D.lgs Privacy - Nuova bozza del 5 maggio 2018.
Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)
La nuova bozza di decreto del 5 maggio 2018 sostituisce quella precedente del 21 marzo e invece di abrogare il Codice in materia di protezione dei dati personali, come previsto dalla precedente versione, propone alcune modifiche al codice stesso.
La nuova bozza consta di 28 articoli.
CAPO I
Modifiche al titolo e alle premesse del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196
L’articolo 1 propone alcune modifiche al titolo e alle premesse del decreto legislativo 30 giugno 2003, n. 196.
CAPO II
Modifiche alla Parte I del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196
L’articolo 2 apporta alcune modifiche alla Parte I, Titolo I del d.lgs n 196 del 2003 in particolare sostituisce l’articolo 1 e 2 del decreto andando a definire oggetto e finalità. E’ aggiunto altresì un articolo 2-bis che individua il Garante per la protezione dei dati personali come autorità di controllo ai sensi del Regolamento UE.
Viene aggiunto il TITOLO I-bis al d.lgs n. 196 del 2003. In particolare sono fatti confluire nel TITOLO I-bis gli articoli da 4 a 10 della precedente bozza di marzo. Sono quindi inseriti nel decreto n. 196 i seguenti articoli:
L’articolo 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) dopo aver individuato la base giuridica in una norma di legge o regolamento, precisa che la comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli ricompresi nella particolari categorie di cui all’articolo 9 del Regolamento e di quelli relativi a condanne penali e reati di cui all’articolo 10 del Regolamento, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri è ammessa se prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di compiti di interesse pubblico e lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di quarantacinque giorni dalla relativa comunicazione al Garante senza che lo stesso abbia adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati.
Anche la diffusione e la comunicazione di dati personali trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste da una norma di legge o di regolamento.
Il comma 4 fornisce la definizione di “comunicazione” e “diffusione”.
L’articolo 2-quater (Regole deontologiche) demanda al Garante l’adozione di regole deontologiche per i trattamenti previsti dalle disposizioni di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 4, e al Capo IX del Regolamento e ne verifica la conformità alle disposizioni vigenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuisce a garantirne la diffusione e il rispetto.
Alle regole deontologiche viene data massima pubblicità prevedendo preliminarmente una consultazione pubblica e successivamente la pubblicazione in G.U.
Il rispetto delle regole deontologiche costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali.
L’articolo 2-quinquies (Consenso del minore in relazione ai servizi della società dell’informazione) dispone che, in relazione ai servizi della società di informazione, al consenso del minore al trattamento dei propri dati personali si applicano le condizioni di cui all’articolo 8, paragrafo 1, del Regolamento. Pertanto il trattamento dei dati personali del minore di età inferiore a sedici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale.
Infine, nel caso di offerta diretta ai minori dei servizi summenzionati, si prevede che il titolare del trattamento rediga con linguaggio chiaro e semplice le informazioni relative al trattamento in modo da renderle comprensibili al minore.
L’articolo 2-sexies (Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) circoscrive il trattamento di categorie particolari di dati personali per motivi di interesse pubblico rilevante (art. 9 del Regolamento) ai casi in cui sia previsto dal diritto UE o da leggi e regolamenti del diritto interno che specifichino il tipo di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante.
In ogni caso tali disposizioni devono garantire che il trattamento sia proporzionato alle finalità; che sia salvaguardata l’essenza del diritto alla protezione dei dati; che siano previste misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Il comma 2 individua alcuni ambiti per i quali il trattamento si ritiene compiuto per interesse pubblico (come ad es.: accesso a documenti amministrativi e accesso civico; tenuta degli atti e dei registri dello stato civile, delle anagrafi, delle liste elettorali, rilascio di documenti di riconoscimento o di viaggio; attività dei soggetti pubblici dirette all'applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale; concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni; rapporti tra i soggetti pubblici e gli enti del terzo settore; attività sanzionatorie e di tutela in sede amministrativa o giudiziaria; instaurazione, gestione ed estinzione di rapporti di lavoro). All’elenco indicato si aggiungono tutti gli ambiti individuati dalla legge.
L’articolo 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) regola il trattamento dei dati genetici, biometrici e relativi alla salute. Tali dati possono essere oggetto di trattamento in presenza delle condizioni di cui al paragrafo 2 dell’articolo 9 del Regolamento ed in conformità alle misure di garanzia disposte dal Garante. Il provvedimento che stabilisce le misure di garanzia deve essere adottato ogni due anni tenendo conto delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali; dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure; dell’interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea. Lo schema di provvedimento è sottoposto a consultazione pubblica per almeno 60 giorni.
