Il D.L.vo 28 dicembre
2001, n. 467, introduce modifiche ed integrazioni alla nota legge sulla privacy
(L. 31 dicembre 1996, n. 675, Tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali)[1].
Le
disposizioni di cui al suddetto provvedimento sono entrate in vigore il primo
febbraio 2002. L’art. 24 del decreto prevede però alcune disposizioni
transitorie che verranno segnalate nelle sedi opportune.
Come
illustrato nella Newsletter 21 – 27 gennaio 2002 del Garante per la protezione
dei dati personali[2],
queste sono, in sintesi, le maggiori novità introdotte dal provvedimento in
esame:
SEMPLIFICAZIONI
Viene snellito il sistema delle
notificazioni: il decreto prevede l’individuazione di un elenco tassativo e
ristretto di categorie di soggetti tenuti all’obbligo della notificazione.
Vengono ampliati i casi per i quali è
consentito trattare i dati senza il consenso dell’interessato.
Così non sarà più necessario richiedere
il consenso per adempiere ad obblighi contrattuali e pre-contrattuali. L’ipotesi riguarda in particolare anche
banche e assicurazioni per finalità legate all’espletamento dei servizi
richiesti (le modifiche introdotte risolvono il c.d. pregresso bancario,
vale a dire la mancata prestazione del consenso da parte dell’interessato alla
trasmissione dei dati a terzi da parte del proprio istituto di credito).
I soggetti privati titolari del
trattamento possono oggi procedere al trattamento dei dati senza il consenso
dell’interessato quando vi sia un legittimo interesse del titolare stesso o di un terzo al
quale i dati sono comunicati, qualora non prevalga un diritto fondamentale o un
altro legittimo interesse della persona interessata (principio del bilanciamento
di interessi, da concretizzarsi con provvedimenti del Garante).
Senza consenso dell’interessato, ma con
l’autorizzazione del Garante, possono oggi essere raccolti ed utilizzati anche
alcuni dati
sensibili quando si
tratti di:
1) taluni trattamenti effettuati, al loro
interno, da associazioni che operano in ambito religioso, politico o sindacale,
con particolare riferimento alle confessioni religiose ed in presenza di alcune
garanzie;
2) trattamenti svolti in presenza di
esigenze di salvaguardia della vita o dell’incolumità fisica;
3) trattamenti effettuati per esigenze di
investigazioni difensive o per la tutela di un diritto in sede giudiziaria, in
conformità con il codice deontologico degli avvocati e degli investigatori.
Il modello di informativa, con le indicazioni sull’uso che verrà
fatto dei dati dell’interessato e dei diritti che può esercitare, viene
snellito. Dovrà, però, essere specificato almeno un responsabile
(preferibilmente quello al quale l’interessato può rivolgersi per far valere i
suoi diritti).
RAFFORZAMENTO DELLE GARANZIE PER I CITTADINI
Diventa specifico reato la produzione di
dichiarazioni o documenti falsi
dinanzi all’Autorità Garante anche in fase ispettiva o l’inosservanza
del divieto del Garante di proseguire un trattamento illecito, anche quando non comporti un
pregiudizio rilevante.
Il Garante potrà bloccare o
vietare ogni tipo di trattamento illecito anche in assenza di un pregiudizio
rilevante per le persone interessate, diversamente da quanto era previsto in
precedenza (eventualmente concedendo dapprima un termine per regolarizzare il
trattamento).
La raccolta e l’uso di dati, anche
attraverso nuove tecnologie, che possono comportare specifici rischi per i
diritti e le libertà delle persone dovranno essere preventivamente esaminati dal Garante, il
quale dovrà stabilire misure a accorgimenti da rispettare a garanzia delle
persone (il cosiddetto prior checking).
La legge sulla privacy si applicherà
anche alla gestione dei dati effettuata da chi, pur avendo sede in Paesi
non appartenenti all’Unione Europea, utilizza però, per il trattamento dei dati, strumenti
situati nel nostro Paese. La norma può riferirsi, ad esempio, ai cosiddetti trattamenti
invisibili, come l’invio dei cookies.
DEPENALIZZAZIONE
Sono state escluse
specifiche conseguenze penali nel caso di trattamenti effettuati per motivi
esclusivamente personali, cioè con un computer "domestico", per chi omette le misure minime di
sicurezza prescritte dalla normativa sulla privacy.
Viene depenalizzata l’omessa, non
tempestiva o incompleta notificazione (la comunicazione al Garante dell’esistenza di una banca
dati), prevedendo però la pubblicazione del provvedimento dell’Autorità, per
compensare l’omessa pubblicità della banca dati. Si pagherà una sanzione
amministrativa da 5.164,60 a 30.987,40 euro (da 10 a 60 milioni di lire).
I titolari del trattamento che omettono
l’adozione delle misure minime di sicurezza possono regolarizzare la loro posizione,
anche a fini penali, attuando le misure e con il pagamento di una somma
stabilita (il cosiddetto "ravvedimento operoso"). L’ammenda va da
5.164,60 a 41.316,60 euro (da 10 a 80 milioni di lire).
MULTE AUMENTATE
Sono stati adeguati i livelli di alcune
sanzioni amministrative pecuniarie, anche in riferimento alle capacità economiche
del contravventore: la sanzione per la mancata informativa all’interessato
arriva fino a 9.296,20 euro (18 milioni di lire) e a 15.493,70 euro (30 milioni
di lire) nei casi di maggiore pregiudizio per l’interessato, mentre quella per
chi omette di fornire al Garante la documentazione richieste è aumentata fino a
15.493,70 euro (30 milioni di lire).
UNA NUOVA CATEGORIA DI
DATI: I DATI "SEMI-SENSIBILI"
Il provvedimento in esame introduce una terza categoria di dati,
"semi-sensibili" a cavallo tra i "comuni" e i
"sensibili" (si dovrà valutare, ad esempio, il regime applicabile a
certe liste di sospettati o a nominativi inseriti nelle centrali rischi, a
impronte digitali etc.) il cui trattamento potrà iniziare solo dopo che il Garante
abbia stabilito preventivamente, entro il gennaio 2003, gli eventuali
accorgimenti da adottare (il cosiddetto prior checking).
I CODICI DEONTOLOGICI
Importanti settori come Internet, la
videosorveglianza, il direct marketing, il rapporto di lavoro, l’informazione
commerciale, le cosiddette centrali rischi saranno disciplinati attraverso i codici
di deontologia e di buona condotta, che dovranno essere promossi dal Garante
entro il giugno 2002, e messi a punto dagli organismi rappresentativi dei vari
settori (finora, quelli adottati, riguardano l’attività dei giornalisti, degli
storici e degli statistici), previa verifica da parte dell’Autorità della loro
conformità alla legge.
PRIVACY E TELECOMUNICAZIONI
La legge introduce altre garanzie in
materia di telecomunicazioni: l’obbligo per i fornitori di servizi di
telecomunicazioni di informare adeguatamente il pubblico circa
l’identificazione della linea chiamante e l’esigenza che i fornitori stessi
assicurino la disattivazione di tale servizio per le chiamate di
emergenza.
