[Relazione sul DDL] [Homepage]

TUTELA DELLE PERSONE RISPETTO AL
TRATTAMENTO DI DATI PERSONALI

Disegno di legge approvato dal Consiglio dei ministri l'11-1-1995


CAPO I - PRINCIPI GENERALI

ART. 1 (Definizioni)

1. Ai fini della presente legge si intende:

a) per "banca di dati", Qualsiasi insieme di dati personali, ripartito in una o piu' unita' dislocate in uno o piu' siti, organizzato secondo una pluralita' di criteri determinati tali da facilitarne il trattamento;

b) per "trattamento", qualunque operazione, svolta con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernente la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati;

c) per "dato personale", qualunque informazione relativa a persona fisica, persona giuridica od ente, identificati o identificabili anche indirettamente, mediante riferimento a qualsiasi altra informazione ivi compreso un numero di identificazione personale;

d) per "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente od organismo cui competono le decisioni in ordine alle finalita' ed alle modalita' del trattamento di dati personali, ivi compreso il profilo della sicurezza;

e) per "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente od organismo preposto dal titolare al trattamento di dati personali;

f) per "interessato", la persona fisica, la persona giuridica o l'ente cui si riferiscono i dati personali;

g) per "comunicazione", il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

h) per "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

i) per "dato anonimo", il dato che in origine, o a seguito di trattamento, non puo' essere associato ad un interessato identificato o identificabile;

l) per "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;

m) per "Garante", l'autorita' istituita ai sensi dell'articolo 19.

ART. 2 (Campo di applicazione)

1. La presente legge si applica al trattamento di dati personali da chiunque effettuato nel territorio dello Stato, ad eccezione di quello posto in essere da persone fisiche, a fini esclusivamente personali, sempreche' i dati non siano destinati ad una comunicazione sistematica o alla diffusione.

2. Il trattamento di dati personali svolto senza l'ausilio di mezzi elettronici o comunque automatizzati e' soggetto alle disposizioni della presente legge limitatamente al dati registrati in una banca di dati o che, all'atto della raccolta o nel corso di una successiva operazione, sono suscettibili di essere registrati in una banca di dati.

3. Salvo quanto previsto dall'articolo 18, commi 1 e 2, il trattamento nel territorio dello Stato di dati personali detenuti all'estero e' disciplinato dal comma 3 del medesimo articolo.

4. La presente legge non si applica al trattamento di dati personali effettuato:

a) dal Centro elaborazione dati di cui all'articolo 8 della legge 1 aprile 1981, n. 121, come modificato dall'articolo 33 della presente legge, ovvero sui dati destinati in base alla legge a confluirvi, nonche' ln virtu' della Convenzione di applicazione dell'Accordo di Schengen resa esecutiva con legge 30 settembre 1993, n. 388;

b) dagli organismi di cui agli articoli 3, 4 e 6 della legge 24 ottobre 1977, n. 801, ovvero sui dati coperti da segreto di Stato ai sensi dell'articolo 12 della medesima legge;

c) nell'ambito del servizio del casellario giudiziale di cui al titolo IV del libro decimo del codice di procedura penale e al regio decreto 18 giugno 1931, n. 778, e successive modificazioni, o, in base alla legge, nell'ambito del servizio dei carichi pendenti nella materia penale;

d) in attuazione dell'articolo 371-bis, comma 3, del codice di procedura penale o, per ragioni di giustizia, nell'ambito di uffici giudiziari, del Consiglio superiore della magistratura e del Ministero di grazia e giustizia.

5. La presente legge non si applica, altresi', al trattamento di dati personali di cui sia titolare un soggetto pubblico, effettuato in base ad espresse disposizioni di legge che prevedano specificamente il trattamento e finalizzato alla protezione di interessi concernenti:

a) la difesa o la sicurezza dello Stato;

b) la pubblica sicurezza;

d) la prevenzione, l'accertamento o la repressione dei reati.

6. Oltre a quanto stabilito dagli articoli 6 e 20, le disposizioni degli articoli 4 e 7, commi 1, 2, 3 e 5, si applicano anche ai trattamenti di dati personali esclusi dal campo di applicazione della presente legge ai sensi dei commi 4 e 5 del presente articolo. Le disposizioni di cui ai predetti commi 1, 2, 3 e 5 dell'articolo 7 si applicano altresi' ai trattamenti di cui al comma 1 del presente articolo.

