notificazione del trattamento è presentata al Garante primadell'inizio del trattamento ed una sola volta, a prescindere dal numero delleoperazioni e della durata del trattamento da effettuare, e può anche riguardareuno o più trattamenti con finalità correlate. 2.(1) La notificazione è validamente effettuata solo se è trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene larichiesta di fornire tutte e soltanto le seguenti informazioni: a) le coordinate identificative del titolare del trattamento e,eventualmente, del suo rappresentante, nonché le modalità per individuare ilresponsabile del trattamento se designato;
3. Il Garante favorisce la disponibilità del modello per viatelematica e la notificazione anche attraverso convenzioni stipulate consoggetti autorizzati in base alla normativa vigente, anche presso associazionidi categoria e ordini professionali. 4. Una nuova notificazione è richiesta solo anteriormente allacessazione del trattamento o al mutamento di taluno degli elementi da indicarenella notificazione medesima. 5. Il Garante può individuare altro idoneo sistema per lanotificazione in riferimento a nuove soluzioni tecnologiche previste dallanormativa vigente. 6. Il titolare del trattamento che non è tenuto alla notificazione alGarante ai sensi dell'articolo 37 fornisce le notizie contenute nel modello dicui al comma 2 a chi ne fa richiesta, salvo che il trattamento riguardipubblici registri, elenchi, atti o documenti conoscibili da chiunque. Art. 39. Obblighi dicomunicazione 1. Il titolare del trattamento è tenuto a comunicare previamente alGarante le seguenti circostanze: a) comunicazione di dati personali da parte di un soggetto pubblico adaltro soggetto pubblico non prevista da una norma di legge o di regolamento,effettuata in qualunque forma anche mediante convenzione; b) trattamento di dati idonei a rivelare lo stato di salute previstodal programma di ricerca biomedica o sanitaria di cui all'articolo 110, comma1, primo periodo. 2. I trattamenti oggetto di comunicazione ai sensi del comma 1 possonoessere iniziati decorsi quarantacinque giorni dal ricevimento dellacomunicazione salvo diversa determinazione anche successiva del Garante. 3. La comunicazione di cui al comma 1 è inviata utilizzando il modellopredisposto e reso disponibile dal Garante, e trasmessa a quest'ultimo per viatelematica osservando le modalità di sottoscrizione con firma digitale econferma del ricevimento di cui all'articolo 38, comma 2, oppure mediantetelefax o lettera raccomandata. Art. 40. Autorizzazionigenerali 1. Le disposizioni del presente codice che prevedono un'autorizzazionedel Garante sono applicate anche mediante il rilascio di autorizzazionirelative a determinate categorie di titolari o di trattamenti, pubblicate nellaGazzetta Ufficiale della Repubblica italiana. Art. 41. Richieste diautorizzazione 1. Il titolare deltrattamento che rientra nell'ambito di applicazione di un'autorizzazionerilasciata ai sensi dell'articolo 40 non è tenuto a presentare al Garante unarichiesta di autorizzazione se il trattamento che intende effettuare è conformealle relative prescrizioni. 2. Se una richiesta di autorizzazione riguarda un trattamentoautorizzato ai sensi dell'articolo 40 il Garante può provvedere comunque sullarichiesta se le specifiche modalità del trattamento lo giustificano. 3. L'eventuale richiesta di autorizzazione è formulata utilizzandoesclusivamente il modello predisposto e reso disponibile dal Garante etrasmessa a quest'ultimo per via telematica, osservando le modalità disottoscrizione e conferma del ricevimento di cui all'articolo 38, comma 2. Lamedesima richiesta e l'autorizzazione possono essere trasmesse anche mediantetelefax o lettera raccomandata. 4. Se il richiedente è invitato dal Garante a fornire informazioni oad esibire documenti, il termine di quarantacinque giorni di cui all'articolo26, comma 2, decorre dalla data di scadenza del termine fissato perl'adempimento richiesto. 5. In presenza di particolari circostanze, il Garante può rilasciareun'autorizzazione provvisoria a tempo determinato. Titolo VII -Trasferimento dei dati all'estero Art.42. Trasferimenti all'interno dell'Unione europea 1. Le disposizioni del presente codice non possono essere applicate inmodo tale da restringere o vietare la libera circolazione dei dati personalifra gli Stati membri dell'Unione europea, fatta salva l'adozione, in conformitàallo stesso codice, di eventuali provvedimenti in caso di trasferimenti di datieffettuati al fine di eludere le medesime disposizioni. Art. 43. Trasferimenticonsentiti in Paesi terzi 1. Il trasferimento anche temporaneo fuori del territorio dello Stato,con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, sediretto verso un Paese non appartenente all'Unione europea è consentito quando: a) l'interessato ha manifestato il proprio consenso espresso o, se sitratta di dati sensibili, in forma scritta; b) è necessario per l'esecuzione di obblighi derivanti da un contrattodel quale è parte l'interessato o per adempiere, prima della conclusione delcontratto, a specifiche richieste dell'interessato, ovvero per la conclusione oper l'esecuzione di un contratto stipulato a favore dell'interessato; c) è necessario per la salvaguardia di un interesse pubblico rilevanteindividuato con legge o con regolamento o, se il trasferimento riguarda datisensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e21; d) è necessario per la salvaguardia della vita o dell'incolumitàfisica di un terzo. Se la medesima finalità riguarda l'interessato equest'ultimo non può prestare il proprio consenso per impossibilità fisica, perincapacità di agire o per incapacità di intendere o di volere, il consenso èmanifestato da chi esercita legalmente la potestà, ovvero da un prossimocongiunto, da un familiare, da un convivente o, in loro assenza, dalresponsabile della struttura presso cui dimora l'interessato. Si applica ladisposizione di cui all'articolo 82, comma 2; e) è necessario ai fini dello svolgimento delle investigazionidifensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per farvalere o difendere un diritto in sede giudiziaria, sempre che i dati sianotrasferiti esclusivamente per tali finalità e per il periodo strettamentenecessario al loro perseguimento, nel rispetto della vigente normativa in materiadi segreto aziendale e industriale; f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia; g) è necessario, in conformità ai rispettivi codici di deontologia dicui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero peresclusivi scopi storici presso archivi privati dichiarati di notevole interessestorico ai sensi dell'articolo 6, comma 2, del decretolegislativo 29 ottobre 1999, n. 490, di approvazione del testounico in materia di beni culturali e ambientali o, secondo quanto previsto daimedesimi codici, presso altri archivi privati; h) "soppressa"1
Art. 44. Altritrasferimenti consentiti 1. Il trasferimento di dati personali oggetto di trattamento, direttoverso un Paese non appartenente all'Unione europea, è altresì consentito quandoè autorizzato dal Garante sulla base di adeguate garanzie per i dirittidell'interessato: a) individuate dal Garante anche in relazione a garanzie prestate conun contratto o mediante regole di condotta esistenti nell'ambito di societàappartenenti a un medesimo gruppo. L'interessato può far valere i propridiritti nel territorio dello Stato, in base al presente codice, anche in ordineall'inosservanza delle garanzie medesime;1 b) individuate con le decisioni previste dagli articoli 25, paragrafo6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e delConsiglio, del 24 ottobre 1995, con le quali la Commissione europea constatache un Paese non appartenente all'Unione europea garantisce un livello diprotezione adeguato o che alcune clausole contrattuali offrono garanziesufficienti.
Art. 45. Trasferimenti vietati 1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anchetemporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, didati personali oggetto di trattamento, diretto verso un Paese non appartenenteall'Unione europea, è vietato quando l'ordinamento del Paese di destinazione odi transito dei dati non assicura un livello di tutela delle persone adeguato.Sono valutate anche le modalità del trasferimento e dei trattamenti previsti,le relative finalità, la natura dei dati e le misure di sicurezza.
Parte II - Disposizionirelative a specifici settori TitoloI - Trattamenti in ambito giudiziario Capo I - Profili generali Art.46. Titolari dei trattamenti 1. Gli uffici giudiziaridi ogni ordine e grado, il Consiglio superiore della magistratura, gli altriorgani di autogoverno e il Ministero della giustizia sono titolari deitrattamenti di dati personali relativi alle rispettive attribuzioni conferiteper legge o regolamento. 2. Con decreto del Ministro della giustizia sono individuati,nell'allegato C) al presente codice, i trattamenti non occasionali di cui alcomma 1 effettuati con strumenti elettronici, relativamente a banche di daticentrali od oggetto di interconnessione tra più uffici o titolari. Iprovvedimenti con cui il Consiglio superiore della magistratura e gli altriorgani di autogoverno di cui al comma 1 individuano i medesimi trattamenti daessi effettuati sono riportati nell'allegato C) con decreto del Ministro dellagiustizia. Art. 47. Trattamentiper ragioni di giustizia 1. In caso di trattamento di dati personali effettuato presso ufficigiudiziari di ogni ordine e grado, presso il Consiglio superiore dellamagistratura, gli altri organi di autogoverno e il Ministero della giustizia,non si applicano, se il trattamento è effettuato per ragioni di giustizia, leseguenti disposizioni del codice: a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, eda 39 a 45; b) articoli da 145 a 151. 2. Agli effetti del presente codice si intendono effettuati perragioni di giustizia i trattamenti di dati personali direttamente correlatialla trattazione giudiziaria di affari e di controversie, o che, in materia ditrattamento giuridico ed economico del personale di magistratura, hanno unadiretta incidenza sulla funzione giurisdizionale, nonché le attività ispettivesu uffici giudiziari. Le medesime ragioni di giustizia non ricorrono perl'ordinaria attività amministrativo-gestionale di personale, mezzi o strutture,quando non è pregiudicata la segretezza di atti direttamente connessi alla predettatrattazione. Art. 48. Banche di datidi uffici giudiziari 1. Nei casi in cui l'autorità giudiziaria di ogni ordine e grado puòacquisire in conformità alle vigenti disposizioni processuali dati,informazioni, atti e documenti da soggetti pubblici, l'acquisizione può essereeffettuata anche per via telematica. A tale fine gli uffici giudiziari possonoavvalersi delle convenzioni-tipo stipulate dal Ministero della giustizia consoggetti pubblici, volte ad agevolare la consultazione da parte dei medesimiuffici, mediante reti di comunicazione elettronica, di pubblici registri,elenchi, schedari e banche di dati, nel rispetto delle pertinenti disposizionie dei principi di cui agli articoli 3 e 11 del presente codice. Art. 49. Disposizionidi attuazione 1. Con decreto del Ministro della giustizia sono adottate, anche adintegrazione del decreto del Ministro di grazia e giustizia 30 settembre 1989,n. 334, le disposizioni regolamentari necessarie per l'attuazione dei principidel presente codice nella materia penale e civile. Capo II - Minori Art.50. Notizie o immagini relative a minori 1. Il divieto di cui all'articolo 13 del decreto del Presidente dellaRepubblica 22 settembre 1988, n. 448, di pubblicazione e divulgazione conqualsiasi mezzo di notizie o immagini idonee a consentire l'identificazione diun minore si osserva anche in caso di coinvolgimento a qualunque titolo delminore in procedimenti giudiziari in materie diverse da quella penale. Capo III - Informatica giuridica 1. Fermo restando quanto previsto dalle disposizioni processualiconcernenti la visione e il rilascio di estratti e di copie di atti edocumenti, i dati identificativi delle questioni pendenti dinanzi all'autoritàgiudiziaria di ogni ordine e grado sono resi accessibili a chi vi abbiainteresse anche mediante reti di comunicazione elettronica, ivi compreso ilsito istituzionale della medesima autorità nella rete Internet. 2. Le sentenze e le altre decisioni dell'autorità giudiziaria di ogniordine e grado depositate in cancelleria o segreteria sono rese accessibilianche attraverso il sistema informativo e il sito istituzionale della medesimaautorità nella rete Internet, osservando le cautele previste dal presente capo. Art. 52. Datiidentificativi degli interessati 1. Fermo restando quanto previsto dalle disposizioni concernenti laredazione e il contenuto di sentenze e di altri provvedimenti giurisdizionalidell'autorità giudiziaria di ogni ordine e grado, l'interessato può chiedereper motivi legittimi, con richiesta depositata nella cancelleria o segreteriadell'ufficio che procede prima che sia definito il relativo grado di giudizio,che sia apposta a cura della medesima cancelleria o segreteria, sull'originaledella sentenza o del provvedimento, un'annotazione volta a precludere, in casodi riproduzione della sentenza o provvedimento in qualsiasi forma, per finalitàdi informazione giuridica su riviste giuridiche, supporti elettronici omediante reti di comunicazione elettronica, l'indicazione delle generalità e dialtri dati identificativi del medesimo interessato riportati sulla sentenza oprovvedimento. 2. Sulla richiesta di cui al comma 1 provvede in calce con decreto,senza ulteriori formalità, l'autorità che pronuncia la sentenza o adotta ilprovvedimento. La medesima autorità può disporre d'ufficio che sia appostal'annotazione di cui al comma 1, a tutela dei diritti o della dignità degliinteressati. 3. Nei casi di cui ai commi 1 e 2, all'atto del deposito dellasentenza o provvedimento, la cancelleria o segreteria vi appone e sottoscriveanche con timbro la seguente annotazione, recante l'indicazione degli estremidel presente articolo: "In caso di diffusione omettere le generalità e glialtri dati identificativi di ...". 4. In caso di diffusione anche da parte di terzi di sentenze o dialtri provvedimenti recanti l'annotazione di cui al comma 2, o delle relativemassime giuridiche, è omessa l'indicazione delle generalità e degli altri datiidentificativi dell'interessato. 5. Fermo restando quanto previsto dall'articolo 734-bis del codicepenale relativamente alle persone offese da atti di violenza sessuale, chiunquediffonde sentenze o altri provvedimenti giurisdizionali dell'autoritàgiudiziaria di ogni ordine e grado è tenuto ad omettere in ogni caso, anche inmancanza dell'annotazione di cui al comma 2, le generalità, altri datiidentificativi o altri dati anche relativi a terzi dai quali può desumersianche indirettamente l'identità di minori, oppure delle parti nei procedimentiin materia di rapporti di famiglia e di stato delle persone. 6. Le disposizioni di cui al presente articolo si applicano anche incaso di deposito di lodo ai sensi dell'articolo 825 del codice diprocedura civile. La parte può formulare agli arbitri la richiesta di cui alcomma 1 prima della pronuncia del lodo e gli arbitri appongono sul lodol'annotazione di cui al comma 3, anche ai sensi del comma 2. Il collegioarbitrale costituito presso la camera arbitrale per i lavori pubblici ai sensidell'articolo 32 della legge 11 febbraio 1994, n. 109, provvede in modoanalogo in caso di richiesta di una parte. 7. Fuori dei casi indicati nel presente articolo è ammessa ladiffusione in ogni forma del contenuto anche integrale di sentenze e di altriprovvedimenti giurisdizionali. TitoloII - Trattamenti da parte di forze di polizia Capo I - Profili generali Art. 53. Ambito applicativo e titolari deitrattamenti 1. Al trattamento di dati personali effettuato dal Centro elaborazionedati del Dipartimento di pubblica sicurezza o da forze di polizia sui datidestinati a confluirvi in base alla legge, ovvero da organi di pubblicasicurezza o altri soggetti pubblici per finalità di tutela dell'ordine e dellasicurezza pubblica, prevenzione, accertamento o repressione dei reati, effettuatiin base ad espressa disposizione di legge che preveda specificamente iltrattamento, non si applicano le seguenti disposizioni del codice: a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, eda 39 a 45; b) articoli da 145 a 151. 2. Con decreto del Ministro dell'interno sono individuati,nell'allegato C) al presente codice, i trattamenti non occasionali di cui alcomma 1 effettuati con strumenti elettronici, e i relativi titolari. Art. 54. Modalità ditrattamento e flussi di dati 1. Nei casi in cui le autorità di pubblica sicurezza o le forzedi polizia possono acquisire in conformità alle vigenti disposizioni di legge odi regolamento dati, informazioni, atti e documenti da altri soggetti,l'acquisizione può essere effettuata anche per via telematica. A tal fine gliorgani o uffici interessati possono avvalersi di convenzioni volte ad agevolarela consultazione da parte dei medesimi organi o uffici, mediante reti dicomunicazione elettronica, di pubblici registri, elenchi, schedari e banche didati, nel rispetto delle pertinenti disposizioni e dei principi di cui agliarticoli 3 e 11. Le convenzioni-tipo sono adottate dal Ministerodell'interno, su conforme parere del Garante, e stabiliscono le modalità deicollegamenti e degli accessi anche al fine di assicurare l'accesso selettivo aisoli dati necessari al perseguimento delle finalità di cuiall'articolo 53. 2. I dati trattati per le finalità di cui al medesimo articolo 53 sonoconservati separatamente da quelli registrati per finalità amministrative chenon richiedono il loro utilizzo. 3. Fermo restando quanto previsto dall'articolo 11, il Centroelaborazioni dati di cui all'articolo 53 assicura l'aggiornamento periodico ela pertinenza e non eccedenza dei dati personali trattati anche attraversointerrogazioni autorizzate del casellario giudiziale e del casellario deicarichi pendenti del Ministero della giustizia di cui al decreto del Presidentedella Repubblica 14 novembre 2002, n. 313, o di altre banche di dati di forzedi polizia, necessarie per le finalità di cui all'articolo 53. 4. Gli organi, uffici e comandi di polizia verificano periodicamente irequisiti di cui all'articolo 11 in riferimento ai dati trattati anche senzal'ausilio di strumenti elettronici, e provvedono al loro aggiornamento anchesulla base delle procedure adottate dal Centro elaborazioni dati ai sensi delcomma 3, o, per i trattamenti effettuati senza l'ausilio di strumentielettronici, mediante annotazioni o integrazioni dei documenti che licontengono. Art. 55. Particolaritecnologie 1. Il trattamento di dati personali che implica maggiori rischi di undanno all'interessato, con particolare riguardo a banche di dati genetici obiometrici, a tecniche basate su dati relativi all'ubicazione, a banche di datibasate su particolari tecniche di elaborazione delle informazioni eall'introduzione di particolari tecnologie, è effettuato nel rispetto dellemisure e degli accorgimenti a garanzia dell'interessato prescritti ai sensidell'articolo 17 sulla base di preventiva comunicazione ai sensidell'articolo 39. Art. 56. Tuteladell'interessato 1. Le disposizioni di cui all'articolo 10, commi 3, 4 e 5,della legge 1 aprile 1981, n. 121, e successive modificazioni, si applicanoanche, oltre che ai dati destinati a confluire nel Centro elaborazioni dati dicui all'articolo 53, a dati trattati con l'ausilio di strumenti elettronici daorgani, uffici o comandi di polizia. Art. 57. Disposizionidi attuazione 1. Con decreto del Presidente della Repubblica, previa deliberazionedel Consiglio dei ministri, su proposta del Ministro dell'interno, di concertocon il Ministro della giustizia, sono individuate le modalità di attuazione deiprincipi del presente codice relativamente al trattamento dei dati effettuatoper le finalità di cui all'articolo 53 dal Centro elaborazioni dati e daorgani, uffici o comandi di polizia, anche ad integrazione e modifica deldecreto del Presidente della Repubblica 3 maggio 1982, n. 378, e in attuazionedella Raccomandazione R (87) 15 del Consiglio d'Europa del 17 settembre 1987, esuccessive modificazioni. Le modalità sono individuate con particolareriguardo: a) al principio secondo cui la raccolta dei dati è correlata allaspecifica finalità perseguita, in relazione alla prevenzione di un pericoloconcreto o alla repressione di reati, in particolare per quanto riguarda i trattamentieffettuati per finalità di analisi; b) all'aggiornamento periodico dei dati, anche relativi a valutazionieffettuate in base alla legge, alle diverse modalità relative ai dati trattatisenza l'ausilio di strumenti elettronici e alle modalità per rendereconoscibili gli aggiornamenti da parte di altri organi e uffici cui i dati sonostati in precedenza comunicati; c) ai presupposti per effettuare trattamenti per esigenze temporanee ocollegati a situazioni particolari, anche ai fini della verifica dei requisitidei dati ai sensi dell'articolo 11, dell'individuazione delle categorie diinteressati e della conservazione separata da altri dati che non richiedono illoro utilizzo; d) all'individuazione di specifici termini di conservazione dei datiin relazione alla natura dei dati o agli strumenti utilizzati per il lorotrattamento, nonché alla tipologia dei procedimenti nell'ambito dei quali essisono trattati o i provvedimenti sono adottati; e) alla comunicazione ad altri soggetti, anche all'estero o perl'esercizio di un diritto o di un interesse legittimo, e alla loro diffusione,ove necessaria in conformità alla legge; f) all'uso di particolari tecniche di elaborazione e di ricerca delleinformazioni, anche mediante il ricorso a sistemi di indice. Titolo III - Difesa esicurezza dello Stato Capo I - Profili generali Art.58. Disposizioni applicabili 1. Ai trattamenti effettuati dagli organismi di cui agli articoli 3, 4e 6 della legge 24 ottobre 1977, n. 801, ovvero sui dati coperti da segreto di Statoai sensi dell'articolo 12 della medesima legge, le disposizioni del presentecodice si applicano limitatamente a quelle previste negli articoli da 1 a 6,11, 14, 15, 31, 33, 58, 154, 160 e 169. 