I fornitori di servizi telefonici
dovranno rendere effettivo l’uso di modalità di pagamento alternative alla
fatturazione in modo da assicurare l’anonimato dell’utente (ad es.: carte pre-pagate)[3].
Nel prosieguo
verranno succintamente presentate le novità riguardanti la materia, riportando
nel loro testo vigente gli articoli della legge sulla privacy oggetto del
recente intervento legislativo[4].
2.
Ambito di applicazione della legge 675/1996
Il testo
dell’art. 2 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
2. (Ambito di applicazione). 1. La presente
legge si applica al trattamento di dati personali da chiunque effettuato nel
territorio dello Stato.
1-bis. La
presente legge si applica anche al trattamento di dati personali effettuato da
chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea
e impiega, per il trattamento, mezzi situati nel territorio dello Stato anche
diversi da quelli elettronici o comunque automatizzati, salvo che essi siano
utilizzati solo ai fini di transito nel territorio dell’Unione europea.
1-ter. Nei casi di cui al comma 1-bis il
titolare stabilito nel territorio di un Paese non appartenente all’Unione
europea deve designare ai fini dell’applicazione della presente legge un
proprio rappresentante stabilito nel territorio dello Stato.
3.
Trattamenti per fini esclusivamente personali
Il testo
dell’art. 3 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
3. (Trattamento di dati per fini
esclusivamente personali). 1. Il trattamento di dati personali effettuato da
persone fisiche per fini esclusivamente personali non è soggetto
all’applicazione della presente legge, sempreché i dati non siano destinati ad
una comunicazione sistematica o alla diffusione.
2. Al
trattamento di cui al comma 1 si applicano in ogni caso le disposizioni in tema
di sicurezza dei dati di cui all’articolo 15, nonché l’articolo 18.
L’art.
18 della legge sulla privacy dispone che chiunque cagiona danno ad altri per
effetto del trattamento di dati personali è tenuto al risarcimento ai sensi
dell’articolo 2050 del codice civile. L’art. 2050 cod. civ., com’è noto,
regola la responsabilità per l’esercizio di attività pericolose
addossando a colui che effettua il trattamento di dati personali l’onere di
provare di aver adottato tutte le misure idonee ad evitare il danno.
L’art.
15, primo comma, L. 675/1996, relativo alla sicurezza dei dati, prevede
che i dati personali oggetto di trattamento debbano essere custoditi e
controllati, anche in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche caratteristiche del
trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalità della raccolta.
La
nuova formulazione dell’art. 3 L. 675/1996 esclude invece che al trattamento di
dati svolto per fini esclusivamente personali si applichi l’art. 36 della
medesima legge (omessa adozione di misure necessarie alla sicurezza dei dati)[5].
4.
Semplificazioni dei casi e delle modalità di notificazione
Il testo
dell’art. 7 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
7. (Notificazione). 1. Il titolare che
intenda procedere ad un trattamento di dati personali soggetto al campo di
applicazione della presente legge è tenuto a darne notificazione al Garante se
il trattamento, in ragione delle relative modalità o della natura dei dati
personali, sia suscettibile di recare pregiudizio ai diritti e alle libertà
dell’interessato, e nei soli casi e con le modalità individuati con il
regolamento di cui all’articolo 33, comma 3.
2. La
notificazione è effettuata preventivamente ed una sola volta, a mezzo di lettera
raccomandata ovvero con altro mezzo idoneo a certificarne la ricezione, a
prescindere dal numero delle operazioni da svolgere, nonché dalla durata del
trattamento e può riguardare uno o più trattamenti con finalità correlate. Una
nuova notificazione è richiesta solo se muta taluno degli elementi che
devono essere indicati e deve precedere l’effettuazione della variazione.
3. La
notificazione è sottoscritta dal notificante e dal responsabile del trattamento[6].
4. La
notificazione contiene:
a) il nome,
la denominazione o la ragione sociale e il domicilio, la residenza o la sede
del titolare;
b) le
finalità e modalità del trattamento;
c) la natura
dei dati, il luogo ove sono custoditi e le categorie di interessati cui i dati
si riferiscono;
d) l’ambito di
comunicazione e di diffusione dei dati;
e) i
trasferimenti di dati previsti verso Paesi non appartenenti all’Unione europea
o, qualora, riguardino taluno dei dati di cui agli articoli 22 e 24, fuori del
territorio nazionale;
f) una
descrizione generale che permetta di valutare l’adeguatezza delle misure
tecniche ed organizzative adottate per la sicurezza dei dati;
g)
l’indicazione della banca di dati o delle banche di dati cui si riferisce il
trattamento, nonché l’eventuale connessione con altri trattamenti o banche di
dati, anche fuori dal territorio nazionale;
h) il nome,
la denominazione o la ragione sociale e il domicilio, la residenza o la sede del
rappresentante del titolare nel territorio dello Stato e di almeno un
responsabile, da indicare nel soggetto eventualmente designato ai fini di cui
all’articolo 13[7];
in mancanza di tale indicazione si considera responsabile il notificante;
i) la qualità
e la legittimazione del notificante[8].
5. I soggetti
tenuti ad iscriversi o che devono essere annotati nel registro delle imprese di
cui all’articolo 2188 del codice civile, nonché coloro che devono fornire le
informazioni di cui all’articolo 8, comma 8, lettera d), della legge 29
dicembre 1993, n. 580, alle camere di commercio, industria, artigianato e agricoltura,
possono effettuare la notificazione per il tramite di queste ultime, secondo le
modalità stabilite con il regolamento di cui all’articolo 33, comma 3. I
piccoli imprenditori e gli artigiani possono effettuare la notificazione anche
per il tramite delle rispettive rappresentanze di categoria; gli iscritti agli
albi professionali anche per il tramite dei rispettivi ordini professionali.
Resta in ogni caso ferma la disposizione di cui al comma 3[9].
5-bis. La
notificazione in forma semplificata può non contenere taluno degli elementi di
cui al comma 4, lettere b), c) e) e g), individuati dal Garante ai sensi del
regolamento di cui all’articolo 33, comma 3, quando il trattamento è
effettuato:
a) da
soggetti pubblici, esclusi gli enti pubblici economici, sulla base di espressa
disposizione di legge ai sensi degli articoli 22, comma 3, e 24, ovvero del
provvedimento di cui al medesimo articolo 24;
b)
nell’esercizio della professione di giornalista e per l’esclusivo perseguimento
delle relative finalità, ovvero dai soggetti indicati nel comma 4-bis
dell’articolo 25, nel rispetto del codice di deontologia di cui al medesimo
articolo;
c)
temporaneamente senza l’ausilio di mezzi elettronici o comunque automatizzati,
ai soli fini e con le modalità strettamente collegate all’organizzazione
interna dell’attività esercitata dal titolare, relativamente a dati non
registrati in una banca di dati e diversi da quelli di cui agli articoli 22 e
24;
c-bis) per
scopi storici, di ricerca scientifica e di statistica in conformità alle leggi,
ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di
buona condotta sottoscritti ai sensi dell’articolo 31[10].