7. Oltre a quanto previsto dall'articolo 8, il trattamento dei dati concernenti persone giuridiche ed enti non e' soggetto alle disposizioni di cui agli articoli 7, comma 4, primo periodo, 11, comma 1, lettera b), n. 1) e 18.


CAPO II - TRATTAMENTO DEI DATI PERSONALI

ART. 3 (Legittimita' del trattamento)

1. La pubblica amministrazione e gli enti pubblici possono procedere al trattamento di dati personali, nei limiti stabiliti dalle leggi e dai regolamenti, solo se necessario per lo svolgimento dei relativi compiti o funzioni.

2. Il trattamento di dati personali da parte di privati e di enti pubblici economici e' consentito solo con il consenso espresso dell'interessato. Salvo quanto stabilito nell'articolo 5 e nel Capo IV, il consenso non e' richiesto quando il trattamento:

a) riguarda dati detenuti in base ad un obbligo previsto dalla legge o dalla normativa comunitaria;

b) e' necessario per l'esecuzione di obblighi derivanti da un contratto del quale e' parte l'interessato, ovvero di misure precontrattuali prese su richiesta di quest'ultimo;

c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;

d) e' finalizzato unicamente a scopi di ricerca scientifica o di statistica;

e) e' effettuato nell'ambito dell'esercizio della professione giornalistica e per l'esclusivo perseguimento delle relative finalita';

f) riguarda dati relativi allo svolgimento di attivita' economiche da parte di persone fisiche e giuridiche, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

g) e' necessario per la salvaguardia della vita o dell'incolumita' fisica dell'interessato.

3. Il consenso dell'interessato puo' riguardare l'intero trattamento ovvero una o piu' operazioni di cui all'articolo 1, comma 1, lettera b).

ART. 4 (Requisiti dei dati personali)

1. I dati personali oggetto di trattamento debbono essere:

a) trattati in modo lecito e corretto;

b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;

c) esatti e, se necessario, aggiornati;

d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati;

e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

ART. 5 (Categorie particolari di dati)

1. I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o altri credo e le opinioni politiche possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante. I dati personali idonei a rivelare l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere politico, sindacale, religioso o filosofico, o che professano altri credo, ovvero lo stato di salute e la vita sessuale, possono essere oggetto di trattamento solo con il consenso scritto dell'interessato.

2. Fermo restando quanto previsto dall'articolo 16, commi e 2, i dati personali idonei a rivelare le anomalie fisiche e psichiche, l'uso di sostanze alcooliche o intossicanti, i comportamenti e le caratteristiche sessuali o comunque concernenti lo stato di salute, possono essere oggetto di trattamento senza il consenso dell'interessato da parte di esercenti le professioni sanitarie, di organismi sanitari pubblici o di enti previdenziali, per esclusive finalita' di tutela dell'incolumita' fisica o della salute di singoli o della collettivita', e limitatamente ai dati e alle operazioni indispensabili al perseguimento delle medesime finalita'.

3. Salvo quanto previsto dal comma 2 del presente articolo e dall'articolo 16, comma 2, il trattamento dei dati indicati nel comma 1 ad opera della pubblica amministrazione o di enti pubbli ci e' consentito solo se risulta indispensabile per il perseguimento di rilevanti finalita' di interesse pubblico, e se autorizzato da espressa disposizione di legge nella quale siano specificati i tipi di dati dei quali e' indispensabile il trattamento, le finalita' perseguite e le precise operazioni del trattamento autorizzate.

4. I dati personali idonei a rivelare i provvedimenti di cui all'articolo 686, commi 1, lettere 8) e d), 2 e 3, del codice di procedura penale, possono oggetto di trattamento soltanto in riferimento a banche di dati individuate per legge, di cui sia titolare un soggetto pubblico, nei limiti di quanto stabilito dal comma 3 del presente articolo.

5. Il consenso dell'interessato e l'autorizzazione di cui al comma 1 non sono richiesti quando il trattamento dei dati di cui al presente articolo e' effettuato ai sensi dell'art. 3, comma 2, lettera e).

6. Coloro che esercitano l'attivita' assicurativa possono essere autorizzati dal Garante, sulla base di adeguate garanzie, a trattare i dati personali relativi allo stato di salute, quando il trattamento e' indispensabile per l'accertamento o per la prevenzione di illeciti connessi alla medesima attivita'.

