Codice della privacy: Legge.

Attenzione: apre in una nuova finestra. PDFStampaE-mail

Codice della privacy:

TUTELA DELL'INTERESSATO E SANZIONI

ART. III

TUTELA DELL'INTERESSATO E SANZIONI

TITOLO I

TUTELA AMMINISTRATIVA E GIURISDIZIONALE

CAPO I

TUTELA DINANZI AL GARANTESEZIONE I PRINCIPI GENERALI

Art. 141                     (Forme di tutela)

1. L'interessato può rivolgersi al Garante:

a) mediante reclamo circostanziato nei modi previsti dall'articolo 142,  per  rappresentare una violazione della disciplina rilevante in materia di trattamento di dati personali;

b)  mediante  segnalazione, se  non  è  possibile  presentare un reclamo  circostanziato ai  sensi  della  lettera a),  al  fine  di sollecitare  un  controllo  da  parte  del  Garante  sulla disciplina medesima;

c)  mediante  ricorso, se intende far valere gli specifici dirittidi  cui  all'articolo  7  secondo  le  modalità e per conseguire gli effetti previsti nella sezione III del presente capo.

SEZIONE II TUTELA AMMINISTRATIVA
Art. 142                     (Proposizione dei reclami)

1. Il  reclamo  contiene  un'indicazione  per  quanto  possibile dettagliata  dei  fatti  e  delle  circostanze su cui si fonda, delle disposizioni  che  si  presumono violate e delle misure richieste, nonché gli  estremi identificativi del titolare, del responsabile, ove conosciuto, e dell'istante.

2. Il reclamo è sottoscritto dagli interessati, o da associazioni che  li  rappresentano anche ai sensi dell'articolo 9, comma 2, ed è presentato  al  Garante senza particolari formalità. Il reclamo reca in  allegato  la documentazione utile al fini della sua valutazione e l'eventuale   procura,   e   indica   un   recapito  per  l'invio  di comunicazioni anche tramite posta elettronica, telefax o telefono.

3.  Il  Garante  può  predisporre  un  modello  per il reclamo da pubblicare  nel  Bollettino  e di cui favorisce la disponibilità con strumenti elettronici.

Art. 143                    (Procedimento per i reclami)

1.  Esaurita  l'istruttoria  preliminare,  se  il  reclamo  non è manifestamente  infondato  e sussistono i presupposti per adottare un provvedimento, il Garante,  anche  prima  della  definizione  del procedimento:

a)  prima  di prescrivere le misure di cui alla lettera b), ovvero il  divieto o il blocco ai sensi della lettera c), può invitare il titolare,  anche  in contraddittorio con l'interessato, ad effettuare il blocco spontaneamente;

b)  prescrive  al  titolare  le  misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti;

c)  dispone il blocco o vieta, in tutto o in parte, il trattamento che  risulta  illecito o non corretto anche per effetto della mancata adozione  delle  misure  necessarie  di  cui  alla lettera b), oppure quando,  in  considerazione  della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;

d) può vietare in  tutto o in  parte  il trattamento di dati relativi  a singoli soggetti o a categorie di soggetti che si pone in contrasto con rilevanti interessi della collettività.

2. I provvedimenti di cui al comma 1 sono pubblicati nella Gazzetta   Ufficiale   della   Repubblica   italiana  se  i  relativi destinatari non sono facilmente identificabili per il numero o per la complessità degli accertamenti.

Art. 144                           (Segnalazioni)

1. I provvedimenti di cui all'art. 143 possono essere adottati anche  a seguito delle segnalazioni di cui all'art. 141, comma 1, lettera b), se è avviata un'istruttoria preliminare e anche prima della definizione del procedimento.

SEZIONE III TUTELA ALTERNATIVA A QUELLA GIURISDIZIONALE

Art. 145                              (Ricorsi)

1.  I  diritti  di  cui all'articolo 7 possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante.

2.  Il  ricorso  al  Garante  non  può essere proposto se, per il medesimo  oggetto  e  tra  le  stesse  parti, è stata  già  adita l'autorità giudiziaria.

3. La presentazione del ricorso al Garante rende improponibile un'ulteriore  domanda dinanzi all'autorità giudiziaria tra le stesseparti e per il medesimo oggetto.

Art. 146                       (Interpello preventivo)

1.  Salvi i casi in cui il decorso del termine esporrebbe taluno a pregiudizio  imminente  ed  irreparabile,  il ricorso al Garante può essere  proposto solo dopo che è  stata  avanzata  richiesta sul medesimo oggetto al titolare o al responsabile ai sensi dell'articolo 8,  comma 1, e sono decorsi i termini previsti dal presente articolo, ovvero è stato opposto alla richiesta un diniego anche parziale.

2. Il  riscontro  alla  richiesta  da  parte  del  titolare o del responsabile è fornito entro quindici giorni dal suo ricevimento.

3. Entro il termine di cui al comma 2, se le operazioni necessarie per  un  integrale  riscontro  alla  richiesta  sono  di  particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o il  responsabile ne danno comunicazione all'interessato. In tal caso, il  termine  per  l'integrale  riscontro è di  trenta  giorni  dal ricevimento della richiesta medesima.

Art. 147                     (Presentazione del ricorso)

1. Il ricorso è proposto nei confronti del titolare e indica:

a) gli estremi identificativi del ricorrente, dell'eventuale procuratore   speciale, del titolare e, ove conosciuto, del responsabile eventualmente designato per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7;

b) la data della richiesta presentata al titolare o al responsabile ai   sensi dell'art. 8, comma 1, oppure del pregiudizio  imminente  ed  irreparabile  che permette di prescindere dalla richiesta medesima;

c) gli elementi posti a fondamento della domanda;

d) il provvedimento richiesto al Garante;

e) il domicilio eletto ai fini del procedimento.

2.  Il  ricorso è sottoscritto dal ricorrente o dal procuratore speciale e reca in allegato:

a)  la copia della richiesta rivolta al titolare o al responsabile ai sensi dell'articolo 8, comma 1;

b) l'eventuale procura;

c) la prova del versamento dei diritti di segreteria.

3.  Al ricorso è unita, altresì, la documentazione utile ai fini della sua valutazione e l'indicazione di un recapito per l'invio di comunicazioni  al ricorrente o al procuratore speciale mediante posta elettronica, telefax o telefono.

4.  Il  ricorso è rivolto al Garante e la relativa sottoscrizione è autenticata. L'autenticazione non è richiesta se la sottoscrizione è apposta  presso  l'Ufficio  del  Garante  o da un procuratore  speciale  iscritto  all'albo degli avvocati al quale la procura è conferita ai sensi dell'art. 83  del  codice  di procedura  civile, ovvero con firma digitale in conformità allanormativa vigente.

5.  Il  ricorso è validamente proposto solo se è trasmesso con plico raccomandato, oppure per via telematica osservando le modalità relative  alla  sottoscrizione con firma digitale e alla conferma del ricevimento  prescritte  ai  sensi  dell'articolo 38, comma 2, ovvero presentato direttamente presso l'Ufficio del Garante.

Art. 148                   (Inammissibilità del ricorso)

1. Il ricorso è inammissibile:

a) se proviene da un soggetto non legittimato;

b in caso di inosservanza delle disposizioni di cui agli articoli 145 e 146;

c) se difetta di taluno degli elementi indicati nell'articolo 147, commi 1  e  2, salvo che sia regolarizzato dal ricorrente o dal procuratore speciale  anche su invito dell'Ufficio del Garante ai sensi del comma 2, entro sette giorni dalla data della sua presentazione o della ricezione dell'invito. In tale caso, il ricorso si considera  presentato  al momento in cui il ricorso regolarizzatoperviene all'Ufficio.

2. Il Garante determina i casi in cui è possibile la regolarizzazione del ricorso.

Art. 149                 (Procedimento relativo al ricorso)

1. Fuori dei casi in cui è dichiarato inammissibile o manifestamente  infondato, il ricorso è comunicato al titolare entro tre  giorni a cura dell'Ufficio del Garante, con invito ad esercitare entro  dieci  giorni dal suo ricevimento la facoltà di comunicare al ricorrente  e  all'Ufficio  la  propria eventuale adesione spontanea. L'invito è comunicato al titolare per il tramite del responsabile eventualmente  designato  per il riscontro all'interessato in caso di esercizio  dei  diritti  di  cui  all'articolo  7,  ove  indicato nel ricorso.

2. In caso di adesione spontanea è dichiarato  non luogo a provvedere. Se  il ricorrente lo richiede, è determinato in misura forfetaria l'ammontare  delle  spese  e  dei  diritti  inerenti  al ricorso,  posti  a  carico  della controparte o compensati per giusti motivi anche parzialmente.

3. Nel procedimento dinanzi al Garante il titolare, il responsabile  di  cui  al  comma  1  e l'interessato hanno diritto di essere  sentiti,  personalmente  o a mezzo di procuratore speciale, e hanno facoltà di presentare memorie o documenti. A tal fine l'invito di   cui  al  comma  1 è  trasmesso  anche  al  ricorrente  e  reca l'indicazione  del  termine  entro  il quale il titolare, il medesimo responsabile  e l'interessato possono presentare memorie e documenti, nonché della  data  in  cui tali soggetti possono essere sentiti incontraddittorio anche mediante idonea tecnica audiovisiva.

4.  Nel  procedimento  il ricorrente può precisare la domanda nei limiti  di  quanto  chiesto con il ricorso o a seguito di eccezioni formulate dal titolare.

5. Il  Garante  può disporre, anche d'ufficio, l'espletamento di una o più  perizie. Il  provvedimento  che  le dispone precisa il contenuto  dell'incarico  e  il  termine per la sua esecuzione, ed è comunicato  alle  parti  le quali possono presenziare alle operazioni personalmente  o  tramite  procuratori  o  consulenti designati. Il provvedimento dispone inoltre in ordine all'anticipazione delle spese della perizia.

6. Nel procedimento, il titolare e il responsabile di cui al comma 1  possono  essere  assistiti da un procuratore o da altra persona di fiducia.

7. Se gli accertamenti risultano particolarmente complessi o vi è l'assenso   delle parti il termine di sessanta  giorni  di  cui all'art. 150,  comma 2, può essere prorogato per un periodo non superiore ad ulteriori quaranta giorni.

8.  Il  decorso dei termini previsti dall'art. 150, comma 2 e dall'art.  151 è sospeso di diritto dal 1 agosto al 15 settembre di ciascun  anno  e  riprende  a decorrere dalla fine del periodo di sospensione.  Se  il decorso ha inizio durante tale periodo, l'inizio stesso è differito alla fine del periodo medesimo. La sospensione non opera nei casi in cui sussiste il pregiudizio di cui all'articolo 146, comma 1, e non preclude l'adozione dei provvedimenti di cui all'articolo 150, comma 1 .

Art. 150                (Provvedimenti a seguito del ricorso)

1. Se la particolarità del  caso lo richiede, il Garante può disporre in  via provvisoria il blocco in tutto o in parte di taluno dei dati, ovvero l'immediata sospensione di una o più operazioni del trattamento.  Il provvedimento può essere adottato anche prima della comunicazione  del  ricorso  ai  sensi  dell'art.149, comma 1, e cessa  di  avere  ogni  effetto  se  non  è  adottata nei termini la decisione di cui al comma 2. Il medesimo provvedimento è impugnabile unitamente a tale decisione.

2.  Assunte  le  necessarie  informazioni  il  Garante, se ritiene fondato  il  ricorso,  ordina al titolare, con decisione motivata, la cessazione   del   comportamento  illegittimo,  indicando  le  misure necessarie  a  tutela  dei  diritti  dell'interessato e assegnando un termine  per  la  loro  adozione.  La  mancata pronuncia sul ricorso, decorsi  sessanta  giorni  dalla  data  di  presentazione, equivale a rigetto.

3. Se vi è  stata  previa  richiesta di taluna delle parti, il provvedimento  che  definisce  il  procedimento  determina  in misura forfettaria  l'ammontare  delle  spese  e  dei  diritti  inerenti  al ricorso, posti a carico, anche in parte, del soccombente o compensati anche parzialmente per giusti motivi.

4.  Il  provvedimento  espresso,  anche  provvisorio, adottato dal Garante è comunicato  alle  parti  entro  dieci  giorni  presso il domicilio  eletto  o  risultante  dagli  atti.  Il provvedimento può essere  comunicato  alle  parti  anche  mediante  posta elettronica o telefax.

5.  Se sorgono difficoltà o contestazioni riguardo all'esecuzione del provvedimento di cui ai commi 1 e 2, il Garante, sentite le parti ove  richiesto,  dispone  le modalità di attuazione avvalendosi, se necessario,  del  personale  dell'Ufficio  o  della collaborazione di altri organi dello Stato.

6.  In  caso  di  mancata opposizione avverso il provvedimento che determina l'ammontare delle spese e dei diritti, o di suo rigetto, il provvedimento   medesimo  costituisce,   per  questa  parte, titolo esecutivo  ai  sensi degli articoli 474 e 475 del codice di procedura civile.

Art. 151                            (Opposizione)

1. Avverso il provvedimento espresso o il rigetto tacito di cui all'art. 150,  comma  2,  il  titolare  o  l'interessato possono proporre   opposizione   con  ricorso  ai  sensi  dell'articolo  152.L'opposizione non sospende l'esecuzione del provvedimento.

2. Il tribunale provvede nei modi di cui all'articolo 152.

CAPO II TUTELA GIURISDIZIONALE

Art. 152                  (Autorità giudiziaria ordinaria)

1.  Tutte le controversie che riguardano, comunque, l'applicazione delle  disposizioni  del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla   loro   mancata  adozione,  sono  attribuite  all'autorità giudiziaria ordinaria.

2. Per tutte le controversie di cui al comma 1 l'azione si propone con  ricorso depositato nella cancelleria del tribunale del luogo ove risiede il titolare del trattamento.

3. Il tribunale decide in ogni caso in composizione monocratica.

4. Se è presentato avverso un provvedimento del Garante anche ai sensi  dell'art. 143, il ricorso è proposto entro il termine di trenta  giorni  dalla data di comunicazione del provvedimento o dalla data del rigetto tacito. Se il ricorso è proposto oltre tale termine il giudice lo  dichiara inammissibile con ordinanza ricorribile per cassazione.

5. La proposizione del ricorso  non  sospende l'esecuzione del provvedimento  del Garante. Se ricorrono gravi motivi il giudice, sentite le parti, può disporre diversamente in tutto o in parte con ordinanza impugnabile  unitamente  alla  decisione  che definisce il grado di giudizio.

6. Quando sussiste pericolo imminente di un danno  grave ed irreparabile  il  giudice  può emanare i provvedimenti necessari con decreto  motivato, fissando, con il medesimo provvedimento, l'udienza di comparizione delle parti entro un termine non superiore a quindici giorni. In tale udienza, con ordinanza, il giudice conferma, modifica o revoca i provvedimenti emanati con decreto.

7.  Il  giudice  fissa  l'udienza  di comparizione delle parti con decreto  con  il  quale  assegna  al ricorrente il termine perentorio entro  cui  notificarlo  alle altre parti e al Garante. Tra il giorno della notificazione e l'udienza di comparizione intercorrono non meno di trenta giorni.

8.  Se  alla prima udienza il ricorrente non compare senza addurre alcun  legittimo  impedimento,  il  giudice  dispone la cancellazione della causa dal ruolo e dichiara l'estinzione del processo, ponendo a carico del ricorrente le spese di giudizio.

9. Nel corso del giudizio il giudice dispone, anche d'ufficio, omettendo  ogni formalità non necessaria al contraddittorio, i mezzi di prova che  ritiene  necessari e può disporre la citazione di testimoni anche senza la formulazione di capitoli.

10.   Terminata  l'istruttoria,  il  giudice  invita  le  parti  a precisare  le  conclusioni ed a procedere, nella stessa udienza, alla discussione  orale  della causa, pronunciando subito dopo la sentenza mediante  lettura del dispositivo. Le motivazioni della sentenza sono depositate in cancelleria  entro  i  successivi  trenta  giorni. Il giudice  può anche redigere e leggere, unitamente al dispositivo, la motivazione della sentenza, che è subito dopo  depositata  in cancelleria.

11. Se necessario, il giudice può concedere alle parti un termine non  superiore  a  dieci  giorni  per il deposito di note difensive e rinviare la causa all'udienza immediatamente successiva alla scadenza del termine per la discussione e la pronuncia della sentenza.

12.  Con la sentenza il giudice, anche in deroga al divieto di cui all'art. 4  della  legge  20  marzo  1865, n. 2248, allegato E), quando è  necessario  anche  in  relazione  all'eventuale  atto del soggetto  pubblico  titolare  o  responsabile,  accoglie o rigetta la domanda, in tutto o in parte, prescrive le misure necessarie, dispone sul  risarcimento  del  danno,  ove  richiesto, e pone a carico della parte soccombente le spese del procedimento.

13.  La  sentenza non è appellabile, ma è ammesso il ricorso per cassazione.

14. Le disposizioni di cui al presente articolo si applicano anche nei  casi  previsti  dall'articolo  10, comma 5, della legge 1 aprile 1981, n. 121, e successive modificazioni.

TITOLO II L'AUTORITA' CAPO I

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Art. 153 (12)                            (Il Garante)

1.  Il  Garante  opera  in  piena  autonomia e con indipendenza di giudizio e di valutazione.

2.  Il Garante è organo  collegiale  costituito  da  quattro componenti,  eletti  due  dalla  Camera dei deputati e due dal Senato della  Repubblica  con  voto limitato. I componenti sono scelti tra persone che assicurano   indipendenza e che  sono  esperti  di riconosciuta competenza delle materie del diritto o dell'informatica, garantendo la presenza di entrambe le qualificazioni.

3. I  componenti  eleggono  nel loro ambito un presidente, il cui voto   prevale in  caso  di  parità.  Eleggono  altresì  un  vice presidente,  che  assume  le  funzioni  del presidente in caso di sua assenza o impedimento.

4. Il presidente e i componenti durano in carica quattro anni e non  possono  essere  confermati  per più di una volta; per tutta la durata  dell'incarico  il  presidente  e  i  componenti non possono esercitare,  a pena di decadenza, alcuna attività professionale o di consulenza, né essere amministratori o dipendenti di enti pubblici o privati, né ricoprire cariche elettive.((12))

5. All'atto  dell'accettazione  della  nomina  il  presidente e i componenti  sono  collocati  fuori  ruolo  se dipendenti di pubbliche amministrazioni  o magistrati in attività di servizio; se professori universitari di ruolo, sono collocati in aspettativa senza assegni ai sensi dell'articolo 13 del decreto del Presidente della Repubblica 11 luglio  1980,  n.  382,  e  successive  modificazioni.  Il  personale collocato fuori ruolo o in aspettativa non può essere sostituito.