Le misure di garanzia sono adottate nel rispetto di quanto previsto dall’articolo 9, paragrafo 2, del Regolamento e riguardano le cautele da adottare in relazione a:
a) contrassegni sui veicoli e accessi a zone a traffico limitato;
b) profili organizzativi e gestionali in ambito sanitario;
c) modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute;
d) prescrizioni di medicinali.
Sono adottate in relazione a ciascuna categoria avendo riguardo alle specifiche finalità del trattamento e possono essere indicate ulteriori condizioni sulla base delle quali il trattamento di tali dati è consentito (comma 5).
Si prevede la possibilità di richiedere il consenso dell’interessato come ulteriore misura di protezione per il trattamento di dati genetici (comma 6).
In ogni caso i dati genetici, biometrici e relativi alla salute non possono essere diffusi.
L’articolo 2-octies (Principi relativi al trattamento di dati relativi a condanne penali e reati) dispone che il trattamento di dati relativi a condanne penali e reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, del Regolamento, che non avviene sotto il controllo dell’autorità pubblica è consentito solo se autorizzato da una disposizione di legge o di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati. In mancanza delle predette disposizioni di legge o regolamento le garanzie sono individuate con decreto del Ministro della giustizia, da adottarsi su proposta del Garante.
Il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito quindi solo se previsto da disposizioni di legge o di regolamento riguardanti gli ambiti indicati dal comma 3. Se le disposizioni non individuano garanzie appropriate, tali garanzie saranno previste con il summenzionato decreto del Ministro della giustizia.
Se il trattamento dei dati relativi a condanne penali e reati avviene sotto il controllo dell’autorità pubblica si applica quanto previsto dall’articolo 2-sexies del presente decreto.
L’articolo 2-novies (Inutilizzabilità dei dati) dispone l’inutilizzabilità dei dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali.
Viene inserito altresì il Titolo I-ter - Disposizioni in materia di diritti dell’interessato - nel quale sono fatti confluire gli articoli dall’11 al 13 della bozza di marzo.
L’articolo 2-decies (Limitazioni ai diritti dell’interessato) limita i diritti dell’interessato previsti dagli artt. 15 al 22 del Regolamento UE (diritti di accesso, rettifica, cancellazione, limitazione del trattamento, alla portabilità dei dati, di opposizione) quando possa derivare un pregiudizio effettivo e concreto per gli interessi e le attività indicate:
- interessi tutelati in base alle disposizioni in materia di riciclaggio;
- interessi tutelati in base alle disposizioni in materia di sostegno alle vittime di richieste estorsive;
- attività di Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione (si applica in questo caso la disciplina prevista dai regolamenti parlamentari o dalla legge istitutiva della Commissione di inchiesta);
- attività svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;
- svolgimento delle investigazioni difensive o all'esercizio di un diritto in sede giudiziaria.
In questi casi i diritti dell’interessato sono esercitati conformemente alle disposizioni di legge e o di regolamento che regolano il settore. Tuttavia, l’esercizio dei medesimi può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato. In tali casi, i diritti dell'interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160. In tale ipotesi, il Garante informa l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'interessato di proporre ricorso giurisdizionale.
L’articolo 2-undecies (Limitazioni per ragioni di giustizia) prevede la limitazione dei diritti e degli obblighi dell’interessato per ragioni di giustizia. In particolare tali diritti e obblighi (artt. 12 a 22 e 34 del Regolamento) sono disciplinati conformemente alle disposizioni di legge o regolamento che regolano i procedimenti giudiziari.
I diritti e gli obblighi summenzionati possono essere ritardati, limitati o esclusi, con comunicazione motivata e resa senza ritardo all’interessato, nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, per salvaguardare l’indipendenza della magistratura e dei procedimenti giudiziari.
Il comma 4 specifica che si intendono effettuati per ragioni di giustizia trattamenti di dati personali correlati alla trattazione giudiziaria di affari e di controversie, i trattamenti effettuati in materia di trattamento giuridico ed economico del personale di magistratura, nonché i trattamenti svolti nell’ambito delle attività ispettive su uffici giudiziari. Le ragioni di giustizia non ricorrono per l’ordinaria attività amministrativo-gestionale di personale, mezzi o strutture, quando non è pregiudicata la segretezza di atti direttamente connessi alla trattazione giudiziaria di procedimenti.
L’articolo 2-duodecies (Diritti riguardanti le persone decedute) disciplina l’esercizio dei diritti dell’interessato deceduto, da parte di chi agisce a tutela di questo, o in qualità di suo mandatario per ragioni familiari meritevoli di protezione.
Il Titolo I-quater - Disposizioni relative al titolare del trattamento e responsabile del trattamento - include il precedente Titolo IV della bozza di marzo del decreto ed in particolare gli articoli dal 14 al 16.