2. Ai trattamenti effettuati da soggetti pubblici per finalità didifesa o di sicurezza dello Stato, in base ad espresse disposizioni di leggeche prevedano specificamente il trattamento, le disposizioni del presentecodice si applicano limitatamente a quelle indicate nel comma 1, nonché alledisposizioni di cui agli articoli 37, 38 e 163. 3. Le misure di sicurezza relative ai dati trattati dagli organismi dicui al comma 1 sono stabilite e periodicamente aggiornate con decreto delPresidente del Consiglio dei ministri, con l'osservanza delle norme cheregolano la materia. 4. Con decreto del Presidente del Consiglio dei ministri sonoindividuate le modalità di applicazione delle disposizioni applicabili delpresente codice in riferimento alle tipologie di dati, di interessati, dioperazioni di trattamento eseguibili e di incaricati, anche in relazioneall'aggiornamento e alla conservazione. Titolo IV - Trattamentiin ambito pubblico Capo I - Accesso a documentiamministrativi Art.59. Accesso a documenti amministrativi 1. Fatto salvo quanto previsto dall'articolo 60, i presupposti, lemodalità, i limiti per l'esercizio del diritto di accesso a documentiamministrativi contenenti dati personali, e la relativa tutela giurisdizionale,restano disciplinati dalla legge 7 agosto 1990, n. 241, e successive modificazionie dalle altre disposizioni di legge in materia, nonché dai relativi regolamentidi attuazione, anche per ciò che concerne i tipi di dati sensibili e giudiziarie le operazioni di trattamento eseguibili in esecuzione di una richiesta diaccesso. Le attività finalizzate all'applicazione di tale disciplina siconsiderano di rilevante interesse pubblico. Art. 60. Dati idonei arivelare lo stato di salute e la vita sessuale 1. Quando il trattamentoconcerne dati idonei a rivelare lo stato di salute o la vita sessuale, iltrattamento è consentito se la situazione giuridicamente rilevante che siintende tutelare con la richiesta di accesso ai documenti amministrativi è dirango almeno pari ai diritti dell'interessato, ovvero consiste in un dirittodella personalità o in un altro diritto o libertà fondamentale e inviolabile. Capo II - Registri pubblici e albiprofessionali Art.61. Utilizzazione di dati pubblici 1. Il Garante promuove, ai sensi dell'articolo 12, lasottoscrizione di un codice di deontologia e di buona condotta per iltrattamento dei dati personali provenienti da archivi, registri, elenchi, attio documenti tenuti da soggetti pubblici, anche individuando i casi in cui deveessere indicata la fonte di acquisizione dei dati e prevedendo garanzieappropriate per l'associazione di dati provenienti da più archivi, tenendopresente quanto previsto dalla Raccomandazione R (91) 10 del Consiglio d'Europain relazione all'articolo 11. 2. Agli effetti dell'applicazione del presente codice i dati personalidiversi da quelli sensibili o giudiziari, che devono essere inseriti in un alboprofessionale in conformità alla legge o ad un regolamento, possono esserecomunicati a soggetti pubblici e privati o diffusi, ai sensi dell'articolo 19,commi 2 e 3, anche mediante reti di comunicazione elettronica. Può esserealtresì menzionata l'esistenza di provvedimenti che dispongono la sospensione oche incidono sull'esercizio della professione. 3. L'ordine o collegio professionale può, a richiesta della personaiscritta nell'albo che vi ha interesse, integrare i dati di cui al comma 2 conulteriori dati pertinenti e non eccedenti in relazione all'attivitàprofessionale. 4. A richiesta dell'interessato l'ordine o collegio professionale puòaltresì fornire a terzi notizie o informazioni relative, in particolare, aspeciali qualificazioni professionali non menzionate nell'albo, ovvero alladisponibilità ad assumere incarichi o a ricevere materiale informativo acarattere scientifico inerente anche a convegni o seminari. Capo III - Stato civile, anagrafi e listeelettorali Art.62. Dati sensibili e giudiziari 1. Si considerano di rilevante interesse pubblico, ai sensi degliarticoli 20 e 21, le finalità relative alla tenuta degli atti e dei registridello stato civile, delle anagrafi della popolazione residente in Italia e deicittadini italiani residenti all'estero, e delle liste elettorali, nonché alrilascio di documenti di riconoscimento o al cambiamento delle generalità. 1. Gli atti dello stato civile conservati negli Archivi di Stato sonoconsultabili nei limiti previsti dall'articolo 107 del decreto legislativo29 ottobre 1999, n. 490. Capo IV - Finalità di rilevante interessepubblico Art.64. Cittadinanza, immigrazione e condizione dello straniero 1. Si considerano di rilevante interesse pubblico, ai sensi degliarticoli 20 e 21, le finalità di applicazione della disciplina in materia dicittadinanza, di immigrazione, di asilo, di condizione dello straniero e delprofugo e sullo stato di rifugiato. 2. Nell'ambito delle finalità di cui al comma 1 è ammesso, inparticolare, il trattamento dei dati sensibili e giudiziari indispensabili: a) al rilascio e al rinnovo di visti, permessi, attestazioni,autorizzazioni e documenti anche sanitari; b) al riconoscimento del diritto di asilo o dello stato di rifugiato,o all'applicazione della protezione temporanea e di altri istituti o misure dicarattere umanitario, ovvero all'attuazione di obblighi di legge in materia dipolitiche migratorie; c) in relazione agli obblighi dei datori di lavoro e dei lavoratori,ai ricongiungimenti, all'applicazione delle norme vigenti in materia diistruzione e di alloggio, alla partecipazione alla vita pubblica eall'integrazione sociale. 3. Il presente articolo non si applica ai trattamenti di datisensibili e giudiziari effettuati in esecuzione degli accordi e convenzioni dicui all'articolo 154, comma 2, lettere a) e b), o comunque effettuati perfinalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento orepressione dei reati, in base ad espressa disposizione di legge che prevedespecificamente il trattamento. Art. 65. Dirittipolitici e pubblicità dell'attività di organi 1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli20 e 21, le finalità di applicazione della disciplina in materia di: a) elettorato attivo e passivo e di esercizio di altri dirittipolitici, nel rispetto della segretezza del voto, nonché di esercizio delmandato degli organi rappresentativi o di tenuta degli elenchi dei giudicipopolari; b) documentazione dell'attività istituzionale di organi pubblici. 2. I trattamenti dei dati sensibili e giudiziari per le finalità dicui al comma 1 sono consentiti per eseguire specifici compiti previsti da leggio da regolamenti fra i quali, in particolare, quelli concernenti: a) lo svolgimento di consultazioni elettorali e la verifica dellarelativa regolarità; b) le richieste di referendum, le relative consultazioni e la verificadelle relative regolarità; c) l'accertamento delle cause di ineleggibilità, incompatibilità o didecadenza, o di rimozione o sospensione da cariche pubbliche, ovvero disospensione o di scioglimento degli organi; d) l'esame di segnalazioni, petizioni, appelli e di proposte di leggedi iniziativa popolare, l'attività di commissioni di inchiesta, il rapporto congruppi politici; e) la designazione e la nomina di rappresentanti in commissioni, entie uffici. 3. Ai fini del presente articolo, è consentita la diffusione dei datisensibili e giudiziari per le finalità di cui al comma 1, lettera a), inparticolare con riguardo alle sottoscrizioni di liste, alla presentazione dellecandidature, agli incarichi in organizzazioni o associazioni politiche, allecariche istituzionali e agli organi eletti. 4. Ai fini del presente articolo, in particolare, è consentito iltrattamento di dati sensibili e giudiziari indispensabili: a) per la redazione di verbali e resoconti dell'attività di assembleerappresentative, commissioni e di altri organi collegiali o assembleari; b) per l'esclusivo svolgimento di una funzione di controllo, diindirizzo politico o di sindacato ispettivo e per l'accesso a documentiriconosciuto dalla legge e dai regolamenti degli organi interessati peresclusive finalità direttamente connesse all'espletamento di un mandatoelettivo. 5. I dati sensibili e giudiziari trattati per le finalità di cui alcomma 1 possono essere comunicati e diffusi nelle forme previste dai rispettiviordinamenti. Non è comunque consentita la divulgazione dei dati sensibili egiudiziari che non risultano indispensabili per assicurare il rispetto delprincipio di pubblicità dell'attività istituzionale, fermo restando il divietodi diffusione dei dati idonei a rivelare lo stato di salute. Art. 66. Materia tributariae doganale 1. Si considerano di rilevante interesse pubblico, ai sensidegli articoli 20 e 21, le attività dei soggetti pubblici diretteall'applicazione, anche tramite i loro concessionari, delle disposizioni inmateria di tributi, in relazione ai contribuenti, ai sostituti e airesponsabili di imposta, nonché in materia di deduzioni e detrazioni e perl'applicazione delle disposizioni la cui esecuzione è affidata alle dogane. 2. Si considerano inoltre di rilevante interesse pubblico, ai sensidegli articoli 20 e 21, le attività dirette, in materia di imposte, allaprevenzione e repressione delle violazioni degli obblighi e alla adozione deiprovvedimenti previsti da leggi, regolamenti o dalla normativa comunitaria,nonché al controllo e alla esecuzione forzata dell'esatto adempimento di taliobblighi, alla effettuazione dei rimborsi, alla destinazione di quoted'imposta, e quelle dirette alla gestione ed alienazione di immobili statali,all'inventario e alla qualificazione degli immobili e alla conservazione deiregistri immobiliari. Art. 67. Attività dicontrollo e ispettive 1. Si considerano di rilevante interesse pubblico, ai sensi degliarticoli 20 e 21, le finalità di: a) verifica della legittimità, del buon andamento, dell'imparzialitàdell'attività amministrativa, nonché della rispondenza di detta attività arequisiti di razionalità, economicità, efficienza ed efficacia per le qualisono, comunque, attribuite dalla legge a soggetti pubblici funzioni dicontrollo, di riscontro ed ispettive nei confronti di altri soggetti; b) accertamento, nei limiti delle finalità istituzionali, conriferimento a dati sensibili e giudiziari relativi ad esposti e petizioni,ovvero ad atti di controllo o di sindacato ispettivo di cuiall'articolo 65, comma 4. Art. 68. Beneficieconomici ed abilitazioni 1. Si considerano di rilevante interesse pubblico, ai sensi degliarticoli 20 e 21, le finalità di applicazione della disciplina in materia diconcessione, liquidazione, modifica e revoca di benefici economici,agevolazioni, elargizioni, altri emolumenti e abilitazioni. 2. Si intendono ricompresi fra i trattamenti regolati dal presentearticolo anche quelli indispensabili in relazione: a) alle comunicazioni, certificazioni ed informazioni previste dallanormativa antimafia; b) alle elargizioni di contributi previsti dalla normativa in materiadi usura e di vittime di richieste estorsive; c) alla corresponsione delle pensioni di guerra o al riconoscimento dibenefici in favore di perseguitati politici e di internati in campo disterminio e di loro congiunti; d) al riconoscimento di benefici connessi all'invaliditàcivile; e) alla concessione di contributi in materia di formazioneprofessionale; f) alla concessione di contributi, finanziamenti,elargizioni ed altri benefici previsti dalla legge, dai regolamenti o dallanormativa comunitaria, anche in favore di associazioni, fondazioni ed enti; g) al riconoscimento di esoneri, agevolazioni o riduzioni tariffarie oeconomiche, franchigie, o al rilascio di concessioni anche radiotelevisive,licenze, autorizzazioni, iscrizioni ed altri titoli abilitativi previsti dallalegge, da un regolamento o dalla normativa comunitaria. 3. Il trattamento può comprendere la diffusione nei soli casi in cuiciò è indispensabile per la trasparenza delle attività indicate nel presentearticolo, in conformità alle leggi, e per finalità di vigilanza e di controlloconseguenti alle attività medesime, fermo restando il divieto di diffusione deidati idonei a rivelare lo stato di salute. Art. 69. Onorificenze,ricompense e riconoscimenti 1. Si considerano di rilevante interesse pubblico, ai sensi degliarticoli 20 e 21, le finalità di applicazione della disciplina in materia diconferimento di onorificenze e ricompense, di riconoscimento della personalitàgiuridica di associazioni, fondazioni ed enti, anche di culto, di accertamentodei requisiti di onorabilità e di professionalità per le nomine, per i profilidi competenza del soggetto pubblico, ad uffici anche di culto e a carichedirettive di persone giuridiche, imprese e di istituzioni scolastiche nonstatali, nonché di rilascio e revoca di autorizzazioni o abilitazioni, diconcessione di patrocini, patronati e premi di rappresentanza, di adesione acomitati d'onore e di ammissione a cerimonie ed incontri istituzionali. Art. 70. Volontariato eobiezione di coscienza 1. Si considerano di rilevante interesse pubblico, ai sensidell'articoli 20 e 21, le finalità di applicazione della disciplina in materiadi rapporti tra i soggetti pubblici e le organizzazioni di volontariato, inparticolare per quanto riguarda l'elargizione di contributi finalizzati al lorosostegno, la tenuta di registri generali delle medesime organizzazioni e lacooperazione internazionale. 2. Si considerano, altresì, di rilevante interesse pubblico lefinalità di applicazione della legge 8 luglio 1998, n. 230,e delle altre disposizioni di legge in materia di obiezione di coscienza. Art. 71. Attivitàsanzionatorie e di tutela 1. Si considerano di rilevante interesse pubblico, ai sensi degliarticoli 20 e 21, le finalità: a) di applicazione delle norme in materia di sanzioni amministrative ericorsi; b) volte a far valere il diritto di difesa in sede amministrativa ogiudiziaria, anche da parte di un terzo, anche ai sensi dell'articolo391-quater del codice di procedura penale, o direttamente connesse allariparazione di un errore giudiziario o in caso di violazione del termineragionevole del processo o di un'ingiusta restrizione della libertà personale. 2. Quando il trattamento concerne dati idonei a rivelare lo stato disalute o la vita sessuale, il trattamento è consentito se il diritto da farvalere o difendere, di cui alla lettera b) del comma 1, è di rango almeno paria quello dell'interessato, ovvero consiste in un diritto della personalità o inun altro diritto o libertà fondamentale e inviolabile. Art. 72. Rapporti conenti di culto 1. Si considerano di rilevante interesse pubblico, ai sensidegli articoli 20 e 21, le finalità relative allo svolgimento dei rapportiistituzionali con enti di culto, confessioni religiose e comunità religiose. Art. 73. Altre finalitàin ambito amministrativo e sociale 1. Si considerano dirilevante interesse pubblico, ai sensi degli articoli 20 e 21, nell'ambitodelle attività che la legge demanda ad un soggetto pubblico, le finalitàsocio-assistenziali, con particolare riferimento a: a) interventi di sostegno psico-sociale e di formazione in favore digiovani o di altri soggetti che versano in condizioni di disagio sociale,economico o familiare; b) interventi anche di rilievo sanitario in favore di soggettibisognosi o non autosufficienti o incapaci, ivi compresi i servizi diassistenza economica o domiciliare, di telesoccorso, accompagnamento etrasporto; c) assistenza nei confronti di minori, anche in relazione a vicendegiudiziarie; d) indagini psico-sociali relative a provvedimenti di adozione ancheinternazionale; e) compiti di vigilanza per affidamenti temporanei; f) iniziative di vigilanza e di sostegno in riferimento al soggiornodi nomadi; g) interventi in tema di barriere architettoniche. 2. Si considerano, altresì, di rilevante interesse pubblico, ai sensidegli articoli 20 e 21, nell'ambito delle attività che la legge demanda ad unsoggetto pubblico, le finalità: a) di gestione di asili nido; b) concernenti la gestione di mense scolastiche o la fornitura disussidi, contributi e materiale didattico; c) ricreative o di promozione della cultura e dello sport, conparticolare riferimento all'organizzazione di soggiorni, mostre, conferenze emanifestazioni sportive o all'uso di beni immobili o all'occupazione di suolopubblico; d) di assegnazione di alloggi di edilizia residenziale pubblica; e) relative alla leva militare; f) di polizia amministrativa anche locale, salvo quanto previstodall'articolo 53, con particolare riferimento ai servizi di igiene, di poliziamortuaria e ai controlli in materia di ambiente, tutela delle risorse idriche edifesa del suolo; g) degli uffici per le relazioni con il pubblico; h) in materia di protezione civile; i) di supporto al collocamento e all'avviamento al lavoro, inparticolare a cura di centri di iniziativa locale per l'occupazione e disportelli-lavoro; l) dei difensori civici regionali e locali. Capo V - Particolari contrassegni Art.74. Contrassegni su veicoli e accessi a centri storici 1. I contrassegni rilasciati a qualunque titolo per la circolazione ela sosta di veicoli a servizio di persone invalide, ovvero per il transito e lasosta in zone a traffico limitato, e che devono essere esposti su veicoli,contengono i soli dati indispensabili ad individuare l'autorizzazionerilasciata e senza l'apposizione di diciture dalle quali puo' essere individuata la persona fisica interessata.1 2.1 Per fini di cui al comma 1, le generalita' e l'indirizzo dellapersona fisica interessata sono riportati sui contrassegni conmodalita' che non consentono la loro diretta visibilita' se non incaso di richiesta di esibizione o di necessita' di accertamento. 3. La disposizione di cui al comma 2 si applica anche in caso difissazione a qualunque titolo di un obbligo di esposizione sui veicoli di copiadel libretto di circolazione o di altro documento. 4. Per il trattamento dei dati raccolti mediante impianti per larilevazione degli accessi di veicoli ai centri storici ed alle zone a trafficolimitato continuano, altresì, ad applicarsi le disposizioni del decreto delPresidente della Repubblica 22 giugno 1999, n. 250.
TitoloV - Trattamento di dati personali in ambito sanitario Capo I - Principi generali 1. Il presente titolo disciplina il trattamento dei dati personali inambito sanitario. Art. 76. Esercentiprofessioni sanitarie e organismi sanitari pubblici 1. Gli esercenti le professioni sanitarie e gli organismisanitari pubblici, anche nell'ambito di un'attività di rilevante interessepubblico ai sensi dell'articolo 85, trattano i dati personali idonei a rivelarelo stato di salute: a) con il consenso dell'interessato e anche senza l'autorizzazione delGarante, se il trattamento riguarda dati e operazioni indispensabili perperseguire una finalità di tutela della salute o dell'incolumità fisicadell'interessato; b) anche senza il consenso dell'interessato e previa autorizzazionedel Garante, se la finalità di cui alla lettera a) riguarda un terzo o lacollettività. 2. Nei casi di cui al comma 1 il consenso può essere prestato con lemodalità semplificate di cui al capo II. 3. Nei casi di cui al comma 1 l'autorizzazione del Garante èrilasciata, salvi i casi di particolare urgenza, sentito il Consiglio superioredi sanità.