6. Al presidente compete una indennità di funzione non eccedente, nel  massimo,  la  retribuzione  spettante  al primo presidente della Corte   di   cassazione.  Ai  componenti  compete  un'indennità non eccedente nel massimo, i due terzi di quella spettante al presidente.Le  predette  indennità di funzione sono determinate dall'articolo 6 del decreto del Presidente della Repubblica 31 marzo 1998, n. 501, in misura  tale  da  poter  essere  corrisposte  a carico degli ordinari stanziamenti.

7.   Alle  dipendenze  del  Garante è  posto  l'Ufficio di cui all'art. 156.---------------AGGIORNAMENTO (12)  Il  D.L.  31  dicembre  2007, n. 248, convertito con L. 28 febbraio 2008,  n.  31,  ha  stabilito  che nelle more dell'approvazione della legge  di  riordino delle autorità indipendenti, la durata in carica del  presidente  e  dei membri del Garante per la protezione dei dati personali  di  cui  al  presente  articolo,  comma 4, è equiparata a quella  del  presidente e dei membri delle autorità istituite con la legge 10 ottobre 1990, n. 287, e con la legge 31 luglio 1997, n. 249, con decorrenza dalla data del decreto di nomina.Inoltre ha stabilito che tali incarichi non sono rinnovabili.

Art. 154 (14)                              Compiti

1.  Oltre a quanto previsto da specifiche disposizioni, il Garante, anche  avvalendosi  dell'Ufficio e in conformità al presente codice, ha il compito di:

a) controllare  se  i  trattamenti sono effettuati nel rispetto della    disciplina  applicabile e in conformità alla notificazione, anche    in caso di loro cessazione (e con riferimento alla conservazione  dei dati di traffico);

b) esaminare i reclami e le segnalazioni e provvedere sui ricorsi    presentati   dagli interessati  o  dalle  associazioni  che  li  rappresentano;

c) prescrivere  anche d'ufficio ai titolari del trattamento le misure    necessarie  o opportune al fine di rendere il trattamento conforme    alle disposizioni vigenti, ai sensi dell'articolo 143;

d) vietare  anche  d'ufficio,  in  tutto  o  in parte, il trattamento    illecito  o  non  corretto  dei dati o disporne il blocco ai sensi    dell'articolo  143, e di adottare gli altri provvedimenti previsti    dalla disciplina applicabile al trattamento dei dati personali;

e) promuovere la sottoscrizione di codici ai sensi dell'articolo 12 e    dell'articolo 139;

f) segnalare  al Parlamento e al Governo l'opportunità di interventi    normativi  richiesti dalla necessità di tutelare i diritti di cui    all'articolo 2 anche a seguito dell'evoluzione del settore;

g) esprimere pareri nei casi previsti;

h) curare la conoscenza tra il pubblico della disciplina rilevante in    materia  di  trattamento  dei dati personali e delle relative  finalità, nonché delle misure di sicurezza dei dati;

i) denunciare i fatti configurabili come reati perseguibili d'ufficio, dei  quali viene a conoscenza nell'esercizio o a causa delle funzioni;

l) tenere il registro dei trattamenti formato sulla base delle  notificazioni di cui all'articolo 37;

m) predisporre  annualmente  una  relazione  sull'attività svolta e sullo stato di attuazione del presente codice, che è trasmessa al Parlamento  e al Governo entro il 30 aprile dell'anno successivo a quello cui si riferisce.

2. Il Garante svolge altresì, ai sensi del comma 1, la funzione di controllo  o  assistenza in materia di trattamento dei dati personali prevista da leggi di ratifica di accordi o convenzioni internazionali o da regolamenti comunitari e, in particolare:

a) dalla legge 30 settembre 1993, n. 388, e successive modificazioni, di  ratifica  ed  esecuzione  dei  protocolli  e  degli accordi di adesione  all'accordo  di  Schengen e alla relativa convenzione di applicazione;

b) dalla legge 23 marzo 1998, n. 93, e successive modificazioni, di ratifica  ed esecuzione della convenzione istitutiva dell'Ufficio europeo di polizia (Europol);

c) dal regolamento (Ce) n. 515/97 del Consiglio, del 13 marzo 1997, e dalla legge 30 luglio 1998, n. 291, e successive modificazioni, di ratifica ed esecuzione della convenzione sull'uso dell'informatica nel settore doganale;

d) dal  regolamento (Ce) n. 2725/2000 del Consiglio, dell'11 dicembre 2000, che istituisce  l"Eurodac" per il confronto delle impronte digitali  e  per  l'efficace  applicazione  della  convenzione  di Dublino;e) nel  capitolo  IV  della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale,  adottata  a  Strasburgo  il  28  gennaio  1981  e resa esecutiva  con  legge  21  febbraio  1989,  n. 98, quale autorità designata ai  fini   della  cooperazione  tra  Stati  ai  sensi dell'articolo 13 della convenzione medesima.

3.  Il Garante coopera con altre  autorità  amministrative indipendenti  nello  svolgimento dei rispettivi compiti. A tale fine, il Garante può anche invitare rappresentanti di un'altra autorità a partecipare alle proprie riunioni, o essere invitato alle riunioni di altra  autorità, prendendo  parte  alla discussione di argomenti di comune  interesse; può  richiedere,  altresì, la collaborazione di personale specializzato addetto ad altra autorità.

4. Il Presidente del Consiglio dei ministri e ciascun ministro consultano  il Garante all'atto della predisposizione delle norme regolamentari e degli  atti amministrativi suscettibili di incidere sulle materie disciplinate dal presente codice.

5.  Fatti  salvi i termini più brevi previsti per legge, il parere del  Garante è reso nei casi previsti nel termine di quarantacinque giorni   dal   ricevimento della richiesta. Decorso il termine, l'amministrazione può procedere indipendentemente dall'acquisizione del parere. Quando, per  esigenze  istruttorie,  non  può essere rispettato il termine  di  cui al presente comma, tale termine può essere  interrotto  per  una  sola volta e il parere deve essere reso definitivamente  entro  venti  giorni  dal ricevimento degli elementi istruttori da parte delle amministrazioni interessate.

6. Copia dei  provvedimenti  emessi dall'autorità giudiziaria in relazione  a  quanto previsto  dal  presente  codice o in materia di criminalità  informatica è trasmessa, a cura della cancelleria, al Garante.

CAPO II L'UFFICIO DEL GARANTE

Art. 155                       (Principi applicabili)

1. All'Ufficio del Garante, al fine di garantire la responsabilità e l'autonomia ai sensi della legge 7 agosto 1990, n. 241, e successive modificazioni, e del decreto legislativo 30 marzo 2001, n. 165,  e  successive modificazioni, si applicano i principi riguardanti  l'individuazione  e  le  funzioni del responsabile del procedimento, nonché quelli relativi alla  distinzione  fra  le funzioni  di  indirizzo  e  di  controllo,  attribuite agli organi di vertice,  e  le  funzioni  di  gestione  attribuite  ai dirigenti. Si applicano  altresì  le disposizioni del medesimo decreto legislativo n. 165 del 2001 espressamente richiamate dal presente codice.

Art. 156                    (Ruolo organico e personale)

1.  All'Ufficio  del  Garante è preposto un segretario generale scelto anche tra magistrati ordinari o amministrativi.

2.  Il  ruolo  organico  del personale dipendente è stabilito nel limite di cento unità.

3.  Con  propri  regolamenti  pubblicati  nella Gazzetta ufficiale della Repubblica italiana, il Garante definisce:

a)  l'organizzazione e il funzionamento dell'ufficio anche ai fini dello svolgimento dei compiti di cui all'articolo 154;

b) l'ordinamento delle carriere e le modalità di reclutamento del personale  secondo le procedure previste dall'art. 35 del decreto legislativo n. 165 del 2001;

c) la ripartizione dell'organico tra le diverse aree e qualifiche;

d)  il trattamento giuridico ed economico del personale, secondo i criteri  previsti  dalla  legge  31 luglio 1997, n. 249, e successive modificazioni  e,  per gli incarichi dirigenziali, dagli articoli 19, comma  6,  e  23-bis  del  decreto legislativo 30 marzo 2001, n. 165, tenuto  conto  delle  specifiche esigenze funzionali e organizzative. Nelle  more  della  più generale  razionalizzazione del trattamento economico  delle  autorità amministrative indipendenti, al personale è attribuito  l'ottanta  per  cento  del  trattamento economico del personale dell'Autorità per le garanzie nelle comunicazioni;

e) la  gestione amministrativa e la contabilità, anche in deroga alle  norme  sulla  contabilità generale  dello  Stato,  l'utilizzo dell'avanzo  di amministrazione nel quale sono iscritte le somme già versate  nella  contabilità  speciale,  nonché l'individuazione dei casi  di  riscossione  e utilizzazione dei diritti di segreteria o di corrispettivi  per  servizi  resi  in  base  a  disposizioni di legge secondo  le  modalità di cui all'articolo 6, comma 2, della legge 31 luglio 1997, n. 249.

4.  L'Ufficio può avvalersi, per motivate esigenze, di dipendenti dello  Stato  o di altre amministrazioni pubbliche o di enti pubblici collocati  in  posizione  di  fuori  ruolo  o equiparati nelle forme previste  dai  rispettivi ordinamenti, ovvero in aspettativa ai sensi dell'articolo  13  del  decreto  del  Presidente  della Repubblica 11 luglio  1980,  n.  382,  e  successive  modificazioni,  in numero non superiore,  complessivamente, a venti unità e per non oltre il venti per  cento  delle  qualifiche  dirigenziali, lasciando non coperto un corrispondente  numero  di  posti  di  ruolo.  Al personale di cui al presente   comma è corrisposta  un'indennità pari  all'eventuale differenza   tra il trattamento erogato dall'amministrazione o dall'ente  di  provenienza  e quello spettante al personale di ruolo, sulla  base  di  apposita  tabella  di  corrispondenza adottata dal Garante, e comunque  non  inferiore  al  cinquanta  per cento della retribuzione in godimento, con esclusione dell'indennità integrativa speciale.

5. In aggiunta al personale di ruolo, l'ufficio può assumere direttamente  dipendenti con contratto a tempo determinato, in numero non superiore  a  venti unità ivi compresi i consulenti assunti con contratto a tempo determinato ai sensi del comma 7.

6. Si applicano le disposizioni di cui all'articolo 30 del decreto legislativo n. 165 del 2001.

7. Nei casi in cui la natura tecnica o la delicatezza dei problemi lo  richiedono, il Garante può avvalersi dell'opera di consulenti, i quali  sono  remunerati  in  base  alle vigenti tariffe professionali ovvero  sono assunti con contratti a tempo determinato, di durata non superiore  a  due  anni, che possono essere rinnovati per non più di due volte.

8.  Il  personale  addetto all'Ufficio del Garante ed i consulenti sono  tenuti al segreto su ciò di cui sono venuti a conoscenza, nell'esercizio delle proprie funzioni, in ordine a notizie che devono rimanere segrete.

9. Il personale dell'Ufficio del Garante addetto agli accertamenti di  cui  all'articolo 158  riveste, in numero non superiore a cinque unità,  nei  limiti  del  servizio  cui è destinato  e secondo le rispettive  attribuzioni,  la  qualifica  di  ufficiale  o  agente di polizia giudiziaria.

10.  Le  spese di funzionamento del Garante sono poste a carico di un  fondo  stanziato a tale scopo nel bilancio dello Stato e iscritto in apposito  capitolo  dello  stato  di  previsione  del  Ministero dell'economia  e   delle   finanze.  Il  rendiconto  della  gestione finanziaria è soggetto al controllo della Corte dei conti.

CAPO III ACCERTAMENTI E CONTROLLI

Art. 157      (Richiesta di informazioni e di esibizione di documenti)

1.   Per   l'espletamento  dei  propri compiti il Garante può richiedere  al  titolare,  al responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti.

Art. 158                           (Accertamenti)

1. Il  Garante può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei  quali occorre effettuare rilevazioni comunque utili al controllo del  rispetto  della  disciplina  in  materia di trattamento dei dati personali.

2. I controlli di cui  al  comma  a sono eseguiti da personale dell'Ufficio.  Il  Garante  si  avvale  anche,  ove necessario, della collaborazione di altri organi dello Stato.

3.  Gli accertamenti di cui al comma 1, se svolti in un'abitazione o  in un altro luogo di privata dimora o nelle relative appartenenze, sono effettuati   con l'assenso  informato  del  titolare  o  del responsabile,   oppure   previa  autorizzazione  del  presidente  del tribunale competente per   territorio   in   relazione al luogo dell'accertamento, il quale provvede  con  decreto  motivato senza ritardo, al più tardi entro tre  giorni  dal  ricevimento della richiesta   del  Garante  quando  è  documentata  l'indifferibilità dell'accertamento.

Art. 159                             (Modalità)

1. Il personale operante, munito di documento di riconoscimento, può essere assistito ove necessario da consulenti tenuti al segreto ai sensi dell'art. 156, comma 8. Nel procedere a rilievi e ad operazioni tecniche può altresì estrarre copia di ogni atto, dato e documento, anche a campione e su supporto informatico o per via telematica. Degli accertamenti è redatto sommario verbale nel quale sono annotate anche le eventuali dichiarazioni dei presenti.

2. Ai soggetti  presso i quali sono eseguiti gli accertamenti è consegnata  copia dell'autorizzazione  del presidente del tribunale, ove rilasciata. I medesimi soggetti sono tenuti a farli eseguire e a prestare la collaborazione a tal fine necessaria. In caso di rifiuto gli accertamenti sono comunque  eseguiti e le spese in tal caso occorrenti  sono poste a carico del titolare con il provvedimento che definisce  il  procedimento,  che per questa parte costituisce titolo esecutivo  ai  sensi degli art. 474 e 475 del codice di procedura civile.

3. Gli accertamenti,  se effettuati  presso  il titolare  o il responsabile, sono eseguiti dandone informazione a quest'ultimo o, se questo è  assente  o  non è designato,  agli  incaricati.  Agli accertamenti  possono  assistere  persone indicate dal titolare o dal responsabile.

4. Se  non è disposto diversamente nel decreto di autorizzazione del presidente del tribunale, l'accertamento non può essere iniziato prima delle  ore  sette  e dopo le ore venti, e può essere eseguito anche con preavviso quando ciò può facilitarne l'esecuzione.

5.  Le  informative,  le  richieste  e  i  provvedimenti di cui al presente  articolo e agli articoli 157 e 158 possono essere trasmessi anche mediante posta elettronica e telefax.

6.  Quando  emergono indizi di reato si osserva la disposizione di cui  all'art. 220 delle norme di attuazione, di coordinamento e transitorie  del  codice  di  procedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271.

Art. 160                     (Particolari accertamenti)

1. Per i trattamenti di dati personali indicati nei titoli I, II e III della Parte II gli accertamenti sono effettuati per il tramite di un componente designato dal Garante.

2. Se il  trattamento non risulta conforme alle disposizioni di legge o di regolamento, il Garante indica al titolare o al responsabile   le  necessarie  modificazioni ed integrazioni e ne verifica l'attuazione. Se  l'accertamento è stato richiesto dall'interessato, a quest'ultimo è fornito in ogni caso un riscontro circa il relativo esito, se ciò non pregiudica azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione  di  reati  o  ricorrono  motivi di difesa o di sicurezza dello Stato.

3. Gli accertamenti non sono delegabili. Quando risulta necessario in ragione della specificità della verifica, il componente designato può farsi assistere da personale specializzato tenuto al segreto ai sensi  dell'articolo  156, comma 8. Gli atti e i documenti acquisiti sono  custoditi secondo modalità tali da assicurarne la segretezza e sono  conoscibili  dal  presidente e dai componenti del Garante e, se necessario  per  lo  svolgimento  delle  funzioni  dell'organo, da un numero  delimitato  di  addetti  all'Ufficio  individuati dal Garante sulla  base  di  criteri definiti dal regolamento di cui all'articolo 156, comma 3, lettera a).

4. Per gli accertamenti relativi agli organismi di informazione e di  sicurezza e ai dati  coperti da segreto di Stato il componente designato  prende visione  degli  atti  e  dei documenti rilevanti e riferisce oralmente nelle riunioni del Garante.

5.  Nell'effettuare  gli  accertamenti di cui al presente articolo nei riguardi di uffici giudiziari, il Garante adotta idonee modalità nel  rispetto  delle reciproche attribuzioni e  della  particolare collocazione  istituzionale  dell'organo procedente. Gli accertamenti riferiti  ad  atti di indagine coperti dal segreto sono differiti, se vi è richiesta dell'organo procedente, al momento in cui cessa il segreto.

6. La  validità, l'efficacia e l'utilizzabilità di atti, documenti  e  provvedimenti  nel  procedimento giudiziario basati sul trattamento  di dati personali non conforme a disposizioni di legge o di  regolamento  restano  disciplinate  dalle pertinenti disposizioni processuali nella materia civile e penale.

TITOLO III SANZIONI CAPO I VIOLAZIONI AMMINISTRATIVE

Art. 161 (16)            Omessa o inidonea informativa all'interessato

1.  La  violazione delle  disposizioni di cui all'art. 13 è punita  con  la sanzione amministrativa del pagamento di una somma(da seimila euro a trentaseimila euro).

Art. 162 (16) (18)                          Altre fattispecie

1. La cessione dei dati in violazione di quanto previsto dall'art. 16,  comma  1, lettera b), o di altre disposizioni in materia di  disciplina  del trattamento dei dati personali è punita con  la  sanzione  amministrativa  del  pagamento  di  una  somma  da diecimila euro a sessantamila euro.

2.  La  violazione della disposizione di cui all'articolo 84, comma 1, è  punita  con  la  sanzione amministrativa del pagamento di una somma da mille euro a seimila euro.

2-bis. In  caso  di  trattamento  di  dati personali effettuato in violazione   delle misure indicate nell'art. 33 o delle disposizioni indicate nell'art. 167 è altresì applicata in sede amministrativa,  in ogni caso, la sanzione del pagamento di una somma da (diecimila  euro) a centoventimila euro. Nei casi  di  cui all'art. 33 è escluso il pagamento in misura ridotta.