5-ter. Fuori
dei casi di cui all’articolo 4, il trattamento non è soggetto a notificazione
quando:
a) è necessario
per l’assolvimento di un compito previsto dalla legge, da un regolamento o
dalla normativa comunitaria, relativamente a dati diversi da quelli indicati
negli articoli 22 e 24;
b) riguarda
dati contenuti o provenienti da pubblici registri, elenchi, atti o documenti
conoscibili da chiunque, fermi restando i limiti e le modalità di cui
all’articolo 20, comma 1, lettera b);
c) è
effettuato per esclusive finalità di gestione del protocollo, relativamente ai
dati necessari per la classificazione della corrispondenza inviata per fini
diversi da quelli di cui all’articolo 13, comma 1, lettera e), con particolare
riferimento alle generalità e ai recapiti degli interessati, alla loro
qualifica e all’organizzazione di appartenenza;
d) riguarda
rubriche telefoniche o analoghe non destinate alla diffusione, utilizzate
unicamente per ragioni d’ufficio e di lavoro e comunque per fini diversi da
quelli di cui all’articolo 13, comma 1, lettera e);
e) è
finalizzato unicamente all’adempimento di specifici obblighi contabili,
retributivi, previdenziali, assistenziali e fiscali, ed è effettuato con
riferimento alle sole categorie di dati, di interessati e di destinatari della
comunicazione e diffusione strettamente collegate a tale adempimento,
conservando i dati non oltre il periodo necessario all’adempimento medesimo;
f) è
effettuato, salvo quanto previsto dal comma 5-bis, lettera b), da liberi
professionisti iscritti in albi o elenchi professionali, per le sole finalità
strettamente collegate all’adempimento di specifiche prestazioni e fermo
restando il segreto professionale;
g) è
effettuato dai piccoli imprenditori di cui all’articolo 2083 del codice civile
per le sole finalità strettamente collegate allo svolgimento dell’attività
professionale esercitata e limitatamente alle categorie di dati, di
interessati, di destinatari della comunicazione e diffusione e al periodo di
conservazione dei dati necessari per il perseguimento delle finalità medesime;
h) è
finalizzato alla tenuta di albi o elenchi professionali in conformità alle
leggi e ai regolamenti;
i) è
effettuato per esclusive finalità dell’ordinaria gestione di biblioteche, musei
e mostre, in conformità alle leggi e ai regolamenti, ovvero per la
organizzazione di iniziative culturali o sportive o per la formazione di
cataloghi e bibliografie;
l) è
effettuato da associazioni, fondazioni, comitati anche a carattere politico,
filosofico, religioso o sindacale, ovvero da loro organismi rappresentativi,
istituiti per scopi non di lucro e per il perseguimento di finalità lecite,
relativamente a dati inerenti agli associati e ai soggetti che in relazione a
tali finalità hanno contatti regolari con l’associazione, la fondazione, il
comitato o l’organismo, fermi restando gli obblighi di informativa degli
interessati e di acquisizione del consenso, ove necessario;
m) è
effettuato dalle organizzazioni di volontariato di cui alla legge 11 agosto
1991, n. 266, nei limiti di cui alla lettera l) e nel rispetto delle autorizzazioni
e delle prescrizioni di legge di cui agli articoli 22 e 23;
n) è
effettuato temporaneamente ed è finalizzato esclusivamente alla pubblicazione o
diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero,
nel rispetto del codice di deontologia di cui all’articolo 25;
o) è
effettuato, anche con mezzi elettronici o comunque automatizzati, per la
redazione di periodici o pubblicazioni aventi finalità di informazione
giuridica, relativamente a dati desunti da provvedimenti dell’autorità
giudiziaria o di altre autorità;
p) è
effettuato temporaneamente per esclusive finalità di raccolta di adesioni a
proposte di legge d’iniziativa popolare, a richieste di referendum, a petizioni
o ad appelli;
q) è
finalizzato unicamente all’amministrazione dei condomini di cui all’articolo
1117 e seguenti del codice civile, limitatamente alle categorie di dati, di
interessati e di destinatari della comunicazione necessarie per
l’amministrazione dei beni comuni, conservando i dati non oltre il periodo
necessario per la tutela dei corrispondenti diritti;
q-bis) è
compreso nel programma statistico nazionale o in atti di programmazione
statistica previsti dalla legge ed è effettuato in conformità alle leggi, ai
regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona
condotta sottoscritti ai sensi dell’articolo 31[11].
5-quater. Il
titolare si può avvalere della notificazione semplificata o dell’esonero di cui
ai commi 5-bis e 5-ter, sempre che il trattamento riguardi unicamente le finalità,
le categorie di dati, di interessati e di destinatari della comunicazione e
diffusione, individuate, unitamente al periodo di conservazione dei dati, dai
medesimi commi 5-bis e 5-ter, nonché:
a) nei casi
di cui ai commi 5-bis, lettera a) e 5-ter, lettera a) e m), dalle disposizioni
di legge o di regolamento o dalla normativa comunitaria ivi indicate;
b) nel caso
di cui al comma 5-bis, lettera b), dal codice di deontologia ivi indicato;
c) nei casi
residui, dal Garante con le autorizzazioni rilasciate con le modalità previste
dall’articolo 41, comma 7, ovvero, per i dati diversi da quelli di cui agli
articoli 22 e 24, con i provvedimenti analoghi[12].
5-quinquies.
Il titolare che si avvale dell’esonero di cui al comma 5-ter deve fornire gli
elementi di cui al comma 4 a chiunque ne faccia richiesta[13].
Si
prevede altresì (art. 3, comma 4, D.L.vo 467/2001) che le disposizioni di cui:
- all’art. 7, commi 3, 4, 5, 5-bis,
5-ter, 5-quater e 5-quinquies, L. 675/1996
- all’art. 13, comma 1, lett. b, L.
675/1996
- all’art. 28, comma 7, L. 675/1996
siano
abrogate a decorrere dalla data di entrata in vigore delle modifiche apportate
al regolamento di cui all’art. 33, comma 3, L. 675/1996 in applicazione delle
modifiche introdotte dal decreto in esame all’art. 7, comma 1, della legge
sulla privacy.
5.
Informativa all’interessato
Il testo
dell’art. 10 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
10. (Informazioni rese al momento della
raccolta). 1. L’interessato o la persona presso la quale sono raccolti i dati
personali devono essere previamente informati oralmente o per iscritto circa:
a) le
finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura
obbligatoria o facoltativa del conferimento dei dati;
c) le
conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti
o le categorie di soggetti ai quali i dati possono essere comunicati e l’ambito
di diffusione dei dati medesimi;
e) i diritti
di cui all’articolo 13;
f) il nome,
la denominazione o la ragione sociale e il domicilio, la residenza o la sede
del titolare, del suo rappresentante nel territorio dello Stato e di almeno
un responsabile, da indicare nel soggetto eventualmente designato ai fini di
cui all’articolo 13, indicando il sito della rete di comunicazione o le
modalità attraverso le quali è altrimenti conoscibile in modo agevole l’elenco
aggiornato dei responsabili[14].