L’articolo 2-terdecies (Attribuzione di funzioni e compiti a soggetti designati) prevede la possibilità per il titolare o il responsabile del trattamento di attribuire, nell’ambito del proprio assetto organizzativo, specifici compiti e funzioni connessi al trattamento di dati personali a persone fisiche espressamente designate che operano sotto la loro autorità, individuando anche le modalità più opportune per autorizzare tali persone al trattamento dei dati personali.
L’articolo 2-quaterdecies (Trattamento che presenta rischi specifici per l’esecuzione di un compito di interesse pubblico) disciplina la possibilità di trattamenti svolti per l’esecuzione di un compito di interesse pubblico che può presentare rischi particolarmente elevati ai sensi dell’articolo 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare.
L’articolo 2-quinquiesdecies (Organismo nazionale di accreditamento) individua l’organismo nazionale di accreditamento nell’l’Ente Unico nazionale di accreditamento, istituito ai sensi del Regolamento (CE) n. 765/2008, fatto salvo il potere del Garante di assumere direttamente l’esercizio di tali funzioni con riferimento a una o più categorie di trattamenti.
CAPO III
Modifiche alla Parte II del codice in materia di protezione dei dati personali di cui decreto legislativo 30 giugno 2003, n. 196
L’articolo 3 apporta modifiche alla rubrica e al Titolo I della Parte II, del decreto legislativo 30 giugno 2003, n. 196.
In particolare viene aggiunto, prima del Titolo I della Parte II, il Titolo 0.1 costituito da un solo articolo (Articolo 2-sexiesdecies) recante Disposizioni sulla base giuridica.
L’articolo 4 apporta modifiche alla Parte II, Titolo III, del decreto legislativo 30 giugno 2003, n. 196. In particolare viene sostituito l’articolo 58 del decreto. Il testo del nuovo articolo 58 riprende quanto previsto dall’art. 39 della precedente bozza di marzo.
In particolare l’articolo 58 (Trattamenti di dati personali per fini di sicurezza nazionale o difesa) si occupa dei trattamenti relativi a dati personali coperti da segreto di Stato o effettuati da organismi quali il Dipartimento delle informazioni per la sicurezza (DIS), l’Agenzia informazioni e sicurezza esterna (AISE), l’Agenzia informazioni e sicurezza interna (AISI).
L’articolo 5 apporta modifiche alla Parte II, Titolo IV, del decreto legislativo 30 giugno 2003, n. 196. In particolare sostituisce l’articolo 60 (Dati relativi alla salute o alla vita sessuale o all’orientamento sessuale) (Cfr. art. 56 della precedente bozza di marzo). Sono apportate alcune modifiche anche all’articolo 59 e all’articolo 61 prevedendo l’adozione di regole deontologiche promosse dal Garante, per il trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici (Cfr. art. 57 della precedente bozza).
L’articolo 6 modifica la Parte II, Titolo V, del decreto legislativo 30 giugno 2003, n. 196. In particolare sono sostituiti: l’articolo 75 recante specifiche condizioni in ambito sanitario; l’articolo 77 che individua modalità particolari utilizzabili da soggetti che erogano prestazioni sanitarie; l’articolo 80 relativo alle informazioni da parte di altri soggetti. Sono modificati anche gli articoli 78, 79, 82 e 92 sempre in tema di informazioni nell’ambito di prestazioni sanitarie.
Viene aggiunto inoltre l’articolo 89-bis in tema di prescrizioni di medicinali (Cfr. articoli 40-48 della precedente bozza di marzo).
L’articolo 7 introduce modifiche alla Parte II, Titolo VI, del decreto legislativo 30 giugno 2003, n. 196. Viene, quindi, sostituito l’articolo 96 (trattamento dei dati relativi a studenti) relativo alla diffusione e comunicazione degli esiti scolastici.
L’articolo 8 modifica la Parte II, Titolo VII, del decreto legislativo 30 giugno 2003, n. 196. La rubrica del Titolo è così sostituita Trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Viene sostituito l’articolo 97 che individua l’ambito applicativo; l’articolo 99 sulla durata del trattamento; l’articolo 103 sulla consultazione di documenti conservati in archivi; l’articolo 106 recante le regole deontologiche per trattamenti a fini statistici o di ricerca scientifica; l’articolo 107 in tema di trattamento di categorie particolari di dati personali; l’articolo 108 sul trattamento di dati da parte di soggetti che fanno parte del Sistema statistico nazionale; l’articolo 110 in tema di consenso per il trattamento dei dati per ricerca medica, biomedica ed epidemiologica; l’articolo 110-bis sulla possibilità di riutilizzare i dati a fini di ricerca scientifica o a fini statistici. Sono altresì modificati gli articoli 101 e 102 relativi al trattamento dei dati a fini di archiviazione nel pubblico interesse o di ricerca storica (cfr. artt. 70-77 bozza di marzo).
L’articolo 9 modifica la Parte II, Titolo VIII, del decreto legislativo 30 giugno 2003, n. 196 in tema di “Trattamenti nell’ambito del rapporto di lavoro”.