2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure  necessarie o di divieto di cui, rispettivamente, all'art. 154,  comma  1,  lettere  c) e d), è altresì  applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.  2-quater. La violazione  del diritto di opposizione nelle forme previste  dall'art. 130, comma 3-bis, e dal relativo regolamento è sanzionata ai sensi del comma 2-bis del presente articolo.)

Art. 162-bis (14) (16)      Sanzioni in materia di conservazione dei dati di traffico

1.  Salvo che il fatto costituisca reato e salvo quanto previsto dall'art. 5,  comma  2,  del  decreto legislativo di recepimento della direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15  marzo  2006,  nel  caso  di  violazione delle disposizioni di cui all'art.  132, commi 1 e 1-bis, si applica la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro (( . . . )).

Art. 163 (16)                  Omessa o incompleta notificazione

1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione  ai sensi degli articoli 37 e 38, ovvero indica in essa notizie  incomplete, è punito con la sanzione amministrativa del pagamento  di una somma(da ventimila euro a centoventimila euro) (( . . . )).

Art. 164 (16)             Omessa informazione o esibizione al Garante

1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e  157 è punito con la sanzione amministrativa del pagamento di una somma (da diecimila euro a sessantamila euro).

Art. 164-bis (16)          (Casi di minore gravità e ipotesi aggravate)

(1. Se taluna delle violazioni di cui agli articoli 161, 162, 163 e  164 o di  minore  gravità, avuto altresì riguardo alla natura anche economica  o  sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti.

2. In caso di più violazioni di un'unica o di più disposizioni di cui  al  presente Capo, a eccezione di quelle previste dagli articoli 162,  comma  2,  162-bis e  164,  commesse anche in tempi diversi in relazione  a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa  del  pagamento di una somma da cinquantamila  euro  a trecentomila euro. Non è ammesso il pagamento in misura ridotta.

3.  In  altri  casi  di  maggiore  gravità  e,  in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando  la violazione coinvolge numerosi interessati, i limiti minimo e  massimo  delle  sanzioni di cui al presente Capo sono applicati in misura pari al doppio.

4.  Le  sanzioni  di  cui al presente Capo possono essere aumentate fino  al  quadruplo  quando  possono  risultare inefficaci in ragione delle condizioni economiche del contravventore.)

Art. 165 (16)             Pubblicazione del provvedimento del Garante

1. Nei casi di cui agli articoli(del presente Capo) può essere applicata  la   sanzione  amministrativa  accessoria  della pubblicazione  dell'ordinanza-ingiunzione, per intero o per estratto, in  uno o più giornali indicati nel provvedimento che la applica. (La pubblicazione ha luogo a cura e spese del contravventore. )

Art. 166                   (Procedimento di applicazione)

1.  L'organo  competente  a  ricevere il rapporto e ad irrogare le sanzioni  di  cui al presente capo e all'articolo 179, comma 3, è il Garante.  Si  osservano, in quanto applicabili, le disposizioni della legge  24  novembre  1981,  n.  689,  e  successive  modificazioni. I proventi, nella misura del cinquanta per cento del totale annuo, sono riassegnati  al  fondo  di  cui  all'articolo  156,  comma 10, e sono utilizzati  unicamente  per  l'esercizio  dei  compiti  di  cui  agli articoli 154, comma 1, lettera h), e 158.

CAPO II ILLECITI PENALI

Art. 167                   (Trattamento illecito di dati)

1. Salvo  che il fatto costituisca più grave reato, chiunque, al fine di trarne per se o per altri profitto o di recare ad altri un danno,  procede  al  trattamento di  dati personali in violazione di quanto  disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione  dell'articolo  129, è  punito,  se  dal  fatto deriva nocumento, con  la  reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2.  Salvo  che il fatto costituisca più grave reato, chiunque, al fine  di  trarne per se o per altri profitto o di recare ad altri un danno,  procede  al  trattamento  di  dati personali in violazione di quanto  disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27  e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

Art. 168      (Falsità nelle dichiarazioni e notificazioni al Garante)

1. Chiunque, nella notificazione di cui  all'articolo 37 o in comunicazioni,  atti,  documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito,  salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.

Art. 169 (16)                         Misure di sicurezza

1.  Chiunque, essendovi tenuto, omette di adottare le misure minime previste  dall'articolo 33 è punito con l'arresto sino a due anni (. . . ).

2. All'autore  del  reato,  all'atto dell'accertamento o, nei casi complessi,  anche  con successivo atto del Garante, è impartita una prescrizione   fissando   un  termine  per  la  regolarizzazione  non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso  di  particolare  complessità  o  per  l'oggettiva  difficoltà dell'adempimento  e  comunque  non superiore a sei mesi. Nei sessanta giorni  successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato e' ammesso dal Garante a pagare una  somma pari al (quarto del massimo della sanzione stabilita per la   violazione amministrativa). L'adempimento e il pagamento estinguono  il  reato.  L'organo  che impartisce la prescrizione e il pubblico  ministero  provvedono nei modi di cui agli articoli 21, 22, 23  e  24  del  decreto  legislativo  19  dicembre  1994,  n.  758, e successive modificazioni, in quanto applicabili.

Art. 170             (Inosservanza di provvedimenti del Garante)

1.  Chiunque,  essendovi  tenuto, non osserva il provvedimento adottato  dal  Garante ai sensi degli artt. 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.

Art. 171                         (Altre fattispecie)

1. La violazione delle disposizioni di cui agli art. 113, comma 1, e 114 è punita con le sanzioni di cui all'art. 38 della legge 20 maggio 1970, n. 300.

Art. 172                          (Pene accessorie)

1.  La  condanna  per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza.

TITOLO IV DISPOSIZIONI MODIFICATIVE, ABROGATIVE, TRANSITORIE E FINALI CAPO I DISPOSIZIONI DI MODIFICA

Art. 173       (Convenzione di applicazione dell'Accordo di Schengen)

1. La legge 30 settembre 1993, n. 388, e successive modificazioni, di  ratifica ed esecuzione dei protocolli e degli accordi di adesione all'accordo  di Schengen e alla relativa convenzione di applicazione, è così modificata:

a)  il  comma 2 dell'articolo 9 è sostituito dal seguente: "2. Le richieste di accesso, rettifica o cancellazione, nonché di verifica, di cui,  rispettivamente, agli articoli 109, 110 e 114, paragrafo 2, della Convenzione, sono rivolte all'autorità di cui al comma 1.";

b) il comma 2 dell'articolo 10 è soppresso;

c)    l'articolo  11 è sostituito dal seguente: "11. 1. L'autorità di  controllo di cui all'articolo 114 della Convenzione è il Garante per  la  protezione dei dati personali. Nell'esercizio dei compiti ad esso demandati per  legge,  il  Garante  esercita  il controllo sui trattamenti  di dati in applicazione della Convenzione ed esegue le verifiche previste nel medesimo art. 114, anche su segnalazione o reclamo  dell'interessato  all'esito  di  un  inidoneo riscontro alla richiesta  rivolta  ai  sensi dell'articolo 9, comma 2, quando non è possibile fornire  al  medesimo  interessato una risposta sulla base degli elementi forniti dall'autorità di cui all'articolo 9, comma 1.2.  Si  applicano  le  disposizioni  dell'articolo 10, comma 5, della legge 1 aprile 1981, n. 121, e successive modificazioni.";

d) l'articolo 12 è abrogato.

Art. 174              (Notifiche di atti e vendite giudiziarie)

1.  All'art. 137 del codice di procedura civile, dopo il secondo comma, sono inseriti i seguenti:   "Se  la notificazione non può essere eseguita in mani proprie del destinatario, tranne che nel caso previsto dal secondo comma dell'art. 143,  l'ufficiale  giudiziario  consegna o deposita la copia  dell'atto da notificare in busta che provvede a sigillare e su cui trascrive il numero cronologico della notificazione, dandone atto nella relazione in calce all'originale e alla copia dell'atto stesso. Sulla  busta  non  sono  apposti  segni o indicazioni dai quali possa desumersi il contenuto dell'atto.   Le  disposizioni  di  cui  al  terzo comma si applicano anche allecomunicazioni  effettuate con biglietto di cancelleria ai sensi degliarticoli 133 e 136.".

2. Al primo comma dell'art. 138 del codice di procedura civile, le parole da: "può sempre eseguire" a "destinatario," sono sostituite dalle seguenti:  "esegue la notificazione di regola mediante consegna della copia nelle mani proprie del destinatario, presso la casa di abitazione oppure, se ciò non è possibile,".

3.  Nel  quarto  comma  dell'articolo  139 del codice di procedura civile,  la  parola: "l'originale" è sostituita dalle seguenti: "una ricevuta".

4.  Nell'art. 140  del  codice  di  procedura civile, dopo le parole:  "affigge avviso del deposito" sono inserite le seguenti: "in busta chiusa e sigillata".

5.  All'art. 142 del codice di procedura civile sono apportate le seguenti modificazioni:

a) il primo e il secondo comma sono sostituiti dal seguente:"Salvo quanto  disposto nel secondo comma, se il destinatario non ha residenza,  dimora o domicilio  nello  Stato  e  non  vi ha eletto domicilio  o  costituito  un  procuratore a norma dell'art. 77, l'atto è  notificato mediante spedizione al destinatario per mezzo della posta  con  raccomandata e mediante consegna di altra copia al pubblico  ministero  che  ne  cura la trasmissione al Ministero degli affari esteri per la consegna alla persona alla quale è diretta.";

b) nell'ultimo  comma  le  parole:  "ai  commi  precedenti"  sono sostituite dalle seguenti: "al primo comma".

6. Nell'articolo 143, primo comma, del codice di procedura civile, sono  soppresse  le  parole  da:  ",e  mediante"  fino  alla fine del periodo.

7. All'art. 151, primo comma, del codice di procedura civile dopo le parole: "maggiore celerità" sono aggiunte le seguenti: ", di riservatezza o di tutela della dignità".

8.  All'art. 250 del codice di procedura civile dopo il primo comma è aggiunto il seguente: "L'intimazione di cui al primo comma, se  non è eseguita  in  mani  proprie  del destinatario o mediante servizio postale, è effettuata in busta chiusa e sigillata.".

9. All'art. 490, terzo comma, del codice di procedura civile è aggiunto,  in  fine, il seguente periodo: "Nell'avviso è omessa l'indicazione del debitore".

10.  All'art. 570, primo comma, del codice di procedura civile le  parole:  "del   debitore,"  sono  soppresse  e  le  parole  da:"informazioni"   fino  alla  fine  sono  sostituite  dalle  seguenti:"informazioni, anche relative alle generalità del debitore, possono essere fornite dalla  cancelleria del tribunale a chiunque vi abbia interesse".

11.  All'art. 14, quarto comma, della legge 24 novembre 1981, n. 689, e successive modificazioni, è aggiunto, in fine, il seguente periodo: "Quando  la  notificazione non può essere eseguita in mani proprie del destinatario, si osservano le modalità previste dall'art. 137, terzo comma, del medesimo codice.".

12. Dopo l'articolo 15 del decreto del Presidente della Repubblica 28  dicembre 2000, n. 445, è inserito il seguente: "Articolo 15-bis. (Notificazioni  di atti e documenti, comunicazioni ed avvisi) 1. Alla notificazione  di  atti  e  di  documenti  da  parte  di organi delle pubbliche  amministrazioni  a soggetti diversi dagli interessati o da persone  da essi delegate, nonché a comunicazioni ed avvisi circa il relativo   contenuto,   si   applicano   le   disposizioni  contenute nell'art. 137, terzo comma, del codice di procedura civile. Nei biglietti e negli inviti di presentazione sono  indicate  le informazioni strettamente necessarie a tale fine.".

13. All'articolo 148 del codice di procedura penale sono apportate le seguenti modificazioni:

a) il comma 3 è sostituito dal seguente: "3. L'atto è notificato per  intero,  salvo  che  la  legge  disponga  altrimenti,  di regola mediante  consegna  di  copia  al destinatario oppure, se ciò non è possibile,  alle  persone  indicate  nel  presente  titolo. Quando la notifica  non  può essere eseguita in mani proprie del destinatario, l'ufficiale  giudiziario o la polizia giudiziaria consegnano la copia dell'atto da notificare, fatta eccezione per il caso di notificazione al  difensore  o al domiciliatario, dopo averla inserita in busta che provvedono a  sigillare  trascrivendovi  il numero cronologico della notificazione e dandone atto nella relazione in calce all'originale e alla copia dell'atto.";

b) dopo  il  comma  5 è aggiunto  il seguente: "5-bis. Le comunicazioni, gli avvisi ed ogni altro biglietto o invito consegnati non in  busta  chiusa  a  persona diversa dal destinatario recano le indicazioni strettamente necessarie.

14.  All'articolo  157, comma 6, del codice di procedura penale le parole:  "è scritta  all'esterno  del plico stesso" sono sostituite dalle  seguenti:   "è effettuata nei modi previsti dall'articolo 148, comma 3".

15. All'art. 80 delle  disposizioni di attuazione del codice di procedura  penale, approvate con decreto legislativo 28 luglio 1989, n. 271, il  comma 1 è sostituito dal seguente: "1. Se la copia del decreto  di perquisizione locale è consegnata al portiere o a chi ne fa le veci, si applica la disposizione di cui all'articolo 148, comma 3, del codice.".

16. Alla legge 20 novembre 1982, n. 890, sono apportate le seguenti modificazioni:

a)  all'articolo 2, primo comma, è aggiunto, in fine, il seguente periodo:  "Sulle buste non sono apposti segni o indicazioni dai quali possa desumersi il contenuto dell'atto.";

b) all'articolo 8, secondo comma, secondo periodo, dopo le parole:"L'agente  postale  rilascia avviso" sono inserite le seguenti: ", in busta chiusa, del deposito".

Art. 175                         (Forze di polizia)

1. Il trattamento effettuato per il conferimento delle notizie ed informazioni acquisite nel corso di attività amministrative ai sensi dell'art. 21,  comma 1, della legge 26 marzo 2001, n. 128, e per le  connessioni di cui al comma 3 del medesimo articolo è oggetto di comunicazione al Garante ai sensi dell'articolo 39, commi 2 e 3.

2.  I dati personali trattati dalle forze di polizia, dagli organi di  pubblica sicurezza e dagli altri soggetti di cui all'articolo 53, comma  1, senza l'ausilio di strumenti elettronici anteriormente alla data di entrata  in  vigore  del  presente  codice, in sede di applicazione   del   presente  codice  possono  essere  ulteriormente trattati  se  ne  è   verificata   l'esattezza,   completezza  ed aggiornamento ai sensi dell'articolo 11.

3. L'art. 10 della legge 1 aprile 1981, n. 121, e successive modificazioni, è sostituito dal seguente:                       "Art. 10 (Controlli)

1. Il controllo sul Centro elaborazione dati è esercitato dal Garante per la protezione dei dati personali, nei modi previsti dalla legge e dai regolamenti.

2.  I  dati  e le informazioni conservati negli archivi del Centro possono essere utilizzati in procedimenti giudiziari o amministrativi soltanto  attraverso  l'acquisizione  delle fonti originarie indicate nel  primo  comma  dell'articolo  7,  fermo restando quanto stabilito dall'art. 240 del codice di procedura penale. Quando nel corso di un  procedimento  giurisdizionale  o  amministrativo  viene  rilevata l'erroneità o  l'incompletezza  dei  dati  e  delle informazioni, o l'illegittimità  del loro trattamento, l'autorità precedente ne dà notizia al Garante per la protezione dei dati personali.

3. La persona alla  quale  si riferiscono i dati può chiedere all'ufficio di cui alla lettera a) del primo comma dell'articolo 5 la conferma  dell'esistenza di dati personali che lo riguardano, la loro comunicazione  in forma intellegibile e, se i dati risultano trattati in  violazione  di vigenti disposizioni di legge o di regolamento, la loro cancellazione o trasformazione in forma anonima.

4. Esperiti i  necessari  accertamenti, l'ufficio comunica al richiedente,   non   oltre   trenta   giorni   dalla   richiesta, le determinazioni  adottate. L'ufficio può omettere di provvedere sulla richiesta  se  ciò può  pregiudicare azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione della criminalità, dandone informazione al Garante per la protezione dei dati personali.

5.  Chiunque  viene  a conoscenza dell'esistenza di dati personali che  lo  riguardano,  trattati  anche  in  forma non automatizzata in violazione  di  disposizioni di legge o di regolamento, può chiedere al  tribunale  del  luogo  ove risiede il titolare del trattamento di compiere  gli  accertamenti  necessari  e  di  ordinare la rettifica, l'integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi.".

Art. 176                         (Soggetti pubblici)

1. Nell'art. 24, comma 3, della legge 7 agosto 1990, n. 241, dopo le parole:  "mediante  strumenti informatici" sono inserite le seguenti: ", fuori dei  casi  di accesso a dati personali da parte della persona cui i dati si riferiscono,".

2. Nell'articolo 2 del decreto legislativo 30 marzo 2001, n. 165, in materia di ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche,  dopo il comma 1 è inserito il seguente:"1-bis.  I criteri di organizzazione di cui al presente articolo sono attuati  nel  rispetto della disciplina in materia di trattamento dei dati personali.".

3.  L'articolo  4,  comma  1,  del decreto legislativo 12 febbraio 1993,  n. 39, e successive modificazioni, e' sostituito dal seguente:" 1. E' istituito il Centro nazionale per l'informatica nella pubblica amministrazione,  che  opera  presso  la Presidenza del Consiglio dei ministri   per   l'attuazione   delle   politiche  del  Ministro  per l'innovazione  e  le  tecnologie,  con autonomia tecnica, funzionale, amministrativa,   contabile  e  finanziaria  e  con  indipendenza  di giudizio.".

4.  Al Centro nazionale  per  l'informatica  nella  pubblica amministrazione  continuano  ad  applicarsi  l'art. 6 del decreto legislativo  12 febbraio 1993, n. 39, nonché le vigenti modalità di finanziamento  nell'ambito  dello  stato  di previsione del Ministero dell'economia e delle finanze.

5.  L'art. 5, comma 1, del decreto legislativo n. 39 del 1993,e successive modificazioni, è sostituito dal seguente: "1. Il Centro nazionale propone al Presidente del Consiglio dei ministri l'adozione di regolamenti   concernenti la   sua   organizzazione, il suo funzionamento,  l'amministrazione  del personale, l'ordinamento delle carriere, nonché la gestione delle spese nei limiti previsti dal presente decreto.".