2.
L’informativa di cui al comma 1 può non comprendere gli elementi già noti alla
persona che fornisce i dati o la cui conoscenza può ostacolare l’espletamento
di funzioni pubbliche ispettive o di controllo, svolte per il perseguimento
delle finalità di cui agli articoli 4, comma 1, lettera e), e 14, comma 1,
lettera d).
3. Quando i
dati personali non sono raccolti presso l’interessato, l’informativa di cui al
comma 1 è data al medesimo interessato all’atto della registrazione dei dati o,
qualora sia prevista la loro comunicazione, non oltre la prima comunicazione.
4. La
disposizione di cui al comma 3 non si applica quando l’informativa
all’interessato comporta un impiego di mezzi che il Garante dichiari
manifestamente sproporzionati rispetto al diritto tutelato, ovvero si rivela, a
giudizio del Garante, impossibile, ovvero nel caso in cui i dati sono trattati
in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa
comunitaria. La medesima disposizione non si applica, altresì, quando i dati
sono trattati ai fini dello svolgimento delle investigazioni difensive di
cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o
difendere un diritto in sede giudiziaria, sempre che i dati siano trattati
esclusivamente per tali finalità e per il periodo strettamente necessario al
loro perseguimento.
6.
Casi di esclusione del consenso: misure precontrattuali e bilanciamento di
interessi
Il testo
dell’art. 12 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
12. (Casi di esclusione del consenso). 1. Il
consenso non è richiesto quando il trattamento:
a) riguarda
dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria;
b) è
necessario per l’esecuzione di obblighi derivanti da un contratto del quale è
parte l’interessato o per l’esecuzione di misure precontrattuali adottate su
richiesta di quest’ultimo, ovvero per l’adempimento di un obbligo legale;
c) riguarda
dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da
chiunque;
d) è
finalizzato unicamente a scopi di ricerca scientifica o di statistica ed è
effettuato nel rispetto dei codici di deontologia e di buona condotta
sottoscritti ai sensi dell’articolo 31;
e) è
effettuato nell’esercizio della professione di giornalista e per l’esclusivo
perseguimento delle relative finalità. In tal caso, si applica il codice di
deontologia di cui all’articolo 25;
f) riguarda
dati relativi allo svolgimento di attività economiche raccolti anche ai fini
indicati nell’articolo 13, comma 1, lettera e), nel rispetto della vigente
normativa in materia di segreto aziendale e industriale;
g) è
necessario per la salvaguardia della vita o dell’incolumità fisica
dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare
il proprio consenso per impossibilità fisica, per incapacità di agire o per
incapacità di intendere o di volere;
h) è
necessario ai fini dello svolgimento delle investigazioni difensive di cui
alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere
un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente
per tali finalità e per il periodo strettamente necessario al loro
perseguimento;
h-bis) è
necessario, nei casi individuati dal Garante sulla base dei principi sanciti
dalla legge, per perseguire un legittimo interesse del titolare o di un terzo
destinatario dei dati, qualora non prevalgano i diritti e le libertà
fondamentali, la dignità o un legittimo interesse dell’interessato[15].
7.
Limiti al diritto di accesso
Il testo
dell’art. 14 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
14. (Limiti all’esercizio dei diritti). 1. I
diritti di cui all’articolo 13, comma 1, lettere c) e d), non possono essere
esercitati nei confronti dei trattamenti di dati personali raccolti:
a) in base
alle disposizioni del decreto legge 3 maggio 1991, n. 143, convertito, con
modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni;
b) in base
alle disposizioni del decreto legge 31 dicembre 1991, n. 419, convertito, con
modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive
modificazioni;
c) da
Commissioni parlamentari di inchiesta istituite ai sensi dell’articolo 82 della
Costituzione;
d) da un
soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa
disposizione di legge, per esclusive finalità inerenti la politica monetaria e
valutaria, il sistema dei pagamenti, il controllo degli intermediari e dei
mercati creditizi e finanziari nonché la tutela della loro stabilità;
e) ai sensi
dell’articolo 12, comma 1, lettera h), limitatamente al periodo durante il
quale potrebbe derivarne pregiudizio per lo svolgimento delle investigazioni o
per l’esercizio del diritto di cui alla medesima lettera h);
e-bis) da fornitori di servizi di
telecomunicazioni accessibili al pubblico, limitatamente ai dati personali
identificativi di chiamate telefoniche entranti, salvo che possa derivarne
pregiudizio per lo svolgimento delle investigazioni difensive di cui alla legge
7 dicembre 2000 n. 397.
2. Nei casi
di cui al comma 1 il Garante, anche su segnalazione dell’interessato ai sensi
dell’articolo 31, comma 1, lettera d), esegue i necessari accertamenti nei modi
di cui all’articolo 32, commi 6 e 7, e indica le necessarie modificazioni ed
integrazioni, verificandone l’attuazione.
8. Presupposti per la comunicazione e la diffusione dei dati
Il testo
dell’art. 20 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
20. (Requisiti per la comunicazione e la
diffusione dei dati). 1. La comunicazione e la diffusione dei dati personali da
parte di privati e di enti pubblici economici sono ammesse:
a) con il
consenso espresso dell’interessato;
a-bis) qualora siano necessarie per l’esecuzione
di obblighi derivanti da un contratto del quale è parte l’interessato o per
l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo;
b) se i dati
provengono da pubblici registri, elenchi, atti o documenti conoscibili da chiunque,
fermi restando i limiti e le modalità che le leggi e i regolamenti stabiliscono
per la loro conoscibilità e pubblicità;
c) in
adempimento di un obbligo previsto dalla legge, da un regolamento o dalla
normativa comunitaria;
d)
nell’esercizio della professione di giornalista e per l’esclusivo perseguimento
delle relative finalità. Restano fermi i limiti del diritto di cronaca posti a
tutela della riservatezza ed in particolare dell’essenzialità dell’informazione
riguardo a fatti di interesse pubblico. Si applica inoltre il codice di
deontologia di cui all’articolo 25;
e) se i dati
sono relativi allo svolgimento di attività economiche, nel rispetto della
vigente normativa in materia di segreto aziendale e industriale;
f) qualora
siano necessarie per la salvaguardia della vita o dell’incolumità fisica
dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare
il proprio consenso per impossibilità fisica, per incapacità di agire o per
incapacità di intendere o di volere;
g)
limitatamente alla comunicazione, qualora questa sia necessaria ai fini dello
svolgimento delle investigazioni difensive di cui alla legge 7 dicembre
2000, n. 397, o, comunque, per far valere o difendere un diritto in sede
giudiziaria, nel rispetto della normativa di cui alla lettera e) del presente
comma, sempre che i dati siano trattati esclusivamente per tali finalità e per
il periodo strettamente necessario al loro perseguimento;
h)
limitatamente alla comunicazione, quando questa sia effettuata nell’ambito dei
gruppi bancari di cui all’articolo 60 del testo unico delle leggi in materia
bancaria e creditizia approvato con decreto legislativo 1° settembre 1993, n.