E’ sostituito l’articolo 111 prevedendo l’adozione di Regole deontologiche per trattamenti nell’ambito del rapporto di lavoro. E’ aggiunto l’articolo 111-bis relativo alle informazioni in caso di ricezione di curriculum.
Il titolo del Capo III è sostituito con Trattamento dei dati riguardanti i prestatori di lavoro. Sono modificati gli articoli 114 in tema di controllo a distanza e 115 in tema di telelavoro, lavoro agile e lavoro domestico.
L’articolo 10 apporta modifiche alla Parte II, Titolo IX, del decreto legislativo 30 giugno 2003, n. 196 in tema di “Altri trattamenti in ambito pubblico o di interesse pubblico”. La rubrica del Capo I viene sostituita con “Assicurazioni” e sono apportate modifiche di coordinamento all’articolo 120 del codice.
L’articolo 11 reca Modifiche alla Parte II, Titolo X, del decreto legislativo 30 giugno 2003, n. 196 relativo alle Comunicazioni elettroniche. In particolare all’articolo 121 (Servizi interessati e definizioni) è aggiunto il comma 1-bis che chiarisce alcune definizioni ai fini dell’applicazione del Titolo X. In particolare: per comunicazione elettronica, si intende ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico; per reti di comunicazione elettronica, si intendono i sistemi di trasmissione che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, compresa internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato; per servizio di comunicazione elettronica si intendono i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva (cfr. art. 79 bozza di marzo).
Sono modificati gli articoli 122, 123, 125 e 126 per coordinarli alle modifiche apportate, in particolare la dicitura “incaricati del trattamento” è sostituita con “persona autorizzata al trattamento”.
E’ sostituito l’articolo 129 (Elenchi dei contraenti) il quale demanda al Garante di individuare con proprio provvedimento, in cooperazione con l'Autorità per le garanzie nelle comunicazioni e in conformità alla normativa dell’Unione europea, le modalità di inserimento e di successivo utilizzo dei dati personali relativi ai contraenti negli elenchi cartacei o elettronici a disposizione del pubblico.
Viene modificato l’articolo 130 in tema di comunicazioni indesiderate ai fini del coordinamento con la normativa vigente ed in particolare con il Regolamento UE. Viene introdotto al comma 3-ter lettera b) il riferimento al codice dei contratti pubblici di cui al decreto legislativo 18 aprile 2016, n. 50.
La rubrica dell’articolo 131 è sostituita con: “Informazioni a contraenti e utenti”.
L’articolo 132 (Conservazione di dati di traffico per altre finalità) è modificato precisando che il difensore dell'imputato o della persona sottoposta alle indagini, solo quando può derivare un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, può richiedere l’accesso diretto alle comunicazioni telefoniche in entrata; diversamente i diritti di cui agli articoli da 12 a 22 del Regolamento possono essere esercitati con le modalità di cui all’articolo 2-decies, comma 3, terzo, quarto e quinto periodo.
Dopo l’articolo 132-bis sono inseriti i seguenti articoli:
L’articolo 132-ter (Sicurezza del trattamento) prescrive che il fornitore di un servizio di comunicazione elettronica deve adottare misure tecniche e organizzative adeguate al rischio esistente.
I soggetti che operano sulle reti di comunicazione elettronica devono garantire che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati.
Tali misure assicurano la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché garantiscono l'attuazione di una politica di sicurezza (comma 4).
Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia è definita dall’Autorità per le garanzie nelle comunicazioni secondo le modalità previste dalla normativa vigente (Cfr. articolo art. 92 bozza di marzo).
L’articolo 132-quater (Informazioni sui rischi) prevede che il fornitore di un servizio di comunicazione elettronica accessibile al pubblico sia tenuto ad informare gli abbonati e gli utenti se sussiste un particolare rischio di violazione della sicurezza della rete, indicando - quando il rischio è al di fuori dell'ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare - tutti i possibili rimedi e i relativi costi presumibili. Analoghe informazioni sono rese al Garante per la protezione dei dati personali e all’Autorità per le garanzie nelle comunicazioni (Cfr. art. 93 bozza di marzo).
L’articolo 12 reca modifiche alla Parte II, Titolo XII, del decreto legislativo 30 giugno 2003, n. 196 rubricato “Giornalismo, libertà di informazione e di espressione” (Cfr. Parte III, Titolo I artt. 51-54 della bozza di marzo). Agli articoli 136 e 138 sono apportate modifiche di coordinamento con il Regolamento UE. E’ sostituito l’articolo 137 (Disposizioni applicabili) che disciplina i casi in cui i dati posso essere trattati anche senza il consenso dell’interessato.
La rubrica del Capo II è sostituita dalla seguente: “Regole deontologiche relative ad attività giornalistiche e ad altre manifestazioni del pensiero”.