Capo II - Modalità semplificate per informativa econsenso Art.77. Casi di semplificazione 1. Il presente capoindividua modalità semplificate utilizzabili dai soggetti di cui al comma 2: a) per informare l'interessato relativamente ai dati personaliraccolti presso il medesimo interessato o presso terzi, ai sensi dell'articolo13, commi 1 e 4; b) per manifestare il consenso al trattamento dei dati personali neicasi in cui ciò è richiesto ai sensi dell'articolo 76; c) per il trattamento dei dati personali. 2. Le modalità semplificate di cui al comma 1 sono applicabili: a) dagli organismi sanitari pubblici; b) dagli altri organismi privati e dagli esercenti le professionisanitarie; c) dagli altri soggetti pubblici indicati nell'articolo 80. Art. 78. Informativa del medico di medicina generale o del pediatra 1. Il medico di medicina generale o il pediatra di libera sceltainformano l'interessato relativamente al trattamento dei dati personali, informa chiara e tale da rendere agevolmente comprensibili gli elementi indicatinell'articolo 13, comma 1. 2. L'informativa può essere fornita per il complessivo trattamento deidati personali necessario per attività di prevenzione, diagnosi, cura eriabilitazione, svolte dal medico o dal pediatra a tutela della salute odell'incolumità fisica dell'interessato, su richiesta dello stesso o di cuiquesti è informato in quanto effettuate nel suo interesse. 3. L'informativa può riguardare, altresì, dati personali eventualmenteraccolti presso terzi, ed è fornita preferibilmente per iscritto, ancheattraverso carte tascabili con eventuali allegati pieghevoli, includendo almenogli elementi indicati dal Garante ai sensi dell'articolo 13, comma 3,eventualmente integrati anche oralmente in relazione a particolaricaratteristiche del trattamento. 4. L'informativa, se non è diversamente specificato dal medico o dalpediatra, riguarda anche il trattamento di dati correlato a quello effettuatodal medico di medicina generale o dal pediatra di libera scelta, effettuato daun professionista o da altro soggetto, parimenti individuabile in base allaprestazione richiesta, che: a) sostituisce temporaneamente il medico o il pediatra; b) fornisce una prestazione specialistica su richiesta del medico edel pediatra; c) può trattare lecitamente i dati nell'ambito di un'attivitàprofessionale prestata in forma associata; d) fornisce farmaci prescritti; e) comunica dati personali al medico o pediatra in conformità alladisciplina applicabile. 5. L'informativa resa ai sensi del presente articolo evidenziaanaliticamente eventuali trattamenti di dati personali che presentano rischispecifici per i diritti e le libertà fondamentali, nonché per la dignitàdell'interessato, in particolare in caso di trattamenti effettuati: a) per scopi scientifici, anche di ricerca scientifica e disperimentazione clinica controllata di medicinali, in conformità alle leggi eai regolamenti, ponendo in particolare evidenza che il consenso, ove richiesto,è manifestato liberamente; b) nell'ambito della teleassistenza o telemedicina; c) per fornire altri beni o servizi all'interessato attraverso unarete di comunicazione elettronica. Art. 79. Informativa da parte di organismi sanitari 1. Gli organismi sanitari pubblici e privati possono avvalersi dellemodalità semplificate relative all'informativa e al consenso di cui agliarticoli 78 e 81 in riferimento ad una pluralità di prestazioni erogate ancheda distinti reparti ed unità dello stesso organismo o di più struttureospedaliere o territoriali specificamente identificati. 2. Nei casi di cui al comma 1 l'organismo o le strutture annotanol'avvenuta informativa e il consenso con modalità uniformi e tali da permettereuna verifica al riguardo da parte di altri reparti ed unità che, anche in tempidiversi, trattano dati relativi al medesimo interessato. 3. Le modalità semplificate di cui agli articoli 78 e 81 possonoessere utilizzate in modo omogeneo e coordinato in riferimento all'insieme deitrattamenti di dati personali effettuati nel complesso delle strutture facenticapo alle aziende sanitarie. 4. Sulla base di adeguate misure organizzative in applicazione delcomma 3, le modalità semplificate possono essere utilizzate per più trattamentidi dati effettuati nei casi di cui al presente articolo ed ai soggetti di cuiall'articolo 80. Art. 80. Informativa da parte di altri soggetti pubblici 1. Oltre a quanto previsto dall'articolo 79, possono avvalersi dellafacoltà di fornire un'unica informativa per una pluralità di trattamenti didati effettuati, a fini amministrativi e in tempi diversi, rispetto a datiraccolti presso l'interessato e presso terzi, i competenti servizi o strutturedi soggetti pubblici operanti in ambito sanitario o della prevenzione esicurezza del lavoro. 2. L'informativa di cui al comma 1 è integrata con appositi e idoneicartelli ed avvisi agevolmente visibili al pubblico, affissi e diffusi anchenell'ambito di pubblicazioni istituzionali e mediante reti di comunicazioneelettronica, in particolare per quanto riguarda attività amministrative dirilevante interesse pubblico che non richiedono il consenso degli interessati. Art. 81. Prestazionedel consenso 1. Il consenso al trattamento dei dati idonei a rivelare lo stato disalute, nei casi in cui è necessario ai sensi del presente codice o di altradisposizione di legge, può essere manifestato con un'unica dichiarazione, ancheoralmente. In tal caso il consenso è documentato, anziché con atto scrittodell'interessato, con annotazione dell'esercente la professione sanitaria odell'organismo sanitario pubblico, riferita al trattamento di dati effettuatoda uno o più soggetti e all'informativa all'interessato, nei modi indicatinegli articoli 78, 79 e 80. 2. Quando il medico o il pediatra fornisce l'informativa per conto dipiù professionisti ai sensi dell'articolo 78, comma 4, oltre quanto previstodal comma 1, il consenso è reso conoscibile ai medesimi professionisti conadeguate modalità, anche attraverso menzione, annotazione o apposizione di unbollino o tagliando su una carta elettronica o sulla tessera sanitaria,contenente un richiamo al medesimo articolo 78, comma 4, e alle eventualidiverse specificazioni apposte all'informativa ai sensi del medesimo comma. Art. 82. Emergenze etutela della salute e dell'incolumità fisica 1. L'informativa e ilconsenso al trattamento dei dati personali possono intervenire senza ritardo,successivamente alla prestazione, nel caso di emergenza sanitaria o di igienepubblica per la quale la competente autorità ha adottato un'ordinanza contingibileed urgente ai sensi dell'articolo 117 del decreto legislativo 31 marzo 1998, n.112. 2. L'informativa e il consenso al trattamento dei dati personalipossono altresì intervenire senza ritardo, successivamente alla prestazione, incaso di: a) impossibilità fisica, incapacità di agire o incapacità di intendereo di volere dell'interessato, quando non è possibile acquisire il consenso dachi esercita legalmente la potestà, ovvero da un prossimo congiunto, da unfamiliare, da un convivente o, in loro assenza, dal responsabile dellastruttura presso cui dimora l'interessato; b) rischio grave, imminente ed irreparabile per la salute ol'incolumità fisica dell'interessato. 3. L'informativa e il consenso al trattamento dei dati personalipossono intervenire senza ritardo, successivamente alla prestazione, anche incaso di prestazione medica che può essere pregiudicata dall'acquisizionepreventiva del consenso, in termini di tempestività o efficacia. 4. Dopo il raggiungimento della maggiore età l'informativa è fornitaall'interessato anche ai fini della acquisizione di una nuova manifestazionedel consenso quando questo è necessario. Art. 83. Altre misureper il rispetto dei diritti degli interessati 1. I soggetti di cui agli articoli 78, 79 e 80 adottano idonee misureper garantire, nell'organizzazione delle prestazioni e dei servizi, il rispettodei diritti, delle libertà fondamentali e della dignità degli interessati,nonché del segreto professionale, fermo restando quanto previsto dalle leggi edai regolamenti in materia di modalità di trattamento dei dati sensibili e dimisure minime di sicurezza. 2. Le misure di cui al comma 1 comprendono, in particolare: a) soluzioni volte a rispettare, in relazione a prestazioni sanitarieo ad adempimenti amministrativi preceduti da un periodo di attesa all'internodi strutture, un ordine di precedenza e di chiamata degli interessatiprescindendo dalla loro individuazione nominativa; b) l'istituzione di appropriate distanze di cortesia, tenendo contodell'eventuale uso di apparati vocali o di barriere; c) soluzioni tali da prevenire, durante colloqui, l'indebitaconoscenza da parte di terzi di informazioni idonee a rivelare lo stato disalute; d) cautele volte ad evitare che le prestazioni sanitarie, ivi compresal'eventuale documentazione di anamnesi, avvenga in situazioni di promiscuitàderivanti dalle modalità o dai locali prescelti; e) il rispetto della dignità dell'interessato in occasione dellaprestazione medica e in ogni operazione di trattamento dei dati; f) la previsione di opportuni accorgimenti volti ad assicurare che,ove necessario, possa essere data correttamente notizia o conferma anchetelefonica, ai soli terzi legittimati, di una prestazione di pronto soccorso; g) la formale previsione, in conformità agli ordinamenti interni dellestrutture ospedaliere e territoriali, di adeguate modalità per informare iterzi legittimati in occasione di visite sulla dislocazione degli interessatinell'ambito dei reparti, informandone previamente gli interessati e rispettandoeventuali loro contrarie manifestazioni legittime di volontà; h) la messa in atto di procedure, anche di formazione del personale,dirette a prevenire nei confronti di estranei un'esplicita correlazione tral'interessato e reparti o strutture, indicativa dell'esistenza di unparticolare stato di salute; i) la sottoposizione degli incaricati che non sono tenuti per legge alsegreto professionale a regole di condotta analoghe al segreto professionale. 2-bis. Le misure di cui al comma 2 non si applicano ai soggetti di cuiall'articolo 78, che ottemperano alle disposizioni di cui al comma 1 secondomodalità adeguate a garantire un rapporto personale e fiduciario con gliassistiti, nel rispetto del codice di deontologia sottoscritto ai sensidell'articolo 12.1
Art. 84. Comunicazione di dati all'interessato 1. I dati personali idonei a rivelare lo stato di salutepossono essere resi noti all'interessato o ai soggetti di cui all'articolo 82,comma 2, lettera a), da parte di esercenti le professioni sanitarie ed organismisanitari, solo per il tramite di un medico designato dall'interessato o daltitolare. Il presente comma non si applica in riferimento ai dati personaliforniti in precedenza dal medesimo interessato. 2. Il titolare o il responsabile possono autorizzare per iscrittoesercenti le professioni sanitarie diversi dai medici, che nell'esercizio deipropri compiti intrattengono rapporti diretti con i pazienti e sono incaricatidi trattare dati personali idonei a rivelare lo stato di salute, a rendere notii medesimi dati all'interessato o ai soggetti di cui all'articolo 82, comma 2,lettera a). L'atto di incarico individua appropriate modalità e cautelerapportate al contesto nel quale è effettuato il trattamento di dati. Capo III - Finalità di rilevante interessepubblico Art. 85. Compiti del Servizio sanitario nazionale 1. Fuori dei casi di cui al comma 2, si considerano di rilevanteinteresse pubblico, ai sensi degli articoli 20 e 21, le finalità che rientranonei compiti del Servizio sanitario nazionale e degli altri organismi sanitaripubblici relative alle seguenti attività: a) attività amministrative correlate a quelle di prevenzione,diagnosi, cura e riabilitazione dei soggetti assistiti dal Servizio sanitarionazionale, ivi compresa l'assistenza degli stranieri in Italia e dei cittadiniitaliani all'estero, nonché di assistenza sanitaria erogata al personalenavigante ed aeroportuale; b) programmazione, gestione, controllo e valutazione dell'assistenzasanitaria; c) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazioneall'immissione in commercio e all'importazione di medicinali e di altriprodotti di rilevanza sanitaria; d) attività certificatorie; e) l'applicazione della normativa in materia di igiene e sicurezza neiluoghi di lavoro e di sicurezza e salute della popolazione; f) le attività amministrative correlate ai trapianti d'organo e ditessuti, nonché alle trasfusioni di sangue umano, anche in applicazione dellalegge 4 maggio 1990, n. 107; g) instaurazione, gestione, pianificazione e controllo dei rapportitra l'amministrazione ed i soggetti accreditati o convenzionati del Serviziosanitario nazionale. 2. Il comma 1 non si applica ai trattamenti di dati idonei a rivelarelo stato di salute effettuati da esercenti le professioni sanitarie o daorganismi sanitari pubblici per finalità di tutela della salute odell'incolumità fisica dell'interessato, di un terzo o della collettività, peri quali si osservano le disposizioni relative al consenso dell'interessato oall'autorizzazione del Garante ai sensi dell'articolo 76. 3. All'identificazione dei tipi di dati idonei a rivelare lo stato disalute e di operazioni su essi eseguibili è assicurata ampia pubblicità, anchetramite affissione di una copia o di una guida illustrativa presso ciascunaazienda sanitaria e presso gli studi dei medici di medicina generale e deipediatri di libera scelta. 4. Il trattamento di dati identificativi dell'interessato è lecito daparte dei soli soggetti che perseguono direttamente le finalità di cui al comma1. L'utilizzazione delle diverse tipologie di dati è consentita ai soliincaricati, preposti, caso per caso, alle specifiche fasi delle attività di cuial medesimo comma, secondo il principio dell'indispensabilità dei dati di voltain volta trattati. Art. 86. Altre finalità di rilevante interesse pubblico 1. Fuori dei casi di cui agli articoli 76 e 85, si consideranodi rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità,perseguite mediante trattamento di dati sensibili e giudiziari, relative alleattività amministrative correlate all'applicazione della disciplina in materiadi: a) tutela sociale della maternità e di interruzione volontaria dellagravidanza, con particolare riferimento a quelle svolte per la gestione diconsultori familiari e istituzioni analoghe, per l'informazione, la cura e ladegenza delle madri, nonché per gli interventi di interruzione dellagravidanza; b) stupefacenti e sostanze psicotrope, con particolare riferimento aquelle svolte al fine di assicurare, anche avvalendosi di enti ed associazionisenza fine di lucro, i servizi pubblici necessari per l'assistenzasocio-sanitaria ai tossicodipendenti, gli interventi anche di tipo preventivoprevisti dalle leggi e l'applicazione delle misure amministrative previste; c) assistenza, integrazione sociale e diritti delle personehandicappate effettuati, in particolare, al fine di: 1) accertare l'handicap ed assicurare la funzionalità dei serviziterapeutici e riabilitativi, di aiuto personale e familiare, nonché interventieconomici integrativi ed altre agevolazioni; 2) curare l'integrazione sociale, l'educazione, l'istruzione el'informazione alla famiglia del portatore di handicap, nonché il collocamentoobbligatorio nei casi previsti dalla legge; 3) realizzare comunità-alloggio e centri socio riabilitativi; 4)curare la tenuta degli albi degli enti e delle associazioni ed organizzazionidi volontariato impegnati nel settore. 2. Ai trattamenti di cui al presente articolo si applicano ledisposizioni di cui all'articolo 85, comma 4. Capo IV - Prescrizioni mediche Art. 87. Medicinali a carico del Servizio sanitario nazionale 1. Le ricette relative a prescrizioni di medicinali a carico,anche parziale, del Servizio sanitario nazionale sono redatte secondo ilmodello di cui al comma 2, conformato in modo da permettere di risalireall'identità dell'interessato solo in caso di necessità connesse al controllodella correttezza della prescrizione, ovvero a fini di verifiche amministrativeo per scopi epidemiologici e di ricerca, nel rispetto delle norme deontologicheapplicabili. 2. Il modello cartaceo per le ricette di medicinali relative aprescrizioni di medicinali a carico, anche parziale, del Servizio sanitarionazionale, di cui agli allegati 1, 3, 5 e 6 del decreto del Ministro dellasanità 11 luglio 1988, n. 350, e al capitolo 2, paragrafo 2.2.2. del relativodisciplinare tecnico, è integrato da un tagliando predisposto su carta o contecnica di tipo copiativo e unito ai bordi delle zone indicate nel comma 3. 3. Il tagliando di cui al comma 2 è apposto sulle zone del modellopredisposte per l'indicazione delle generalità e dell'indirizzo dell'assistito,in modo da consentirne la visione solo per effetto di una momentaneaseparazione del tagliando medesimo che risulti necessaria ai sensi dei commi 4e 5. 4. Il tagliando può essere momentaneamente separato dal modello diricetta, e successivamente riunito allo stesso, quando il farmacista lo ritieneindispensabile, mediante sottoscrizione apposta sul tagliando, per unaeffettiva necessità connessa al controllo della correttezza della prescrizione,anche per quanto riguarda la corretta fornitura del farmaco. 5. Il tagliando può essere momentaneamente separato nei modi di cui alcomma 3 anche presso i competenti organi per fini di verifica amministrativasulla correttezza della prescrizione, o da parte di soggetti legittimati asvolgere indagini epidemiologiche o di ricerca in conformità alla legge, quandoè indispensabile per il perseguimento delle rispettive finalità. 6. Con decreto del Ministro della salute, sentito il Garante, puòessere individuata una ulteriore soluzione tecnica diversa da quella indicatanel comma 1, basata sull'uso di una fascetta adesiva o su altra tecnicaequipollente relativa anche a modelli non cartacei. Art. 88. Medicinali non a carico del Servizio sanitario nazionale 1. Nelle prescrizioni cartacee di medicinali soggetti a prescrizioneripetibile non a carico, anche parziale, del Servizio sanitario nazionale, legeneralità dell'interessato non sono indicate. 2. Nei casi di cui al comma 1 il medico può indicare le generalitàdell'interessato solo se ritiene indispensabile permettere di risalire alla suaidentità, per un'effettiva necessità derivante dalle particolari condizioni delmedesimo interessato o da una speciale modalità di preparazione o di utilizzazione. 1. Le disposizioni del presente capo non precludono l'applicazione didisposizioni normative che prevedono il rilascio di ricette che nonidentificano l'interessato o recanti particolari annotazioni, contenute anchenel decreto-legge 17 febbraio 1998, n. 23, convertito, con modificazioni, dallalegge 8 aprile 1998, n. 94. 2. Nei casi in cui deve essere accertata l'identità dell'interessatoai sensi del testo unico delle leggi in materia di disciplina deglistupefacenti e sostanze psicotrope, prevenzione, cura e riabilitazione deirelativi stati di tossicodipendenza, approvato con decreto del Presidente dellaRepubblica 9 ottobre 1990, n. 309, e successive modificazioni, le ricette sonoconservate separatamente da ogni altro documento che non ne richiede l'utilizzo. 2-bis. Per i soggetti di cui all'articolo 78, l'attuazione delledisposizioni di cui all'articolo 87, comma 3, e 88, comma 1, è subordinata adun'esplicita richiesta dell'interessato.1
Capo V - Dati genetici Art. 90. Trattamento dei dati genetici e donatori di midollo osseo 1. Il trattamento dei dati genetici da chiunque effettuato èconsentito nei soli casi previsti da apposita autorizzazione rilasciata dalGarante sentito il Ministro della salute, che acquisisce, a tal fine, il pareredel Consiglio superiore di sanità. 2. L'autorizzazione di cui al comma 1 individua anche gli ulteriorielementi da includere nell'informativa ai sensi dell'articolo 13, conparticolare riguardo alla specificazione delle finalità perseguite e deirisultati conseguibili anche in relazione alle notizie inattese che possonoessere conosciute per effetto del trattamento dei dati e al diritto di opporsial medesimo trattamento per motivi legittimi. 3. Il donatore di midollo osseo, ai sensi della legge 6 marzo 2001, n.52, ha il diritto e il dovere di mantenere l'anonimato sia nei confronti delricevente sia nei confronti di terzi. Capo VI - Disposizioni varie Art.91. Dati trattati mediante carte 1. Il trattamento in ogni forma di dati idonei a rivelare lo stato disalute o la vita sessuale eventualmente registrati su carte anche nonelettroniche, compresa la carta nazionale dei servizi, o trattati mediante lemedesime carte è consentito se necessario ai sensi dell'articolo 3,nell'osservanza di misure ed accorgimenti prescritti dal Garante nei modi dicui all'articolo 17. 1. Nei casi in cui organismi sanitari pubblici e privatiredigono e conservano una cartella clinica in conformità alla disciplinaapplicabile, sono adottati opportuni accorgimenti per assicurare lacomprensibilità dei dati e per distinguere i dati relativi al paziente daquelli eventualmente riguardanti altri interessati, ivi comprese informazionirelative a nascituri. 2. Eventuali richieste di presa visione o di rilascio di copia dellacartella e dell'acclusa scheda di dimissione ospedaliera da parte di soggettidiversi dall'interessato possono essere accolte, in tutto o in parte, solo sela richiesta è giustificata dalla documentata necessità: a) di far valere o difendere un diritto in sede giudiziaria ai sensidell'articolo 26, comma 4, lettera c), di rango pari a quello dell'interessato,ovvero consistente in un diritto della personalità o in un altro diritto olibertà fondamentale e inviolabile; b) di tutelare, in conformità alla disciplina sull'accesso aidocumenti amministrativi, una situazione giuridicamente rilevante di rango paria quella dell'interessato, ovvero consistente in un diritto della personalità oin un altro diritto o libertà fondamentale e inviolabile. Art. 93. Certificato diassistenza al parto 1. Ai fini delladichiarazione di nascita il certificato di assistenza al parto è sempresostituito da una semplice attestazione contenente i soli dati richiesti neiregistri di nascita. Si osservano, altresì, le disposizioni dell'articolo 109. 2. Il certificato di assistenza al parto o la cartella clinica, ovecomprensivi dei dati personali che rendono identificabile la madre che abbiadichiarato di non voler essere nominata avvalendosi della facoltà di cuiall'articolo 30, comma 1, del decreto del Presidente della Repubblica 3novembre 2000, n. 396, possono essere rilasciati in copia integrale a chi viabbia interesse, in conformità alla legge, decorsi cento anni dalla formazionedel documento. 3. Durante il periodo di cui al comma 2 la richiesta di accesso alcertificato o alla cartella può essere accolta relativamente ai dati relativialla madre che abbia dichiarato di non voler essere nominata, osservando leopportune cautele per evitare che quest'ultima sia identificabile. Art. 94. Banche didati, registri e schedari in ambito sanitario 1. Il trattamento didati idonei a rivelare lo stato di salute contenuti in banche di dati,schedari, archivi o registri tenuti in ambito sanitario, è effettuato nelrispetto dell'articolo 3 anche presso banche di dati, schedari, archivi oregistri già istituiti alla data di entrata in vigore del presente codice e inriferimento ad accessi di terzi previsti dalla disciplina vigente alla medesimadata, in particolare presso: a) il registro nazionale dei casi di mesotelioma asbesto-correlatiistituito presso l'Istituto superiore per la prevenzione e la sicurezza dellavoro (Ispesl), di cui all'articolo 1 del decreto del Presidente del Consigliodei ministri 10 dicembre 2002, n. 308; b) la banca di dati in materia di sorveglianza della malattia diCreutzfeldt-Jakob o delle varianti e sindromi ad essa correlate, di cui aldecreto del Ministro della salute in data 21 dicembre 2001, pubblicato nellaGazzetta Ufficiale n. 8 del 10 gennaio 2002; c) il registro nazionale delle malattie rare di cui all'articolo 3 deldecreto del Ministro della sanità in data 18 maggio 2001, n. 279; d) i registri dei donatori di midollo osseo istituiti in applicazionedella legge 6 marzo 2001, n. 52; e) gli schedari dei donatori di sangue di cui all'articolo 15 deldecreto del Ministro della sanità in data 26 gennaio 2001, pubblicato nellaGazzetta Ufficiale n. 78 del 3 aprile 2001. Titolo VI - Istruzione
Capo I - Profili generali Art.95. Dati sensibili e giudiziari 1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli20 e 21, le finalità di istruzione e di formazione in ambito scolastico,professionale, superiore o universitario, con particolare riferimento a quellesvolte anche in forma integrata. Art. 96. Trattamento didati relativi a studenti 1. Al fine di agevolare l'orientamento, la formazione e l'inserimentoprofessionale, anche all'estero, le scuole e gli istituti scolastici diistruzione secondaria, su richiesta degli interessati, possono comunicare odiffondere, anche a privati e per via telematica, dati relativi agli esitiscolastici, intermedi e finali, degli studenti e altri dati personali diversida quelli sensibili o giudiziari, pertinenti in relazione alle predettefinalità e indicati nell'informativa resa agli interessati ai sensi dell'articolo13. I dati possono essere successivamente trattati esclusivamente per lepredette finalità. 2. Resta ferma la disposizione di cui all'articolo 2, comma 2, deldecreto del Presidente della Repubblica 24 giugno 1998, n. 249, sulla tuteladel diritto dello studente alla riservatezza. Restano altresì ferme le vigentidisposizioni in materia di pubblicazione dell'esito degli esami medianteaffissione nell'albo dell'istituto e di rilascio di diplomi e certificati. TitoloVII - Trattamento per scopi storici, statistici o scientifici Capo I - Profili generali 1. Il presente titolo disciplina il trattamento dei dati personalieffettuato per scopi storici, statistici o scientifici. Art. 98. Finalità dirilevante interesse pubblico 1. Si considerano dirilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalitàrelative ai trattamenti effettuati da soggetti pubblici: a) per scopi storici, concernenti la conservazione, l'ordinamento e lacomunicazione dei documenti detenuti negli archivi di Stato e negli archivistorici degli enti pubblici, secondo quanto disposto dal decreto legislativo 29ottobre 1999, n. 490, di approvazione del testo unico in materia di beniculturali e ambientali, come modificato dal presente codice; b) che fanno parte del Sistema statistico nazionale (Sistan) ai sensidel decreto legislativo 6 settembre 1989, n. 322, esuccessive modificazioni; c) per scopi scientifici. Art. 99. Compatibilitàtra scopi e durata del trattamento 1. Il trattamento di dati personali effettuato per scopi storici,statistici o scientifici è considerato compatibile con i diversi scopi per iquali i dati sono stati in precedenza raccolti o trattati. 2. Il trattamento di dati personali per scopi storici, statistici oscientifici può essere effettuato anche oltre il periodo di tempo necessarioper conseguire i diversi scopi per i quali i dati sono stati in precedenzaraccolti o trattati. 3. Per scopi storici, statistici o scientifici possono comunque essereconservati o ceduti ad altro titolare i dati personali dei quali, per qualsiasicausa, è cessato il trattamento. Art. 100. Dati relativi ad attività di studio e ricerca 1. Al fine di promuovere e sostenere la ricerca e la collaborazione incampo scientifico e tecnologico i soggetti pubblici, ivi comprese le universitàe gli enti di ricerca, possono con autonome determinazioni comunicare ediffondere, anche a privati e per via telematica, dati relativi ad attività distudio e di ricerca, a laureati, dottori di ricerca, tecnici e tecnologi,ricercatori, docenti, esperti e studiosi, con esclusione di quelli sensibili ogiudiziari. 2. Resta fermo il diritto dell'interessato di opporsi per motivilegittimi ai sensi dell'articolo 7, comma 4, lettera a). 3. I dati di cui al presente articolo non costituiscono documentiamministrativi ai sensi della legge 7 agosto 1990, n. 241. 4. I dati di cui al presente articolo possono essere successivamentetrattati per i soli scopi in base ai quali sono comunicati o diffusi.