385, nonché tra società controllate e società collegate ai sensi dell’articolo
2359 del codice civile, i cui trattamenti con finalità correlate sono stati
notificati ai sensi dell’articolo 7, comma 2, per il perseguimento delle
medesime finalità per le quali i dati sono stati raccolti;
h-bis)
limitatamente alla comunicazione, quando questa sia necessaria, nei casi
individuati dal Garante sulla base dei principi sanciti dalla legge, per
perseguire un legittimo interesse del titolare o di un terzo destinatario dei
dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un
legittimo interesse dell’interessato.
2. Alla
comunicazione e alla diffusione dei dati personali da parte di soggetti
pubblici, esclusi gli enti pubblici economici, si applicano le disposizioni
dell’articolo 27.
Per
comunicare a terzi i dati necessari ai fini dell’esecuzione di obblighi
derivanti da un contratto di cui è parte l’interessato non sarà pertanto più
necessario raccogliere il consenso di quest’ultimo.
Ciò
semplifica le attività svolte in outsourcing, ostacolate in precedenza
dal mancato parallelismo tra la previsione di deroga del consenso presente
nell’ipotesi di obbligo legale sia per l’attività di trattamento che per
quella di comunicazione rispetto alla possibilità di prescindere da
esso, nel caso di adempimento ad un obbligo contrattuale, solamente per le
attività di trattamento e non anche per quelle di comunicazione.
“Tale
asimmetria aveva sconcertato il mondo aziendale, che aveva subito ravvisato in
tale previsione un ostacolo per tutte le attività realizzate in outsourcing.
Le aziende erano, così, obbligate ad acquisire il consenso per comunicare a
società terze i dati dell’interessato necessari per l’espletamento di attività
richieste dallo stesso. Data la bassa percentuale di ritorno del consenso e gli
alti costi di una esecuzione autarchica dei servizi appaltati all’esterno,
molto spesso si ricorreva a nominare le società esterne quali responsabili del
trattamento, al fine di poter considerare il flusso dei dati dal titolare a
tali soggetti non più come una ‘comunicazione’, bensì come un ‘trattamento’ e,
quindi, riconducibile all’esenzione del consenso prevista dall’art. 12 della
legge”[16].
Le
modifiche introdotte con il D.L.vo 467/2001 non fanno d’altra parte venir meno,
in capo ai soggetti ai quali i dati sono comunicati, gli obblighi imposti a
costoro quali autonomi titolari del trattamento dei dati personali.
Il testo
dell’art. 22 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
22. (Dati sensibili). 1. I dati personali idonei a rivelare
l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché
i dati personali idonei a rivelare lo stato di salute e la vita sessuale,
possono essere oggetto di trattamento solo con il consenso scritto dell'interessato
e previa autorizzazione del Garante.
1-bis. Il comma
1 non si applica ai dati relativi agli aderenti alle confessioni religiose i
cui i rapporti con lo Stato siano regolati da accordi o intese ai sensi degli
articoli 7 e 8 della Costituzione, nonché relativi ai soggetti che con
riferimento a finalità di natura esclusivamente religiosa hanno contatti
regolari con le medesime confessioni, che siano trattati dai relativi organi o
enti civilmente riconosciuti, sempreché i dati non siano comunicati o diffusi
fuori delle medesime confessioni. Queste ultime determinano idonee garanzie
relativamente ai trattamenti effettuati.
1-ter. Il comma
1 non si applica, altresì, ai dati riguardanti l'adesione di associazioni od
organizzazioni a carattere sindacale o di categoria ad altre associazioni,
organizzazioni o confederazioni a carattere sindacale o di categoria.
2. Il Garante
comunica la decisione adottata sulla richiesta di autorizzazione entro trenta
giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il
provvedimento di autorizzazione, ovvero successivamente, anche sulla base di
eventuali verifiche, il Garante può prescrivere misure e accorgimenti a
garanzia dell'interessato, che il titolare del trattamento è tenuto ad
adottare.
3. Il trattamento
dei dati indicati al comma 1 da parte di soggetti pubblici, esclusi gli enti
pubblici economici, è consentito solo se autorizzato da espressa disposizione
di legge, nella quale siano specificati i tipi di dati che possono essere
trattati, le operazioni eseguibili e le rilevanti finalità di interesse
pubblico perseguite. In mancanza di espressa disposizione di legge, e fuori dai
casi previsti dai decreti legislativi di modificazione ed integrazione della
presente legge, emanati in attuazione della legge 31 dicembre 1996, n. 676, i
soggetti pubblici possono richiedere al Garante, nelle more della
specificazione legislativa, l'individuazione delle attività, tra quelle
demandate ai medesimi soggetti dalla legge, che perseguono rilevanti finalità
di interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi
del comma 2, il trattamento dei dati indicati al comma 1.
3-bis. Nei
casi in cui è specificata, a norma del comma 3, la finalità di rilevante
interesse pubblico, ma non sono specificati i tipi di dati e le operazioni
eseguibili, i soggetti pubblici, in applicazione di quanto previsto dalla
presente legge e dai decreti legislativi di attuazione della legge 31 dicembre
1996, n. 676, in materia di dati sensibili, identificano e rendono pubblici,
secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente
pertinenti e necessari in relazione alle finalità perseguite nei singoli casi,
aggiornando tale identificazione periodicamente.
4. I dati
personali indicati al comma 1 possono essere oggetto di trattamento previa
autorizzazione del Garante:
a) qualora il
trattamento sia effettuato da associazioni, enti od organismi senza scopo di
lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o
sindacale, ivi compresi partiti e movimenti politici, confessioni e comunità
religiose, per il perseguimento di finalità lecite, relativamente ai dati
personali degli aderenti o dei soggetti che in relazione a tali finalità hanno
contatti regolari con l'associazione, ente od organismo, sempre che i dati non
siano comunicati o diffusi fuori del relativo ambito e l'ente, l'associazione o
l'organismo determinino idonee garanzie relativamente ai trattamenti effettuati[17];
b) qualora il trattamento
sia necessario per la salvaguardia della vita o dell'incolumità fisica
dell'interessato o di un terzo, nel caso in cui l'interessato non può prestare
il proprio consenso per impossibilità fisica, per incapacità di agire o per
incapacità d'intendere o di volere;
c) qualora il
trattamento sia necessario ai fini dello svolgimento delle investigazioni
difensive di cui alla legge 7 dicembre 2000, n. 397 o, comunque, per far valere
o difendere in sede giudiziaria un diritto, di rango pari a quello dell'interessato
quando i dati siano idonei a rivelare lo stato di salute e la vita sessuale,
sempre che i dati siano trattati esclusivamente per tali finalità e per il
periodo strettamente necessario al loro perseguimento. Il Garante prescrive le
misure e gli accorgimenti di cui al comma 2 e promuove la sottoscrizione di un
apposito codice di deontologia e di buona condotta secondo le modalità di cui
all'articolo 31, comma 1, lettera h). Resta fermo quanto previsto dall'articolo
43, comma 2.