6. La denominazione: "Autorità per l'informatica nella pubblica amministrazione"  contenuta  nella  vigente  normativa  è sostituita dalla  seguente: "Centro  nazionale per l'informatica nella pubblica amministrazione".

Art. 177 (Disciplina anagrafica, dello stato civile e delle liste elettorali)

1.  Il  comune può utilizzare gli elenchi di cui all'articolo 34, comma  1, del decreto del Presidente della Repubblica 30 maggio 1989, n. 223, per  esclusivo  uso  di  pubblica utilità anche in caso di applicazione   della   disciplina   in   materia   di   comunicazione istituzionale.

2.  Il comma 7 dell'art. 28 della legge 4 maggio 1983, n. 184, e successive modificazioni, è sostituito dal seguente: "7. L'accesso alle  informazioni  non  è consentito nei confronti della madre che abbia  dichiarato alla nascita di non volere essere nominata ai sensi dell'articolo   30,   comma  1,  del  decreto  del  Presidente  della Repubblica 3 novembre 2000, n. 396.".

3. Il rilascio degli estratti degli atti dello stato civile di cui all'art. 107 del decreto del Presidente  della  Repubblica 3 novembre  2000,  n.  396 e' consentito solo ai soggetti cui l'atto si riferisce, oppure su motivata  istanza  comprovante  l'interesse personale  e  concreto  del  richiedente  a  fini  di  tutela di una situazione  giuridicamente  rilevante,  ovvero  decorsi settanta anni dalla formazione dell'atto.

4.  Nel  primo  comma  dell'articolo  5 del decreto del Presidente della  Repubblica 20 marzo 1967, n. 223, sono soppresse le lettere d) ed e).

5. Nell'articolo 51 del decreto del Presidente della Repubblica 20 marzo  1967,  n. 223, il quinto comma è sostituto dal seguente: "Le liste  elettorali possono essere rilasciate in copia per finalità di applicazione  della  disciplina  in  materia  di  elettorato attivo e passivo,  di  studio, di ricerca statistica, scientifica o storica, o carattere  socio-assistenziale o per il perseguimento di un interesse collettivo o diffuso.".

Art. 178                 (Disposizioni in materia sanitaria)

1. Nell'articolo 27, terzo e quinto comma, della legge 23 dicembre 1978,  n.  833,  in  materia di libretto sanitario personale, dopo le parole: "il Consiglio sanitario nazionale" e prima della virgola sono inserite  le  seguenti:  "e  il  Garante  per  la protezione dei dati personali".

2. All'articolo 5 della legge 5 giugno 1990, n. 135, in materia di AIDS e infezione da HIV, sono apportate le seguenti modifiche:

a)  il  comma  1  è  sostituito  dal  seguente:  "1.  L'operatore sanitario  e ogni altro soggetto che viene a conoscenza di un caso di AIDS,  ovvero  di un caso di infezione da HIV, anche non accompagnato da  stato morboso, è tenuto a prestare la necessaria assistenza e ad adottare  ogni  misura  o  accorgimento  occorrente per la tutela dei diritti e delle libertà fondamentali dell'interessato, nonché della relativa dignità.";

b)  nel  comma  2, le parole: "decreto del Ministro della sanità" sono  sostituite  dalle seguenti: "decreto del Ministro della salute, sentito il Garante per la protezione dei dati personali".

3. Nell'art. 5, comma 3, del decreto legislativo 30 dicembre 1992,  n.  539,  e successive modificazioni, in materia di medicinali per uso umano, è  inserito, infine, il seguente periodo: "Decorso tale periodo il farmacista distrugge le ricette con modalità atte ad escludere l'accesso di terzi ai dati in esse contenuti.".

4. All'articolo 2, comma 1, del decreto del Ministro della sanità in  data  11 febbraio 1997, pubblicato sulla Gazzetta ufficiale n. 72 del   27  marzo  1997,  in  materia  di  importazione di  medicinali registrati all'estero, sono soppresse le lettere f) ed h).

5.   Nel   comma   1,   primo  periodo,  dell'articolo  5-bis  del decreto-legge 17 febbraio 1998, n. 23, convertito, con modificazioni, dalla legge 8 aprile 1998, n. 94, le parole da: "riguarda anche" fino alla  fine  del periodo sono sostituite dalle seguenti: "è acquisito unitamente al consenso relativo al trattamento dei dati personali".

Art. 179 (2)                           Altre modifiche

1. Nell'art. 6 della legge 2 aprile 1958, n. 339, sono soppresse  le  parole:  ";mantenere  la necessaria riservatezza per tutto  quanto  si  riferisce  alla  vita  familiare" e: "garantire al lavoratore  il  rispetto  della sua personalità e della sua libertà morale;".

2.  Nell'articolo  38,  primo comma, della legge 20 maggio 1970, n. 300, sono soppresse le parole: "4," e "8".  3. Al comma 3 dell'art. 12 del decreto legislativo 22 maggio 1999, n. 185, in materia di contratti a distanza, sono aggiunte in fine  le  seguenti parole: ",ovvero, limitatamente alla violazione di cui   all'articolo   10,  al  Garante  per  la  protezione  dei  dati personali".

4. (( COMMA ABROGATO DAL D.LGS. 22 GENNAIO 2004, N. 42 ))

CAPO II DISPOSIZIONI TRANSITORIE

Art. 180                         Misure di sicurezza

1.  Le misure minime di sicurezza di cui agli art. da 33 a 35 e all'allegato  B)  che  non  erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il (( 31 marzo 2006. ))

2.  Il  titolare  che  alla  data di entrata in vigore del presente codice  dispone  di  strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle  misure  minime  di  cui all'articolo 34 e delle corrispondenti modalità  tecniche  di  cui  all'allegato  B),  descrive le medesime ragioni  in un documento a data certa da conservare presso la propria struttura.

3.  Nel caso  di cui al comma 2, il titolare adotta ogni possibile misura  di sicurezza in relazione agli strumenti elettronici detenuti in  modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali,  un   incremento  dei  rischi  di  cui all'articolo  31,  adeguando i medesimi strumenti al più tardi entro il (( 30 giugno 2006. ))

Art. 181 (1) (3) (4) (9) (10) (11)

Altre disposizioni transitorie

1. Per i trattamenti di dati personali iniziati prima del 1 gennaio 2004, in sede di prima applicazione del presente codice:

a) l'identificazione  con  atto  di  natura regolamentare dei tipi di  dati  e  di  operazioni ai sensi degli articoli 20, commi 2 e 3, e    21,  comma 2, è effettuata, ove mancante, entro il (( 28 febbraio 2007 ));

b) la  determinazione  da  rendere  nota  agli  interessati  ai sensi    dell'articolo  26,  commi  3,  lettera  a),  e  4,  lettera a), è    adottata, ove mancante, entro il 30 giugno 2004;

c) le  notificazioni  previste dall'art. 37 sono effettuate entro  il 30 aprile 2004;

d) le comunicazioni  previste dall'art. 39 sono effettuate entro il 30 giugno 2004;

e) LETTERA  ABROGATA DAL D.L. 29 MARZO 2004, N. 81, CONVERTITO CON L. 26 MAGGIO 2004, N. 138;f) l'utilizzazione  dei  modelli  di cui all'articolo 87, comma 2, è    obbligatoria a decorrere dal 1 gennaio 2005.

2.  Le  disposizioni  di  cui  all'articolo  21-bis del decreto del Presidente  della  Repubblica  30 settembre 1963, n. 1409, introdotto dall'articolo  9  del  decreto  legislativo  30  luglio 1999, n. 281, restano  in  vigore  fino alla data di entrata in vigore del presente codice.

3.  L'individuazione  dei  trattamenti  e  dei titolari di cui agli articoli  46  e  53,  da riportare nell'allegato C), è effettuata in sede  di  prima  applicazione  del presente codice entro il 30 giugno 2004.

4.  Il materiale informativo eventualmente trasferito al Garante ai sensi  dell'art. 43,  comma  1, della legge 31 dicembre 1996, n. 675,  utilizzato  per  le  opportune  verifiche,  continua  ad essere successivamente   archiviato  o  distrutto  in  base  alla  normativa vigente.

5. L'omissione delle generalità e degli altri dati identificativi dell'interessato  ai  sensi  dell'articolo 52, comma 4, è effettuata sulle  sentenze o decisioni pronunciate o adottate prima dell'entrata in  vigore   del   presente   codice   solo   su  diretta  richiesta dell'interessato  e  limitatamente  ai  documenti pubblicati mediante rete di comunicazione  elettronica o sui nuovi prodotti su supporto cartaceo  o  elettronico.  I  sistemi informativi utilizzati ai sensi dell'art. 51,  comma 1, sono adeguati alla medesima disposizione entro  dodici  mesi  dalla  data  di  entrata  in vigore del presente codice.

6.  Le  confessioni religiose che, prima dell'adozione del presente codice,  abbiano  determinato  e  adottato nell'ambito del rispettivo ordinamento  le garanzie di cui all'articolo 26, comma 3, lettera a), possono  proseguire  l'attività  di  trattamento  nel rispetto delle medesime.

6-bis. Fino alla data  in cui divengono efficaci le misure e gli accorgimenti  prescritti  ai sensi dell'articolo 132, comma 5, per la conservazione  del  traffico  telefonico si osserva il termine di cui all'articolo  4,  comma 2, del decreto legislativo 13 maggio 1998, n. 171.

Art. 182                        (Ufficio del Garante)

1. Al fine di assicurare la continuità delle attività istituzionali,  in  sede  di prima applicazione del presente codice e comunque non oltre il 31 marzo 2004, il Garante:

a) può individuare i presupposti per l'inquadramento in ruolo, al livello  iniziale  delle  rispettive  qualifiche  e  nei limiti delle disponibilità di   organico, del personale appartenente ad amministrazioni  pubbliche  o  ad  enti  pubblici  in servizio presso l'Ufficio  del  Garante in posizione di fuori ruolo o equiparato alla data di pubblicazione del presente codice;

b) può  prevedere  riserve di posti nei concorsi pubblici, unicamente  nel  limite del trenta per cento delle disponibilità di organico,  per il personale non di ruolo in servizio presso l'Ufficio del  Garante  che  abbia  maturato un'esperienza lavorativa presso il Garante di almeno un anno.

CAPO III ABROGAZIONI

Art. 183                          (Norme abrogate)

1.  Dalla  data  di  entrata  in  vigore  del presente codice sono abrogati:

a) la legge 31 dicembre 1996, n. 675;

b) la legge 3 novembre 2000, n. 325;

c) il decreto legislativo 9 maggio 1997, n. 123;

d) il decreto legislativo 28 luglio 1997, n. 255;

e) l'articolo 1 del decreto legislativo 8 maggio 1998, n. 135;

f) il decreto legislativo 13 maggio 1998, n. 171;

g) il decreto legislativo 6 novembre 1998, n. 389;

h) il decreto legislativo 26 febbraio 1999, n. 51;

i) il decreto legislativo 11 maggio 1999, n. 135;

l)  il  decreto  legislativo  30 luglio 1999, n. 281, ad eccezione degli articoli 8, comma 1, 11 e 12;

m) il decreto legislativo 30 luglio 1999, n. 282;

n) il decreto legislativo 28 dicembre 2001, n. 467;

o)  il  decreto del Presidente della Repubblica 28 luglio 1999, n. 318.

2.  Dalla  data  di  entrata  in  vigore  del presente codice sono abrogati gli articoli 12, 13, 14, 15, 16, 17, 18, 19 e 20 del decreto del Presidente della Repubblica 31 marzo 1998, n. 501.

3.  Dalla  data  di  entrata  in vigore del presente codice sono o restano, altresì, abrogati:

a)  l'art.  5,  comma 9, del decreto del Ministro della sanità 18 maggio 2001, n. 279, in materia di malattie rare;

b) l'articolo 12 della legge 30 marzo 2001, n. 152;

c)  l'articolo  4,  comma  3,  della legge 6 marzo 2001, n. 52, in materia di donatori midollo osseo;

d) l'articolo  16,  commi 2 e 3, del decreto del Presidente della Repubblica  28  dicembre  2000,  n. 445, in materia di certificati di assistenza al parto;

e) l'art. 2, comma 5, del decreto del Ministro della sanità 27 ottobre  2000, n. 380, in materia di flussi informativi sui dimessi dagli istituti di ricovero;

f)  l'articolo  2,  comma 5-quater 1, secondo e terzo periodo, del decreto-legge  28  marzo  2000, n. 70, convertito, con modificazioni, dalla  legge  26  maggio 2000, n. 137, e successive modificazioni, in materia di banca dati sinistri in ambito assicurativo;

g)  l'art. 6, comma 4, del decreto legislativo 5 giugno 1998, n. 204,  in  materia di diffusione di dati a fini di ricerca e collaborazione in campo scientifico e tecnologico;

h)  l'articolo  330-bis del decreto legislativo 16 aprile 1994, n. 297, in materia di diffusione di dati relativi a studenti;

i) l'articolo 8, quarto comma, e l'articolo 9, quarto comma, della legge 1 aprile 1981, n. 121.

4. Dalla data in cui divengono efficaci le disposizioni del codice di deontologia e di buona condotta di cui all'articolo 118, i termini di conservazione dei dati personali individuati ai sensi dell'art. 119,  eventualmente  previsti da  norme di legge o di regolamento, si osservano nella misura indicata dal medesimo codice.

CAPO IV NORME FINALI

Art. 184                  (Attuazione di direttive europee)

1.  Le  disposizioni  del  presente  codice  danno attuazione alla direttiva  96/45/CE del Parlamento europeo e del Consiglio, del 24 ottobre  1995,  e  alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002.

2. Quando   leggi,   regolamenti   e  altre  disposizioni  fanno riferimento  a disposizioni comprese nella legge 31 dicembre 1996, n. 675,  e  in  altre  disposizioni  abrogate  dal  presente  codice, il riferimento  si  intende  effettuato alle corrispondenti disposizioni del  presente codice secondo la tavola di corrispondenza riportata in allegato.

3.  Restano  ferme  le  disposizioni di legge e di regolamento che stabiliscono   divieti  o  limiti  più restrittivi  in  materia  di trattamento di taluni dati personali.

Art. 185     (Allegazione dei codici di deontologia e di buona condotta)

1.  L'allegato A) riporta, oltre ai codici di cui all'articolo 12, commi  1  e  4, quelli promossi ai sensi degli articoli 25 e 31 della legge  31  dicembre  1996,  n.  675, e già pubblicati nella Gazzetta Ufficiale  della  Repubblica  italiana  alla  data  di emanazione del presente codice.

Art. 186                         (Entrata in vigore)

1. Le disposizioni di cui al presente codice entrano in vigore il 1  gennaio 2004, ad eccezione delle disposizioni di cui agli articoli 156, 176, commi 3, 4, 5 e 6, e 182, che entrano in vigore il giorno successivo  alla  data  di  pubblicazione  del presente codice. Dalla medesima data  si osservano altresì i termini in materia di ricorsi di cui agli articoli 149, comma 8, e 150, comma

2.   Il  presente  decreto,  munito  del  sigillo  dello  Stato,  sarà inserito   nella   Raccolta  ufficiale  degli  atti  normativi  della Repubblica italiana.   E' fatto  obbligo  a  chiunque  spetti  di  osservarlo e di farlo osservare.

Dato a Roma, addì 30 giugno 2003

CIAMPI

BERLUSCONI, Presidente del Consiglio dei Ministri

MAZZELLA, Ministro per la funzione pubblica

BUTTIGLIONE, Ministro per le politiche comunitarie

CASTELLI, Ministro della giustizia

TREMONTI, Ministro dell'economia e delle finanze

FRATFINI, Ministro degli affari esteri

GASPARRI, Ministro delle comunicazioniVisto,

il Guardasigilli: CASTELLI

CODICI DI DEONTOLOGIA (ALLEGATO A) A.1  CODICE DI DEONTOLOGIA RELATIVO AL TRATTAMENTO DEI DATI PERSONALINELL'ESERCIZIO DELL'ATTIVITA' GIORNALISTICA.(Provvedimento del Garante del 29 luglio 1998, in G.U. 3 agosto 1998,  n. 179)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI  Visto  l'art.  25  della  legge  31  dicembre  1996,  n. 675, come modificato  dall'art. 12 del decreto legislativo 13 maggio 1998, n. 171, secondo il quale   il  trattamento   dei  dati  personali nell'esercizio della professione giornalistica deve essere effettuato sulla  base  di  un apposito codice di deontologia, recante misure ed accorgimenti  a garanzia degli interessati rapportati alla natura dei dati,  in particolare per quanto riguarda i dati idonei a rivelare lo stato di salute e la vita sessuale;

Visto  il  comma 4-bis dello stesso art. 25, secondo il quale tale codice è applicabile anche all'attività  dei  pubblicisti e dei praticanti  giornalisti,  nonché a chiunque tratti temporaneamente i dati personali al fine di  utilizzarli  per  la  pubblicazione occasionale  di  articoli,  di  saggi  e  di  altre manifestazioni di pensiero;

Visto  il comma 2 del medesimo art. 25, secondo il quale il codice di  deontologia è adottato dal Consiglio nazionale dell'ordine dei giornalisti  in  cooperazione  con  il  Garante, il quale ne promuove l'adozione e ne cura la pubblicazione nella Gazzetta Ufficiale;

Vista  la nota prot. n. 89/GAR del 26 maggio 1997, con la quale il Garante ha invitato il Consiglio nazionale dell'ordine ad adottare il codice  entro  il  previsto  termine  di sei mesi dalla data di invio della nota stessa;

Vista  la nota prot. n. 4640 del 24 novembre 1997, con il quale il Garante  ha aderito alla richiesta di breve differimento del predetto termine  di  sei  mesi, presentata il 19 novembre dal presidente del Consiglio nazionale dell'ordine;

Visto  il provvedimento prot. n. 5252 del 18 dicembre 1997, con il quale  il  Garante  ha  segnalato  al Consiglio nazionale dell'ordine alcuni  criteri da tenere presenti nel bilanciamento delle libertà e dei diritti coinvolti dall'attività giornalistica;

Vista  la  nota  prot. n. 314 del 23 gennaio 1998, con la quale il Garante  ha  formulato  altre osservazioni sul primo schema di codice elaborato  dal Consiglio nazionale dell'ordine e trasmesso al Garante con nota prot. n. 7182 del 30 dicembre 1997;

Vista  la  nota  prot. n. 204 del 15 gennaio 1998, con la quale il Garante,  sulla base della  prima  esperienza di applicazione della legge n. 675/1996   e   dello  schema  di  codice  elaborato,  ha rappresentato al Ministro di grazia e giustizia l'opportunità di una revisione dell'art.  25 della legge, che è stato poi modificato con il citato decreto legislativo n. 171 del 13 maggio 1998;

Vista  la  nota  prot. n. 5876 del 30 giugno 1998, con la quale il Garante  ha  invitato il Consiglio nazionale dell'ordine ad apportare alcune  residuali  modifiche  all'ulteriore  schema  approvato  dallo stesso  Consiglio  nella seduta del 26 e 27 marzo 1998 e trasmesso al Garante con nota prot. n. 1074 dell'8 aprile;

Constatata l'idoneità delle misure e degli accorgimenti  a garanzia  degli  interessati  previsti  dallo  schema  definitivo del codice  di  deontologia  trasmesso al Garante dal Consiglio nazionale dell'ordine con nota prot. n. 2210 del 15 luglio 1998;

Considerato  che,  ai  sensi dell'art. 25, comma 2, della legge n. 675/1996,  il codice deve essere pubblicato nella Gazzetta Ufficiale, a  cura  del  Garante, e diviene efficace quindici giorni dopo la sua pubblicazione;

Dispone   La trasmissione del codice di deontologia che figura in allegato all'ufficio  pubblicazione  leggi e decreti del Ministero di grazia e giustizia  per  la  sua  pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.Roma, 29 luglio 1998

IL PRESIDENTE  ORDINE DEI GIORNALISTICODICE DI DEONTOLOGIA RELATIVO AL TRATTAMENTO DEI DATI PERSONALI NELL'ESERCIZIO DELL'ATTIVITA' GIORNALISTICA*.