E’ sostituito l’articolo 139 (Regole deontologiche relative ad attività giornalistiche) il quale stabilisce che il Garante promuove l’adozione da parte del Consiglio nazionale dell’ordine dei giornalisti, di regole deontologiche relative al trattamento dei dati che prevedono misure ed accorgimenti a garanzia degli interessati rapportate alla natura dei dati, in particolare per quanto riguarda quelli relativi alla salute e alla vita o all’orientamento sessuale. Le regole possono anche prevedere forme particolari per le informazioni di cui agli articoli 13 e 14 del Regolamento.
Nel periodo compreso tra la data di entrata in vigore del presente articolo e l’adozione delle regole deontologiche, ovvero successivamente, il Garante, in cooperazione con il Consiglio nazionale dell’ordine dei giornalisti, prescrive eventuali misure e accorgimenti a garanzia degli interessati, che il Consiglio è tenuto a recepire.
Le regole deontologiche o le modificazioni od integrazioni alle stesse che non sono adottate dal Consiglio entro sei mesi dalla proposta del Garante sono adottate in via sostitutiva dal Garante e sono efficaci sino a quando diviene efficace una diversa disciplina secondo la procedura di cooperazione (comma 3).
Le regole deontologiche e le disposizioni di modificazione ed integrazione divengono efficaci quindici giorni dopo la loro pubblicazione nella Gazzetta Ufficiale
Infine il comma 5 prevede che caso di violazione delle prescrizioni contenute nelle regole deontologiche, il Garante può vietare il trattamento ai sensi dell’articolo 58 del Regolamento.
Capo IV
Modifiche alla Parte III del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196
L’articolo 13 modifica la Parte III, Titolo I, del decreto legislativo 30 giugno 2003, n. 196. In particolare viene inserito il Capo 0.I (Alternatività delle forme di tutela), comprendente l’articolo 140-bis (Forme alternative di tutela) che prevede la possibilità per l’interessato, in caso di violazione dei propri diritti come disciplinati dalla normativa in materia di protezione di dati personali, di proporre reclamo al Garante o ricorso all’autorità giudiziaria.
Si tratta di una forma di tutela alternativa pertanto il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l'autorità giudiziaria.
La presentazione del reclamo al Garante rende improponibile, viceversa, un'ulteriore domanda dinanzi all'autorità giudiziaria tra le stesse parti e per il medesimo oggetto (Cfr. art. 31 bozza di marzo).
Vengono sostituiti, inoltre, i seguenti articoli:
L’articolo 141 (Reclamo al Garante) prevede la possibilità per l’interessato di rivolgersi al Garante mediante reclamo ai sensi dell’articolo 77 del Regolamento (Cfr. art. 27 della bozza di marzo).
L’articolo 142 (Proposizione del reclamo) indica il contenuto e la forma del reclamo (Cfr. art. 28 della bozza di marzo).
L’articolo 143 (Decisione del reclamo) prevede la possibilità per il Garante di adottare provvedimenti a decisione del reclamo, entro 9 mesi dalla data di presentazione. Tale termine può essere prorogato a 12 mesi in caso di motivate esigenze istruttorie (Cfr. art. 29 della bozza di marzo). Avverso la decisione è ammesso ricorso giurisdizionale ai sensi dell’articolo 152.
L’articolo 144 (Segnalazioni) dispone che chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento (Cfr. art. 30 della bozza di marzo).
L’articolo 152 (Autorità giudiziaria ordinaria) dispone che tutte le controversie che riguardano le materie oggetto dei ricorsi giurisdizionali di cui agli articoli 78 e 79 del Regolamento e quelli comunque riguardanti l’applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell’articolo 82 del medesimo Regolamento, sono attribuite all'autorità giudiziaria ordinaria. (Cfr. art. 32 della bozza di marzo).
L’articolo 14 reca modifiche alla Parte III, Titolo II, del decreto legislativo 30 giugno 2003, n. 196. In primo luogo la rubrica è sostituita con “Autorità di controllo indipendente” e sono sostituiti i seguenti articoli:
L’articolo 153 (Garante per la protezione dei dati personali) individua la struttura del Garante, il quale si compone del Collegio e dell’Ufficio. Il Collegio è costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. I componenti sono scelti tra persone che assicurano indipendenza e che risultino di comprovata esperienza nel settore della protezione dei dati personali, con particolare riferimento alle discipline giuridiche o dell'informatica.
I componenti eleggono nel loro ambito un presidente, il cui voto prevale in caso di parità. Eleggono altresì un vice presidente, che assume le funzioni del presidente in caso di sua assenza o impedimento (comma 2).
L’incarico di presidente e quello di componente hanno durata settennale e non sono rinnovabili (comma 3).
Si prevede l’obbligo di segreto per i membri del Collegio, il regime di incompatibilità nonché l’indennità di funzione (Cfr. art. 17 bozza di marzo).