10.
Verifiche preliminari (dati “semi-sensibili”)
Dopo
l’articolo 24 della legge sulla privacy, il provvedimento in esame ha
introdotto il seguente art. 24-bis.
Art. 24-bis. (Altri dati particolari). 1. Il trattamento dei
dati diversi da quelli di cui agli articoli 22 e 24 che presenta rischi
specifici per i diritti e le libertà fondamentali, nonché per la dignità
dell'interessato, in relazione alla natura dei dati o alle modalità del
trattamento o agli effetti che può determinare, è ammesso nel rispetto di
misure ed accorgimenti a garanzia dell'interessato, ove prescritti.
2. Le misure e
gli accorgimenti di cui al comma 1 sono prescritti dal Garante sulla base dei
principi sanciti dalla legge nell'ambito di una verifica preliminare all'inizio
del trattamento, effettuata anche in relazione a determinate categorie di
titolari o di trattamenti, sulla base di un eventuale interpello del titolare[18].
Come già
rilevato, il D.L.vo 467/2001 introduce, con questa disposizione, una nuova
categoria di dati personali, che va a collocarsi in una posizione intermedia
tra la categoria dei dati comuni e quella dei dati sensibili.
11.
Semplificazione e garanzie per i trasferimenti di dati personali all’estero
Il testo
dell’art. 28 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
28. (Trasferimento
di dati personali all'estero). 1. Il trasferimento anche temporaneo fuori del
territorio nazionale, con qualsiasi forma o mezzo, di dati personali oggetto di
trattamento deve essere previamente notificato al Garante, qualora sia diretto
verso un Paese non appartenente all'Unione europea e ricorra uno dei casi
individuati ai sensi dell'articolo 7, comma 1.
2. Il trasferimento può
avvenire soltanto dopo quindici giorni dalla data della notificazione; il
termine è di venti giorni qualora il trasferimento riguardi taluno dei dati di
cui agli articoli 22 e 24.
3. Il trasferimento è vietato
qualora l'ordinamento dello Stato di destinazione o di transito dei dati non
assicuri un livello di tutela delle persone adeguato.
4. Il trasferimento è comunque
consentito qualora:
a) l'interessato abbia manifestato il
proprio consenso espresso ovvero, se il trasferimento riguarda taluno dei dati
di cui agli articoli 22 e 24, in forma scritta;
b)
sia necessario per l'esecuzione di obblighi derivanti da un contratto del quale
è parte l'interessato o per l'esecuzione di misure precontrattuali adottate
su richiesta di quest'ultimo, ovvero per la conclusione o per l'esecuzione di
un contratto stipulato a favore dell'interessato;
c)
sia necessario per la salvaguardia di un interesse pubblico rilevante
individuato con legge o con regolamento, ovvero specificato ai sensi degli
articoli 22, comma 3, e 24, se il trasferimento riguarda taluno dei dati ivi
previsti;
d)
sia necessario ai fini dello svolgimento delle investigazioni difensive di
cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o
difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti
esclusivamente per tali finalità e per il periodo strettamente necessario al loro
perseguimento;
e)
sia necessario per la salvaguardia della vita o dell'incolumità fisica
dell'interessato o di un terzo, nel caso in cui l'interessato non può prestare
il proprio consenso per impossibilità fisica, per incapacità di agire o per
incapacità di intendere o di volere;
f)
sia effettuato in accoglimento di una richiesta di accesso ai documenti
amministrativi, ovvero di una richiesta di informazioni estraibili da un
pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza
delle norme che regolano la materia;
g)
sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti
dell'interessato, prestate anche con un contratto, ovvero individuate dalla
Commissione europea con le decisioni previste dagli articoli 25, paragrafo 6, e
26, paragrafo 4, della direttiva n. 95/46/CE del Parlamento europeo e del
Consiglio del 24 ottobre 1995;
g-bis)
il trattamento sia finalizzato unicamente a scopi di ricerca scientifica o di
statistica e sia effettuato nel rispetto dei codici di deontologia e di buona
condotta sottoscritti ai sensi dell'articolo 31.
5.
Contro il divieto di cui al comma 3 del presente articolo può essere proposta
opposizione ai sensi dell'articolo 29, commi 6 e 7.
6.
Le disposizioni del presente articolo non si applicano al trasferimento di dati
personali effettuato nell'esercizio della professione di giornalista e per
l'esclusivo perseguimento delle relative finalità.
7. La notificazione di cui al comma 1 del presente articolo è
effettuata ai sensi dell'articolo 7 ed è annotata in apposita sezione del
registro previsto dall'articolo 31, comma 1, lettera a). La notificazione può
essere effettuata con un unico atto unitamente a quella prevista dall'articolo
7[19].
12. Misure per il
trattamento illecito o non corretto
Il testo
dell’art. 31 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
31. (Compiti del garante). 1. Il
Garante ha il compito di:
a) istituire e tenere un registro
generale dei trattamenti sulla base delle notificazioni ricevute;
b) controllare se i trattamenti sono effettuati
nel rispetto delle norme di legge e di regolamento e in conformità alla
notificazione;
c) segnalare ai relativi titolari o
responsabili le modificazioni necessarie o opportune al fine di rendere il trattamento
conforme alle disposizioni vigenti;
d) ricevere le segnalazioni ed i reclami
degli interessati o delle associazioni che li rappresentano, relativi ad
inosservanze di legge o di regolamento, e provvedere sui ricorsi presentati ai
sensi dell'articolo 29;
e) adottare i provvedimenti previsti
dalla legge o dai regolamenti;
f) vigilare sui casi di cessazione, per
qualsiasi causa, di un trattamento;
g) denunciare i fatti configurabili come
reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a
causa delle sue funzioni;
h) promuovere nell'ambito delle categorie
interessate, nell'osservanza del principio di rappresentatività, la
sottoscrizione di codici di deontologia e di buona condotta per determinati
settori, verificarne la conformità alle leggi e ai regolamenti anche attraverso
l'esame di osservazioni di soggetti interessati e contribuire a garantirne la
diffusione e il rispetto;
i) curare la conoscenza tra il pubblico delle
norme che regolano la materia e delle relative finalità, nonché delle misure di
sicurezza dei dati di cui all'articolo 15;
l) vietare, in tutto o in parte, il
trattamento dei dati o disporne il blocco se il trattamento risulta illecito
o non corretto anche per effetto della mancata adozione delle misure necessarie
di cui alla lettera c), oppure
quando,
in considerazione della natura dei dati o, comunque, delle modalità del
trattamento o degli effetti che esso può determinare, vi è il concreto rischio
del verificarsi di un pregiudizio rilevante per uno o più interessati;
m) segnalare al Governo l'opportunità di
provvedimenti normativi richiesti dall'evoluzione del settore;
n) predisporre annualmente una relazione
sull'attività svolta e sullo stato di attuazione della presente legge, che è
trasmessa al Parlamento e al Governo entro il 30 aprile dell'anno successivo a
quello cui si riferisce;
o) curare l'attività di assistenza indicata nel
capitolo IV della Convenzione n. 108 sulla protezione delle persone rispetto al
trattamento automatizzato di dati di carattere personale, adottata a Strasburgo
il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio 1989, n. 98, quale
autorità designata ai fini della cooperazione tra Stati ai sensi dell'articolo
13 della Convenzione medesima;
p) esercitare il controllo sui trattamenti di
cui all'articolo 4 e verificare, anche su richiesta dell'interessato, se rispondono
ai requisiti stabiliti dalla legge o dai regolamenti.