Art. 1                         (Principi generali)

1. Le presenti norme sono volte a contemperare i diritti fondamentali   della persona con il diritto dei cittadini all'informazione e con la libertà di stampa.

2. In forza dell'art. 21  della  Costituzione,  la professione giornalistica  si  svolge senza autorizzazioni o censure. In quanto condizione  essenziale per l'esercizio del diritto dovere di cronaca, la  raccolta,  la  registrazione, la conservazione e la diffusione di notizie su eventi e vicende relativi a persone, organismi collettivi, istituzioni,  costumi, ricerche scientifiche e movimenti di pensiero, attuate  nell'ambito  dell'attività  giornalistica  e  per gli scopi propri di tale attività,  si differenziano nettamente per la loronatura  dalla  memorizzazione  e dal trattamento di dati personali ad opera  di  banche  dati  o altri soggetti. Su questi principi trovano fondamento  le  necessarie deroghe previste dai paragrafi 17 e 37 e dall'art. 9 della  direttiva 95/46/CE del Parlamento europeo e del Consiglio  dell'Unione  europea  del 24 ottobre 1995 e dalla legge n. 675/1996.

Art. 2 (Banche dati di uso redazionale e tutela degli archivi personali dei giornalisti)

1. Il giornalista che raccoglie notizie per una delle operazioni di cui all'art. 1, comma 2, lettera b), della legge n. 675/1996 rende note la  propria  identità,  la  propria professione e le finalità della  raccolta salvo che ciò comporti rischi per la sua incolumità o renda altrimenti impossibile   l'esercizio   della  funzione informativa; evita artifici e pressioni indebite. Fatta palese tale attività, il giornalista non è tenuto a fornire gli altri elementi dell'informativa  di cui all'art. 10, comma 1, della legge  n. 675/1996.

2. Se i dati  personali sono raccolti presso banche dati di uso redazionale,  le  imprese  editoriali  sono  tenute a rendere noti al pubblico,  mediante  annunci,  almeno  due  volte l'anno, l'esistenza dell'archivio  e  il  luogo  dove è possibile esercitare i diritti previsti  dalla  legge  n.  675/1996.  Le imprese editoriali indicano altresì fra i dati della gerenza il responsabile del trattamento al quale le persone interessate possono rivolgersi per esercitare i diritti previsti dalla legge n. 675/1996.

3. Gli archivi personali dei  giornalisti, comunque funzionali all'esercizio della professione e per l'esclusivo perseguimento delle relative finalità, sono tutelati, per quanto concerne le fonti delle notizie,  ai sensi dell'art. 2 della legge n. 69/1963 e dell'art. 13, comma 5, della legge n. 675/1996.

4.  Il  giornalista  può  conservare i dati raccolti per tutto il tempo  necessario  al perseguimento delle finalità proprie della sua professione.

Art. 3                       (Tutela del domicilio)

1. La tutela del domicilio e degli altri luoghi di privata dimora si  estende  ai  luoghi  di  cura,  detenzione  o riabilitazione, nel rispetto  delle  norme  di  legge  e  dell'uso  corretto  di tecniche invasive.

Art. 4                             (Rettifica)

1.  Il  giornalista  corregge  senza ritardo errori e inesattezze, anche  in  conformità al  dovere  di  rettifica nei casi e nei modi stabiliti dalla legge.

Art. 5             (Diritto all'informazione e dati personali)

1. Nel raccogliere dati personali atti a rivelare origine razziale ed  etnica,  convinzioni  religiose,  filosofiche  o di altro genere, opinioni  politiche,  adesioni  a  partiti, sindacati, associazioni o organizzazioni   a   carattere   religioso,  filosofico,  politico  o sindacale,  nonché dati atti a rivelare le condizioni di salute e la sfera sessuale, il giornalista garantisce il diritto all'informazione su  fatti  di  interesse  pubblico,  nel  rispetto dell'essenzialità dell'informazione,  evitando  riferimenti  a  congiunti  o  ad  altri soggetti non interessati ai fatti.

2. In relazione a dati riguardanti circostanze o fatti resi noti direttamente  dagli interessati o  attraverso loro comportamenti in pubblico, è fatto salvo il diritto di addurre successivamente motivi legittimi meritevoli di tutela.

Art. 6                  (Essenzialità dell'informazione)

1.  La  divulgazione  di notizie di rilevante interesse pubblico o sociale  non contrasta con il rispetto della sfera privata quando l'informazione,  anche  dettagliata, sia indispensabile in ragione dell'originalità del fatto  o  della relativa descrizione dei modi particolari  in  cui è  avvenuto,  nonché della qualificazione dei protagonisti.

2.  La  sfera privata delle persone note o che esercitano funzioni pubbliche  deve  essere  rispettata  se le notizie o i dati non hanno alcun rilievo sul loro ruolo o sulla loro vita pubblica.

3. Commenti e opinioni del giornalista appartengono alla libertà di informazione nonché alla  libertà di  parola  e  di pensiero costituzionalmente garantita a tutti.

Art. 7                         (Tutela del minore)

1.  Al  fine  di  tutelarne  la  personalità,  il giornalista non pubblica  i  nomi  dei  minori  coinvolti  in  fatti  di cronaca, né fornisce particolari in grado di condurre alla loro identificazione.

2.  La  tutela  della personalità del minore si estende, tenuto conto della  qualità della notizia e delle sue componenti, ai fatti che non siano specificamente reati.

3.  Il  diritto  del  minore  alla riservatezza deve essere sempre considerato  come  primario  rispetto  al  diritto  di  critica  e di cronaca;   qualora,  tuttavia,  per  motivi  di  rilevante  interesse pubblico e fermo restando i limiti di legge, il giornalista decida di diffondere notizie o immagini riguardanti minori, dovrà farsi carico della  responsabilità  di  valutare  se la pubblicazione sia davvero nell'interesse  oggettivo  del  minore, secondo i principi e i limiti stabiliti dalla "Carta di Treviso".

Art. 8                (Tutela della dignità delle persone)

1. Salva l'essenzialità dell'informazione, il giornalista non fornisce  notizie o pubblica immagini o  fotografie  di soggetti coinvolti  in  fatti  di cronaca lesive della dignità della persona, né si sofferma  su  dettagli  di  violenza,a meno che ravvisi la rilevanza sociale della notizia o dell'immagine.

2.  Salvo rilevanti motivi di interesse pubblico o comprovati fini di  giustizia e di polizia, il giornalista non riprende né produce immagini e foto di persone in stato di detenzione senza il consenso dell'interessato.

3. Le persone non possono essere presentate con ferri o manette ai polsi, salvo che ciò sia necessario per segnalare abusi.

Art. 9            (Tutela del diritto alla non discriminazione)

1. Nell'esercitare il diritto dovere di cronaca, il giornalista è tenuto a rispettare il diritto della persona alla non discriminazione per razza,   religione, opinioni politiche, sesso, condizioni personali, fisiche o mentali.

Art. 10            (Tutela della dignità delle persone malate)

1. Il giornalista, nel far riferimento allo stato di salute di una determinata  persona,  identificata  o identificabile, ne rispetta la dignità,  il diritto alla riservatezza e al decoro personale, specie nei  casi  di malattie gravi o terminali, e si astiene dal pubblicare dati analitici di interesse strettamente clinico.

2. La pubblicazione è ammessa nell'ambito del perseguimento dell'essenzialità dell'informazione  e  sempre  nel  rispetto della dignità della persona se questa riveste una posizione di particolare rilevanza sociale o pubblica.

Art. 11             (Tutela della sfera sessuale della persona)

1. Il giornalista si astiene dalla descrizione di abitudini sessuali   riferite   ad  una  determinata  persona,  identificata  o identificabile.

2. La pubblicazione è ammessa nell'ambito del perseguimento dell'essenzialità dell'informazione  e  nel rispetto della dignità della   persona  se  questa  riveste  una  posizione  di  particolare rilevanza sociale o pubblica.

Art. 12       (Tutela del diritto di cronaca nei procedimenti penali)

1.  Al  trattamento dei dati relativi a procedimenti penali non si applica il limite previsto dall'art. 24 della legge n. 675/1996.

2. Il trattamento   di   dati   personali  idonei  a  rivelare provvedimenti  di  cui all'art. 686, commi 1, lettere a) e d), 2 e 3, del  codice di procedura penale è ammesso nell'esercizio del diritto di cronaca, secondo i principi di cui all'art. 5.

Art. 13           (Ambito di applicazione, sanzioni disciplinari)

1. Le presenti norme si applicano ai giornalisti professionisti, pubblicisti  e  praticanti e a chiunque altro, anche occasionalmente, eserciti attività pubblicistica.

2.  Le  sanzioni disciplinari, di cui al titolo III della legge n. 69/1963, si applicano solo ai  soggetti  iscritti  all'albo  dei giornalisti, negli elenchi o nel registro.

A.2  CODICE  DI DEONTOLOGIA E DI BUONA CONDOTTA PER IL TRATTAMENTO DI DATI PERSONALI PER SCOPI STORICI. (Provvedimento  del  Garante  n.  8/P/21 del 14 marzo 2001, in G.U. 5 aprile 2001, n.80)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI   Nella  seduta  odierna,  con  la  partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto l'art. 27 della direttiva n. 95/46/CE del Parlamento europeo e  del  Consiglio del 24 ottobre 1995, secondo cui gli Stati membri e la  Commissione  incoraggiano l'elaborazione di codici di condotta destinati  a  contribuire, in funzione delle specificità settoriali, alla corretta applicazione delle disposizioni nazionali di attuazione della direttiva adottate dagli Stati membri;

Visto l'art. 31, comma 1, lettera h) della legge 31 dicembre 1996, n. 675,  il  quale  attribuisce  al Garante il compito di promuovere nell'ambito   delle   categorie interessate, nell'osservanza del principio di  rappresentatività,  la  sottoscrizione  di  codici di deontologia  e di buona condotta per determinati settori, verificarne la conformità alle leggi e ai regolamenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuire a garantirne ladiffusione e il rispetto;

Visto il decreto legislativo 30 luglio 1999, n. 281, in materia di trattamento  dei dati personali per finalità storiche, statistiche e di ricerca scientifica, e in particolare il relativo art. 6, comma 1, il quale demanda   al Garante il compito di promuovere la sottoscrizione di uno o più codici di deontologia e di buona condotta per i soggetti pubblici e privati, ivi comprese le società scientifiche  e  le  associazioni professionali, interessati al trattamento dei dati per scopi storici;

Visto  l'articolo  7, comma 5, del medesimo decreto legislativo n. 281/1999  ,  relativo ad alcuni profili che devono essere individuati dal codice per i trattamenti di dati per scopi storici;

Visto il  provvedimento  10  febbraio  2000  del  Garante  per la protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale n. 46 del  25  febbraio  2000,  con  il quale il Garante ha promosso la sottoscrizione  di  uno  o  più  codici  di  deontologia  e di buona condotta relativi del trattamento di dati personali per scopi storici effettuati da  archivisti  e  utenti ed ha invitato tutti i soggetti aventi  titolo a partecipare all'adozione del medesimo codice in base al  principio  di rappresentatività a darne comunicazione al Garanteentro il 31 marzo 2000;

Viste le comunicazioni pervenute al Garante in risposta al provvedimento  del 10 febbraio 2000, con le quali diversi soggetti pubblici e privati,   società  scientifiche   ed   associazioni professionali  hanno  manifestato  la  volontà di partecipare alla redazione del codice e fra i quali è stato  conseguentemente costituito un apposito gruppo di lavoro composto da componenti della Commissione consultiva  per le questioni inerenti la consultabilità degli  atti d'archivio riservati, del Centro di Documentazione ebraica, del  Ministero per i beni e le attività culturali, dell'Associazione delle istituzioni    culturali italiane, dell'Associazione nazionale archivistica italiana, dell'istituto nazionale per la storia del movimento di liberazione in Italia, della Società per lo studio  della  storia contemporanea, dell'Istituto storico italiano  per l'età moderna e contemporanea, della Società per  gli  studi  di storia delle istituzioni, della Società italiana delle storiche,  dell'istituto  romano  per  la  storia d'Italia dal fascismo alla resistenza;

Considerato che  il  testo  del  codice è stato oggetto di ampia diffusione,  anche attraverso la  sua  pubblicazione su alcuni siti Internet, al fine di favorire il più ampio dibattito e di permettere la  raccolta  di  eventuali  osservazioni  e  integrazioni  al  testo medesimo da parte di tutti i soggetti interessati;

Vista  la nota del 28 febbraio 2001 con cui il gruppo di lavoro ha trasmesso  il testo del codice di deontologia e di buona condotta per i  trattamenti  di  dati  personali  per  scopi  storici  approvato e sottoscritto in pari data;

Rilevato che il rispetto delle disposizioni contenute nel codice costituisce condizione essenziale per la liceità del trattamento dei dati personali;

Constatata la  conformità del codice alle leggi e ai regolamenti in  materia  di  protezione delle persone rispetto al trattamento dei dati  personali, ed in particolare all' art. 31, comma 1, lettera h) della legge n.  675/1996,  nonché agli  artt.  6  e 7 del decreto legislativo n. 281/1999;

Considerato che, ai  sensi  dell'art.  6,  comma  1, del decreto legislativo  n.  281/1999,  il  codice  deve  essere pubblicato nella Gazzetta Ufficiale della Repubblica Italiana a cura del Garante;

Rilevato che anche dopo tale pubblicazione il codice potrà essere eventualmente  sottoscritto  da  altri  soggetti  pubblici e privati, società scientifiche ed associazioni professionali interessati;

Vista la documentazione in atti;   Viste  le  osservazioni formulate dal segretario generale ai sensi dell'art.  15  del  regolamento  del Garante n. 1/2000, adottato con deliberazione  n.  15  del 28 giugno 2000 e pubblicato nella Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000;

Dispone:   la trasmissione del codice di deontologia e di buona condotta per i  trattamenti  di  dati  personali  per  scopi storici che figura in allegato  all'Ufficio  pubblicazione  leggi  e  decreti del Ministero della  giustizia  per  la  sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.

Roma, 14 marzo 2001

IL PRESIDENTE IL RELATORE IL SEGRETARIO GENERALE CODICE  DI  DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATIPERSONALI PER SCOPI STORICI*.                preambolo. I sottoindicati soggetti pubblici e privati sottoscrivono il presente codice sulla base delle seguenti premesse:

1)  Chiunque  accede ad informazioni e documenti per scopi storici utilizza  frequentemente dati di carattere personale per i quali la legge prevede  alcune  garanzie a tutela degli interessati, in considerazione dell'interesse  pubblico  allo svolgimento di tali trattamenti, il legislatore  -  con specifico riguardo agli archivi pubblici e a quelli privati dichiarati di notevole interesse storico ai  sensi  dell'art.  36  del  d.P.R.  30 settembre 1963 n. 1409 – ha esentato  i  soggetti  che  utilizzano dati personali per le suddette finalità dall'obbligo di richiedere il consenso degli interessati ai sensi  degli  artt.  12, 20 e 28 della legge (l. 31 dicembre 1996, n. 675, in particolare  art.  27;  dd.lg.  11 maggio 1999, n. 135 e 30 luglio 1999, n. 281, in  particolare  art.  7, comma 4; d.P.R. 30 settembre 1963, n. 1409, e successive modificazioni e integrazioni).

2)  L'utilizzazione  di tali dati da parte di utenti ed archivisti deve pertanto rispettare le previsioni di legge e quelle del presente codice  di  deontologia  e di buona condotta, l'osservanza del quale, oltre a rappresentare un obbligo deontologico, costituisce condizione essenziale  per  la liceità del trattamento dei dati (art. 31, comma 1,  lettera  h), l. 31 dicembre 1996, n. 675; art. 6, d.lg. 30 luglio 1999, n. 281).

3) L'osservanza di tali regole non deve pregiudicare l'indagine, la  ricerca,  la  documentazione  e  lo  studio  ovunque  svolti,  in relazione a figure, fatti e circostanze del passato.

4) I trattamenti di dati personali concernenti la conservazione, l'ordinamento  e  la  comunicazione  dei  documenti  conservati negli Archivi  di  Stato  e  negli archivi storici degli enti pubblici sono considerati  di rilevante interesse pubblico (art. 23 d.lg. 11 maggio 1999, n. 135).

5) La sottoscrizione del presente codice è promossa per legge dal Garante, nel  rispetto  del  principio  di  rappresentatività  dei soggetti  pubblici  e  privati  interessati. Il codice è espressione delle associazioni  professionali e delle categorie interessate, ivi comprese le società scientifiche, ed è  volto ad assicurare l'equilibrio  delle  diverse  esigenze  connesse  alla ricerca e alla rappresentazione di fatti storici con  i  diritti  e  le libertàfondamentali  delle persone interessate (art. 1, l. 31 dicembre 1996, n. 675).