L’articolo 154 (Compiti) elenca i compiti del Garante, prevedendo la possibilità di emanare propri regolamenti per disciplinare i procedimenti relativi all’esercizio dei compiti previsti dal Regolamento UE e dal codice. Il Garante collabora altresì con altre autorità amministrative indipendenti nazionali nello svolgimento dei rispettivi compiti.
Il comma 5, in particolare, disciplina il termine per l’espressione dei pareri da parte del Garante che è pari a 45 giorni salvo diverse previsioni di legge. Decorso il termine, l'amministrazione può procedere indipendentemente dall'acquisizione del parere. Quando, per esigenze istruttorie, non può essere rispettato il termine di cui al presente comma, tale termine può essere interrotto per una sola volta e il parere deve essere reso definitivamente entro venti giorni dal ricevimento degli elementi istruttori da parte delle amministrazioni interessate (Cfr. art 20 bozza di marzo).
L’articolo 154-bis (Poteri) individua i poteri del Garante (Cfr. art. 21 bozza di marzo).
L’articolo 154-ter (Potere di agire e rappresentanza in giudizio) riconosce la legittimazione del Garante ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali. (Cfr. art. 22 bozza di marzo).
L’articolo 156 (Ruolo organico e personale) definisce la composizione dell’Ufficio a cui è preposto un segretario generale nominato tra persone di elevata e comprovata qualificazione professionale rispetto al ruolo e agli obiettivi da conseguire, scelto anche tra i magistrati ordinari, amministrativi e contabili, gli avvocati dello Stato, i professori universitari di ruolo in materie giuridiche ed economiche, nonché i dirigenti di prima fascia dello Stato.
Il personale dipendente è selezionato con concorso pubblico.
Il comma 3 prevede che il Garante con propri regolamenti definisca l’organizzazione e il funzionamento dell’ufficio, l’ordinamento delle carriere e le modalità di reclutamento del personale, a ripartizione dell’organico tra le diverse aree e qualifiche; il trattamento giuridico ed economico del personale; la gestione amministrativa e la contabilità.
L’Ufficio può avvalersi di dipendenti dello stato o di altre PA o enti pubblici, nonché di personale dipendente assunto a tempo determinato e consulenti.
Le spese di funzionamento del Garante sono poste a carico di un fondo stanziato a tale scopo nel bilancio dello Stato e iscritto in apposita Missione e programma di spesa del Ministero dell'economia e delle finanze (Cfr. art. 19 bozza di marzo).
L’articolo 157 (Richiesta di informazioni e di esibizione di documenti) prevede che il Garante possa richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati (Cfr. art. 23 bozza di marzo).
L’articolo 158 (Accertamenti) autorizza il Garante a disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali.
Tali controlli sono eseguiti da personale dell'Ufficio, con la partecipazione, se del caso, di componenti o personale di autorità di controllo di altri Stati membri dell’Unione europea (comma 2).
Il Garante si avvale anche, ove necessario, della collaborazione di altri organi dello Stato per lo svolgimento dei suoi compiti istituzionali.
Gli accertamenti, se svolti in un'abitazione o in un altro luogo di privata dimora o nelle relative appartenenze, sono effettuati con l'assenso informato del titolare o del responsabile, oppure previa autorizzazione del presidente del tribunale competente per territorio in relazione al luogo dell'accertamento, il quale provvede con decreto motivato senza ritardo, al più tardi entro tre giorni dal ricevimento della richiesta del Garante quando è documentata l'indifferibilità dell'accertamento (comma 4).
Con le medesime garanzie, gli accertamenti possono altresì riguardare reti di comunicazione accessibili al pubblico, potendosi procedere all’acquisizione di dati e informazioni on line. A tal fine, viene redatto apposito verbale in contradditorio con le parti ove l’accertamento venga effettuato presso il titolare del trattamento (Cfr. art 24 bozza di marzo).
L’articolo 160 (Particolari accertamenti) dispone che in caso di trattamenti di dati personali per fini di sicurezza nazionale o difesa gli accertamenti sono effettuati per il tramite di un componente designato dal Garante.
Se il trattamento non risulta conforme alle norme del Regolamento ovvero alle disposizioni di legge o di regolamento, il Garante indica al titolare o al responsabile le necessarie modificazioni ed integrazioni e ne verifica l'attuazione. Se l'accertamento è stato richiesto dall'interessato, a quest'ultimo è fornito in ogni caso un riscontro circa il relativo esito, se ciò non pregiudica azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione di reati o ricorrono motivi di difesa o di sicurezza dello Stato.