Capo II - Trattamento per scopi storici Art.101. Modalità di trattamento 1. I dati personali raccolti per scopi storici non possono essereutilizzati per adottare atti o provvedimenti amministrativi sfavorevoliall'interessato, salvo che siano utilizzati anche per altre finalità nelrispetto dell'articolo 11. 2. I documenti contenenti dati personali, trattati per scopi storici,possono essere utilizzati, tenendo conto della loro natura, solo se pertinentie indispensabili per il perseguimento di tali scopi. I dati personali diffusipossono essere utilizzati solo per il perseguimento dei medesimi scopi. 3. I dati personali possono essere comunque diffusi quando sono relativia circostanze o fatti resi noti direttamente dall'interessato o attraverso suoicomportamenti in pubblico. Art. 102. Codice dideontologia e di buona condotta 1. Il Garante promuove ai sensi dell'articolo 12 la sottoscrizione diun codice di deontologia e di buona condotta per i soggetti pubblici e privati,ivi comprese le società scientifiche e le associazioni professionali,interessati al trattamento dei dati per scopi storici. 2. Il codice di deontologia e di buona condotta di cui al comma 1 individua,in particolare: a) le regole di correttezza e di non discriminazione nei confrontidegli utenti da osservare anche nella comunicazione e diffusione dei dati, inarmonia con le disposizioni del presente codice applicabili ai trattamenti didati per finalità giornalistiche o di pubblicazione di articoli, saggi e altremanifestazioni del pensiero anche nell'espressione artistica; b) le particolari cautele per la raccolta, la consultazione e ladiffusione di documenti concernenti dati idonei a rivelare lo stato di salute,la vita sessuale o rapporti riservati di tipo familiare, identificando casi incui l'interessato o chi vi abbia interesse è informato dall'utente dellaprevista diffusione di dati; c) le modalità di applicazione agli archivi privati della disciplinadettata in materia di trattamento dei dati a scopi storici, anche inriferimento all'uniformità dei criteri da seguire per la consultazione e allecautele da osservare nella comunicazione e nella diffusione. Art. 103. Consultazionedi documenti conservati in archivi 1. La consultazione dei documenti conservati negli archivi di Stato,in quelli storici degli enti pubblici e in archivi privati è disciplinata daldecreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico inmateria di beni culturali e ambientali, come modificato dal presente codice. Capo III - Trattamento per scopistatistici o scientifici Art.104. Ambito applicativo e dati identificativi per scopi statistici oscientifici 1. Le disposizioni del presente capo si applicano ai trattamenti didati per scopi statistici o, in quanto compatibili, per scopi scientifici. 2. Agli effetti dell'applicazione del presente capo, in relazione aidati identificativi si tiene conto dell'insieme dei mezzi che possono essereragionevolmente utilizzati dal titolare o da altri per identificarel'interessato, anche in base alle conoscenze acquisite in relazione alprogresso tecnico. Art. 105. Modalità ditrattamento 1. I dati personali trattati per scopi statistici o scientifici nonpossono essere utilizzati per prendere decisioni o provvedimenti relativamenteall'interessato, né per trattamenti di dati per scopi di altra natura. 2. Gli scopi statistici o scientifici devono essere chiaramentedeterminati e resi noti all'interessato, nei modi di cui all'articolo 13 anchein relazione a quanto previsto dall'articolo 106, comma 2, lettera b), delpresente codice e dall'articolo 6-bis del decreto legislativo 6 settembre 1989,n. 322, e successive modificazioni. 3. Quando specifiche circostanze individuate dai codici di cuiall'articolo 106 sono tali da consentire ad un soggetto di rispondere in nome eper conto di un altro, in quanto familiare o convivente, l'informativa all'interessatopuò essere data anche per il tramite del soggetto rispondente. 4. Per il trattamento effettuato per scopi statistici o scientificirispetto a dati raccolti per altri scopi, l'informativa all'interessato non èdovuta quando richiede uno sforzo sproporzionato rispetto al diritto tutelato,se sono adottate le idonee forme di pubblicità individuate dai codici di cuiall'articolo 106. Art. 106. Codici dideontologia e di buona condotta 1. Il Garante promuove ai sensi dell'articolo 12 la sottoscrizione diuno o più codici di deontologia e di buona condotta per i soggetti pubblici eprivati, ivi comprese le società scientifiche e le associazioni professionali,interessati al trattamento dei dati per scopi statistici o scientifici. 2. Con i codici di cui al comma 1 sono individuati, tenendo conto, peri soggetti già compresi nell'ambito del Sistema statistico nazionale, di quantogià previsto dal decreto legislativo 6 settembre 1989, n. 322, e successivemodificazioni, e, per altri soggetti, sulla base di analoghe garanzie, inparticolare: a) i presupposti e i procedimenti per documentare e verificare che itrattamenti, fuori dai casi previsti dal medesimo decreto legislativo n. 322del 1989, siano effettuati per idonei ed effettivi scopi statistici oscientifici; b) per quanto non previsto dal presente codice, gli ulterioripresupposti del trattamento e le connesse garanzie, anche in riferimento alladurata della conservazione dei dati, alle informazioni da rendere agliinteressati relativamente ai dati raccolti anche presso terzi, allacomunicazione e diffusione, ai criteri selettivi da osservare per iltrattamento di dati identificativi, alle specifiche misure di sicurezza e allemodalità per la modifica dei dati a seguito dell'esercizio dei dirittidell'interessato, tenendo conto dei principi contenuti nelle pertinentiraccomandazioni del Consiglio d'Europa; c) l'insieme dei mezzi che possono essere ragionevolmente utilizzatidal titolare del trattamento o da altri per identificare l'interessato, anchein relazione alle conoscenze acquisite in base al progresso tecnico; d) le garanzie da osservare ai fini dell'applicazione delledisposizioni di cui all'articolo 24, comma 1, lettera i), e 43, comma 1,lettera g), che permettono di prescindere dal consenso dell'interessato,tenendo conto dei principi contenuti nelle predette raccomandazioni; e) modalità semplificate per la prestazione del consenso degliinteressati relativamente al trattamento dei dati sensibili; f) le regole di correttezza da osservare nella raccolta dei dati e leistruzioni da impartire al personale incaricato; g) le misure da adottare per favorire il rispetto dei principi dipertinenza e non eccedenza dei dati e delle misure di sicurezza di cuiall'articolo 31, anche in riferimento alle cautele volte ad impedire l'accessoda parte di persone fisiche che non sono incaricati e l'identificazione nonautorizzata degli interessati, all'interconnessione dei sistemi informativi anchenell'ambito del Sistema statistico nazionale e all'interscambio di dati perscopi statistici o scientifici da effettuarsi con enti ed uffici situatiall'estero anche sulla base delle garanzie previste dall'articolo 44, comma 1,lettera a); h) l'impegno al rispetto di regole di condotta degli incaricati chenon sono tenuti in base alla legge al segreto d'ufficio o professionale, talida assicurare analoghi livelli di sicurezza e di riservatezza. Art. 107. Trattamentodi dati sensibili 1. Fermo restando quanto previsto dall'articolo 20 e fuori dei casi diparticolari indagini statistiche o di ricerca scientifica previste dalla legge,il consenso dell'interessato al trattamento di dati sensibili, quando èrichiesto, può essere prestato con modalità semplificate, individuate dalcodice di cui all'articolo 106 e l'autorizzazione del Garante può essererilasciata anche ai sensi dell'articolo 40. Art. 108. Sistemastatistico nazionale 1. Il trattamento di dati personali da parte di soggetti che fannoparte del Sistema statistico nazionale, oltre a quanto previsto dal codice dideontologia e di buona condotta sottoscritto ai sensi dell'articolo 106,comma 2, resta inoltre disciplinato dal decreto legislativo 6 settembre1989, n. 322, e successive modificazioni, in particolare per quanto riguarda iltrattamento dei dati sensibili indicati nel programma statistico nazionale,l'informativa all'interessato, l'esercizio dei relativi diritti e i dati nontutelati dal segreto statistico ai sensi dell'articolo 9, comma 4, del medesimodecreto. Art. 109. Datistatistici relativi all'evento della nascita 1. Per la rilevazione dei dati statistici relativi agli eventi dinascita, compresi quelli relativi ai nati affetti da malformazioni e ai natimorti, nonché per i flussi di dati anche da parte di direttori sanitari, siosservano, oltre alle disposizioni di cui al decreto del Ministro della sanità16 luglio 2001, n. 349, le modalità tecniche determinate dall'Istitutonazionale della statistica, sentito il Ministro della salute, dell'interno e ilGarante. Art. 110. Ricercamedica, biomedica ed epidemiologica 1. Il consensodell'interessato per il trattamento dei dati idonei a rivelare lo stato disalute, finalizzato a scopi di ricerca scientifica in campo medico, biomedico oepidemiologico, non è necessario quando la ricerca è prevista da un'espressadisposizione di legge che prevede specificamente il trattamento, ovvero rientrain un programma di ricerca biomedica o sanitaria previsto ai sensidell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, esuccessive modificazioni, e per il quale sono decorsi quarantacinque giornidalla comunicazione al Garante ai sensi dell'articolo 39. Il consenso non èinoltre necessario quando a causa di particolari ragioni non è possibileinformare gli interessati e il programma di ricerca è oggetto di motivato parerefavorevole del competente comitato etico a livello territoriale ed èautorizzato dal Garante anche ai sensi dell'articolo 40. 2. In caso di esercizio dei diritti dell'interessato ai sensidell'articolo 7 nei riguardi dei trattamenti di cui al comma 1,l'aggiornamento, la rettificazione e l'integrazione dei dati sono annotatisenza modificare questi ultimi, quando il risultato di tali operazioni nonproduce effetti significativi sul risultato della ricerca. TitoloVIII - Lavoro e previdenza sociale Capo I - Profili generali Art.111. Codice di deontologia e di buona condotta 1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizionedi un codice di deontologia e di buona condotta per i soggetti pubblici eprivati interessati al trattamento dei dati personali effettuato per finalitàprevidenziali o per la gestione del rapporto di lavoro, prevedendo anchespecifiche modalità per l'informativa all'interessato e per l'eventualeprestazione del consenso relativamente alla pubblicazione degli annunci perfinalità di occupazione di cui all'articolo 113, comma 3 e alla ricezione dicurricula contenenti dati personali anche sensibili. Art. 112. Finalità dirilevante interesse pubblico 1. Si considerano di rilevante interesse pubblico, ai sensidegli articoli 20 e 21, le finalità di instaurazione e gestione da parte disoggetti pubblici di rapporti di lavoro di qualunque tipo, dipendente oautonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e dialtre forme di impiego che non comportano la costituzione di un rapporto dilavoro subordinato. 2. Tra i trattamenti effettuati per le finalità di cui al comma 1, siintendono ricompresi, in particolare, quelli effettuati al fine di: a) applicare la normativa in materia di collocamento obbligatorio eassumere personale anche appartenente a categorie protette; b) garantire le pari opportunità; c) accertare il possesso di particolari requisiti previsti perl'accesso a specifici impieghi, anche in materia di tutela delle minoranzelinguistiche, ovvero la sussistenza dei presupposti per la sospensione o lacessazione dall'impiego o dal servizio, il trasferimento di sede perincompatibilità e il conferimento di speciali abilitazioni; d) adempiere ad obblighi connessi alla definizione dello statogiuridico ed economico, ivi compreso il riconoscimento della causa di servizioo dell'equo indennizzo, nonché ad obblighi retributivi, fiscali o contabili,relativamente al personale in servizio o in quiescenza, ivi compresa lacorresponsione di premi e benefici assistenziali; e) adempiere a specifici obblighi o svolgere compiti previsti dallanormativa in materia di igiene e sicurezza del lavoro o di sicurezza o salutedella popolazione, nonché in materia sindacale; f) applicare, anche da parte di enti previdenziali ed assistenziali,la normativa in materia di previdenza ed assistenza ivi compresa quellaintegrativa, anche in applicazione del decreto legislativo del Capo provvisoriodello Stato 29 luglio 1947, n. 804, riguardo alla comunicazione di dati, anchemediante reti di comunicazione elettronica, agli istituti di patronato e diassistenza sociale, alle associazioni di categoria e agli ordini professionaliche abbiano ottenuto il consenso dell'interessato ai sensi dell'articolo 23 inrelazione a tipi di dati individuati specificamente; g) svolgere attività dirette all'accertamento della responsabilitàcivile, disciplinare e contabile ed esaminare i ricorsi amministrativi inconformità alle norme che regolano le rispettive materie; h) comparire in giudizio a mezzo di propri rappresentanti opartecipare alle procedure di arbitrato o di conciliazione nei casi previstidalla legge o dai contratti collettivi di lavoro; i) salvaguardare la vita o l'incolumità fisica dell'interessato o diterzi; l) gestire l'anagrafe dei pubblici dipendenti e applicare la normativain materia di assunzione di incarichi da parte di dipendenti pubblici,collaboratori e consulenti; m) applicare la normativa in materia di incompatibilità e rapporti dilavoro a tempo parziale; n) svolgere l'attività di indagine e ispezione presso soggettipubblici; o) valutare la qualità dei servizi resi e dei risultati conseguiti. 3. La diffusione dei dati di cui alle lettere m), n) ed o) del comma 2è consentita in forma anonima e, comunque, tale da non consentirel'individuazione dell'interessato. Capo II - Annunci di lavoro e datiriguardanti prestatori di lavoro Art.113. Raccolta di dati e pertinenza 1. Resta fermo quanto disposto dall'articolo 8 della legge 20 maggio1970, n. 300. Capo III - Divieto di controllo a distanzae telelavoro 1. Resta fermo quanto disposto dall'articolo 4 della legge 20 maggio1970, n. 300. Art. 115. Telelavoro elavoro a domicilio 1. Nell'ambito del rapporto di lavoro domestico e del telelavoro ildatore di lavoro è tenuto a garantire al lavoratore il rispetto della suapersonalità e della sua libertà morale. 2. Il lavoratore domestico è tenuto a mantenere la necessariariservatezza per tutto quanto si riferisce alla vita familiare. Capo IV - Istituti di patronato e diassistenza sociale Art.116. Conoscibilità di dati su mandato dell'interessato 1. Per lo svolgimentodelle proprie attività gli istituti di patronato e di assistenza sociale,nell'ambito del mandato conferito dall'interessato, possono accedere allebanche di dati degli enti eroganti le prestazioni, in relazione a tipi di datiindividuati specificamente con il consenso manifestato ai sensi dell'articolo23. 2. Il Ministro del lavoro e delle politiche sociali stabilisce conproprio decreto le linee-guida di apposite convenzioni da stipulare tra gliistituti di patronato e di assistenza sociale e gli enti eroganti leprestazioni. TitoloIX - Sistema bancario, finanziario ed assicurativo Capo I - Sistemi informativi Art.117. Affidabilità e puntualità nei pagamenti 1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizionedi un codice di deontologia e di buona condotta per il trattamento dei datipersonali effettuato nell'ambito di sistemi informativi di cui sono titolarisoggetti privati, utilizzati a fini di concessione di crediti al consumo ocomunque riguardanti l'affidabilità e la puntualità nei pagamenti da partedegli interessati, individuando anche specifiche modalità per garantire lacomunicazione di dati personali esatti e aggiornati nel rispetto dei dirittidell'interessato. Art. 118. Informazionicommerciali 1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizionedi un codice di deontologia e di buona condotta per il trattamento dei datipersonali effettuato a fini di informazione commerciale, prevedendo anche, incorrelazione con quanto previsto dall' articolo 13, comma 5, modalitàsemplificate per l'informativa all'interessato e idonei meccanismi pergarantire la qualità e l'esattezza dei dati raccolti e comunicati. Art. 119. Dati relativial comportamento debitorio 1. Con il codice dideontologia e di buona condotta di cui all'articolo 118 sono altresìindividuati termini armonizzati di conservazione dei dati personali contenuti,in particolare, in banche di dati, registri ed elenchi tenuti da soggettipubblici e privati, riferiti al comportamento debitorio dell'interessato neicasi diversi da quelli disciplinati nel codice di cui all'articolo 117, tenendoconto della specificità dei trattamenti nei diversi ambiti. 1. L'Istituto per la vigilanza sulle assicurazioni private e diinteresse collettivo (ISVAP) definisce con proprio provvedimento le procedure ele modalità di funzionamento della banca di dati dei sinistri istituita per laprevenzione e il contrasto di comportamenti fraudolenti nel settore delleassicurazioni obbligatorie per i veicoli a motore immatricolati in Italia,stabilisce le modalità di accesso alle informazioni raccolte dalla banca datiper gli organi giudiziari e per le pubbliche amministrazioni competenti inmateria di prevenzione e contrasto di comportamenti fraudolenti nel settoredelle assicurazioni obbligatorie, nonché le modalità e i limiti per l'accessoalle informazioni da parte delle imprese di assicurazione. 2. Il trattamento e la comunicazione ai soggetti di cui al comma 1 deidati personali sono consentiti per lo svolgimento delle funzioni indicate nelmedesimo comma. 3. Per quanto non previsto dal presente articolo si applicano ledisposizioni dell'articolo 135 del Codice delle assicurazioni private.1
TitoloX - Comunicazioni elettroniche Capo I - Servizi di comunicazioneelettronica 1. Le disposizioni del presente titolo si applicano al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione. (1)
Art. 122. Informazioniraccolte nei riguardi del contraente o dell'utente* 1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente. (1) 2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente. (2) 2-bis. Salvo quanto previsto dal comma 1, è vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente.(3)
Art. 123. Dati relativial traffico* 1. I dati relativi al traffico riguardanti contraenti ed utenti trattatidal fornitore di una rete pubblica di comunicazioni o di un servizio dicomunicazione elettronica accessibile al pubblico sono cancellati o resianonimi quando non sono più necessari ai fini della trasmissione dellacomunicazione elettronica, fatte salve le disposizioni dei commi 2, 3 e 5. 2. Il trattamento dei dati relativi al traffico strettamente necessaria fini di fatturazione per il contraente, ovvero di pagamenti in caso di interconnessione,è consentito al fornitore, a fini di documentazione in caso di contestazionedella fattura o per la pretesa del pagamento, per un periodo non superiore asei mesi, salva l'ulteriore specifica conservazione necessaria per effetto diuna contestazione anche in sede giudiziale. 3. Il fornitore di un servizio di comunicazione elettronicaaccessibile al pubblico può trattare i dati di cui al comma 2 nella misura eper la durata necessarie a fini di commercializzazione di servizi dicomunicazione elettronica o per la fornitura di servizi a valore aggiunto, solose il contraente o l'utente cui i dati si riferiscono hanno manifestato il proprioconsenso, che è revocabile in ogni momento.(1) 4. Nel fornire l'informativa di cui all'articolo 13 il fornitore delservizio informa il contraente o l'utente sulla natura dei dati relativi altraffico che sono sottoposti a trattamento e sulla durata del medesimotrattamento ai fini di cui ai commi 2 e 3. 5. Il trattamento dei dati personali relativi al traffico è consentitounicamente ad incaricati del trattamento che operano ai sensi dell'articolo 30sotto la diretta autorità del fornitore del servizio di comunicazioneelettronica accessibile al pubblico o, a seconda dei casi, del fornitore dellarete pubblica di comunicazioni e che si occupano della fatturazione o dellagestione del traffico, di analisi per conto di clienti, dell'accertamento difrodi, o della commercializzazione dei servizi di comunicazione elettronica odella prestazione dei servizi a valore aggiunto. Il trattamento è limitato aquanto è strettamente necessario per lo svolgimento di tali attività e deveassicurare l'identificazione dell'incaricato che accede ai dati anche medianteun'operazione di interrogazione automatizzata. 6. L'Autorità per le garanzie nelle comunicazioni può ottenere i datirelativi alla fatturazione o al traffico necessari ai fini della risoluzione dicontroversie attinenti, in particolare, all'interconnessione o allafatturazione.