ART. 6 (Limiti all'utilizzabilita' di dati personali)

1. Nessun atto o provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento umano puo' avere per unico fondamento un trattamento automatizzato di dati personali volto a definire il profilo o la personalita' dell'interessato.

2. L'interessato puo' opporsi ad ogni altro tipo di decisione adottata sulla base del trattamento di cui al comma 1 del presente articolo, ai sensi dell'articolo 11, comma 1, lettera c ).

ART. 7 (Sicurezza dei dati)

1. I dati personali oggetto di trattamento devono essere custoditi, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche della banca di dati, in modo da ridurre al mini mo, mediante l'adozione di idonee e preventive misure di protezione, il rischio di una distruzione o perdita anche accidentale, di un accesso non autorizzato o di un trattamento non consentito o non conforme alle finalita' della raccolta.

2. Con decreto del Presidente della Repubblica, da emanare, ai sensi dell'articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400, su proposta del Ministro di grazia e giustizia, di concerto con i Ministri dell'industria, del commercio e dell'artigianato, dell'interno, del tesoro e delle poste e delle telecomunicazioni, entro centottanta giorni dalla data di entrata in vigore della presente legge, sono individuate le misure minime di protezione da adottare ai fini di cui al comma 1 del presente articolo.

3. Con successivo decreto da adottare nelle medesime forme di cui al comma 2 entro il termine di due anni dalla data di entrata in vigore della presente legge, le misure di cui al medesimo comma 2 sono adeguate in relazione all'evoluzione tecnica del settore e all'esperienza maturata. Ulteriori ed analoghi adeguamenti sono apportati successivamente, nelle medesime forme di cui al comma 2, ad intervalli di regola non inferiori, ciascuno, ad un biennio.

4. Se per qualsiasi causa cessa il trattamento dei dati, il titolare e' tenuto a notificare preventivamente al Garante la distruzione dei dati, la loro cessione ad altro titolare, o la conservazione per i fini indicati nell'articolo 2, comma 1. L'eventuale cessione dei dati ad altro titolare e' priva di effetti se consente un trattamento per finalita' incompatibili con gli scopi in base ai quali i dati sono raccolti ovvero se e' compiuta in violazione di altre disposizioni di legge in materia di trattamento di dati personali.

5. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali, e' tenuto al risarcimento se non prova di avere adottato tutte le misure idonee ad evitare il danno.

6. Agli organismi di cui all'articolo 2, comma 4, lettera b), si applicano le regole tecniche stabilite dall'alto funzionario dello Stato cui siano attribuite, con decreto del Presidente del Consiglio dei ministri, le funzioni di autorita' nazionale per la sicurezza.

ART. 8 (Notificazione)

1. Salvo quanto previsto dal comma 5, il titolare che intenda procedere ad un trattamento di dati personali soggetto al campo di applicazione della presente legge e' tenuto a darne previa notificazione al Garante.

2. La notificazione di cui al comma 1 puo' riguardare uno o piu' trattamenti aventi finalita' correlate, deve contenere la sottoscrizione del notificante e del responsabile del trattamento autenticate nei modi di legge e deve indicare:

a) il nome, la denominazione o la ragione sociale, il domicilio, la residenza o la sede del titolare;

b) le finalita' del trattamento;

c) la natura dei dati, il luogo ove sono custoditi e le categorie di interessati alle quali si riferiscono;

d) l'ambito di comunicazione e di diffusione dei dati;

e) le categorie di misure tecniche ed organizzative adottate per la sicurezza dei dati;

f) l'eventuale connessione con altri trattamenti o banche di dati, anche fuori del territorio nazionale;

g) il tempo previsto per la conservazione e per la comunicazione o diffusione dei dati;

h) il nome e il domicilio o la residenza del responsabile del trattamento.

3. In difetto di indicazione del responsabile del trattamento e' ritenuto tale il notificante.

4. Ogni variazione inerente al contenuto della notificazione deve essere preventivamente comunicata al Garante mediante nuova notificazione.

5. Salvo che riguardi taluno dei dati di cui all'articolo 5, il trattamento dei dati personali svolto senza l'ausilio di mezzi elettronici o comunque automatizzati, ovvero concernente persone giuridiche o enti, non e soggetto all'obbligo di notificazione.

6. I soggetti tenuti ad iscriversi o che vanno annotati nel registro delle imprese di cui all'articolo 2188 del codice civi le, nonche' coloro che devono fornire le informazioni di cui all'articolo 8, comma 8, lettera d), della legge 29 dicembre 1993, n. 580 alle Camere di commercio, industria, artigianato ed agricoltura, possono effettuare le notificazioni di cui al presente articolo e all'articolo 18 per il tramite di queste ultime, secondo le modalita' stabilite con il decreto di cui all'articolo 21, comma 3.