Gli accertamenti non sono delegabili. Quando risulta necessario in ragione della specificità della verifica, il componente designato può farsi assistere da personale specializzato tenuto al segreto su ciò di cui sono venuti a conoscenza in ordine a notizie che devono rimanere segrete. Gli atti e i documenti acquisiti sono custoditi secondo modalità tali da assicurarne la segretezza e sono conoscibili dal presidente e dai componenti del Garante e, se necessario per lo svolgimento delle funzioni dell'organo, da un numero delimitato di addetti all'Ufficio (comma 3).
La validità, l'efficacia e l'utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale (comma 5) (Cfr. art. 26 bozza di marzo)
L’articolo 15 reca modifiche alla Parte III, Titolo III, del decreto legislativo 30 giugno 2003, n. 196.
In particolare sono sostituiti i seguenti articoli:
L’articolo 166 (Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori) disciplina il procedimento per l’adozione dei provvedimenti correttivi e le sanzioni amministrative previste dall’articolo 58, paragrafo 2, del Regolamento da parte del Garante. Viene precisato che il procedimento per l’adozione dei provvedimenti e delle sanzioni può essere avviato sia nei confronti di soggetti privati che di autorità pubbliche a seguito del reclamo di cui all’articolo 77 del Regolamento o a seguito di attività istruttoria svolta dal Garante stesso.
L’articolo 167 (Trattamento illecito di dati) dispone la reclusione da sei mesi ad un anno e sei mesi per chiunque, al fine di trarre per sé o per altri profitto, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all'articolo 129 arreca danno all’interessato. Altresì prevede che è punito con la reclusione da uno a tre anni chiunque, al fine di trarre per sé o per altri profitto, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia ad esso relative arreca nocumento all’interessato.
Inoltre dopo l’articolo 167, sono inseriti i seguenti articoli:
L’articolo 167-bis (Comunicazione e diffusione illecita di dati personali riferibili a un ingente rilevante numero di persone) che prevede che il titolare o il responsabile del trattamento che comunica o diffonde, al fine di trarre profitto per sé o altri, dati personali riferibili ad un rilevante numero di persone, in violazione degli articoli 2-ter, 2-sexies e 2-octies, è punito con la reclusione da uno a sei anni. Inoltre si prevede la reclusione da uno a sei anni, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e di diffusione.
L’articolo 167-ter (Acquisizione fraudolenta di dati personali) che dispone che chiunque, al fine trarne profitto per sé o altri, acquisisce con mezzi fraudolenti dati personali riferibili a un numero rilevante di persone è punito con la reclusione da uno a quattro anni.
Inoltre sono sostituiti anche i seguenti articoli:
L’articolo 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante) in base al quale chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni (Cfr art. 35 bozza di marzo).
L’articolo 171 (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori) che dispone che la violazione delle disposizioni di cui agli articoli 4, primo e secondo comma commi 1 e 2, e 8 della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all'articolo 38 della medesima legge.
L’articolo 16 rinomina l’allegato A del decreto n. 196 del 2003 come “Regole deontologiche”.
CAPO V
Disposizioni processuali
L’articolo 17 modifica il decreto legislativo 1 settembre 2011 n. 150. In particolare sostituisce l’articolo 10 del decreto legislativo 1 settembre 2011 n. 150 prevedendo che le controversie in materia di applicazione delle disposizioni in materia di protezione dei dati personali sono regolate dal rito del lavoro.
Sono competenti, in via alternativa, il tribunale del luogo in cui il titolare del trattamento risiede o ha sede ovvero il tribunale del luogo di residenza dell’interessato.
Il ricorso avverso i provvedimenti del Garante per la protezione dei dati personali, ivi compresi quelli emessi a seguito di un reclamo dell’interessato, è proposto, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento ovvero entro sessanta giorni se il ricorrente risiede all'estero (comma 3).
In particolare la nuova formulazione dell’articolo 10 prevede che l’interessato può dare mandato a un ente del terzo settore soggetto alla disciplina del decreto legislativo 3 luglio 2017, n. 117, che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di esercitare per suo conto l’azione, ferme le disposizioni in materia di patrocinio previste dal codice di procedura civile (comma 5).
Il giudice fissa l'udienza di comparizione delle parti con decreto con il quale assegna al ricorrente il termine perentorio entro cui notificarlo alle altre parti e al Garante. Tra il giorno della notificazione e l'udienza di comparizione intercorrono non meno di trenta giorni.
Se alla prima udienza il ricorrente non compare senza addurre alcun legittimo impedimento, il giudice dispone la cancellazione della causa dal ruolo e dichiara l'estinzione del processo, ponendo a carico del ricorrente le spese di giudizio (comma 8).
Nei casi in cui non sia parte in giudizio, il Garante può presentare osservazioni, da rendere per iscritto o in udienza, sulla controversia in corso con riferimento ai profili relativi alla protezione dei dati personali.