Art. 124. Fatturazionedettagliata* 1. il contraente ha dirittodi ricevere in dettaglio, a richiesta e senza alcun aggravio di spesa, ladimostrazione degli elementi che compongono la fattura relativi, inparticolare, alla data e all'ora di inizio della conversazione, al numeroselezionato, al tipo di numerazione, alla località, alla durata e al numero discatti addebitati per ciascuna conversazione. 2. Il fornitore del servizio di comunicazione elettronica accessibileal pubblico è tenuto ad abilitare l'utente ad effettuare comunicazioni e arichiedere servizi da qualsiasi terminale, gratuitamente ed in modo agevole,avvalendosi per il pagamento di modalità alternative alla fatturazione, ancheimpersonali, quali carte di credito o di debito o carte prepagate. 3. Nella documentazione inviata alil contraente relativa allecomunicazioni effettuate non sono evidenziati i servizi e le comunicazioni dicui al comma 2, né le comunicazioni necessarie per attivare le modalitàalternative alla fatturazione. 4. Nella fatturazione alil contraente non sono evidenziate le ultime trecifre dei numeri chiamati. Ad esclusivi fini di specifica contestazionedell'esattezza di addebiti determinati o riferiti a periodi limitati,il contraente può richiedere la comunicazione dei numeri completi dellecomunicazioni in questione. 5. Il Garante, accertata l'effettiva disponibilità delle modalità dicui al comma 2, può autorizzare il fornitore ad indicare nella fatturazione inumeri completi delle comunicazioni.
Art. 125.Identificazione della linea* 1. Se è disponibile lapresentazione dell'identificazione della linea chiamante, il fornitore delservizio di comunicazione elettronica accessibile al pubblico assicuraall'utente chiamante la possibilità di impedire, gratuitamente e mediante unafunzione semplice, la presentazione dell'identificazione della linea chiamante,chiamata per chiamata. il contraente chiamante deve avere tale possibilità lineaper linea. 2. Se è disponibile la presentazione dell'identificazione della lineachiamante, il fornitore del servizio di comunicazione elettronica accessibileal pubblico assicura alil contraente chiamato la possibilità di impedire,gratuitamente e mediante una funzione semplice, la presentazionedell'identificazione delle chiamate entranti. 3. Se è disponibile la presentazione dell'identificazione della lineachiamante e tale indicazione avviene prima che la comunicazione sia stabilita,il fornitore del servizio di comunicazione elettronica accessibile al pubblicoassicura alil contraente chiamato la possibilità, mediante una funzione semplice egratuita, di respingere le chiamate entranti se la presentazionedell'identificazione della linea chiamante è stata eliminata dall'utente oabbonato chiamante. 4. Se è disponibile la presentazione dell'identificazione della lineacollegata, il fornitore del servizio di comunicazione elettronica accessibileal pubblico assicura alil contraente chiamato la possibilità di impedire,gratuitamente e mediante una funzione semplice, la presentazionedell'identificazione della linea collegata all'utente chiamante. 5. Le disposizioni di cui al comma 1 si applicano anche alle chiamatedirette verso Paesi non appartenenti all'Unione europea. Le disposizioni di cuiai commi 2, 3 e 4 si applicano anche alle chiamate provenienti da tali Paesi. 6. Se è disponibile la presentazione dell'identificazione della lineachiamante o di quella collegata, il fornitore del servizio di comunicazioneelettronica accessibile al pubblico informa gli contraenti e gli utentidell'esistenza di tale servizio e delle possibilità previste ai commi 1, 2, 3 e4.
Art. 126. Dati relativiall'ubicazione* 1. I dati relativi all'ubicazione diversi dai dati relativi altraffico, riferiti agli utenti o agli contraenti di reti pubbliche dicomunicazione o di servizi di comunicazione elettronica accessibili alpubblico, possono essere trattati solo se anonimi o se l'utente o il contraente hamanifestato previamente il proprio consenso, revocabile in ogni momento, enella misura e per la durata necessari per la fornitura del servizio a valoreaggiunto richiesto. 2. Il fornitore del servizio, prima di richiedere il consenso, informagli utenti e gli contraenti sulla natura dei dati relativi all'ubicazione diversidai dati relativi al traffico che saranno sottoposti al trattamento, sugliscopi e sulla durata di quest'ultimo, nonché sull'eventualità che i dati sianotrasmessi ad un terzo per la prestazione del servizio a valore aggiunto. 3. L'utente e il contraente che manifestano il proprio consenso altrattamento dei dati relativi all'ubicazione, diversi dai dati relativi altraffico, conservano il diritto di richiedere, gratuitamente e mediante unafunzione semplice, l'interruzione temporanea del trattamento di tali dati perciascun collegamento alla rete o per ciascuna trasmissione di comunicazioni. 4. Il trattamento dei dati relativi all'ubicazione diversi dai datirelativi al traffico, ai sensi dei commi 1, 2 e 3, è consentito unicamente adincaricati del trattamento che operano ai sensi dell'articolo 30, sono ladiretta autorità del fornitore del servizio di comunicazione elettronicaaccessibile al pubblico o, a seconda dei casi, del fornitore della retepubblica di comunicazioni o del terzo che fornisce il servizio a valoreaggiunto. Il trattamento è limitato a quanto è strettamente necessario per lafornitura del servizio a valore aggiunto e deve assicurare l'identificazionedell'incaricato che accede ai dati anche mediante un'operazione diinterrogazione automatizzata.
Art. 127. Chiamate didisturbo e di emergenza* 1. il contraente che riceve chiamate di disturbo può richiedereche il fornitore della rete pubblica di comunicazioni o del servizio dicomunicazione elettronica accessibile al pubblico renda temporaneamenteinefficace la soppressione della presentazione dell'identificazione della lineachiamante e conservi i dati relativi alla provenienza della chiamata ricevuta. L'inefficaciadella soppressione può essere disposta per i soli orari durante i quali siverificano le chiamate di disturbo e per un periodo non superiore a quindicigiorni. 2. La richiesta formulata per iscritto dalil contraente specifica lemodalità di ricezione delle chiamate di disturbo e nel caso in cui siapreceduta da una richiesta telefonica è inoltrata entro quarantotto ore. 3. I dati conservati ai sensi del comma 1 possono essere comunicatialil contraente che dichiari di utilizzarli per esclusive finalità di tutelarispetto a chiamate di disturbo. Per i servizi di cui al comma 1 il fornitoreassicura procedure trasparenti nei confronti degli contraenti e può richiedere uncontributo spese non superiore ai costi effettivamente sopportati. 4. Il fornitore di una rete pubblica di comunicazioni o di un serviziodi comunicazione elettronica accessibile al pubblico predispone proceduretrasparenti per garantire, linea per linea, l'inefficacia della soppressionedell'identificazione della linea chiamante, nonché, ove necessario, iltrattamento dei dati relativi all'ubicazione, nonostante il rifiuto o ilmancato consenso temporanei delil contraente o dell'utente, da parte dei serviziabilitati in base alla legge a ricevere chiamate d'emergenza. I servizi sonoindividuati con decreto del Ministro delle comunicazioni, sentiti il Garante el'Autorità per le garanzie nelle comunicazioni.
Art. 128. Trasferimentoautomatico della chiamata * 1. Il fornitore di un servizio di comunicazione elettronicaaccessibile al pubblico adotta le misure necessarie per consentire a ciascunabbonato, gratuitamente e mediante una funzione semplice, di poter bloccare iltrasferimento automatico delle chiamate verso il proprio terminale effettuatoda terzi.
Art. 129. Elenchi di contraenti * 1. Il Garante individua con proprio provvedimento, in cooperazione conl'Autorità per le garanzie nelle comunicazioni ai sensi dell'articolo 154,comma 3, e in conformità alla normativa comunitaria, le modalità di inserimentoe di successivo utilizzo dei dati personali relativi agli contraenti neglielenchi cartacei o elettronici a disposizione del pubblico, anche inriferimento ai dati già raccolti prima della data di entrata in vigore delpresente codice. 2. Il provvedimento di cui al comma 1 individua idonee modalità per lamanifestazione del consenso all'inclusione negli elenchi e, rispettivamente,all'utilizzo dei dati per le finalità di cui all'articolo 7, comma 4, letterab), in base al principio della massima semplificazione delle modalità diinclusione negli elenchi a fini di mera ricerca delil contraente per comunicazioniinterpersonali, e del consenso specifico ed espresso qualora il trattamentoesuli da tali fini, nonché in tema di verifica, rettifica o cancellazione deidati senza oneri.
Art. 130. Comunicazioni indesiderate * 1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. (1) 2. La disposizione di cui al comma 1 si applica anche allecomunicazioni elettroniche, effettuate per le finalità ivi indicate, medianteposta elettronica, telefax, messaggi del tipo Mms (Multimedia MessagingService) o Sms (Short Message Service) o di altro tipo. 3.(1) Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni perle finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli iviindicati, sono consentite ai sensi degli articoli 23 e 24, nonché ai sensi di quanto previsto dal comma 3-bis del presente articolo.(2) 3-bis. In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo 129, comma 1, mediante l'impiego del telefono e della posta cartacea per le finalità di cui all'articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l'iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all'articolo 129, comma 1 in un registro pubblico delle opposizioni.(3) 3-ter. Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da adottare ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, nonché, per i relativi profili di competenza, il parere dell'Autorità per le garanzie nelle comunicazioni, che si esprime entro il medesimo termine, secondo i seguenti criteri e princìpi generali:
3-quater. La vigilanza e il controllo sull'organizzazione e il funzionamento del registro di cui al comma 3-bis e sul trattamento dei dati sono attribuiti al Garante".(4) 4. Fatto salvo quanto previsto nel comma 1, se il titolare deltrattamento utilizza, a fini di vendita diretta di propri prodotti o servizi,le coordinate di posta elettronica fornite dall'interessato nel contesto dellavendita di un prodotto o di un servizio, può non richiedere il consensodell'interessato, sempre che si tratti di servizi analoghi a quelli oggettodella vendita e l'interessato, adeguatamente informato, non rifiuti tale uso,inizialmente o in occasione di successive comunicazioni. L'interessato, al momentodella raccolta e in occasione dell'invio di ogni comunicazione effettuata perle finalità di cui al presente comma, è informato della possibilità di opporsiin ogni momento al trattamento, in maniera agevole e gratuitamente. 5. é vietato in ogni caso l'invio di comunicazioni per le finalità dicui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o in violazione dell'articolo 8 del decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003.(5) 6. In caso di reiterata violazione delle disposizioni di cui alpresente articolo il Garante può, provvedendo ai sensi dell'articolo 143, comma1, lettera b), altresì prescrivere a fornitori di servizi di comunicazioneelettronica di adottare procedure di filtraggio o altre misure praticabilirelativamente alle coordinate di posta elettronica da cui sono stati inviate lecomunicazioni.
Art. 131. Informazioni ad contraenti e utenti * 1. Il fornitore di un servizio di comunicazione elettronicaaccessibile al pubblico informa il contraente e, ove possibile, l'utente circa lasussistenza di situazioni che permettono di apprendere in modo non intenzionaleil contenuto di comunicazioni o conversazioni da parte di soggetti ad esseestranei. 2. il contraente informa l'utente quando il contenuto delle comunicazionio conversazioni può essere appreso da altri a causa del tipo di apparecchiatureterminali utilizzate o del collegamento realizzato tra le stesse presso la sededelil contraente medesimo. 3. L'utente informa l'altro utente quando, nel corso dellaconversazione, sono utilizzati dispositivi che consentono l'ascolto dellaconversazione stessa da parte di altri soggetti.
Art. 132. Conservazione di dati di traffico per altre finalità(1); 1. Fermo restando quanto previsto dall'articolo 123, comma 2, i datirelativi al traffico telefonico, sono conservati dal fornitore per ventiquattromesi dalla data della comunicazione, per finalità di accertamento e repressionedei reati, mentre, per le medesime finalità, i dati relativi al trafficotelematico, esclusi comunque i contenuti delle comunicazioni, sono conservatidal fornitore per dodici mesi dalla data della comunicazione.(2) 1-bis. I dati relativi alle chiamate senza risposta, trattati temporaneamente da partedei fornitori di servizi di comunicazione elettronica accessibili al pubblicooppure di una rete pubblica di comunicazione, sono conservati per trentagiorni.>(3) 2. [abrogato] (4) 3. Entro il termine di cui al comma 1, i dati sono acquisiti presso ilfornitore con decreto motivato del pubblico ministero anche su istanza deldifensore dell'imputato, della persona sottoposta alle indagini, della personaoffesa e delle altre parti private. Il difensore dell'imputato o della personasottoposta alle indagini può richiedere, direttamente al fornitore i datirelativi alle utenze intestate al proprio assistito con le modalità indicatedall'articolo 391-quater del codice di procedura penale, ferme restando lecondizioni di cui all'articolo 8, comma 2, lettera f), per il trafficoentrante.(5) 4. [abrogato] (6) 4-bis. [abrogato] (7) 4-ter. Il Ministro dell'interno o, su sua delega, iresponsabili degli uffici centrali specialistici in materia informatica o telematicadella Polizia di Stato, dell'Arma dei carabinieri e del Corpo della guardia difinanza, nonché gli altri soggetti indicati nel comma 1 dell'articolo 226 dellenorme di attuazione, di coordinamento e transitorie del codice di procedurapenale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare,anche in relazione alle eventuali richieste avanzate da autorità investigativestraniere, ai fornitori e agli operatori di servizi informatici o telematici diconservare e proteggere, secondo le modalità indicate e per un periodo nonsuperiore a novanta giorni, i dati relativi al traffico telematico, esclusicomunque i contenuti delle comunicazioni, ai fini dello svolgimento delleinvestigazioni preventive previste dal citato articolo 226 delle norme di cuial decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento erepressione di specifici reati. Il provvedimento, prorogabile, per motivateesigenze, per una durata complessiva non superiore a sei mesi, può prevedereparticolari modalità di custodia dei dati e l'eventuale indisponibilità deidati stessi da parte dei fornitori e degli operatori di servizi informatici otelematici ovvero di terzi.(8) 4-quater. Il fornitore o l'operatore di servizi informatici otelematici cui è rivolto l'ordine previsto dal comma 4-ter deve ottemperarvisenza ritardo, fornendo immediatamente all'autorità richiedente l'assicurazionedell'adempimento. Il fornitore o l'operatore di servizi informatici otelematici è tenuto a mantenere il segreto relativamente all'ordine ricevuto ealle attività conseguentemente svolte per il periodo indicato dall'autorità. Incaso di violazione dell'obbligo si applicano, salvo che il fatto costituiscapiù grave reato, le disposizioni dell'articolo 326 del codice penale.(8) 4-quinquies. I provvedimenti adottati ai sensi del comma 4-tersono comunicati per iscritto, senza ritardo e comunque entro quarantotto oredalla notifica al destinatario, al pubblico ministero del luogo di esecuzioneil quale, se ne ricorrono i presupposti, li convalida. In caso di mancataconvalida, i provvedimenti assunti perdono efficacia.(8) 5. Il trattamento dei datiper le finalità di cui al comma 1 è effettuato nel rispetto delle misure edegli accorgimenti a garanzia dell'interessato prescritti ai sensidell'articolo 17, volti a garantire che i dati conservati possiedano i medesimirequisiti di qualità, sicurezza e protezione dei dati in rete, nonché a:(9)
Art. 132-bis. Procedure istituite dai fornitori (1) 1. I fornitori istituiscono procedure interne per corrispondere alle richieste effettuate in conformità alle disposizioni che prevedono forme di accesso a dati personali degli utenti.
Capo II - Internet e reti telematiche
Art. 133. Codice dideontologia e di buona condotta 1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizionedi un codice di deontologia e di buona condotta per il trattamento dei datipersonali effettuato da fornitori di servizi di comunicazione e informazioneofferti mediante reti di comunicazione elettronica, con particolare riguardo aicriteri per assicurare ed uniformare una più adeguata informazione econsapevolezza degli utenti delle reti di comunicazione elettronica gestite dasoggetti pubblici e privati rispetto ai tipi di dati personali trattati e allemodalità del loro trattamento, in particolare attraverso informative fornite inlinea in modo agevole e interattivo, per favorire una più ampia trasparenza ecorrettezza nei confronti dei medesimi utenti e il pieno rispetto dei principidi cui all'articolo 11, anche ai fini dell'eventuale rilascio di certificazioniattestanti la qualità delle modalità prescelte e il livello di sicurezzaassicurato. Capo III - Videosorveglianza Art.134. Codice di deontologia e di buona condotta 1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizionedi un codice di deontologia e di buona condotta per il trattamento dei datipersonali effettuato con strumenti elettronici di rilevamento di immagini,prevedendo specifiche modalità di trattamento e forme semplificate diinformativa all'interessato per garantire la liceità e la correttezza anche inriferimento a quanto previsto dall'articolo 11. TitoloXI - Libere professioni e investigazione privata Capo I - Profili generali Art.135. Codice di deontologia e di buona condotta 1. Il Garante promuove, ai sensi dell'articolo 12, lasottoscrizione di un codice di deontologia e di buona condotta per iltrattamento dei dati personali effettuato per lo svolgimento delleinvestigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o per farvalere o difendere un diritto in sede giudiziaria, in particolare da liberiprofessionisti o da soggetti che esercitano un'attività di investigazioneprivata autorizzata in conformità alla legge. TitoloXII - Giornalismo ed espressione letteraria ed artistica Capo I - Profili generali Art.136. Finalità giornalistiche e altre manifestazioni del pensiero 1. Le disposizioni delpresente titolo si applicano al trattamento: a) effettuato nell'esercizio della professione di giornalista e perl'esclusivo perseguimento delle relative finalità; b) effettuato dai soggetti iscritti nell'elenco dei pubblicisti o nelregistro dei praticanti di cui agli articoli 26 e 33 della legge 3 febbraio1963, n. 69; c) temporaneo finalizzato esclusivamente alla pubblicazione odiffusione occasionale di articoli, saggi e altre manifestazioni del pensieroanche nell'espressione artistica. Art. 137. Disposizioniapplicabili 1. Ai trattamenti indicati nell'articolo 136 non si applicano ledisposizioni del presente codice relative: a) all'autorizzazione del Garante prevista dall'articolo 26; b) alle garanzie previste dall'articolo 27 per i dati giudiziari; c) al trasferimento dei dati all'estero, contenute nel Titolo VIIdella Parte I. 2. Il trattamento dei dati di cui al comma 1 è effettuato anche senzail consenso dell'interessato previsto dagli articoli 23 e 26. 3. In caso di diffusione o di comunicazione dei dati per le finalitàdi cui all'articolo 136 restano fermi i limiti del diritto di cronaca a tuteladei diritti di cui all'articolo 2 e, in particolare, quello dell'essenzialitàdell'informazione riguardo a fatti di interesse pubblico. Possono esseretrattati i dati personali relativi a circostanze o fatti resi noti direttamentedagli interessati o attraverso loro comportamenti in pubblico. Art. 138. Segretoprofessionale 1. In caso di richiestadell'interessato di conoscere l'origine dei dati personali ai sensi dell'articolo7, comma 2, lettera a) restano ferme le norme sul segreto professionale degliesercenti la professione di giornalista, limitatamente alla fonte dellanotizia. Capo II - Codice di deontologia Art.139. Codice di deontologia relativo ad attività giornalistiche 1. Il Garante promuove ai sensi dell'articolo 12 l'adozione da partedel Consiglio nazionale dell'ordine dei giornalisti di un codice di deontologiarelativo al trattamento dei dati di cui all'articolo 136, che prevede misure edaccorgimenti a garanzia degli interessati rapportate alla natura dei dati, inparticolare per quanto riguarda quelli idonei a rivelare lo stato di salute ela vita sessuale. Il codice può anche prevedere forme semplificate per leinformative di cui all'articolo 13. 2. Nella fase di formazione del codice, ovvero successivamente, ilGarante, in cooperazione con il Consiglio, prescrive eventuali misure eaccorgimenti a garanzia degli interessati, che il Consiglio è tenuto arecepire. 3. Il codice o le modificazioni od integrazioni al codice dideontologia che non sono adottati dal Consiglio entro sei mesi dalla propostadel Garante sono adottati in via sostitutiva dal Garante e sono efficaci sino aquando diviene efficace una diversa disciplina secondo la procedura di cooperazione. 4. Il codice e le disposizioni di modificazione ed integrazionedivengono efficaci quindici giorni dopo la loro pubblicazione nella GazzettaUfficiale ai sensi dell'articolo 12. 5. In caso di violazione delle prescrizioni contenute nel codice dideontologia, il Garante può vietare il trattamento ai sensi dell'articolo 143,comma 1, lettera c). TitoloXIII - Marketing diretto Capo I - Profili generali Art.140. Codice di deontologia e di buona condotta 1. Il Garante promuove,ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e dibuona condotta per il trattamento dei dati personali effettuato a fini di inviodi materiale pubblicitario o di vendita diretta, ovvero per il compimento diricerche di mercato o di comunicazione commerciale, prevedendo anche, per icasi in cui il trattamento non presuppone il consenso dell'interessato, formesemplificate per manifestare e rendere meglio conoscibile l'eventualedichiarazione di non voler ricevere determinate comunicazioni.