6)  Il  presente  codice,  sulla base delle prescrizioni di legge, individua  in  particolare:

a) alcune regole di correttezza e di non discriminazione  nei  confronti degli utenti da osservare anche nella comunicazione  e  diffusione  dei  dati,  armonizzate  con quelle che riguardano il diritto di cronaca e la manifestazione del pensiero;

b) particolari cautele per la raccolta, la consultazione e la diffusione di  documenti  concernenti dati idonei a rivelare lo stato di salute, la vita sessuale o rapporti riservati di tipo familiare;

c) modalità di  applicazione  agli  archivi  privati  della disciplina dettata inmateria  di  trattamento dei dati per scopi storici (art. 7, comma 5, d.lg. 30 luglio 1999, n. 281).

7)  La sottoscrizione del presente codice è effettuata ispirandosi, oltre  agli  artt.  21  e  33  della Costituzione della Repubblica italiana, alle pertinenti fonti e documenti internazionali in materia di ricerca storica e di archivi e in particolare:

a) agli artt. 8 e 10 della Convenzione europea per la salvaguardia dei  diritti dell'uomo e delle libertà fondamentali del 1950, ratificata dall'Italia con legge 4 agosto 1955, n. 848

b) alla Raccomandazione N. R (2000) 13 del 13 luglio 2000 del Consiglio d'Europa;

c)  agli  artt.  1,  7, 8, 11 e  13  della  Carta  dei  diritti fondamentali dell'Unione europea;

d) ai Principi direttivi per una legge sugli archivi storici e gli archivi  correnti, individuati dal Consiglio internazionale degli archivi  al  congresso di Ottawa nel 1996, e al Codice internazionale di deontologia degli   archivisti   approvato  nel  congresso internazionale degli archivi, svoltosi a Pechino nel 1996.

Capo I                          PRINCIPI GENERALI

Art. 1                (Finalità e ambito di applicazione)

1. Le presenti norme sono volte a garantire che l'utilizzazione di dati  di  carattere  personale  acquisiti nell'esercizio della libera ricerca storica e del diritto allo studio e all'informazione, nonché nell'accesso ad atti e documenti, si svolga nel rispetto dei diritti, delle  libertà  fondamentali   e   della dignità delle persone interessate, in particolare del diritto alla riservatezza e del diritto all'identità personale.

2. Il presente codice detta disposizioni per i trattamenti di dati personali  effettuati per scopi storici in relazione ai documenti conservati presso  archivi  delle  pubbliche  amministrazioni,  enti pubblici ed archivi privati dichiarati di notevole interesse storico.Il codice si applica, senza necessità di sottoscrizione, all'insieme dei trattamenti di dati personali comunque effettuati dagli utenti per scopi storici.

3. Il  presente  codice reca, altresì, principi-guida di comportamento  dei  soggetti che trattano per scopi storici dati personali conservati presso  archivi pubblici e archivi privati dichiarati di notevole interesse storico, e in particolare:

a) nei riguardi degli archivisti, individua regole di correttezza e di    non discriminazione nei confronti degli utenti, indipendentemente dalla loro nazionalità, categoria di appartenenza, livello di istruzione;

b) nei confronti degli utenti, individua cautele per la raccolta, l'utilizzazione e la diffusione dei dati contenuti nei documenti.

4.  La competente sovrintendenza archivistica riceve comunicazione da  parte  di  proprietari, possessori e detentori di archivi privati non  dichiarati  di notevole interesse storico o di singoli documenti di  interesse  storico, i quali manifestano l'intenzione di applicare il presente codice nella misura per essi compatibile.

Art. 2                            (Definizioni)

1. Nell'applicazione del  presente  codice  si tiene conto delle definizioni e delle indicazioni contenute nella disciplina in materia di  trattamento   dei   dati  personali  e, in particolare, delle disposizioni  citate  nel  preambolo.  Ai  medesimi  fini si intende, altresì:

a) per "archivista", chiunque, persona fisica o giuridica, ente o associazione,   abbia   responsabilità di  controllare,  acquisire, trattare,  conservare, restaurare e gestire archivi storici, correnti o di deposito  della  pubblica  amministrazione,  archivi  privati dichiarati di notevole interesse storico, nonché gli archivi privati di cui al precedente art. 1, comma 4;

b) per  "utente",  chiunque chieda di accedere o acceda per scopi storici  a  documenti  contenenti dati personali, anche per finalità giornalistiche  o  di  pubblicazione occasionale di articoli, saggi e altre manifestazioni del pensiero;

c) per  "documento",  qualunque  testimonianza  scritta,  orale o conservata su qualsiasi supporto che contenga dati personali.

Capo II REGOLE DI CONDOTTA  PER  GLI  ARCHIVISTI  E  LICEITA'  DEI RELATIVI      TRATTAMENTI

Art. 3                    (Regole generali di condotta)

1. Nel trattare i dati di carattere personale e i documenti che li contengono, gli archivisti adottano,  in  armonia con la legge e i regolamenti, le modalità più opportune per favorire il rispetto dei diritti,  delle  libertà fondamentali e della dignità delle persone alle quali si riferiscono i dati trattati.

2. Gli archivisti di enti o istituzioni pubbliche si adoperano per il  pieno  rispetto, anche da parte dei terzi con cui entrano in contatto per ragioni   del  proprio  ufficio  o servizio, delle disposizioni di legge e di regolamento in materia archivistica e, in particolare, di quanto previsto negli artt. 21 e 21-bis del d.P.R. 30 settembre 1963, n. 1409, come modificati dal d.lg. 30 luglio 1999, n. 281, dall'art. 7 del   medesimo  d.lg.  n.  281,  e  successive modificazioni ed integrazioni.

3. I soggetti che operano presso enti pubblici svolgendo funzioni archivistiche,  nel trattare dati di carattere personale si attengono ai doveri di lealtà, correttezza, imparzialità, onestà e diligenza propri  dell'esercizio  della professione e della qualifica o livello ricoperti. Essi conformano  il  proprio  operato  al  principio  di trasparenza della attività amministrativa.

4. I dati personali trattati  per scopi storici possono essere ulteriormente  utilizzati per tali scopi, e sono soggetti in linea di principio alla medesima disciplina indipendentemente dal documento in cui  sono  contenuti  e dal luogo di conservazione, ferme restando le cautele e le garanzie previste per particolari categorie di dati o di trattamenti.

Art. 4                      (Conservazione e tutela)

1. Gli archivisti si impegnano a:

a) favorire il recupero, l'acquisizione e la tutela dei documenti.A tal fine, operano  in  conformità con i principi, i criteri metodologici  e  le pratiche della professione generalmente condivisi ed accettati, curando  anche l'aggiornamento sistematico e continuo delle proprie conoscenze storiche, amministrative e tecnologiche;

b) tutelare l'integrità degli archivi e l'autenticità dei documenti, anche elettronici e multimediali, di cui promuovono la conservazione  permanente,  in particolare di quelli esposti a rischi di cancellazione, dispersione ed alterazione dei dati;

c) salvaguardare la conformità delle riproduzioni dei documenti agli   originali  ed evitare  ogni  azione  diretta  a  manipolare, dissimulare o deformare fatti, testimonianze, documenti e dati;

d)  assicurare il rispetto delle misure  di sicurezza previste dall'art.  15  della legge  31 dicembre 1996, n. 675 e dal d.P.R. 28 luglio  1999,  n.  318  e  successive integrazioni e modificazioni, sviluppando misure idonee a  prevenire  l'eventuale  distruzione, dispersione  o  accesso non autorizzato ai documenti, e adottando, in presenza di specifici rischi,  particolari  cautele  quali  la consultazione  in  copia di alcuni documenti e la conservazione degli originali in cassaforte o armadi blindati.

Art. 5 (Comunicazione e fruizione)

1. Gli archivi sono organizzati secondo criteri tali da assicurare   il principio della libera fruibilità delle fonti.

2. L'archivista promuove  il più largo accesso agli archivi e,   attenendosi  al  quadro  della  normativa   vigente,  favorisce   l'attività  di  ricerca  e  di informazione nonché il reperimento  delle fonti.

3. L'archivista informa il ricercatore sui documenti estratti temporaneamente da un fascicolo   perché esclusi   dalla consultazione.

4. In caso di rilevazione sistematica dei dati realizzata da un archivio  in  collaborazione con altri soggetti pubblici o privati, per  costituire  banche  dati di intere serie archivistiche, la struttura  interessata  sottoscrive  una  apposita convenzione per concordare le modalità di  fruizione  e  le forme di tutela dei soggetti interessati, attenendosi alle disposizioni della legge, in particolare per quanto riguarda il rapporto tra il titolare, il responsabile  e  gli incaricati del trattamento, nonché i rapporti con i soggetti esterni interessati ad accedere ai dati.

Art. 6                      (Impegno di riservatezza)

1. Gli0 archivisti si impegnano a:

a)  non  fare  alcun  uso  delle informazioni non disponibili agli utenti  o  non  rese pubbliche,  ottenute in ragione della propria attività anche  in  via confidenziale, per proprie ricerche o per realizzare profitti e interessi  privati. Nel caso in  cui l'archivista svolga ricerche per fini personali o comunque estranei alla propria attività  professionale, è soggetto  alle stesseregole e ai medesimi limiti previsti per gli utenti;

b)  mantenere riservate le notizie e le informazioni concernenti i dati personali apprese nell'esercizio delle proprie attività.

2.  L'archivista  osserva  tali  doveri  di  riserbo anche dopo la cessazione dalla propria attività.

Art. 7                      (Aggiornamento dei dati)

1.  L'archivista favorisce l'esercizio del diritto degli interessati  all'aggiornamento, alla rettifica o all'integrazione dei dati, garantendone la conservazione secondo modalità che assicurino la distinzione delle fonti originarie dalla documentazione successivamente acquisita.

2. Ai fini dell'applicazione dell'art. 13 della legge n. 675/1996, in presenza di eventuali richieste generalizzate di accesso ad un'ampia serie   di   dati o documenti, l'archivista pone a disposizione gli strumenti di ricerca  e  le fonti pertinenti fornendo  al  richiedente  idonee  indicazioni per una loro agevole consultazione.

3. In caso di esercizio di un diritto, ai sensi dell'art. 13, comma 3, della legge n. 675/1996, da parte di chi vi abbia interesse in relazione a dati personali che riguardano persone decedute e documenti assai risalenti  nel tempo, la sussistenza dell'interesse e valutata anche in riferimento al tempo trascorso.

Art. 8                            (Fonti orali)

1. In caso  di trattamento di fonti orali, è necessario che gli intervistati   abbiano espresso il proprio consenso in modo esplicito, eventualmente in forma verbale, anche sulla base di una informativa semplificata che renda nota almeno l'identità e l'attività svolta dall'intervistatore nonché le finalità della raccolta dei dati.

2. Gli archivi che acquisiscono fonti orali richiedono all'autore dell'intervista una dichiarazione scritta dell'avvenuta comunicazione  degli  scopi perseguiti nell'intervista stessa e del relativo consenso manifestato dagli intervistati.

Capo III REGOLE  DI  CONDOTTA  PER GLI UTENTI E CONDIZIONI PER LA LICEITA' DEI RELATIVI TRATTAMENTI

Art. 9                    (Regole generali di condotta)

1. Nell'accedere alle fonti e nell'esercitare l'attività di studio, ricerca  e manifestazione del pensiero, gli utenti, quando trattino i dati di  carattere personale, secondo quanto previsto dalla legge e dai regolamenti, adottano le modalità più opportune per favorire il rispetto dei diritti, delle libertà fondamentali e della dignità delle persone interessate.

2. In applicazione del principio di cui al comma 1, gli utenti utilizzano i documenti sotto la propria  responsabilità e conformandosi agli scopi  perseguiti  e delineati nel progetto di ricerca, nel rispetto   dei   principi   di pertinenza ed indispensabilità di cui all'art. 7, del d.lg. 30 luglio 1999, n. 281.

Art. 10                   (Accesso agli archivi pubblici)

1.  L'accesso  agli  archivi  pubblici e' libero. Tutti gli utenti hanno diritto ad accedere agli archivi con eguali diritti e doveri.

2.  Fanno  eccezione, ai sensi delle leggi vigenti, i documenti di carattere  riservato relativi alla politica interna ed estera dello Stato che divengono consultabili cinquanta anni dopo la loro data e quelli  contenenti  i  dati di cui agli art. 22 e 24 della legge n. 675/1996, che divengono liberamente consultabili quaranta anni dopo la  loro data. Il termine è di settanta anni se i dati sono idonei a  rivelare  lo  stato di salute o la vita sessuale oppure rapporti riservati di tipo familiare.

3.  L'autorizzazione alla consultazione dei documenti di cui al comma 2 può essere rilasciata prima della scadenza dei termini dal Ministro dell'Interno, previo parere del direttore dell'Archivio di Stato  o  del  sovrintendente  archivistico competenti e udita la Commissione per  le  questioni inerenti alla consultabilità degli atti di archivio riservati istituita presso  il  Ministerodell'Interno,  secondo  la  procedura dettata dagli artt. 8 e 9 del decreto legislativo n. 281/1999.

4. In caso di richiesta di autorizzazione a consultare i documenti di cui  al comma 2 prima  della  scadenza dei termini, l'utente presenta  all'ente  che li conserva un progetto di ricerca che, in relazione alle  fonti  riservate per   le  quali  chiede l'autorizzazione, illustri  le finalità della  ricerca  e  le modalità di  diffusione  dei  dati. Il richiedente ha facoltà di presentare ogni altra documentazione utile.

5.  L'autorizzazione di cui al comma 3 alla consultazione è rilasciata a parità di condizioni ad ogni altro richiedente. La valutazione della parità di  condizioni  avviene sulla base del progetto di ricerca di cui al comma 4.

6.  L'autorizzazione  alla  consultazione dei documenti, di cui al comma 3, prima dello scadere dei termini, può contenere cautele volte a consentire la comunicazione dei dati senza ledere i diritti, le libertà e la dignità delle persone interessate.

7.  Le cautele possono consistere anche, a seconda degli obiettivi della ricerca desumibili  dal  progetto,  nell'obbligo di non diffondere i nomi delle persone, nell'uso delle sole iniziali dei nominativi degli interessati,  nell'oscuramento  dei  nomi in una banca dati,  nella sottrazione temporanea di singoli documenti dai fascicoli o nel divieto di riproduzione dei documenti. Particolare attenzione è prestata al principio della pertinenza e all'indicazione   di   fatti  o  circostanze  che  possono  rendere facilmente individuabili gli interessati.

8.  L'autorizzazione  di cui al comma 3 è personale e il titolare dell'autorizzazione non può delegare altri al conseguente trattamento dei  dati. I documenti mantengono il loro carattere riservato e non  possono essere ulteriormente utilizzati da altri soggetti senza la relativa autorizzazione.

Art. 11                            (Diffusione)

1.L'interpretazione dell'utente, nel rispetto del diritto alla riservatezza,  del diritto all'identità personale e della dignità degli interessati,  rientra nella sfera della libertà di parola e di manifestazione del pensiero costituzionalmente garantite.

2. Nel far riferimento allo stato di salute delle persone l'utente si  astiene dal pubblicare dati analitici di interesse strettamente clinico  e  dal  descrivere abitudini sessuali riferite ad  una determinata persona identificata o identificabile.

3.  La  sfera  privata delle persone note o che abbiano esercitato funzioni pubbliche  deve  essere  rispettata  nel  caso  in cui le notizie o  i dati non abbiano alcun rilievo sul loro ruolo o sulla loro vita pubblica.

4.  In  applicazione  di quanto previsto dall'art. 7, comma 2, del d.lg. n.  281/1999,  al  momento  della diffusione dei dati il principio della pertinenza è valutato dall'utente con particolare riguardo ai singoli dati personali  contenuti  nei documenti, anziché ai documenti nel loro complesso. L'utente può diffondere i dati personali se pertinenti e indispensabili alla ricerca e se gli stessi non ledono la dignità e la riservatezza delle persone.

5.  L'utente non è tenuto a fornire l'informativa di cui all'art. 10, comma 3, della legge n. 675/1996 nei casi in cui tale adempimento comporti    l'impiego  di  mezzi  manifestamente sproporzionati.

6.  L'utente  può utilizzare i dati elaborati o le copie dei documenti contenenti dati personali, accessibili su autorizzazione, solo ai fini della propria ricerca, e ne cura la riservatezza anche rispetto ai terzi.

Art. 12                      (Applicazione del codice)

1. I soggetti pubblici e privati, comprese le società scientifiche  e  le associazioni professionali, che siano tenuti ad applicare il presente codice si impegnano, con i modi e nelle forme previste dai propri ordinamenti, a promuoverne la massima diffusione e la conoscenza, nonché ad assicurarne il rispetto.

2. Nel caso degli archivi degli enti pubblici e degli archivi privati dichiarati di notevole interesse storico, le sovrintendenze archivistiche promuovono la diffusione e l'applicazione del codice.

Art. 13                (Violazione delle regole di condotta)

1.  Nell'ambito  degli archivi pubblici le amministrazioni competenti applicano le sanzioni   previste   dai  rispettivi ordinamenti.

2. Le società e le associazioni tenute ad applicare il presente codice  adottano,  sulla base dei propri ordinamenti e regolamenti, le opportune misure in caso di violazione del codice stesso, ferme restando le sanzioni di legge.

3. La violazione delle prescrizioni del presente codice da parte degli  utenti è comunicata agli organi competenti per il rilascio delle  autorizzazioni a consultare documenti riservati prima del decorso  dei  termini di legge, ed è considerata ai fini del rilascio dell'autorizzazione     medesima. L'Amministrazione competente, secondo il proprio ordinamento, può altresì escludere temporaneamente dalle sale di studio i soggetti responsabili della violazione  delle  regole del presente codice. Gli stessi possono essere  esclusi  da ulteriori autorizzazioni alla consultazione di documenti riservati.

4.  Oltre  a  quanto previsto dalla legge per la denuncia di reato cui sono tenuti i pubblici ufficiali, i soggetti di cui ai commi 1 e 2 possono segnalare al Garante le violazioni delle regole di condotta per l'eventuale adozione dei provvedimenti  e  delle sanzioni di competenza.

Art. 14                         (Entrata in vigore)

1. Il presente codice si applica a decorrere dal quindicesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

A. 3  CODICE  DI  DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI  DATI   PERSONALI  A  SCOPI  STATISTICI  E  DI  RICERCA  SCIENTIFICA  EFFETTUATI NELL'AMBITO DEL SISTEMA STATISTICO NAZIONALE.