La sentenza che definisce il giudizio non è appellabile e può prescrivere le misure necessarie anche in deroga al divieto di cui all'articolo 4 della legge 20 marzo 1865, n. 2248, allegato E), anche in relazione all'eventuale atto del soggetto pubblico titolare o responsabile dei dati, nonché il risarcimento del danno (Cfr. art. 33 della bozza di marzo).
PARTE V
DISPOSIZIONI TRANSITORIE E FINALI
L’articolo 18 (Definizione agevolata delle violazioni in materia di protezione dei dati personali) dispone la definizione agevolata dei procedimenti sanzionatori riguardanti le violazioni in materia di protezione dei dati personali che all’entrata in vigore del decreto non risultino ancora definiti.
L’articolo 19 (Trattazione di affari pregressi) disciplina la possibilità di richiedere al Garante la trattazione di reclami, segnalazioni e richieste di verifica preliminare pregressi (Cfr. articolo 95 bozza di marzo).
L’articolo 20 (Codici di deontologia e di buona condotta vigenti alla data di entrata in vigore del presente decreto) disciplina l’efficacia degli attuali codici di deontologia e buona condotta fino alla definizione della procedura indicata per l’approvazione dei codici, elaborati ai sensi dell’art. 40 del Regolamento, nonché la loro revisione a cura del Garante.
Entro novanta giorni dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali verifica la conformità al regolamento (UE) 2016/679 delle disposizioni di cui sopra. Le disposizioni ritenute compatibili, ridenominate regole deontologiche, sono pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministro della giustizia, sono successivamente riportate nell'allegato A del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003.
L’articolo 21 (Autorizzazioni generali del Garante per la protezione dei dati personali) autorizza il Garante entro 90 giorni ad individuare le prescrizioni contenute nelle autorizzazioni generali già adottate relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 4, nonché al capo IX del Regolamento, che risultano compatibili con le disposizioni del medesimo Regolamento e del presente decreto e, ove occorra, provvede al loro aggiornamento.
Le autorizzazioni generali ritenute incompatibili con le disposizioni del Regolamento cessano di produrre effetti dopo 90 giorni dall’entrata in vigore.
Il comma 4 prevede che sino all’adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 2- quater e 2-septies del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, producono effetti, in quanto compatibili e per la corrispondente categoria di trattamenti, le autorizzazioni generali di cui sopra.
Il comma 5 prevede una sanzione amministrativa per le violazioni delle prescrizioni contenute nelle autorizzazioni generali.
L’articolo 22 (Altre disposizioni transitorie e finali) precisa che il presente decreto e le restanti disposizioni dell’ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell’Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra Stati membri ai sensi dell’articolo 1, paragrafo 3, del Regolamento.
Sono indicate altre norme interpretative e transitorie, nonché modifiche testuali e di coordinamento.
In particolare, i richiami alle disposizioni del Codice contenuti nelle norme di legge abrogate dal presente decreto si intendono riferite alle corrispondenti disposizioni del Regolamento o a quelle introdotte o modificate dal presente decreto, in quanto compatibili (comma 6).
Le disposizioni di legge o di regolamento che individuano il tipo di dati trattabili e le operazioni eseguibili al fine di autorizzare i trattamenti delle pubbliche amministrazioni per motivi di interesse pubblico rilevante trovano applicazione anche per i soggetti privati che trattano i dati per i medesimi motivi (comma 9).
Infine si dispone, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, che il Garante, nel rispetto delle disposizioni del Regolamento e del codice in materia di protezione dei dati personali, promuova, nelle linee guida adottate a norma dell’articolo 154-bis del codice, modalità semplificate di adempimento degli obblighi del titolare del trattamento.
L’articolo 23 (Disposizioni di coordinamento) reca disposizioni di coordinamento tra le norme della legge di delegazione europea 2016-2017 e le modifiche introdotte al codice in materia di protezione dei dati personali dal presente decreto.
L’articolo 24 (Applicabilità delle sanzioni amministrative alle violazioni anteriormente commesse) prevede l’applicabilità delle sanzioni amministrative, sostitutive di quelle penali, alle violazioni anteriormente commesse, sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.
In caso di procedimenti definiti, il giudice dell’esecuzione revoca la sentenza o il decreto dichiarando che il fatto non è previsto dalla legge come reato e adotta i provvedimenti conseguenti.
L’articolo 25 (Trasmissione degli atti all'autorità amministrativa) dispone la trasmissione all’autorità amministrativa competente degli atti dei procedimenti penali relativi ai reati trasformati in illeciti amministrativi (Cfr. art. 100 bozza di marzo).
L’articolo 26 (Disposizioni finanziarie) dispone la copertura degli oneri derivanti dall’articolo 156, comma 3 lett. d del Codice. Ad esclusione di questa norma è disposta la clausola di invarianza finanziaria.
L’articolo 27 (Abrogazioni) elenca le parti del Codice in materia di protezione dei dati personali che sono abrogate.
L’articolo 28 dispone l’entrata in vigore.