2. Il Presidente del Consiglio dei
ministri e ciascun ministro consultano il Garante all'atto della
predisposizione delle norme regolamentari e degli atti amministrativi
suscettibili di incidere sulle materie disciplinate dalla presente legge.
3. Il registro di cui al comma 1, lettera a),
del presente articolo, è tenuto nei modi di cui all'articolo 33, comma 5. Entro
il termine di un anno dalla data della sua istituzione, il Garante promuove
opportune intese con le province ed eventualmente con altre pubbliche
amministrazioni al fine di assicurare la consultazione del registro mediante
almeno un terminale dislocato su base provinciale, preferibilmente nell'ambito
dell'ufficio per le relazioni con il pubblico di cui all'articolo 12 del
decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni.
4. Contro il divieto di cui al comma 1, lettera
l), del presente articolo, può essere proposta opposizione ai sensi
dell'articolo 29, commi 6 e 7.
5. Il Garante e l'Autorità per l'informatica
nella pubblica amministrazione cooperano tra loro nello svolgimento dei
rispettivi compiti; a tal fine, invitano il presidente o un suo delegato membro
dell'altro organo a partecipare alle riunioni prendendo parte alla discussione
di argomenti di comune interesse iscritti all'ordine del giorno; possono
richiedere, altresì, la collaborazione di personale specializzato addetto
all'altro organo.
6. Le disposizioni del comma 5 si applicano
anche nei rapporti tra il Garante e le autorità di vigilanza competenti per il
settore creditizio, per le attività assicurative e per la radiodiffusione e
l'editoria.
13.
Sanzioni in tema di notificazione
Il testo
dell’art. 34 della legge sulla privacy è stato interamente sostituito
dal provvedimento in esame:
34. (Omessa o incompleta notificazione). 1. Chiunque,
essendovi tenuto, non provvede tempestivamente alle notificazioni in conformità
a quanto previsto dagli articoli 7, 16, comma 1, e 28, ovvero indica in esse
notizie incomplete, è punito con la sanzione amministrativa del pagamento di
una somma da lire dieci milioni a lire sessantamilioni e con la sanzione
amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione.
Si prevede
altresì che alle violazioni dell'articolo 34 L. 675/1996 commesse prima
dell'entrata in vigore del D.L.vo 28 dicembre 2001, n. 467, si applicano, in quanto compatibili, le
disposizioni di cui agli articoli 100, 101 e 102 del decreto legislativo 30
dicembre 1999, n. 507[20].
Il testo
previgente dell’art. 34 L. 675/1996 puniva l’omessa o infedele notificazione
con sanzioni penali (reclusione). Sull’infedele notificazione si veda oggi
l’art. 37-bis L. 675/1996, inserito dal provvedimento in esame[21].
14. Trattamento
illecito di dati personali
Il testo
dell’art. 35 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
35. (Trattamento illecito di dati
personali). 1. Salvo che il fatto costituisca più grave reato, chiunque,
al fine di trarne per sé o per altri profitto o di recare ad altri un danno,
procede al trattamento di dati personali in violazione di quanto disposto dagli
articoli 11, 20 e 27, è punito con la reclusione sino a due anni o, se il fatto
consiste nella comunicazione o diffusione, con la reclusione da tre mesi a due
anni.
2. Salvo che il fatto costituisca più
grave reato, chiunque, al fine di trarne per sé o per altri profitto o di
recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto
disposto dagli articoli 21, 22, 23, 24 e 24-bis, ovvero del divieto di
cui all'articolo 28, comma 3, è punito con la reclusione da tre mesi a due
anni.
3. Se dai fatti di cui ai commi 1 e 2
deriva nocumento, la reclusione è da uno a tre anni.
15. Omessa adozione
di misure minime di sicurezza
Il testo
dell’art. 36 della legge sulla privacy è stato interamente sostituito
dal provvedimento in esame:
36. (Omessa adozione di misure necessarie alla
sicurezza dei dati). 1. Chiunque, essendovi tenuto, omette di adottare le
misure necessarie a garantire la sicurezza dei dati personali, in violazione
delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è
punito con l'arresto sino a due anni o con l'ammenda da lire dieci milioni a
lire ottanta milioni.
2. All'autore del reato, all'atto
dell'accertamento o, nei casi complessi, anche con successivo atto del Garante,
è impartita una prescrizione fissando un termine per la regolarizzazione non
eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di
particolare complessità o per l'oggettiva difficoltà dell'adempimento e
comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere
del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è
ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda
stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il
reato. L'organo che impartisce la prescrizione e il pubblico ministero
provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto
legislativo 19 dicembre 1994, n. 758, in quanto applicabili[22].
Per
i procedimenti penali in corso per il reato di cui all'articolo 36 L. 675/1996,
entro quaranta giorni dall'entrata in vigore del D.L.vo 28/12/2001 n.
467, l'autore del reato può fare richiesta all'autorità giudiziaria di
essere ammesso alla procedura indicata all'articolo 36, comma 2, n.t., L.
675/1996. L'Autorità giudiziaria dispone la sospensione del procedimento e
trasmette gli atti al Garante per la protezione dei dati personali, che
provvede ai sensi del medesimo articolo 36, comma 2, n.t., L. 675/1996.
Il nuovo testo
dell’art. 36 L. 675/1996 sostituisce dunque al delitto previsto dalla norma
previgente, punito esclusivamente con la pena della reclusione, una
contravvenzione punita alternativamente con l’arresto o l’ammenda.
Inoltre, il
secondo comma dell’art. 36 prevede oggi una particolare causa di estinzione del
reato, data dall’adempimento nel termine assegnato delle prescrizioni impartite
per la regolarizzazione e dal pagamento di una somma pari ad un quarto del
massimo dell’ammenda stabilita per la contravvenzione.
16. Inosservanza di
provvedimenti di divieto o di blocco
Il testo
dell’art. 37 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
37. (Inosservanza dei provvedimenti del garante).