7. Qualora riguardi taluno dei dati di cui all'articolo 5, comma 1, secondo periodo, il trattamento non puo' essere iniziato prima che siano decorsi quarantacinque giorni dalla data della notificazione. Durante tale termine, ovvero successivamente, il Garante puo' disporre opportune verifiche e l'adozione di misure o accorgimenti a garanzia dell'interessato, che il titolare e tenuto ad adottare.

ART. 9 (Responsabile del trattamento)

1. Qualora il titolare intenda procedere alla designazione di un responsabile del trattamento, la scelta deve cadere su soggetti che per esperienza, capacita' ed affidabilita' forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il responsabile procede al trattamento attenendosi alle istruzioni impartite dal titolare. Quest'ultimo e' tenuto, anche tramite verifiche periodiche, a vigilare circa la puntuale osservanza delle predette disposizioni.

2. Ove necessario per esigenze organizzative, possono essere designati responsabili del trattamento piu' soggetti, anche mediante suddivisione di compiti.

3. I compiti affidati al responsabile del trattamento devono essere analiticamente specificati per iscritto.


CAPO III - DIRITTI DELL'INTERESSATO

ART. 10 (Informazioni al momento della raccolta)

1. La persona presso la quale sono raccolti dati personali deve essere previamente informata circa:

a) le finalita' e le modalita' del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze, nei suoi confronti o nei confronti dell'interessato, di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 11;

f) il nome e il domicilio o la residenza del titolare del trattamento e, se designato, del relativo responsabile.

2. L'informativa di cui al comma 1 puo' non comprendere gli elementi gia' noti alla persona che fornisce i dati o la cui conoscenza puo' ostacolare l'espletamento di funzioni pubbliche ispettive o di controllo, l'accertamento di illeciti o l'irroga zione di sanzioni da parte di organi pubblici.

3. Nei casi in cui il trattamento presuppone il consenso dell'interessato, questo deve intendersi validamente prestato solo se e' espresso liberamente e in forma specifica, e se e' stato osservato il disposto del comma 1.

ART. 11 (Diritti dell'interessato)

1. L'interessato ha diritto:

a) di conoscere, mediante accesso al registro di cui all'articolo 20, comma 1, lettera a), l'esistenza di trattamenti di dati che possono riguardarlo, e di essere informato al contempo su quanto indicato all'articolo 8, comma 2, lettere a) e b);

b) di ottenere, a cura del responsabile del trattamento, senza ritardo:

1) la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la comunicazione in forma intellegibile dei medesimi dati e della loro origine, nonche' dei criteri che sono alla base dell'elaborazione e delle altre operazioni del trattamento;

2) la cancellazione, il blocco o la trasformazione in forma anonima dei dati trattati in violazione di legge, compresi quelli di cui non e' necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti;

3) l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l'integrazione dei dati;

4) l'attestazione che le operazioni di cui ai numeri 2) e 3) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale conoscenza si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;

5) la cancellazione dei dati utilizzati al fine di invio di corrispondenza o materiale pubblicitario;

c) di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorche' pertinenti allo scopo della raccolta.

2. L'accesso previsto dal comma 1, lettera a), e' gratuito. La richiesta di cui alla lettera b), numero 1), del medesimo comma, puo' essere rinnovata nei confronti del medesimo trattamento, salvo che sussistano giustificati motivi, con scadenze non inferiori a novanta giorni. Per ciascuna richiesta di cui alla medesima lettera b), numero 1), puo' essere chiesto all'interessato un contributo spese, secondo le modalita' ed entro i limiti stabiliti dal decreto di cui all'articolo 21, comma 3.

3. In riferimento ai dati personali concernenti persone decedute, i diritti previsti dal presente articolo possono essere esercitati da chiunque vi abbia interesse.

4. Per le richieste al responsabile del trattamento e per quanto previsto dal comma 1, lettera a), l'interessato puo' delegare, per iscritto, persone fisiche o associazioni.