Parte III - Tuteladell'interessato e sanzioni TitoloI - Tutela amministrativa e giurisdizionale Capo I - Tutela dinnanzi al Garante Sezione I - Principi generali 1. L'interessato può rivolgersi al Garante: a) mediante reclamo circostanziato nei modi previsti dall'articolo142, per rappresentare una violazione della disciplina rilevante in materia ditrattamento di dati personali; b) mediante segnalazione, se non è possibile presentare un reclamocircostanziato ai sensi della lettera a), al fine di sollecitare un controlloda parte del Garante sulla disciplina medesima; c) mediante ricorso, se intende far valere gli specifici diritti dicui all'articolo 7 secondo le modalità e per conseguire gli effetti previstinella sezione III del presente capo. Sezione II - Tutela amministrativa Art.142. Proposizione dei reclami 1. Il reclamo contiene un'indicazione per quanto possibile dettagliatadei fatti e delle circostanze su cui si fonda, delle disposizioni che sipresumono violate e delle misure richieste, nonché gli estremi identificatividel titolare, del responsabile, ove conosciuto, e dell'istante. 2. Il reclamo è sottoscritto dagli interessati, o da associazioni cheli rappresentano anche ai sensi dell'articolo 9, comma 2, ed è presentato alGarante senza particolari formalità. Il reclamo reca in allegato ladocumentazione utile ai fini della sua valutazione e l'eventuale procura, eindica un recapito per l'invio di comunicazioni anche tramite postaelettronica, telefax o telefono. 3. Il Garante può predisporre un modello per il reclamo da pubblicarenel Bollettino e di cui favorisce la disponibilità con strumenti elettronici. Art. 143. Procedimentoper i reclami 1. Esaurita l'istruttoria preliminare, se il reclamo non èmanifestamente infondato e sussistono i presupposti per adottare unprovvedimento, il Garante, anche prima della definizione del procedimento: a) prima di prescrivere le misure di cui alla lettera b), ovvero ildivieto o il blocco ai sensi della lettera c), può invitare il titolare, anchein contraddittorio con l'interessato, ad effettuare il blocco spontaneamente; b) prescrive al titolare le misure opportune o necessarie per rendereil trattamento conforme alle disposizioni vigenti; c) dispone il blocco o vieta, in tutto o in parte, il trattamento cherisulta illecito o non corretto anche per effetto della mancata adozione dellemisure necessarie di cui alla lettera b), oppure quando, in considerazionedella natura dei dati o, comunque, delle modalità del trattamento o degli effettiche esso può determinare, vi è il concreto rischio del verificarsi di unpregiudizio rilevante per uno o più interessati; d) può vietare in tutto o in parte il trattamento di dati relativi asingoli soggetti o a categorie di soggetti che si pone in contrasto conrilevanti interessi della collettività. 2. I provvedimenti di cui al comma 1 sono pubblicati nella GazzettaUfficiale della Repubblica italiana se i relativi destinatari non sonofacilmente identificabili per il numero o per la complessità degliaccertamenti. 1. I provvedimenti dicui all'articolo 143 possono essere adottati anche a seguito delle segnalazionidi cui all'articolo 141, comma 1, lettera b), se è avviata un'istruttoriapreliminare e anche prima della definizione del procedimento. Sezione III - Tutela alternativa a quellagiurisdizionale 1. I diritti di cui all'articolo 7 possono essere fatti valere dinanziall'autorità giudiziaria o con ricorso al Garante. 2. Il ricorso al Garante non può essere proposto se, per il medesimooggetto e tra le stesse parti, è stata già adita l'autorità giudiziaria. 3. La presentazione del ricorso al Garante rende improponibileun'ulteriore domanda dinanzi all'autorità giudiziaria tra le stesse parti e peril medesimo oggetto. Art. 146. Interpello preventivo 1. Salvi i casi in cui il decorso del termine esporrebbe talunoa pregiudizio imminente ed irreparabile, il ricorso al Garante può essereproposto solo dopo che è stata avanzata richiesta sul medesimo oggetto altitolare o al responsabile ai sensi dell'articolo 8, comma 1, e sono decorsi itermini previsti dal presente articolo, ovvero è stato opposto alla richiestaun diniego anche parziale. 2. Il riscontro alla richiesta da parte del titolare o delresponsabile è fornito entro quindici giorni dal suo ricevimento. 3. Entro il termine di cui al comma 2, se le operazioni necessarie perun integrale riscontro alla richiesta sono di particolare complessità, ovveroricorre altro giustificato motivo, il titolare o il responsabile ne dannocomunicazione all'interessato. In tal caso, il termine per l'integraleriscontro è di trenta giorni dal ricevimento della richiesta medesima. Art. 147. Presentazionedel ricorso 1. Il ricorso è proposto nei confronti del titolare e indica: a) gli estremi identificativi del ricorrente, dell'eventualeprocuratore speciale, del titolare e, ove conosciuto, del responsabileeventualmente designato per il riscontro all'interessato in caso di eserciziodei diritti di cui all'articolo 7; b) la data della richiesta presentata al titolare o al responsabile aisensi dell'articolo 8, comma 1, oppure del pregiudizio imminente edirreparabile che permette di prescindere dalla richiesta medesima; c) gli elementi posti a fondamento della domanda; d) il provvedimento richiesto al Garante; e) il domicilio eletto ai fini del procedimento. 2. Il ricorso è sottoscritto dal ricorrente o dal procuratorespeciale e reca in allegato: a) la copia della richiesta rivolta al titolare o al responsabile aisensi dell'articolo 8, comma 1; b) l'eventuale procura; c) la prova del versamento dei diritti di segreteria. 3. Al ricorso è unita, altresì, la documentazione utile ai fini dellasua valutazione e l'indicazione di un recapito per l'invio di comunicazioni alricorrente o al procuratore speciale mediante posta elettronica, telefax otelefono. 4. Il ricorso è rivolto al Garante e la relativa sottoscrizione èautenticata. L'autenticazione non è richiesta se la sottoscrizione è appostapresso l'Ufficio del Garante o da un procuratore speciale iscritto all'albo degliavvocati al quale la procura è conferita ai sensi dell'articolo 83 del codicedi procedura civile, ovvero con firma digitale in conformità alla normativavigente. 5. Il ricorso è validamente proposto solo se è trasmesso con plicoraccomandato, oppure per via telematica osservando le modalità relative allasottoscrizione con firma digitale e alla conferma del ricevimento prescritte aisensi dell'articolo 38, comma 2, ovvero presentato direttamente pressol'Ufficio del Garante. Art. 148.Inammissibilità del ricorso 1. Il ricorso è inammissibile: a) se proviene da un soggetto non legittimato; b) in caso di inosservanza delle disposizioni di cui agli articoli 145e 146; c) se difetta di taluno degli elementi indicati nell'articolo 147,commi 1 e 2, salvo che sia regolarizzato dal ricorrente o dal procuratorespeciale anche su invito dell'Ufficio del Garante ai sensi del comma 2, entrosette giorni dalla data della sua presentazione o della ricezione dell'invito.In tale caso, il ricorso si considera presentato al momento in cui il ricorsoregolarizzato perviene all'Ufficio. 2. Il Garante determina i casi in cui è possibile la regolarizzazionedel ricorso. Art.149. Procedimento relativo al ricorso 1. Fuori dei casi in cuiè dichiarato inammissibile o manifestamente infondato, il ricorso è comunicatoal titolare entro tre giorni a cura dell'Ufficio del Garante, con invito adesercitare entro dieci giorni dal suo ricevimento la facoltà di comunicare alricorrente e all'Ufficio la propria eventuale adesione spontanea. L'invito ècomunicato al titolare per il tramite del responsabile eventualmente designatoper il riscontro all'interessato in caso di esercizio dei diritti di cuiall'articolo 7, ove indicato nel ricorso. 2. In caso di adesione spontanea è dichiarato non luogo a provvedere.Se il ricorrente lo richiede, è determinato in misura forfettaria l'ammontaredelle spese e dei diritti inerenti al ricorso, posti a carico della controparteo compensati per giusti motivi anche parzialmente. 3. Nel procedimento dinanzi al Garante il titolare, il responsabile dicui al comma 1 e l'interessato hanno diritto di essere sentiti, personalmente oa mezzo di procuratore speciale, e hanno facoltà di presentare memorie odocumenti. A tal fine l'invito di cui al comma 1 è trasmesso anche alricorrente e reca l'indicazione del termine entro il quale il titolare, ilmedesimo responsabile e l'interessato possono presentare memorie e documenti,nonché della data in cui tali soggetti possono essere sentiti incontraddittorio anche mediante idonea tecnica audiovisiva. 4. Nel procedimento il ricorrente può precisare la domanda nei limitidi quanto chiesto con il ricorso o a seguito di eccezioni formulate daltitolare. 5. Il Garante può disporre, anche d'ufficio, l'espletamento di una opiù perizie. Il provvedimento che le dispone precisa il contenuto dell'incaricoe il termine per la sua esecuzione, ed è comunicato alle parti le quali possonopresenziare alle operazioni personalmente o tramite procuratori o consulentidesignati. Il provvedimento dispone inoltre in ordine all'anticipazione dellespese della perizia. 6. Nel procedimento, il titolare e il responsabile di cui al comma 1possono essere assistiti da un procuratore o da altra persona di fiducia. 7. Se gli accertamenti risultano particolarmente complessi o vi èl'assenso delle parti il termine di sessanta giorni di cui all'articolo 150,comma 2, può essere prorogato per un periodo non superiore ad ulterioriquaranta giorni. 8. Il decorso dei termini previsti dall'articolo 150, comma 2 edall'articolo 151 è sospeso di diritto dal 1 agosto al 15 settembredi ciascun anno e riprende a decorrere dalla fine del periodo di sospensione.Se il decorso ha inizio durante tale periodo, l'inizio stesso è differito allafine del periodo medesimo. La sospensione non opera nei casi in cui sussiste ilpregiudizio di cui all'articolo 146, comma 1, e non preclude l'adozione deiprovvedimenti di cui all'articolo 150, comma 1. Art. 150. Provvedimentia seguito del ricorso 1. Se la particolarità del caso lo richiede, il Garante può disporrein via provvisoria il blocco in tutto o in parte di taluno dei dati, ovverol'immediata sospensione di una o più operazioni del trattamento. Ilprovvedimento può essere adottato anche prima della comunicazione del ricorsoai sensi dell'articolo 149, comma 1, e cessa di avere ogni effetto se non èadottata nei termini la decisione di cui al comma 2. Il medesimo provvedimentoè impugnabile unitamente a tale decisione. 2. Assunte le necessarie informazioni il Garante, se ritiene fondatoil ricorso, ordina al titolare, con decisione motivata, la cessazione delcomportamento illegittimo, indicando le misure necessarie a tutela dei dirittidell'interessato e assegnando un termine per la loro adozione. La mancatapronuncia sul ricorso, decorsi sessanta giorni dalla data di presentazione,equivale a rigetto. 3. Se vi è stata previa richiesta di taluna delle parti, il provvedimentoche definisce il procedimento determina in misura forfettaria l'ammontare dellespese e dei diritti inerenti al ricorso, posti a carico, anche in parte, delsoccombente o compensati anche parzialmente per giusti motivi. 4. Il provvedimento espresso, anche provvisorio, adottato dal Garanteè comunicato alle parti entro dieci giorni presso il domicilio eletto orisultante dagli atti. Il provvedimento può essere comunicato alle parti anchemediante posta elettronica o telefax. 5. Se sorgono difficoltà o contestazioni riguardo all'esecuzione delprovvedimento di cui ai commi 1 e 2, il Garante, sentite le parti overichiesto, dispone le modalità di attuazione avvalendosi, se necessario, delpersonale dell'Ufficio o della collaborazione di altri organi dello Stato. 6. In caso di mancata opposizione avverso il provvedimento chedetermina l'ammontare delle spese e dei diritti, o di suo rigetto, ilprovvedimento medesimo costituisce, per questa parte, titolo esecutivo ai sensidegli articoli 474 e 475 del codice di procedura civile. 1. Avverso ilprovvedimento espresso o il rigetto tacito di cui all'articolo 150, comma 2, iltitolare o l'interessato possono proporre opposizione con ricorso ai sensidell'articolo 152. L'opposizione non sospende l'esecuzione del provvedimento. 2. Il tribunale provvede nei modi di cui all'articolo 152.
Capo II - Tutela giurisdizionale Art.152. Autorità giudiziaria ordinaria 1. Tutte le controversie che riguardano, comunque, l'applicazionedelle disposizioni del presente codice, comprese quelle inerenti aiprovvedimenti del Garante in materia di protezione dei dati personali o allaloro mancata adozione, sono attribuite all'autorità giudiziaria ordinaria. 1-bis. Le controversie di cui al comma 1 sono disciplinate dall'articolo 10 del decreto legislativo 1 settembre 2011, n. 150. (2) 2. Abrogato (3) 3. Abrogato (3) 4. Abrogato (3) 5. Abrogato (3) 6. Abrogato (3) 7. Abrogato (3) 8. Abrogato (3) 9. Abrogato (3) 10. Abrogato (3) 11. Abrogato (3) 12. Abrogato (3) 13 Abrogato (3) 14 Abrogato (3)
TitoloII - L'Autorità Capo I - Il Garante per la protezione deidati personali 1. Il Garante opera in piena autonomia e con indipendenza di giudizioe di valutazione. 2. Il Garante è organo collegiale costituito da quattro componenti,eletti due dalla Camera dei deputati e due dal Senato della Repubblica con votolimitato. I componenti sono scelti tra persone che assicurano indipendenza eche sono esperti di riconosciuta competenza delle materie del diritto odell'informatica, garantendo la presenza di entrambe le qualificazioni. 3. I componenti eleggono nel loro ambito un presidente, il cui votoprevale in caso di parità. Eleggono altresì un vicepresidente, che assume lefunzioni del presidente in caso di sua assenza o impedimento. 4. 5. All'atto dell'accettazione della nomina il presidente e icomponenti sono collocati fuori ruolo se dipendenti di pubblicheamministrazioni o magistrati in attività di servizio; se professoriuniversitari di ruolo, sono collocati in aspettativa senza assegni ai sensidell'articolo 13 del decreto del Presidente della Repubblica 11 luglio 1980, n.382, e successive modificazioni. Il personale collocato fuori ruolo o inaspettativa non può essere sostituito. 6. Al presidente compete una indennità di funzione non eccedente, nelmassimo, la retribuzione spettante al primo presidente della Corte dicassazione. Ai componenti compete un'indennità non eccedente nel massimo, i dueterzi di quella spettante al presidente. Le predette indennità di funzione sonodeterminate dall'articolo 6 del decreto del Presidente della Repubblica 31marzo 1998, n. 501, in misura tale da poter essere corrisposte a carico degliordinari stanziamenti. 7. Alle dipendenze del Garante è posto l'Ufficio di cui all'articolo156.
1. Oltre a quantoprevisto da specifiche disposizioni, il Garante, anche avvalendosi dell'Ufficioe in conformità al presente codice, ha il compito di: a) controllare se i trattamenti sono effettuati nel rispetto delladisciplina applicabile e in conformità alla notificazione, anche in caso diloro cessazione e con riferimento alla conservazione dei dati di traffico; (1) b) esaminare i reclami e le segnalazioni e provvedere sui ricorsipresentati dagli interessati o dalle associazioni che li rappresentano; c) prescrivere anche d'ufficio ai titolari del trattamento le misurenecessarie o opportune al fine di rendere il trattamento conforme alledisposizioni vigenti, ai sensi dell'articolo 143; d) vietare anche d'ufficio, in tutto o in parte, il trattamento illecitoo non corretto dei dati o disporne il blocco ai sensi dell'articolo 143, e diadottare gli altri provvedimenti previsti dalla disciplina applicabile altrattamento dei dati personali; e) promuovere la sottoscrizione di codici ai sensi dell'articolo 12 edell'articolo 139; f) segnalare al Parlamento e al Governo l'opportunità di interventinormativi richiesti dalla necessità di tutelare i diritti di cui all'articolo 2anche a seguito dell'evoluzione del settore; g) esprimere pareri nei casi previsti; h) curare la conoscenza tra il pubblico della disciplina rilevante inmateria di trattamento dei dati personali e delle relative finalità, nonchédelle misure di sicurezza dei dati; i) denunciare i fatti configurabili come reati perseguibili d'ufficio,dei quali viene a conoscenza nell'esercizio o a causa delle funzioni; l) tenere il registro dei trattamenti formato sulla base dellenotificazioni di cui all'articolo 37; m) predisporre annualmente una relazione sull'attività svolta e sullostato di attuazione del presente codice, che è trasmessa al Parlamento e alGoverno entro il 30 aprile dell'anno successivo a quello cui si riferisce.
2. Il Garante svolge altresì, ai sensi del comma 1, la funzione dicontrollo o assistenza in materia di trattamento dei dati personali prevista daleggi di ratifica di accordi o convenzioni internazionali o da regolamenticomunitari e, in particolare: a) dalla legge 30 settembre 1993, n. 388, e successive modificazioni,di ratifica ed esecuzione dei protocolli e degli accordi di adesioneall'accordo di Schengen e alla relativa convenzione di applicazione; b) dalla legge 23 marzo 1998, n. 93, e successive modificazioni, diratifica ed esecuzione della convenzione istitutiva dell'Ufficio europeo dipolizia (Europol); c) dal regolamento (Ce) n. 515/97 del Consiglio, del 13 marzo 1997, edalla legge 30 luglio 1998, n. 291, e successive modificazioni, di ratifica edesecuzione della convenzione sull'uso dell'informatica nel settore doganale; d) dal regolamento (Ce) n. 2725/2000 del Consiglio, dell'11 dicembre2000, che istituisce l'"Eurodac" per il confronto delle improntedigitali e per l'efficace applicazione della convenzione di Dublino; e) nel capitolo IV della convenzione n. 108 sulla protezione dellepersone rispetto al trattamento automatizzato di dati di carattere personale,adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio1989, n. 98, quale autorità designata ai fini della cooperazione tra Stati aisensi dell'articolo 13 della convenzione medesima. 3. Il Garante coopera con altre autorità amministrative indipendentinello svolgimento dei rispettivi compiti. A tale fine, il Garante può ancheinvitare rappresentanti di un'altra autorità a partecipare alle proprieriunioni, o essere invitato alle riunioni di altra autorità, prendendo partealla discussione di argomenti di comune interesse; può richiedere, altresì, lacollaborazione di personale specializzato addetto ad altra autorità. 4. Il Presidente del Consiglio dei ministri e ciascun ministro consultanoil Garante all'atto della predisposizione delle norme regolamentari e degliatti amministrativi suscettibili di incidere sulle materie disciplinate dalpresente codice. 5. Fatti salvi i termini più brevi previsti per legge, il parere delGarante è reso nei casi previsti nel termine di quarantacinque giorni dalricevimento della richiesta. Decorso il termine, l'amministrazione puòprocedere indipendentemente dall'acquisizione del parere. Quando, per esigenzeistruttorie, non può essere rispettato il termine di cui al presente comma,tale termine può essere interrotto per una sola volta e il parere deve esserereso definitivamente entro venti giorni dal ricevimento degli elementiistruttori da parte delle amministrazioni interessate. 6. Copia dei provvedimenti emessi dall'autorità giudiziaria inrelazione a quanto previsto dal presente codice o in materia di criminalitàinformatica è trasmessa, a cura della cancelleria, al Garante.