(Provvedimento del Garante n. 13 del 31 luglio 2002, in G.U. 16 agosto 1999, n. 191)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella seduta odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof.  Gaetano  Rasi  e  del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto l'art. 27 della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, secondo cui gli Stati membri e la  Commissione  incoraggiano  l'elaborazione di codici di condotta destinati a contribuire, in funzione delle specificità settoriali, alla corretta applicazione delle  disposizioni nazionali di attuazione della direttiva adottate dagli Stati membri;

Visto l'art. 31, comma 1, lettera h) della legge 31 dicembre 1996, n. 675,  il  quale attribuisce al Garante il compito di promuovere nell'ambito   delle   categorie  interessate,  nell'osservanza del principio di rappresentatività, la  sottoscrizione di codici di deontologia e di buona  condotta  per  determinati  settori, verificarne la conformità alle leggi e ai regolamenti anche attraverso  l'esame  di  osservazioni  di  soggetti interessati  e contribuire a garantirne la diffusione e il rispetto;

Visto il decreto legislativo 30 luglio 1999, n. 281, in materia di trattamento  dei dati personali per finalità storiche, statistiche e di ricerca scientifica, e in particolare il relativo art. 6, comma 1, il quale demanda al Garante il compito di promuovere la sottoscrizione di uno o più codici  di deontologia e di buona condotta per i soggetti pubblici e privati, ivi  comprese le società  scientifiche e le associazioni professionali, interessati al trattamento dei  dati  per  scopi  di  statistica e di ricerca scientifica;

Visto  l'articolo 10, comma 6, del medesimo decreto legislativo n. 281/1999,  relativo ad alcuni profili che devono essere individuati dal  codice  per  i  trattamenti  di dati per scopi statistici e di ricerca scientifica;

Visto altresì l'art. 12, comma 2, del decreto legislativo 6 settembre  1989, n. 322, come modificato dall'articolo 12, comma 6, del decreto  legislativo  n. 281/1999, nel quale si prevede che la Commissione per la garanzia  dell'informazione statistica debba essere sentita ai fini della  sottoscrizione  dei codici di deontologia e di buona condotta relativi al trattamento dei dati personali nell'ambito del Sistema statistico nazionale;

Visto il  provvedimento  10  febbraio  2000  del  Garante  per la protezione  dei dati personali, pubblicato sulla Gazzetta Ufficiale n. 46 del 25 febbraio 2000, con il quale il Garante ha promosso la sottoscrizione di uno o più codici di deontologia e di buona condotta relativi del trattamento di  dati  personali per scopi statistici e di ricerca scientifica ed ha invitato tutti i soggetti aventi titolo a partecipare all'adozione dei medesimi codici in base al  principio  di rappresentatività a darne comunicazione al Garante entro il 31 marzo 2000;

Viste le comunicazioni pervenute al  Garante  in  risposta  al provvedimento  del 10 febbraio 2000, con le quali diversi soggetti pubblici e privati,   società  scientifiche  ed  associazioni professionali  hanno  manifestato  la  volontà di partecipare alla redazione  dei  codici  e  fra  i  quali è stato conseguentemente costituito un apposito gruppo di lavoro, composto, fra gli altri, da rappresentanti dei seguenti soggetti pubblici: Istituto nazionale  di  statistica  -  ISTAT, Istituto di studi e analisi economica  -  ISAE,  Istituto  per  lo  sviluppo  della  formazione professionale  dei lavoratori - ISFOL, Presidenza del Consiglio dei Ministri - Dipartimento della funzione pubblica;

Considerato che il testo  del  codice è stato oggetto di ampia consultazione nell'ambito dei soggetti interessati, che hanno avuto modo di far pervenire osservazioni e proposte;

Visto il decreto del Presidente del Consiglio dei ministri 9 marzo 2000, n.  152 contenente le norme per la definizione dei criteri e delle  procedure  per   l'individuazione dei soggetti privati partecipanti al Sistema statistico  nazionale (SISTAN) ai sensi dell'art. 2, comma 1, della legge 28 aprile 1998, n. 125;

Visto il decreto del Presidente del Consiglio dei ministri 9 maggio 2001  in materia di circolazione dei dati all'interno del Sistema statistico nazionale;

Visto il decreto del Presidente del Consiglio dei Ministri 28 maggio 2002 sull'inserimento di  altri  uffici  di  statistica nell'ambito del Sistan;

Vista la nota del 2 aprile 2001 con cui il Presidente dell'ISTAT, su mandato   del Comitato di indirizzo e coordinamento dell'informazione  statistica,  ha trasmesso il testo del Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale, sottoscritto dallo stesso a nome dei soggetti interessati;

Vista la deliberazione di questa Autorità n. 23 del 4 luglio 2001 sull'esame preliminare del codice;   Ritenuto opportuno procedere  all'esame definitivo del codice di deontologia e di buona condotta per i trattamenti di dati personali  per  scopi  statistici  effettuati  nell'ambito  del  SISTAN, anche separatamente  rispetto  al codice che, a norma degli articoli art. 6, comma 1, e 10, comma 6, del d.lg. n. 281/1999, deve disciplinare  l'utilizzo dei dati personali a fini statistici al di fuori del SISTAN;

Sentita la Commissione per la garanzia nell'informazione statistica ai sensi  dell'art. 12, comma 2, del decreto legislativo 6 settembre 1989, n. 322 e  sulla base degli approfondimenti curati d'intesa con l'Istat;

Rilevato che il rispetto delle disposizioni contenute nel codice costituisce condizione essenziale per la liceità del trattamento dei dati personali;

Constatata la conformità del codice alle leggi e ai regolamenti in materia di protezione delle persone rispetto al trattamento dei dati personali, ed in particolare all'art. 31, comma 1, lettera h) della legge  n.  675/1996,  nonché agli artt. 6 e 10, 11 e 12 del decreto legislativo n. 281/1999;

Considerato che, ai sensi dell'art. 6, comma 1, del decreto legislativo n. 281/1999, il codice deve essere pubblicato nella Gazzetta Ufficiale della Repubblica Italiana a cura del Garante;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art.  15 del regolamento del Garante n. 1/2000, adottato con deliberazione  n. 15 del 28 giugno 2000 e pubblicato nella Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000;

Dispone:

la  trasmissione del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e di ricerca scientifica  effettuati nell'ambito del Sistema statistico nazionale, che figura in allegato, all'ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.

Roma, 31 luglio 2002

IL PRESIDENTE IL RELATORE  IL SEGRETARIO GENERALECODICE  DI  DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI  PERSONALI  A  SCOPI  STATISTICI E DI RICERCA SCIENTIFICA EFFETTUATI  NELL'AMBITO DEL SISTEMA STATISTICO NAZIONALE*.

Preambolo

Il  presente codice è volto a garantire che l'utilizzazione di dati di carattere personale per scopi di statistica, considerati dalla legge di rilevante interesse pubblico e fonte dell'informazione  statistica  ufficiale  intesa quale patrimonio della collettività, si svolga nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone interessate, in particolare del diritto alla riservatezza e del diritto all'identità personale.   Il codice è sottoscritto in attuazione degli artt. 6 e 10, comma 6, del decreto legislativo 30 luglio 1999, n. 281 e si applica ai trattamenti per scopi statistici effettuati nell'ambito del sistema statistico  nazionale, per  il perseguimento delle finalità di cui al decreto legislativo 6 settembre 1989, n. 322.   La sua sottoscrizione è effettuata ispirandosi alle pertinenti fonti e documenti internazionali in materia di attività statistica e, in particolare:

a) alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali del 4 novembre 1950, ratificata dall'Italia con legge 4 agosto 1955, n. 848;

b)  alla Carta dei diritti fondamentali dell'Unione Europea del 18   dicembre 2000, con specifico riferimento agli artt. 7 e 8;

c)  alla  Convenzione  n.  108 adottata a Strasburgo il 28 gennaio 1981, ratificata in Italia con legge 21 febbraio 1989, n. 98;

d)  alla  direttiva  n.  95/46/CE  del  Parlamento  europeo  e del Consiglio dell'Unione Europea del 24 ottobre 1995;

e)  alla  Raccomandazione del Consiglio d'Europa n. R(97)18, adottata il 30 settembre 1997;   f) all'art. 10  del Regolamento (CE) n. 322/97 del Consiglio dell'Unione Europea del 17 febbraio 1997.   Gli enti, gli uffici e i soggetti che applicano il seguente codice sono chiamati ad osservare anche il principio di imparzialità e di non discriminazione nei confronti di altri utilizzatori, in particolare,  nell'ambito della comunicazione per scopi statistici di dati depositati in archivi pubblici e trattati da enti pubblici  o sulla base di finanziamenti pubblici.

CAPO I             AMBITO DI APPLICAZIONE E PRINCIPI GENERALI

Art. 1                      (Ambito di applicazione)

1.Il codice si applica ai trattamenti di dati personali per scopi statistici effettuati da:

a) enti ed uffici di statistica che fanno parte o partecipano al sistema statistico nazionale, per l'attuazione del programma statistico nazionale o per la produzione di informazione statistica, in conformità ai rispettivi ambiti istituzionali;

b)  strutture diverse dagli uffici  di  cui alla lettera a), ma appartenenti  alla medesima  amministrazione o ente, qualora i relativi trattamenti siano  previsti dal programma statistico nazionale e gli uffici  di  statistica  attestino le metodologie adottate, osservando le disposizioni contenute nei  decreti legislativi 6  settembre  1989, n. 322 e 30 luglio 1999, n. 281, e loro successive modificazioni e integrazioni, nonché nel presente codice.

Art. 2                            (Definizioni)

1.  Ai fini del presente codice si applicano le definizioni elencate  nell'art. 1 della legge 31 dicembre 1996, n. 675 (di seguito denominata  "Legge"), nel decreto legislativo 30 luglio 1999,  n.  281,  e loro successive modificazioni e integrazioni. Ai fini medesimi, si intende inoltre per:

a)  "trattamento per scopi statistici", qualsiasi trattamento effettuato per finalità di indagine statistica o di produzione, conservazione e diffusione di risultati statistici in attuazione del programma statistico  nazionale o per effettuare informazione statistica in conformità agli ambiti istituzionali dei soggetti di cui all'articolo 1;

b)  "risultato statistico", l'informazione ottenuta con il trattamento di dati personali  per  quantificare  aspetti  di un fenomeno collettivo;

c) "variabile pubblica", il carattere o la  combinazione  di caratteri,  di  tipo qualitativo o quantitativo, oggetto di una rilevazione  statistica  che  faccia  riferimento  ad  informazioni presenti in pubblici  registri,  elenchi, atti, documenti o fonti conoscibili da chiunque;

d)  "unità statistica", l'entità alla quale sono riferiti o riferibili i dati trattati.

Art. 3                (Identificabilità dell'interessato)

1. Agli effetti dell'applicazione del presente codice:

a) un interessato si ritiene identificabile quando, con l'impiego di mezzi  ragionevoli, è possibile stabilire un'associazione significativamente probabile tra la combinazione delle modalità delle variabili relative ad una unità statistica e i dati identificativi della medesima;

b) i mezzi  ragionevolmente  utilizzabili  per  identificare  un interessato afferiscono, in particolare, alle seguenti categorie:   risorse economiche;   risorse di tempo;   archivi nominativi o altre fonti di informazione contenenti dati identificativi congiuntamente ad un sottoinsieme delle variabili oggetto di comunicazione o diffusione;   archivi, anche non nominativi, che forniscano ulteriori informazioni oltre   a quelle oggetto di  comunicazione  o diffusione;   risorse hardware e software per effettuare le elaborazioni necessarie  per  collegare informazioni non nominative ad un soggetto identificato, tenendo  anche conto delle effettive possibilità di pervenire in modo illecito alla sua identificazione  in  rapporto  ai  sistemi  di  sicurezza  ed al software di controllo adottati;  conoscenza delle procedure di estrazione campionaria, imputazione, correzione  e protezione  statistica adottate per la produzione dei dati;

c) in caso di comunicazione e di diffusione, l'interessato può ritenersi  non identificabile se il rischio di identificazione, in termini di probabilità di identificare l'interessato stesso tenendo conto dei dati comunicati o diffusi, è tale da far ritenere sproporzionati i mezzi eventualmente necessari per procedere  all'identificazione  rispetto alla lesione o al pericolo di lesione dei diritti degli interessati che può derivarne, avuto altresì riguardo al vantaggio che se ne può trarre.

Art. 4     (Criteri per la valutazione del rischio di identificazione)

1.   Ai fini della comunicazione e diffusione di risultati statistici, la  valutazione  del  rischio di identificazione tiene conto dei seguenti criteri:

a) si considerano dati aggregati le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un'intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia. Il valore minimo attribuibile alla soglia è pari a tre;

b) nel valutare il valore della soglia si deve tenere conto del livello di riservatezza delle informazioni;

c)  i risultati statistici relativi a sole variabili pubbliche non sono soggetti alla regola della soglia;

d)  la  regola  della  soglia può non essere osservata qualora il risultato statistico non consenta ragionevolmente l'identificazione di unità statistiche, avuto riguardo al tipo di rilevazione e alla natura delle variabili associate;

e) i risultati statistici relativi a una stessa popolazione possono essere diffusi in modo che non siano possibili collegamenti tra loro o con altre  fonti  note  di informazione, che rendano possibili eventuali identificazioni;

f) si presume che sia adeguatamente tutelata la riservatezza nel caso in cui tutte le unità statistiche di una popolazione presentino la medesima modalità di una variabile.

2.   Nel programma statistico nazionale sono individuate le variabili  che  possono essere diffuse in forma disaggregata, ove ciò risulti necessario per soddisfare particolari esigenze conoscitive anche di carattere internazionale o comunitario.

3.  Nella comunicazione di collezioni campionarie di dati, il rischio di identificazione deve essere per quanto possibile contenuto. Tale limite e la metodologia per la stima del rischio di identificazione  sono  individuati  dall'Istat  che, attenendosi ai criteri  di  cui  all'art. 3, comma 1, lett. d), definisce anche le modalità di rilascio dei dati dandone comunicazione allaCommissione per la garanzia dell'informazione statistica.

Art. 5    (Trattamento di dati sensibili da parte di soggetti privati)

1. I soggetti privati che partecipano al sistema statistico nazionale ai sensi della legge 28 aprile 1998, n. 125, raccolgono o trattano ulteriormente  dati sensibili  per scopi statistici di regola in forma anonima, fermo restando quanto previsto dall'art. 6-bis,  comma  1, del decreto legislativo 6 settembre 1989, n. 322, come introdotto dal decreto legislativo 30 luglio 1999, n. 281, e successive modificazioni e integrazioni.

2. In casi particolari in cui scopi statistici, legittimi e specifici, del trattamento di dati sensibili non possono essere raggiunti senza l'identificazione anche temporanea degli interessati, per garantire la legittimità del trattamento medesimo è necessario che concorrano i seguenti presupposti:

a)  l'interessato  abbia  espresso liberamente il proprio consenso sulla base degli elementi previsti per l'informativa;

b) il  titolare adotti specifiche misure per mantenere separati i dati identificativi già al momento della raccolta, salvo che ciò risulti   irragionevole   o   richieda  uno  sforzo  manifestamente sproporzionato;

c) il trattamento risulti preventivamente autorizzato dal Garante, anche  sulla base di un'autorizzazione relativa a categorie di dati o tipologie di trattamenti, o sia compreso nel programma statistico nazionale.

3. Il consenso è manifestato per iscritto. Qualora la raccolta dei dati sensibili sia effettuata con particolari modalità quali interviste telefoniche  o  assistite  da elaboratore che rendano particolarmente gravoso per l'indagine acquisirlo per iscritto, il consenso, purché espresso, può essere documentato per iscritto. In tal caso, la documentazione dell'informativa resa all'interessato e dell'acquisizione del relativo consenso è conservata dal titolare del trattamento per tre anni.

CAPO II               INFORMATIVA, COMUNICAZIONE E DIFFUSIONE

Art. 6                            (Informativa)

1.  Oltre alle informazioni di cui all'art. 10 della Legge, all'interessato  o alle persone presso le quali i dati personali dell'interessato sono   raccolti per uno scopo statistico è rappresentata l'eventualità che essi possono essere trattati per altri scopi  statistici, in  conformità a quanto  previsto dai decreti legislativi  6 settembre 1989, n. 322 e 30 luglio 1999, n. 281, e loro successive modificazioni e integrazioni.

2. Quando il trattamento riguarda dati personali non raccolti presso   l'interessato e il conferimento dell'informativa  a quest'ultimo richieda uno sforzo sproporzionato rispetto al diritto tutelato, in base a quanto previsto dall'art. 10, comma 4 della Legge, l'informativa stessa si considera resa se il trattamento è incluso  nel programma statistico nazionale o è oggetto di pubblicità con idonee modalità da comunicare preventivamente al Garante il quale può prescrivere eventuali misure ed accorgimenti.

3. Nella raccolta di dati per uno scopo statistico, l'informativa alla persona presso la quale i dati sono raccolti può essere differita per la  parte  riguardante le specifiche finalità, le modalità del trattamento cui sono destinati i dati, qualora ciò risulti necessario per il raggiungimento   dell'obiettivo dell'indagine -in  relazione  all'argomento  o alla natura della stessa - e purché il trattamento non riguardi dati sensibili. In tali casi,  il  completamento dell'informativa deve essere fornito all'interessato  non  appena  vengano a cessare i motivi che ne avevano  ritardato la comunicazione,  a meno che ciò comporti un impiego di mezzi palesemente sproporzionato. Il  soggetto responsabile della ricerca deve redigere un documento successivamente  conservato per almeno due anni dalla conclusione della ricerca e reso disponibile a tutti i soggetti che esercitano i diritti di cui all'art. 13 della Legge - in cui siano indicate le specifiche  motivazioni  per  le  quali si è ritenuto di differire l'informativa, la parte di informativa differita, nonché le modalità seguite per informare gli interessati quando sono venute meno le ragioni che avevano giustificato il differimento.

4. Quando le   circostanze  della  raccolta  e  gli  obiettivi dell'indagine  sono tali da consentire ad un soggetto di rispondere in  nome e per conto di un altro, in quanto familiare o convivente, l'informativa all'interessato può essere data anche per il tramite del soggetto rispondente.

Art. 7 (Comunicazione a soggetti non facenti parte del sistema statistico nazionale)

1.  Ai  soggetti  che  non  fanno  parte  del  sistema  statistico nazionale  possono essere comunicati, sotto forma di collezioni campionarie, dati  individuali  privi di ogni riferimento che ne permetta il collegamento con  gli interessati e comunque secondo modalità che rendano questi ultimi non identificabili.