1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal
Garante ai sensi dell'articolo 22, comma 2, o degli articoli 29, commi 4 e
5, e 31, comma 1, lettera l), è punito con la reclusione da tre mesi a due
anni.
17. False
comunicazioni e dichiarazioni
Dopo l’art. 37 della L. 675/1996, il provvedimento in esame
ha inserito il seguente art. 37-bis:
37-bis. (Falsità nelle dichiarazioni e nelle
notificazioni al Garante). 1. Chiunque, nelle notificazioni di cui agli
articoli 7, 16, comma 1, e 28 o in atti, documenti o dichiarazioni resi o
esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti,
dichiara o attesta falsamente notizie o circostanze o produce atti o documenti
falsi, è punito, salvo che il fatto costituisca più grave reato, con la
reclusione da sei mesi a tre anni.
18. Adeguamento
di sanzioni amministrative
Il testo
dell’art. 39 della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
39. (Sanzioni amministrative). 1.
Chiunque omette di fornire le informazioni o di esibire i documenti richiesti
dal Garante ai sensi degli articoli 29, comma 4, e 32, comma 1, è punito con la
sanzione amministrativa del pagamento di una somma da lire cinquemilioni a
lire trentamilioni.
2. La violazione delle disposizioni di
cui all'articolo 10 è punita con la sanzione amministrativa del pagamento di
una somma da lire tre milioni a lire diciotto milioni o, nei casi di cui agli
articoli 22, 24 e 24-bis o, comunque, di maggiore rilevanza del pregiudizio per
uno o più interessati, da lire cinquemilioni a lire trentamilioni. La somma può
essere aumentata sino al triplo quando essa risulti inefficace in ragione delle
condizioni economiche del contravventore. La violazione della disposizione di
cui all'articolo 23, comma 2, è punita con la sanzione amministrativa del
pagamento di una somma da lire cinquecentomila a lire tremilioni.
3. L'organo competente a ricevere il
rapporto e ad irrogare le sanzioni di cui al presente capo è il Garante. Si osservano, in quanto
applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive
modificazioni.
I proventi, nella misura del cinquanta
per cento del totale annuo, sono riassegnati al fondo di cui all'articolo 33,
comma 2, e sono utilizzati unicamente per l'esercizio dei compiti di cui agli
articoli 31, comma 1, lettera i) e 32.
19. Adeguamento
dei trattamenti alla disciplina comunitaria
Il testo
dell’art. 41, primo comma, della legge sulla privacy, a seguito delle modifiche
introdotte dal provvedimento in esame, risulta essere il seguente (le modifiche
sono segnalate in corsivo):
41. (Disposizioni transitorie). 1.
Fermo restando l'esercizio dei diritti di cui agli articoli 13 e 29, le
disposizioni della presente legge che prescrivono il consenso dell'interessato
non si applicano in riferimento ai dati personali raccolti precedentemente alla
data di entrata in vigore della legge stessa, o il cui trattamento sia iniziato
prima di tale data. Resta salva l'applicazione delle disposizioni relative alla
comunicazione e alla diffusione dei dati previste dalla presente legge. Le
disposizioni del presente comma restano in vigore sino alla data del 30 giugno
2003.
(omissis)
20. Codici di deontologia e di buona condotta
L’art. 20 del D.L.vo 467/2001 prevede
che, al fine di garantire la piena attuazione dei principi previsti dalla
disciplina in materia di trattamento dei dati personali, il Garante promuova – entro
il 30 giugno 2002 – la sottoscrizione di codici di deontologia e di
buona condotta per i soggetti pubblici e privati interessati al trattamento
dei dati personali nei settori indicati dal secondo comma della disposizione in
esame.
Ai sensi di detto secondo comma, i codici
di deontologia e di buona condotta dovranno riguardare il trattamento di dati
personali:
a)
effettuati da fornitori di servizi di comunicazione e informazione offerti
per via telematica, con particolare riguardo ai criteri per assicurare ed
uniformare una più adeguata informazione e consapevolezza degli utenti delle
reti di telecomunicazione gestite da soggetti pubblici e privati rispetto ai
tipi di dati personali trattati e alle modalità del loro trattamento, in
particolare attraverso informative fornite in linea in modo agevole ed
interattivo, per favorire una più ampia trasparenza e correttezza nei confronti
dei medesimi utenti e il pieno rispetto dei principi di cui all’articolo 9
della legge 31 dicembre 1996, n. 675, anche ai fini dell’eventuale rilascio di
certificazioni attestanti la qualità delle modalità prescelte e il livello di
sicurezza assicurato;
b)
necessari per finalità previdenziali o per la gestione del rapporto di
lavoro, prevedendo anche specifiche modalità per l’informativa
all’interessato e per l’eventuale prestazione del consenso relativamente alla
pubblicazione di annunci per finalità di occupazione e alla ricezione di curricula
contenenti dati personali anche sensibili;
c)
effettuato a fini di invio di materiale pubblicitario o di vendita diretta,
ovvero per il compimento di ricerche di mercato o di comunicazione commerciale
interattiva, prevedendo anche, per i casi in cui il trattamento non
presuppone il consenso dell’interessato, forme semplificate per manifestare e
rendere meglio conoscibile l’eventuale dichiarazione di non voler ricevere
determinate comunicazioni;
d)
svolto a fini di informazione commerciale, prevedendo anche, in
correlazione con quanto previsto dall’articolo 10, comma 4, della legge 31
dicembre 1996, n. 675, modalità semplificate per l’informativa all’interessato
e idonei meccanismi per favorire la qualità e l’esattezza dei dati raccolti e
comunicati;
e)
effettuato nell’ambito di sistemi informativi di cui sono titolari soggetti
privati, utilizzati a fini di concessione di crediti al consumo o comunque
riguardanti l’affidabilità e la puntualità nei pagamenti da parte degli
interessati, individuando anche specifiche modalità per favorire la
comunicazione di dati personali esatti e aggiornati nel rispetto dei diritti
dell’interessato;
f)
provenienti da archivi, registri, elenchi, atti o documenti tenuti da
soggetti pubblici, anche individuando i casi in cui debba essere indicata
la fonte di acquisizione dei dati e prevedendo garanzie appropriate per
l’associazione di dati provenienti da più archivi, tenendo presente quanto
previsto dalla Raccomandazione del Consiglio d’Europa N. R (91) 10 in relazione
all’articolo 9 della legge 31 dicembre 1996, n. 675;
g)
effettuato con strumenti automatizzati di rilevazione di immagini,
prevedendo specifiche modalità di trattamento e forme semplificate di
informativa all’interessato per garantirne la liceità e la correttezza anche in
riferimento a quanto previsto dall’articolo 9 della legge 31 dicembre 1996, n.
675.
Il rispetto delle disposizioni contenute
nei codici di deontologia e buona condotta costituisce, secondo il terzo comma
della disposizione in esame, condizione essenziale per la liceità del
trattamento dei dati.