Capo II - L'Ufficio del Garante 1. All'Ufficio del Garante, al fine di garantire la responsabilità el'autonomia ai sensi della legge 7 agosto 1990, n. 241, esuccessive modificazioni, e del decreto legislativo 30 marzo 2001, n. 165, esuccessive modificazioni, si applicano i principi riguardanti l'individuazionee le funzioni del responsabile del procedimento, nonché quelli relativi alladistinzione fra le funzioni di indirizzo e di controllo, attribuite agli organidi vertice, e le funzioni di gestione attribuite ai dirigenti. Si applicanoaltresì le disposizioni del medesimo decreto legislativo n. 165 del 2001espressamente richiamate dal presente codice. Art. 156. Ruoloorganico e personale 1. All'Ufficio delGarante è preposto un segretario generale scelto anche tra magistrati ordinario amministrativi. 2. Il ruolo organico del personale dipendente è stabilito nel limitedi cento unità.1 3. Con propri regolamenti pubblicati nella Gazzetta Ufficiale dellaRepubblica italiana, il Garante definisce: a) l'organizzazione e il funzionamento dell'Ufficio anche ai finidello svolgimento dei compiti di cui all'articolo 154; b) l'ordinamento delle carriere e le modalità di reclutamento delpersonale secondo le procedure previste dall'articolo 35 del decretolegislativo n. 165 del 2001; c) la ripartizione dell'organico tra le diverse aree e qualifiche; d) il trattamento giuridico ed economico del personale, secondo icriteri previsti dalla legge 31 luglio 1997, n. 249, esuccessive modificazioni e, per gli incarichi dirigenziali, dagli articoli 19,comma 6, e 23-bis del decreto legislativo 30 marzo 2001, n. 165, tenuto contodelle specifiche esigenze funzionali e organizzative. Nelle more della piùgenerale razionalizzazione del trattamento economico delle autoritàamministrative indipendenti, al personale è attribuito l'ottanta per cento deltrattamento economico del personale dell'Autorità per le garanzie nellecomunicazioni; e) la gestione amministrativa e la contabilità, anche in deroga allenorme sulla contabilità generale dello Stato, l'utilizzo dell'avanzo diamministrazione nel quale sono iscritte le somme già versate nella contabilitàspeciale, nonché l'individuazione dei casi di riscossione e utilizzazione deidiritti di segreteria o di corrispettivi per servizi resi in base adisposizioni di legge secondo le modalità di cui all'articolo 6, comma 2, dellalegge 31 luglio 1997, n. 249. 4. L'Ufficio può avvalersi, per motivate esigenze, di dipendenti delloStato o di altre amministrazioni pubbliche o di enti pubblici collocati inposizione di fuori ruolo o equiparati nelle forme previste dai rispettiviordinamenti, ovvero in aspettativa ai sensi dell'articolo 13 del decreto delPresidente della Repubblica 11 luglio 1980, n. 382, e successive modificazioni,in numero non superiore, complessivamente, a venti unità e per non oltre ilventi per cento delle qualifiche dirigenziali, lasciando non coperto uncorrispondente numero di posti di ruolo. Al personale di cui al presente commaè corrisposta un'indennità pari all'eventuale differenza tra il trattamentoerogato dall'amministrazione o dall'ente di provenienza e quello spettante alpersonale di ruolo, sulla base di apposita tabella di corrispondenza adottatadal Garante, e comunque non inferiore al cinquanta per cento della retribuzionein godimento, con esclusione dell'indennità integrativa speciale. 5. In aggiunta al personale di ruolo, l'Ufficio può assumeredirettamente dipendenti con contratto a tempo determinato, in numero nonsuperiore a venti unità ivi compresi i consulenti assunti con contratto a tempodeterminato ai sensi del comma 7. 6. Si applicano le disposizioni di cui all'articolo 30 del decretolegislativo n. 165 del 2001. 7. Nei casi in cui la natura tecnica o la delicatezza dei problemi lorichiedono, il Garante può avvalersi dell'opera di consulenti, i quali sonoremunerati in base alle vigenti tariffe professionali ovvero sono assunti concontratti a tempo determinato, di durata non superiore a due anni, che possonoessere rinnovati per non più di due volte. 8. Il personale addetto all'Ufficio del Garante ed i consulenti sonotenuti al segreto su ciò di cui sono venuti a conoscenza, nell'esercizio delleproprie funzioni, in ordine a notizie che devono rimanere segrete. 9. Il personale dell'Ufficio del Garante addetto agli accertamenti dicui all'articolo 158 riveste, in numero non superiore a cinque unità, neilimiti del servizio cui è destinato e secondo le rispettive attribuzioni, laqualifica di ufficiale o agente di polizia giudiziaria. 10. Le spese di funzionamento del Garante sono poste a carico di unfondo stanziato a tale scopo nel bilancio dello Stato e iscritto in appositocapitolo dello stato di previsione del Ministero dell'economia e delle finanze.Il rendiconto della gestione finanziaria è soggetto al controllo della Cortedei conti.
Capo III - Accertamenti e controlli Art.157. Richiesta di informazioni e di esibizione di documenti 1. Per l'espletamento dei propri compiti il Garante può richiedere altitolare, al responsabile, all'interessato o anche a terzi di fornireinformazioni e di esibire documenti. 1. Il Garante può disporre accessi a banche di dati, archivi o altreispezioni e verifiche nei luoghi ove si svolge il trattamento o nei qualioccorre effettuare rilevazioni comunque utili al controllo del rispetto delladisciplina in materia di trattamento dei dati personali. 2. I controlli di cui al comma 1 sono eseguiti da personaledell'Ufficio. Il Garante si avvale anche, ove necessario, della collaborazionedi altri organi dello Stato. 3. Gli accertamenti di cui al comma 1, se svolti in un'abitazione o inun altro luogo di privata dimora o nelle relative appartenenze, sono effettuaticon l'assenso informato del titolare o del responsabile, oppure previaautorizzazione del presidente del tribunale competente per territorio inrelazione al luogo dell'accertamento, il quale provvede con decreto motivatosenza ritardo, al più tardi entro tre giorni dal ricevimento della richiestadel Garante quando è documentata l'indifferibilità dell'accertamento. 1. Il personaleoperante, munito di documento di riconoscimento, può essere assistito ovenecessario da consulenti tenuti al segreto ai sensi dell'articolo 156, comma 8.Nel procedere a rilievi e ad operazioni tecniche può altresì estrarre copia diogni atto, dato e documento, anche a campione e su supporto informatico o pervia telematica. Degli accertamenti è redatto sommario verbale nel quale sonoannotate anche le eventuali dichiarazioni dei presenti. 2. Ai soggetti presso i quali sono eseguiti gli accertamenti èconsegnata copia dell'autorizzazione del presidente del tribunale, overilasciata. I medesimi soggetti sono tenuti a farli eseguire e a prestare lacollaborazione a tal fine necessaria. In caso di rifiuto gli accertamenti sonocomunque eseguiti e le spese in tal caso occorrenti sono poste a carico deltitolare con il provvedimento che definisce il procedimento, che per questaparte costituisce titolo esecutivo ai sensi degli articoli 474 e 475 del codicedi procedura civile. 3. Gli accertamenti, se effettuati presso il titolare o ilresponsabile, sono eseguiti dandone informazione a quest'ultimo o, se questo èassente o non è designato, agli incaricati. Agli accertamenti possono assisterepersone indicate dal titolare o dal responsabile. 4. Se non è disposto diversamente nel decreto di autorizzazione delpresidente del tribunale, l'accertamento non può essere iniziato prima delleore sette e dopo le ore venti, e può essere eseguito anche con preavviso quandociò può facilitarne l'esecuzione. 5. Le informative, le richieste e i provvedimenti di cui al presentearticolo e agli articoli 157 e 158 possono essere trasmessi anche medianteposta elettronica e telefax. 6. Quando emergono indizi di reato siosserva la disposizione di cui all'articolo 220 delle norme di attuazione, dicoordinamento e transitorie del codice di procedura penale, approvate condecreto legislativo 28 luglio 1989, n. 271. Art. 160. Particolariaccertamenti 1. Per i trattamenti didati personali indicati nei titoli I, II e III della Parte II gli accertamentisono effettuati per il tramite di un componente designato dal Garante. 2. Se il trattamento non risulta conforme alle disposizioni di legge odi regolamento, il Garante indica al titolare o al responsabile le necessariemodificazioni ed integrazioni e ne verifica l'attuazione. Se l'accertamento èstato richiesto dall'interessato, a quest'ultimo è fornito in ogni caso unriscontro circa il relativo esito, se ciò non pregiudica azioni od operazioni atutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione direati o ricorrono motivi di difesa o di sicurezza dello Stato. 3. Gli accertamenti non sono delegabili. Quando risulta necessario inragione della specificità della verifica, il componente designato può farsiassistere da personale specializzato tenuto al segreto ai sensi dell'articolo156, comma 8. Gli atti e i documenti acquisiti sono custoditi secondo modalitàtali da assicurarne la segretezza e sono conoscibili dal presidente e daicomponenti del Garante e, se necessario per lo svolgimento delle funzionidell'organo, da un numero delimitato di addetti all'Ufficio individuati dalGarante sulla base di criteri definiti dal regolamento di cui all'articolo 156,comma 3, lettera a). 4. Per gli accertamenti relativi agli organismi di informazione e disicurezza e ai dati coperti da segreto di Stato il componente designato prendevisione degli atti e dei documenti rilevanti e riferisce oralmente nelleriunioni del Garante. 5. Nell'effettuare gli accertamenti di cui al presente articolo neiriguardi di uffici giudiziari, il Garante adotta idonee modalità nel rispettodelle reciproche attribuzioni e della particolare collocazione istituzionaledell'organo procedente. Gli accertamenti riferiti ad atti di indagine copertidal segreto sono differiti, se vi è richiesta dell'organo procedente, almomento in cui cessa il segreto. 6. La validità, l'efficacia e l'utilizzabilità di atti, documenti eprovvedimenti nel procedimento giudiziario basati sul trattamento di datipersonali non conforme a disposizioni di legge o di regolamento restanodisciplinate dalle pertinenti disposizioni processuali nella materia civile epenale. TitoloIII - Sanzioni Capo I - Violazioni amministrative Art.161. Omessa o inidonea informativa all'interessato 1. La violazione delle disposizioni di cui all'articolo 13 è punitacon la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.1
1. La cessione dei datiin violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o dialtre disposizioni in materia di disciplina del trattamento dei dati personaliè punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro .(1) 2. La violazione della disposizione di cui all'articolo 84, comma 1, èpunita con la sanzione amministrativa del pagamento di una somma da mille euro a seimila euro.(2) 2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta. (3) 2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro. (4) 2-quater. La violazione del diritto di opposizione nelle forme previste dall'articolo 130, comma 3-bis, e dal relativo regolamento è sanzionata ai sensi del comma 2-bis del presente articolo.(5)
Art. 162-bis.Sanzioni in materia di conservazione dei dati di traffico(1) 1.(2) Salvo che il fatto costituisca reato e salvo quanto previstodall'articolo 5, comma 2, del decreto legislativo di recepimento delladirettiva 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006,nel caso di violazione delle disposizioni di cui all'art. 132, commi 1 e 1-bis,si applica la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro.
1. 1. La violazione delle disposizioni di cui all'articolo 32-bis, comma 1, è punita con la sanzione amministrativa del pagamento di una somma da venticinquemila euro a centocinquantamila euro.
Art. 164. Omessainformazione o esibizione al Garante 1. Chiunque omette di fornire le informazioni o di esibire idocumenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 èpunito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro.(1)
Art. 164-bis(1). Casi di minore gravità e ipotesi aggravate (1) 1. Se taluna delle violazioni di cui agli articoli 161, 162, 163 e 164 è di minore gravità, avuto altresí riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti.(2) 2. In caso di più violazioni di un'unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si_applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non è ammesso il pagamento in misura ridotta. 3. In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio. 4. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.
Art. 165. Pubblicazionedel provvedimento del Garante 1. Nei casi di cui agli articoli del presente Capo può essere applicatala sanzione amministrativa accessoria della pubblicazionedell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornaliindicati nel provvedimento che la applica.(1)
Art. 166. Procedimentodi applicazione 1. L'organo competente a ricevere il rapporto e ad irrogare lesanzioni di cui al presente capo e all'articolo 179, comma 3, è ilGarante. Si osservano, in quanto applicabili, le disposizioni dellalegge 24 novembre 1981, n. 689, e successive modificazioni.I proventi, nella misura del cinquanta per cento del totale annuo, sonoriassegnati al fondo di cui all'articolo 156, comma 10, e sono utilizzatiunicamente per l'esercizio dei compiti di cui agli articoli 154, comma 1,lettera h), e 158. Capo II - Illeciti penali Art.167. Trattamento illecito di dati 1. Salvo che il fatto costituisca più grave reato, chiunque, al finedi trarne per sè o per altri profitto o di recare ad altri un danno, procede altrattamento di dati personali in violazione di quanto disposto dagli articoli18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito,se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, seil fatto consiste nella comunicazione o diffusione, con la reclusione da sei aventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al finedi trarne per sè o per altri profitto o di recare ad altri un danno, procede altrattamento di dati personali in violazione di quanto disposto dagli articoli17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto derivanocumento, con la reclusione da uno a tre anni. Art. 168. Falsità nelledichiarazioni e notificazioni al Garante 1. Chiunque, nelle comunicazioni di cui all'articolo 32-bis, commi 1 e 8, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.(1)
1. Chiunque, essendovi tenuto, omette di adottare le misureminime previste dall'articolo 33 è punito con l'arresto sino a due anni. (1) 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi,anche con successivo atto del Garante, è impartita una prescrizione fissando untermine per la regolarizzazione non eccedente il periodo di tempo tecnicamentenecessario, prorogabile in caso di particolare complessità o per l'oggettivadifficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessantagiorni successivi allo scadere del termine, se risulta l'adempimento allaprescrizione, l'autore del reato è ammesso dal Garante a pagare una somma parial quarto del massimo della sanzione stabilita per la violazione amministrativa.L'adempimento e il pagamento estinguono il reato. L'organo che impartisce laprescrizione e il pubblico ministero provvedono nei modi di cui agli articoli21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994,n. 758, e successive modificazioni, in quanto applicabili.(2)
Art. 170. Inosservanza di provvedimenti del Garante 1. Chiunque, essendovi tenuto, non osserva il provvedimentoadottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2,e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni. 1. La violazione delle disposizioni di cui agli articoli 113,comma 1, e 114 è punita con le sanzioni di cui all'articolo 38 della legge 20maggio 1970, n. 300. 1. La condanna per uno dei delitti previsti dal presente codiceimporta la pubblicazione della sentenza. TitoloIV - Disposizioni modificative, abrogative, transitorie e finali Capo I - Dispisizioni di modifica Art.173. Convenzione di applicazione dell'Accordo di Schengen 1. La legge 30 settembre 1993, n. 388, e successive modificazioni, diratifica ed esecuzione dei protocolli e degli accordi di adesione all'accordodi Schengen e alla relativa convenzione di applicazione, è così modificata: a) il comma 2 dell'articolo 9 è sostituito dal seguente: "2. Lerichieste di accesso, rettifica o cancellazione, nonché di verifica, di cui,rispettivamente, agli articoli 109, 110 e 114, paragrafo 2, della Convenzione,sono rivolte all'autorità di cui al comma 1."; b) il comma 2 dell'articolo 10 è soppresso; c) l'articolo 11 è sostituito dal seguente: "11. 1.L'autorità di controllo di cui all'articolo 114 della Convenzione è il Garanteper la protezione dei dati personali. Nell'esercizio dei compiti ad essodemandati per legge, il Garante esercita il controllo sui trattamenti di datiin applicazione della Convenzione ed esegue le verifiche previste nel medesimoarticolo 114, anche su segnalazione o reclamo dell'interessato all'esito di uninidoneo riscontro alla richiesta rivolta ai sensi dell'articolo 9, comma 2,quando non è possibile fornire al medesimo interessato una risposta sulla basedegli elementi forniti dall'autorità di cui all'articolo 9, comma 1. 2.Si applicano le disposizioni dell'articolo 10, comma 5, della legge 1 aprile1981, n. 121, e successive modificazioni."; d) l'articolo 12 è abrogato. Art. 174. Notifiche di atti e vendite giudiziarie 1. All'articolo 137 delcodice di procedura civile, dopo il secondo comma, sono inseriti i seguenti: "Se la notificazione non può essere eseguita in mani proprie deldestinatario, tranne che nel caso previsto dal secondo comma dell'articolo 143,l'ufficiale giudiziario consegna o deposita la copia dell'atto da notificare inbusta che provvede a sigillare e su cui trascrive il numero cronologico dellanotificazione, dandone atto nella relazione in calce all'originale e alla copiadell'atto stesso. Sulla busta non sono apposti segni o indicazioni dai quali possadesumersi il contenuto dell'atto. Le disposizioni di cui al terzo comma siapplicano anche alle comunicazioni effettuate con biglietto di cancelleria aisensi degli articoli 133 e 136.". 2. Al primo comma dell'articolo 138 del codice di procedura civile, leparole da: "può sempre eseguire" a "destinatario," sonosostituite dalle seguenti: "esegue la notificazione di regola medianteconsegna della copia nelle mani proprie del destinatario, presso la casa diabitazione oppure, se ciò non è possibile,". 3. Nel quarto comma dell'articolo 139 del codice di procedura civile,la parola: "l'originale" è sostituita dalle seguenti: "unaricevuta". 4. Nell'articolo 140 del codice di procedura civile, dopo le parole:"affigge avviso del deposito" sono inserite le seguenti: "inbusta chiusa e sigillata". 5. All'articolo 142 del codice di procedura civile sono apportate leseguenti modificazioni: a) il primo e il secondo comma sono sostituiti dal seguente: "Salvo quanto disposto nel secondo comma, se il destinatario nonha residenza, dimora o domicilio nello Stato e non vi ha eletto domicilio ocostituito un procuratore a norma dell'articolo 77, l'atto è notificatomediante spedizione al destinatario per mezzo della posta con raccomandata emediante consegna di altra copia al pubblico ministero che ne cura latrasmissione al Ministero degli affari esteri per la consegna alla persona allaquale è diretta."; b) nell'ultimo comma le parole: "ai commi precedenti" sonosostituite dalle seguenti: "al primo comma". 6. Nell'articolo 143, primo comma, del codice di procedura civile,sono soppresse le parole da: ", e mediante" fino alla fine delperiodo. 7. All'articolo 151, primo comma, del codice di procedura civile dopole parole: "maggiore celerità" sono aggiunte le seguenti: ", diriservatezza o di tutela della dignità". 8. All'articolo 250 del codice di procedura civile dopo il primo commaè aggiunto il seguente: "L'intimazione di cui al primo comma, se nonè eseguita in mani proprie del destinatario o mediante servizio postale, èeffettuata in busta chiusa e sigillata.". 9. All'articolo 490, terzo comma, del codice di procedura civile èaggiunto, in fine, il seguente periodo: "Nell'avviso è omessal'indicazione del debitore". 10. All'articolo 570, primo comma, del codice di procedura civile leparole: "del debitore," sono soppresse e le parole da:"informazioni" fino alla fine sono sostituite dalle seguenti:"informazioni, anche relative alle generalità del debitore, possono esserefornite dalla cancelleria del tribunale a chiunque vi abbia interesse". 11. All'articolo 14, quarto comma, della legge 24 novembre 1981, n.689, e successive modificazioni, è aggiunto, in fine, il seguente periodo:"Quando la notificazione non può essere eseguita in mani proprie deldestinatario, si osservano le modalità previste dall'articolo 137, terzo comma,del medesimo codice.". 12. Dopo l'articolo 15 del decreto del Presidente della Repubblica 28dicembre 2000, n. 445, è inserito il seguente: "Articolo 15-bis.