2. La comunicazione di dati personali a ricercatori di università o ad istituti o enti di ricerca o a soci di società scientifiche a cui si applica il codice di deontologia e di buona condotta per i trattamenti di dati personali  per scopi statistici e di ricerca scientifica  effettuati  fuori dal sistema statistico nazionale, di cui all'art. 10, comma 6, del decreto legislativo 30 luglio 1999, n. 281 e successive modificazioni e integrazioni, è consentita  nell'ambito di specifici  laboratori costituiti  da soggetti del sistema statistico nazionale, a condizione che:

a)  i  dati  siano  il  risultato di trattamenti di cui i medesimi soggetti del sistema statistico nazionale siano titolari;

b) i dati comunicati siano privi di dati identificativi;

c)  le  norme in materia di segreto statistico e di protezione dei dati   personali, contenute anche nel presente codice, siano rispettate dai ricercatori che accedono al laboratorio anche sulla  base di una preventiva dichiarazione di impegno;

d) l'accesso al laboratorio sia controllato e vigilato;

e) non sia consentito l'accesso ad archivi di dati diversi da quello oggetto della comunicazione;

f)  siano adottate misure idonee affinché le  operazioni  di immissione e  prelievo  di  dati  siano inibite ai ricercatori che utilizzano il laboratorio;

g) il rilascio dei risultati delle elaborazioni effettuate dai ricercatori che utilizzano il laboratorio sia autorizzato solo dopo una preventiva  verifica,  da  parte  degli addetti al laboratorio   stesso, del rispetto delle norme di cui alla lettera c).

3. Nell'ambito di progetti congiunti, finalizzati anche  al perseguimento di compiti istituzionali del titolare del trattamento che ha originato i dati, i  soggetti del sistema statistico nazionale  possono comunicare dati personali a ricercatori operanti per conto di università, altre istituzioni pubbliche e organismi aventi finalità di ricerca, purché sia garantito il rispetto delle condizioni seguenti:

a)  i  dati  siano  il  risultato di trattamenti di cui i medesimi soggetti del sistema statistico nazionale sono titolari;

b) i dati comunicati siano privi di dati identificativi;

c)  la  comunicazione avvenga sulla base di appositi protocolli di ricerca  sottoscritti  da  tutti  i  ricercatori che partecipano al progetto;

d) nei medesimi protocolli siano esplicitamente previste, come vincolanti  per tutti i ricercatori che partecipano al progetto, le norme in materia  di  segreto statistico e di protezione dei dati personali contenute anche nel presente codice.

4.  E' vietato ai ricercatori ammessi alla comunicazione dei dati di effettuare trattamenti per fini diversi da quelli esplicitamente previsti dal protocollo di ricerca, di conservare i dati comunicati oltre i termini di durata del progetto, di comunicare ulteriormente i dati a terzi.

Art. 8 (Comunicazione dei dati tra soggetti del Sistema statistico nazionale)

1.  La comunicazione di dati personali, privi di dati identificativi,  tra i soggetti del sistema statistico nazionale è consentita per i trattamenti statistici, strumentali al perseguimento delle finalità istituzionali del   soggetto richiedente, espressamente determinati all'atto della richiesta, fermo  restando  il  rispetto  dei  principi di pertinenza e di non eccedenza.

2. La  comunicazione  anche  dei  dati  identificativi  di unità statistiche  tra i soggetti  del  sistema statistico nazionale è consentita,  previa  motivata richiesta in cui siano esplicitate le finalità perseguite ai sensi del decreto legislativo 6 settembre 1989, n. 322, ivi comprese le finalità di ricerca scientifica per gli enti di  cui all'art. 2 del decreto legislativo medesimo, qualora il  richiedente dichiari che non sia possibile conseguire altrimenti  il  medesimo  risultato  statistico  e, comunque, nel rispetto dei principi di pertinenza e di stretta necessità.

3. I dati comunicati ai sensi  dei commi 1 e 2 possono essere trattati  dal  soggetto  richiedente, anche successivamente, per le sole finalità perseguite  ai  sensi  del decreto  legislativo 6 settembre  1989,  n.  322,  ivi  comprese  le  finalità di ricerca scientifica  per gli enti di cui all'art. 2 del decreto legislativo medesimo,  nei  limiti  previsti  dal decreto legislativo 30 luglio 1999, n. 281, e nel rispetto delle misure di sicurezza previste dall'art. 15 della Legge e successive modificazioni e integrazioni.

Art. 9                      (Autorità di controllo)

1.  La Commissione per la garanzia dell'informazione statistica di cui all'art. 12  del decreto legislativo 6 settembre 1989, n. 322 contribuisce alla corretta applicazione delle disposizioni del presente codice e, in particolare, di quanto previsto al precedente  art. 8, segnalando al Garante i casi di inosservanza.

CAPO III  SICUREZZA E REGOLE DI CONDOTTA

Art. 10                         (Raccolta dei dati)

1. I soggetti di cui all'art. 1 pongono specifica attenzione nella selezione  del personale incaricato della raccolta dei dati e nella definizione dell'organizzazione  e delle modalità di rilevazione, in modo  da  garantire il rispetto del presente codice e la tutela dei diritti degli interessati,   procedendo  altresì alla designazione degli incaricati del trattamento, secondo le modalità di legge.

2. In ogni caso, il personale incaricato della raccolta si attiene alle disposizioni contenute nel presente codice e alle istruzioni ricevute. In particolare:

a)  rende  nota la  propria  identità,  la propria funzione e le finalità della raccolta, anche attraverso adeguata documentazione;

b)  fornisce  le  informazioni di cui all'art. 10 della Legge e di cui  all'art. 6 del presente codice, nonché ogni altro chiarimento che  consenta  all'interessato  di  rispondere  in  modo adeguato e consapevole,  evitando  comportamenti che possano configurarsi come artifici o indebite pressioni;

c)  non  svolge  contestualmente  presso  gli  stessi  interessati attività di rilevazione di dati per conto di più titolari, salvo espressa autorizzazione;

d) provvede tempestivamente alla correzione degli errori e delle inesattezze delle informazioni acquisite nel corso della raccolta;

e)  assicura  una  particolare  diligenza  nella  raccolta di dati personali di cui agli articoli 22, 24 e 24 bis della legge.

Art. 11                      (Conservazione dei dati)

1. I dati personali possono essere conservati anche oltre il periodo necessario per il raggiungimento degli scopi per i quali sono stati raccolti  o  successivamente  trattati, in conformità all'art. 9  della Legge e all'art. 6-bis del decreto legislativo 6 settembre 1989, n. 322 e successive modificazioni e integrazioni, in  tali casi, i dati identificativi possono essere conservati fino a quando risultino necessari per:   indagini continue e longitudinali;   indagini di controllo, di qualità e di copertura;   definizione di disegni campionari e selezione di unità di rilevazione;   costituzione di archivi delle unità statistiche e di sistemi informativi;   altri casi in cui ciò risulti essenziale e adeguatamente documentato per le finalità perseguite.

2. Nei casi di cui al comma 1, i dati identificativi sono conservati separatamente da ogni altro dato, in modo da consentirne differenti livelli di accesso, salvo che ciò risulti impossibile in ragione delle particolari  caratteristiche  del trattamento o comporti un impiego di mezzi manifestamente sproporzionati rispetto al diritto tutelato.

Art. 12.                        (Misure di sicurezza)

1. Nell'adottare le misure di sicurezza di cui all'art. 15, comma 1, della  Legge e  di cui al regolamento previsto dal comma 2 del medesimo  articolo,  il  titolare del trattamento determina anche i differenti livelli di accesso ai dati personali con riferimento alla  natura dei dati stessi e alle funzioni dei soggetti coinvolti nei trattamenti.

2. I soggetti di cui all'art. 1 adottano le cautele previste dagli artt. 3 e 4 del decreto legislativo 11 maggio 1999, n. 135 in riferimento ai dati di cui agli articoli 22 e 24 della Legge.

Art. 13              (Esercizio dei diritti dell'interessato)

1.  In  caso  di  esercizio  dei  diritti di cui all'art. 13 della Legge, l'interessato può accedere  agli  archivi  statistici contenenti  i dati che lo riguardano per chiederne l'aggiornamento, la rettifica o l'integrazione, sempre  che tale operazione non risulti impossibile per la natura o lo stato del trattamento, o comporti un impiego di mezzi manifestamente sproporzionati.

2. In attuazione dell'art. 6-bis, comma 8, del decreto legislativo 6 settembre 1989, n. 322, il responsabile del trattamento annota in appositi  spazi o registri le modifiche richieste dall'interessato, senza variare i dati originariamente immessi nell'archivio, qualora tali  operazioni  non  producano effetti significativi sull'analisi statistica o sui risultati statistici connessi al trattamento. In particolare, non si procede alla variazione se le  modifiche richieste  contrastano  con le classificazioni e con le metodologie statistiche adottate in conformità alle norme internazionali comunitarie e nazionali.

Art. 14                        (Regole di condotta)

1. I responsabili e gli incaricati del trattamento che, anche per motivi  di  lavoro, studio  e ricerca abbiano legittimo accesso ai dati personali trattati per scopi statistici, conformano il proprio comportamento anche alle seguenti disposizioni:

a)  i  dati  personali  possono essere utilizzati soltanto per gli scopi definiti all'atto della progettazione del trattamento;

b) i dati personali devono essere conservati in modo da evitarne la  dispersione,  la sottrazione e ogni altro uso non conforme alla   legge e alle istruzioni ricevute;

c) i dati  personali e le notizie non disponibili al pubblico di cui si   venga a conoscenza in occasione dello svolgimento dell'attività statistica  o  di attività ad essa strumentali non possono  essere  diffusi,  ne'  altrimenti utilizzati per interessi privati, propri o altrui;

d) il lavoro svolto   deve   essere   oggetto   di  adeguata documentazione;

e)  le  conoscenze professionali in materia di protezione dei dati personali devono essere adeguate costantemente all'evoluzione delle  metodologie e delle tecniche;

f)  la comunicazione e la diffusione dei risultati statistici devono essere  favorite, in  relazione  alle esigenze conoscitive degli utenti, purché nel rispetto delle norme sulla protezione dei dati personali.

2. I responsabili e gli incaricati del trattamento di cui al comma 1 sono tenuti a conformarsi alle disposizioni del presente codice,  anche  quando non siano vincolati al rispetto del segreto d'ufficio o del segreto professionale. I titolari del trattamento adottano le misure  opportune  per garantire la conoscenza di tali disposizioni da parte dei responsabili e degli incaricati medesimi.

3. I comportamenti non conformi alle regole di condotta dettate dal  presente  codice  devono  essere  immediatamente segnalati al responsabile o al titolare del trattamento.

ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA

(Artt. da 33 a 36 del codice)

Trattamenti con strumenti elettroniciModalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica

1.  Il  trattamento di dati personali con strumenti elettronici è consentito  agli incaricati dotati di credenziali di autenticazione che  consentano  il  superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

2.  Le  credenziali  di autenticazione consistono in un codice per l'identificazione  dell'incaricato  associato  a  una parola chiave riservata   conosciuta   solamente   dal   medesimo  oppure  in  un dispositivo   di   autenticazione   in  possesso  e  uso  esclusivo dell'incaricato, eventualmente associato a un codice identificativo o  a  una  parola  chiave,  oppure in una caratteristica biometria dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

3.  Ad  ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.

4.  Con  le  istruzioni impartite agli incaricati è prescritto di adottare  le  necessarie cautele per assicurare la segretezza della componente  riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.

5. La  parola   chiave,  quando è prevista  dal  sistema  di autenticazione, è composta  da almeno otto caratteri oppure, nel caso  in cui lo strumento elettronico non lo permetta, da un numero di  caratteri  pari  al  massimo  consentito;  essa  non  contiene riferimenti   agevolmente   riconducibili   all'incaricato   ed è modificata  da  quest'ultimo  al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati  giudiziari  la  parola  chiave  e' modificata almeno ogni tre mesi.

6.  Il  codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.

7.  Le  credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

8.  Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito  e  accessibile  lo  strumento  elettronico durante una sessione di trattamento.

10. Quando l'accesso ai dati e agli strumenti elettronici è consentito  esclusivamente  mediante uso della componente riservata della  credenziale  per  l'autenticazione,  sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare  può assicurare la disponibilità  di   dati  o  strumenti  elettronici  in  caso  di prolungata assenza o impedimento  dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema.In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.

11. Le  disposizioni  sul  sistema  di  autenticazione  di cui ai precedenti  punti e quelle sul sistema di autorizzazione non si applicano  ai  trattamenti  dei  dati  personali  destinati  alla diffusione.

Sistema di autorizzazione

12. Quando per gli incaricati  sono  individuati  profili  di autorizzazione di ambito  diverso è utilizzato  un  sistema di autorizzazione.

13.  I  profili  di  autorizzazione,  per ciascun incaricato o per classi  omogenee  di  incaricati,  sono  individuati  e configurati anteriormente  all'inizio  del  trattamento,  in  modo  da limitare l'accesso  ai  soli  dati necessari per effettuare le operazioni di trattamento.

14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza

15.  Nell'ambito  dell'aggiornamento  periodico con cadenza almeno annuale  dell'individuazione dell'ambito del trattamento consentito ai singoli  incaricati e addetti alla gestione o alla manutenzione degli  strumenti elettronici, la lista degli incaricati può essere redatta  anche  per  classi  omogenee  di  incarico  e dei relativi profili di autorizzazione.

16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale,  mediante  l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

17.  Gli  aggiornamenti  periodici  dei  programmi per elaboratore volti a  prevenire  la vulnerabilità di strumenti elettronici e a correggerne  difetti sono effettuati almeno annualmente. In caso di trattamento  di  dati  sensibili  o  giudiziari  l'aggiornamento è almeno semestrale.

18.   Sono  impartite  istruzioni  organizzative  e  tecniche  che prevedono il salvataggio dei dati con frequenza almeno settimanale.

Documento programmatico sulla sicurezza

19.  Entro il 31 marzo di ogni anno, il titolare di un trattamento di  dati  sensibili o di dati giudiziari redige anche attraverso il responsabile,   se  designato,  un  documento  programmatico  sulla sicurezza contenente idonee informazioni riguardo:

19.1. l'elenco dei trattamenti di dati personali;

19.2. la   distribuzione dei compiti e delle  responsabilità nell'ambito delle strutture preposte al trattamento dei dati;

19.3. l'analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

19.5. la  descrizione dei criteri e delle modalità per il ripristino della  disponibilità dei  dati  in  seguito  a  distruzione o danneggiamento di cui al successivo punto 23;

19.6. la  previsione  di interventi formativi degli incaricati del trattamento,  per renderli edotti dei rischi che incombono sui dati, delle misure  disponibili per prevenire eventi dannosi, dei  profili della disciplina  sulla  protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi  sulle  misure  minime  adottate  dal  titolare. La formazione è programmata già al  momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;

19.8. per  i dati personali idonei a rivelare lo stato di salute e la vita  sessuale di cui al punto 24, l'individuazione dei criteri da  adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

20.  I  dati sensibili o giudiziari sono protetti contro l'accesso abusivo,  di  cui  all'art.  615-ter  del  codice  penale,  mediante l'utilizzo di idonei strumenti elettronici.

21.  Sono  impartite istruzioni  organizzative  e tecniche per la custodia e  l'uso  dei supporti rimovibili su cui sono memorizzati i dati  al  fine  di  evitare accessi non autorizzati e trattamenti non consentiti.

22.  I  supporti rimovibili contenenti dati sensibili o giudiziari se  non  utilizzati  sono  distrutti  o  resi  inutilizzabili, ovvero possono  essere  riutilizzati da altri incaricati, non autorizzati al trattamento  degli stessi dati, se le informazioni precedentemente in essi  contenute  non  sono intelligibili e tecnicamente in alcun modo ricostruibili.

23. Sono adottate idonee  misure  per  garantire  il ripristino dell'accesso  ai  dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

24.   Gli  organismi  sanitari  e  gli  esercenti  le  professioni sanitarie  effettuano  il  trattamento  dei dati idonei a rivelare lo stato  di  salute e la vita sessuale contenuti in elenchi, registri o banche  di dati con le modalità di cui all'articolo 22, comma 6, del codice,  anche  al  fine  di  consentire il trattamento disgiunto dei medesimi   dati   dagli   altri  dati  personali  che  permettono  di identificare   direttamente   gli   interessati.   I   dati  relativi all'identità  genetica  sono  trattati esclusivamente all'interno di locali  protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno  dei  locali  riservati  al  loro  trattamento deve avvenire   in   contenitori   muniti   di   serratura  o  dispositivi equipollenti;  il  trasferimento  dei  dati in formato elettronico è cifrato.

Misure di tutela e garanzia

25.  Il titolare che adotta misure minime di sicurezza avvalendosi di  soggetti esterni alla propria  struttura, per provvedere alla esecuzione   riceve dall'installatore una descrizione scritta dell'intervento effettuato  che  ne  attesta  la  conformità alle disposizioni del presente disciplinare tecnico.

26.  Il  titolare  riferisce,  nella relazione accompagnatoria del bilancio   d'esercizio,   se   dovuta, dell'avvenuta   redazione  o aggiornamento del documento programmatico sulla sicurezza.        Trattamenti senza l'ausilio di strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato,  e  dell'incaricato,  in  caso  di  trattamento  con strumenti diversi da quelli elettronici:

27.  Agli incaricati sono impartite istruzioni scritte finalizzate al  controllo  ed  alla  custodia, per l'intero ciclo necessario allo svolgimento  delle  operazioni  di  trattamento,  degli  atti  e  dei documenti  contenenti  dati personali. Nell'ambito dell'aggiornamento periodico  con cadenza almeno annuale dell'individuazione dell'ambito del  trattamento  consentito  ai  singoli  incaricati, la lista degli incaricati  può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

28.  Quando  gli  atti  e  i  documenti  contenenti dati personali sensibili  o giudiziari sono affidati agli incaricati del trattamento per  lo svolgimento dei relativi compiti, i medesimi atti e documenti sono  controllati e custoditi dagli incaricati fino alla restituzione in  maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

29.  L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di  chiusura,  sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di  incaricati  della  vigilanza,  le  persone  che  vi accedono sono preventivamente autorizzate.

ALLEGATO C) TRATTAMENTI  NON  OCCASIONALI  EFFETTUATI IN AMBITO GIUDIZIARIO O PER  FINI DI POLIZIA

(Artt. 46 e 53 del codice)

Ommissis