(Notificazioni di atti e documenti, comunicazioni ed avvisi) 1. Allanotificazione di atti e di documenti da parte di organi delle pubblicheamministrazioni a soggetti diversi dagli interessati o da persone da essidelegate, nonché a comunicazioni ed avvisi circa il relativo contenuto, siapplicano le disposizioni contenute nell'articolo 137, terzo comma, del codicedi procedura civile. Nei biglietti e negli inviti di presentazione sonoindicate le informazioni strettamente necessarie a tale fine.". 13. All'articolo 148 del codice di procedura penale sono apportate leseguenti modificazioni: a) il comma 3 è sostituito dal seguente: "3. L'atto è notificatoper intero, salvo che la legge disponga altrimenti, di regola mediante consegnadi copia al destinatario oppure, se ciò non è possibile, alle persone indicatenel presente titolo. Quando la notifica non può essere eseguita in mani propriedel destinatario, l'ufficiale giudiziario o la polizia giudiziaria consegnanola copia dell'atto da notificare, fatta eccezione per il caso di notificazioneal difensore o al domiciliatario, dopo averla inserita in busta che provvedonoa sigillare trascrivendovi il numero cronologico della notificazione e dandoneatto nella relazione in calce all'originale e alla copia dell'atto."; b) dopo il comma 5 è aggiunto il seguente: "5-bis. Lecomunicazioni, gli avvisi ed ogni altro biglietto o invito consegnati non inbusta chiusa a persona diversa dal destinatario recano le indicazionistrettamente necessarie.". 14. All'articolo 157, comma 6, del codice di procedura penale leparole: "è scritta all'esterno del plico stesso" sono sostituitedalle seguenti: "è effettuata nei modi previsti dall'articolo 148, comma3". 15. All'art. 80 delle disposizioni di attuazione del codice diprocedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271, ilcomma 1 è sostituito dal seguente: "1. Se la copia del decreto diperquisizione locale è consegnata al portiere o a chi ne fa le veci, si applicala disposizione di cui all'articolo 148, comma 3, del codice.". 16. Alla legge 20 novembre 1982, n. 890, sono apportate le seguentimodificazioni: a) all'articolo 2, primo comma, è aggiunto, in fine, il seguente periodo:"Sulle buste non sono apposti segni o indicazioni dai quali possadesumersi il contenuto dell'atto."; b) all'articolo 8, secondo comma, secondo periodo, dopo le parole:"L'agente postale rilascia avviso" sono inserite le seguenti: ",in busta chiusa, del deposito". 1. Il trattamento effettuato per il conferimento delle notizie edinformazioni acquisite nel corso di attività amministrative ai sensidell'articolo 21, comma 1, della legge 26 marzo 2001, n. 128, e per le connessionidi cui al comma 3 del medesimo articolo è oggetto di comunicazione al Garanteai sensi dell'articolo 39, commi 2 e 3. 2. I dati personali trattati dalle forze di polizia, dagli organi dipubblica sicurezza e dagli altri soggetti di cui all'articolo 53, comma 1,senza l'ausilio di strumenti elettronici anteriormente alla data di entrata invigore del presente codice, in sede di applicazione del presente codice possonoessere ulteriormente trattati se ne è verificata l'esattezza, completezza edaggiornamento ai sensi dell'articolo 11. 3. L'articolo 10 della legge 1 aprile 1981, n. 121, e successivemodificazioni, è sostituito dal seguente: "Art. 10(Controlli) 1. Il controllo sul Centro elaborazione dati è esercitato dalGarante per la protezione dei dati personali, nei modi previsti dalla legge edai regolamenti. 2. I dati e le informazioni conservati negli archivi del Centropossono essere utilizzati in procedimenti giudiziari o amministrativi soltantoattraverso l'acquisizione delle fonti originarie indicate nel primo commadell'articolo 7, fermo restando quanto stabilito dall'articolo 240 del codicedi procedura penale. Quando nel corso di un procedimento giurisdizionale oamministrativo viene rilevata l'erroneità o l'incompletezza dei dati e delle informazioni,o l'illegittimità del loro trattamento, l'autorità precedente ne dà notizia alGarante per la protezione dei dati personali. 3. La persona alla quale si riferiscono i dati può chiedereall'ufficio di cui alla lettera a) del primo comma dell'articolo 5 la confermadell'esistenza di dati personali che lo riguardano, la loro comunicazione informa intellegibile e, se i dati risultano trattati in violazione di vigentidisposizioni di legge o di regolamento, la loro cancellazione o trasformazionein forma anonima. 4. Esperiti i necessari accertamenti, l'ufficio comunica alrichiedente, non oltre trenta giorni dalla richiesta, le determinazioniadottate. L'ufficio può omettere di provvedere sulla richiesta se ciò puòpregiudicare azioni od operazioni a tutela dell'ordine e della sicurezzapubblica o di prevenzione e repressione della criminalità, dandone informazioneal Garante per la protezione dei dati personali. 5. Chiunque viene a conoscenza dell'esistenza di dati personali che loriguardano, trattati anche in forma non automatizzata in violazione didisposizioni di legge o di regolamento, può chiedere al tribunale del luogo overisiede il titolare del trattamento di compiere gli accertamenti necessari e diordinare la rettifica, l'integrazione, la cancellazione o la trasformazione informa anonima dei dati medesimi.". 1. Nell'articolo 24, comma 3, della legge 7 agosto 1990, n.241, dopo le parole: "mediante strumenti informatici" sono inseritele seguenti: ", fuori dei casi di accesso a dati personali da parte dellapersona cui i dati si riferiscono,". 2. Nell'articolo 2 del decreto legislativo 30 marzo 2001, n. 165, inmateria di ordinamento del lavoro alle dipendenze delle amministrazionipubbliche, dopo il comma 1 è inserito il seguente: "1-bis. I criteri diorganizzazione di cui al presente articolo sono attuati nel rispetto delladisciplina in materia di trattamento dei dati personali.". 3. L'articolo 4, comma 1, del decreto legislativo 12 febbraio1993, n.39, e successive modificazioni, è sostituito dal seguente: "1. È istituitoil Centro nazionale per l'informatica nella pubblica amministrazione, che operapresso la Presidenza del Consiglio dei ministri per l'attuazione dellepolitiche del Ministro per l'innovazione e le tecnologie, con autonomiatecnica, funzionale, amministrativa, contabile e finanziaria e con indipendenzadi giudizio.". 4. Al Centro nazionale per l'informatica nella pubblicaamministrazione continuano ad applicarsi l'articolo 6 del decreto legislativo12 febbraio 1993, n. 39, nonché le vigenti modalità di finanziamentonell'ambito dello stato di previsione del Ministero dell'economia e dellefinanze. 5. L'articolo 5, comma 1, del decreto legislativo n. 39 del 1993, esuccessive modificazioni, è sostituito dal seguente: "1. Il Centronazionale propone al Presidente del Consiglio dei ministri l'adozione diregolamenti concernenti la sua organizzazione, il suo funzionamento,l'amministrazione del personale, l'ordinamento delle carriere, nonché lagestione delle spese nei limiti previsti dal presente decreto.". 6. La denominazione: "Autorità per l'informatica nella pubblicaamministrazione" contenuta nella vigente normativa è sostituita dallaseguente: "Centro nazionale per l'informatica nella pubblicaamministrazione". Art. 177. Disciplina anagrafica, dello stato civile e delle liste elettorali 1. Il comune può utilizzare gli elenchi di cui all'articolo 34, comma1, del decreto del Presidente della Repubblica 30 maggio 1989, n. 223, peresclusivo uso di pubblica utilità anche in caso di applicazione delladisciplina in materia di comunicazione istituzionale. 2. Il comma 7 dell'articolo 28 della legge 4 maggio 1983, n. 184, esuccessive modificazioni, è sostituito dal seguente: "7. L'accesso alleinformazioni non è consentito nei confronti della madre che abbia dichiaratoalla nascita di non volere essere nominata ai sensi dell'articolo 30, comma 1,del decreto del Presidente della Repubblica 3 novembre 2000, n. 396.". 3. Il rilascio degli estratti degli atti dello stato civile di cuiall'articolo 107 del decreto del Presidente della Repubblica 3 novembre 2000,n. 396 è consentito solo ai soggetti cui l'atto si riferisce, oppure sumotivata istanza comprovante l'interesse personale e concreto del richiedente afini di tutela di una situazione giuridicamente rilevante, ovvero decorsisettanta anni dalla formazione dell'atto. 4. Nel primo comma dell'articolo 5 del decreto del Presidente dellaRepubblica 20 marzo 1967, n. 223, sono soppresse le lettere d) ed e). 5. Nell'articolo 51 del decreto del Presidente della Repubblica 20marzo 1967, n. 223, il quinto comma è sostituto dal seguente: "Le listeelettorali possono essere rilasciate in copia per finalità di applicazionedella disciplina in materia di elettorato attivo e passivo, di studio, diricerca statistica, scientifica o storica, o carattere socio-assistenziale oper il perseguimento di un interesse collettivo o diffuso.". Art. 178. Disposizioni in materia sanitaria 1. Nell'articolo 27, terzo e quinto comma, della legge 23 dicembre1978, n. 833, in materia di libretto sanitario personale, dopo le parole:"il Consiglio sanitario nazionale" e prima della virgola sonoinserite le seguenti: "e il Garante per la protezione dei datipersonali". 2. All'articolo 5 della legge 5 giugno 1990, n. 135, in materia diAIDS e infezione da HIV, sono apportate le seguenti modifiche: a) il comma 1 è sostituito dal seguente: "1. L'operatoresanitario e ogni altro soggetto che viene a conoscenza di un caso di AIDS,ovvero di un caso di infezione da HIV, anche non accompagnato da stato morboso,è tenuto a prestare la necessaria assistenza e ad adottare ogni misura oaccorgimento occorrente per la tutela dei diritti e delle libertà fondamentalidell'interessato, nonché della relativa dignità."; b) nel comma 2, le parole: "decreto del Ministro dellasanità" sono sostituite dalle seguenti: "decreto del Ministro dellasalute, sentito il Garante per la protezione dei dati personali". 3. Nell'articolo 5, comma 3, del decreto legislativo 30 dicembre 1992,n. 539, e successive modificazioni, in materia di medicinali per uso umano, èinserito, infine, il seguente periodo: "Decorso tale periodo il farmacistadistrugge le ricette con modalità atte ad escludere l'accesso di terzi ai datiin esse contenuti.". 4. All'articolo 2, comma 1, del decreto del Ministro della sanità indata 11 febbraio 1997, pubblicato sulla Gazzetta Ufficiale n. 72 del 27 marzo1997, in materia di importazione di medicinali registrati all'estero, sonosoppresse le lettere f) ed h). 5. Nel comma 1, primo periodo, dell'articolo 5-bis del decreto-legge17 febbraio 1998, n. 23, convertito, con modificazioni, dalla legge 8 aprile1998, n. 94, le parole da: "riguarda anche" fino alla fine delperiodo sono sostituite dalle seguenti: "è acquisito unitamente alconsenso relativo al trattamento dei dati personali". 1. Nell'articolo 6 della legge 2 aprile 1958, n. 339, sono soppressele parole: "; mantenere la necessaria riservatezza per tutto quanto siriferisce alla vita familiare" e: "garantire al lavoratore ilrispetto della sua personalità e della sua libertà morale;". 2. Nell'articolo 38, primo comma, della legge 20 maggio 1970, n. 300,sono soppresse le parole: "4," e ",8". 3. Al comma 3 dell'articolo 12 del decreto legislativo 22 maggio 1999,n. 185, in materia di contratti a distanza, sono aggiunte infine le seguentiparole: ", ovvero, limitatamente alla violazione di cui all'articolo 10,al Garante per la protezione dei dati personali". 4. Abrogato.(1)
Capo II - Disposizioni transitorie 1. Le misure minime di sicurezza di cui agli articoli da 33 a35 e all'allegato B) che non erano previste dal decreto del Presidente dellaRepubblica 28 luglio 1999, n. 318, sono adottate entro il 31 marzo 2006.(1) 2. Il titolare che alla data di entrata in vigore del presente codicedispone di strumenti elettronici che, per obiettive ragioni tecniche, nonconsentono in tutto o in parte l'immediata applicazione delle misure minime dicui all'articolo 34 e delle corrispondenti modalità tecniche di cuiall'allegato B), descrive le medesime ragioni in un documento a data certa daconservare presso la propria struttura. 3. Nel caso di cui al comma 2, il titolare adotta ogni possibilemisura di sicurezza in relazione agli strumenti elettronici detenuti in modo daevitare, anche sulla base di idonee misure organizzative, logistiche oprocedurali, un incremento dei rischi di cui all'articolo 31, adeguando imedesimi strumenti al più tardi entro il 30 giugno 2006.(2)
Art. 181. Altredisposizioni transitorie 1. Per i trattamenti di dati personali iniziati prima del 1gennaio 2004, in sede di prima applicazione del presente codice: a) l'identificazione con atto di natura regolamentare dei tipi di datie di operazioni ai sensi degli articoli 20, commi 2 e 3, e 21, comma 2, èeffettuata, ove mancante, entro il 28 febbraio 2007;(1) b) la determinazione da rendere nota agli interessati ai sensidell'articolo 26, commi 3, lettera a), e 4, lettera a), è adottata, ovemancante, entro il 30 giugno 2004; c) le notificazioni previste dall'articolo 37 sono effettuate entro il30 aprile 2004; d) le comunicazioni previste dall'articolo 39 sono effettuate entro il30 giugno 2004; e) [lettera abrogata](2) f) l'utilizzazione dei modelli di cui all'articolo 87, comma 2, èobbligatoria a decorrere dal 1 gennaio 2005. 2. Le disposizioni di cui all'articolo 21-bis del decreto delPresidente della Repubblica 30 settembre 1963, n. 1409,introdotto dall'articolo 9 del decreto legislativo 30 luglio 1999, n. 281,restano in vigore fino alla data di entrata in vigore del presente codice. 3. L'individuazione dei trattamenti e dei titolari di cui agliarticoli 46 e 53, da riportare nell'allegato C), è effettuata in sede di primaapplicazione del presente codice entro il 30 giugno 2004. 4. Il materiale informativo eventualmente trasferito al Garante aisensi dell'articolo 43, comma 1, della legge 31 dicembre 1996, n. 675,utilizzato per le opportune verifiche, continua ad essere successivamentearchiviato o distrutto in base alla normativa vigente. 5. L'omissione delle generalità e degli altri dati identificatividell'interessato ai sensi dell'articolo 52, comma 4, è effettuata sullesentenze o decisioni pronunciate o adottate prima dell'entrata in vigore delpresente codice solo su diretta richiesta dell'interessato e limitatamente aidocumenti pubblicati mediante rete di comunicazione elettronica o sui nuoviprodotti su supporto cartaceo o elettronico. I sistemi informativi utilizzatiai sensi dell'articolo 51, comma 1, sono adeguati alla medesima disposizioneentro dodici mesi dalla data di entrata in vigore del presente codice. 6. Le confessioni religiose che, prima dell'adozione del presentecodice, abbiano determinato e adottato nell'ambito del rispettivo ordinamentole garanzie di cui all'articolo 26, comma 3, lettera a), possono proseguirel'attività di trattamento nel rispetto delle medesime. 6-bis. Fino alla data in cui divengono efficaci le misure e gliaccorgimenti prescritti ai sensi dell'articolo 132, comma 5, per laconservazione del traffico telefonico si osserva il termine di cui all'articolo4, comma 2, del decreto legislativo 13 maggio 1998, n. 171.(3)
1. Al fine di assicurare la continuità delle attività istituzionali,in sede di prima applicazione del presente codice e comunque non oltre il 31marzo 2004, il Garante: a) può individuare i presupposti per l'inquadramento in ruolo, allivello iniziale delle rispettive qualifiche e nei limiti delle disponibilitàdi organico, del personale appartenente ad amministrazioni pubbliche o ad entipubblici in servizio presso l'Ufficio del Garante in posizione di fuori ruolo oequiparato alla data di pubblicazione del presente codice; b) può prevedere riserve di posti nei concorsi pubblici, unicamentenel limite del trenta per cento delle disponibilità di organico, per ilpersonale non di ruolo in servizio presso l'Ufficio del Garante che abbiamaturato un'esperienza lavorativa presso il Garante di almeno un anno. Capo III - Abrogazioni 1. Dalla data di entrata in vigore del presente codice sonoabrogati: a) la legge 31 dicembre 1996, n. 675; b) la legge 3 novembre 2000, n. 325; c) il decreto legislativo 9 maggio 1997, n. 123; d) il decreto legislativo 28 luglio 1997, n. 255; e) l'articolo 1 del decreto legislativo 8 maggio 1998, n. 135; f) il decreto legislativo 13 maggio 1998, n. 171; g) il decreto legislativo 6 novembre 1998, n. 389; h) il decreto legislativo 26 febbraio 1999, n. 51; i) il decreto legislativo 11 maggio 1999, n. 135; l) il decreto legislativo 30 luglio 1999, n. 281, ad eccezione degliarticoli 8, comma 1, 11 e 12; m) il decreto legislativo 30 luglio 1999, n. 282; n) il decreto legislativo 28 dicembre 2001, n. 467; o) il decreto del Presidente della Repubblica 28 luglio 1999, n. 318. 2. Dalla data di entrata in vigore del presente codice sono abrogatigli articoli 12, 13, 14, 15, 16, 17, 18, 19 e 20 del decreto del Presidentedella Repubblica 31 marzo 1998, n. 501. 3. Dalla data di entrata in vigore del presente codice sono o restano,altresì, abrogati: a) l'art. 5, comma 9, del decreto del Ministro della sanità 18 maggio2001, n. 279, in materia di malattie rare; b) l'articolo 12 della legge 30 marzo 2001, n. 152; c) l'articolo 4, comma 3, della legge 6 marzo 2001, n. 52, in materiadi donatori midollo osseo; d) l'articolo 16, commi 2 e 3, del decreto del Presidente dellaRepubblica 28 dicembre 2000, n. 445, in materia dicertificati di assistenza al parto; e) l'art. 2, comma 5, del decreto del Ministro della sanità 27 ottobre2000, n. 380, in materia di flussi informativi sui dimessi dagli istituti diricovero; f) l'articolo 2, comma 5-quater 1, secondo e terzo periodo, deldecreto-legge 28 marzo 2000, n. 70, convertito, conmodificazioni, dalla legge 26 maggio 2000, n. 137, e successive modificazioni,in materia di banca dati sinistri in ambito assicurativo; g) l'articolo 6, comma 4, del decreto legislativo 5 giugno 1998, n.204, in materia di diffusione di dati a fini di ricerca e collaborazione incampo scientifico e tecnologico; h) l'articolo 330-bis del decreto legislativo 16 aprile 1994, n. 297,in materia di diffusione di dati relativi a studenti; i) l'articolo 8, quarto comma, e l'articolo 9, quarto comma, dellalegge 1 aprile 1981, n. 121. 4. Dalla data in cui divengono efficaci le disposizioni del codice dideontologia e di buona condotta di cui all'articolo 118, i termini diconservazione dei dati personali individuati ai sensi dell'articolo 119,eventualmente previsti da norme di legge o di regolamento, si osservano nellamisura indicata dal medesimo codice. Capo IV - Norme finali Art.184. Attuazione di direttive europee 1. Le disposizioni del presente codice danno attuazione alla direttiva96/45/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, e alladirettiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio2002. 2. Quando leggi, regolamenti e altre disposizioni fanno riferimento adisposizioni comprese nella legge 31 dicembre 1996, n. 675, e in altredisposizioni abrogate dal presente codice, il riferimento si intende effettuatoalle corrispondenti disposizioni del presente codice secondo la tavola dicorrispondenza riportata in allegato. 3. Restano ferme le disposizioni di legge e di regolamento chestabiliscono divieti o limiti più restrittivi in materia di trattamento ditaluni dati personali. Art. 185. Allegazione deicodici di deontologia e di buona condotta 1. L'allegato A) riporta, oltre ai codici di cui all'articolo12, commi 1 e 4, quelli promossi ai sensi degli articoli 25 e 31 della legge 31dicembre 1996, n. 675, e già pubblicati nella Gazzetta Ufficiale dellaRepubblica italiana alla data di emanazione del presente codice. 1. Le disposizioni di cui al presente codice entrano in vigore il 1gennaio 2004, ad eccezione delle disposizioni di cui agli articoli 156, 176,commi 3, 4, 5 e 6, e 182, che entrano in vigore il giorno successivo alla datadi pubblicazione del presente codice. Dalla medesima data si osservano altresìi termini in materia di ricorsi di cui agli articoli 149, comma 8, e 150, comma2. Il presente decreto, munito del sigillo dello Stato, saràinserito nella Raccolta ufficiale degli atti normativi della Repubblicaitaliana. é fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Dato a Roma, addì 30 giugno 2003
Allegato A.1 -CODICE DI DEONTOLOGIA - TRATTAMENTO DI DATI PERSONALI NELL'ESERCIZIO DELL'ATTIVITÀ GIORNALISTICA IN MATERIA DI MISURE MINIME DI SICUREZZA - Si tratta di un allegato che, allo stato, non comprende ancora i decreti in fase di adozione:
ALLEGATO B - DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. 6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Altre misure di sicurezza 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Documento programmatico sulla sicurezza 19. "soppresso" "soppressi"19.8. "soppresso". Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all' art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. Misure di tutela e garanzia 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico. 26. "soppresso"(1).
Trattamenti senza l'ausilio di strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
|