5. Restano ferme le norme sul segreto professionale degli esercenti la professione giornalistica.

ART. 12 (Limiti)

1. I diritti di cui all'articolo 11, comma 1, lettere b) e c), non possono essere esercitati nei confronti dei trattamenti di dati personali raccolti:

a) in base alle disposizioni del decreto legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni;

b) in base alle disposizioni del decreto legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni;

c) da Commissioni parlamentari istituite ai sensi dell'articolo 82 della Costituzione;

d) da un soggetto pubblico, in base ad espressa disposizione di legge, per esclusive finalita' inerenti la politica monetaria e valutaria, il sistema dei pagamenti, il controllo degli intermediari e dei mercati creditizi e finanziari nonche' la tutela della loro stabilita'.

2. Nei casi di cui al comma 1 del presente articolo, il Garante, anche su segnalazione dell'interessato ai sensi dell'articolo 20, comma 1, lettera d), esegue le necessarie verifiche nei modi di cui al comma 2 del medesimo articolo 20, indica le necessarie modificazioni ed integrazioni e ne verifica l'attuazione.

3. La comunicazione all'interessato di dati personali di carattere sanitario puo' essere effettuata solo per il tramite di un medico designato dall'interessato o dal titolare.

CAPO IV

COMUNICAZIONE E DIFFUSIONE DEI DATI

ART. 13 (legittimita' della comunicazione e della diffusione)

1. La comunicazione e la diffusione dei dati personali sono ammesse:

a) con il consenso espresso dell'interessato;

b) se i dati provengono da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalita' che le leggi e i regolamenti stabiliscono per la loro conoscibilita' e pubblicita';

c) in adempimento di un obbligo previsto dalla legge o dalla normativa comunitaria;

d) nell'ambito dell'esercizio della professione giornalistica e per l'esclusivo perseguimento delle relative finalita';

e) se i dati attengono allo svolgimento di attivita' economiche da parte di persone fisiche e giuridiche, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

f) quando il trattamento e' necessario per la salvaguardia della vita o dell'incolumita' fisica dell'interessato.

2. Agli effetti della presente legge, non e' considerata comunicazione la conoscenza dei dati personali da parte delle persone incaricate per iscritto di compiere le operazioni del trattamento del titolare o dal responsabile, e che operano sotto la loro diretta autorita'.

ART. 14 (Divieti)

1. Sono vietate la comunicazione e la diffusione di dati personali per finalita' diverse da quelle indicate nella notificazione di cui all'articolo 8.

2. Sono altresi' vietate la comunicazione e la diffusione di dati personali dei quali sia stata ordinata la cancellazione, ovvero quando sia decorso il periodo di tempo indicato nell'articolo 4, comma 1, lettera e).

3. Il Garante puo' vietare la diffusione di taluno dei dati relativi a singoli soggetti, od a categorie di soggetti, quando la diffusione si pone in contrasto con rilevanti interessi della collettivita'. Il provvedimento e' impugnabile ai sensi dell'articolo 22, commi 6 e 7.

ART. 15 (Comunicazione e diffusione di dati nell'ambito o da parte della pubblica amministrazione)

1. La pubblica amministrazione e gli enti pubblici possono comunicare o diffondere i dati personali da loro trattati quando la comunicazione o diffusione e' prevista da norme di legge o di regolamento, o risulti comunque necessaria per lo svolgimento dei compiti o funzioni delle amministrazioni interessate. In quest'ultimo caso, le medesime amministrazioni ne danno comunicazione al Garante il quale puo', con provvedimento motivato, vietare la comunicazione o diffusione quando risultano violate le disposizioni della presente legge.

2. La comunicazione o diffusione dei dati personali di cui al comma 1 nei confronti di privati o di enti pubblici economici e' consentita solo se prevista da norme di legge o di regolamento.

3. I criteri di organizzazione delle amministrazioni pubbliche di cui all'articolo 5, comma 1, del decreto legislativo 3 febbraio 1993, n. 29, sono attuati nel pieno rispetto delle disposizioni della presente legge.

ART. 16 (Comunicazione e diffusione dei dati sanitari)

1. La comunicazione dei dati idonei a rivelare lo stato di salute e la vita sessuale e' ammessa con il consenso scritto dell'interessato oppure se indispensabile per il trattamento sanitario dell'interessato o di terzi.

2. Il Garante puo' autorizzare la comunicazione di taluno dei dati di cui al comma 1, concernenti uno o piu' soggetti, tra strutture determinate, oppure di singole specie di dati relativi a talune categorie di soggetti tra strutture specializzate, quando sia indispensabile per scopi di prevenzione e cura sia dell'interessato che di altri soggetti o della collettivita'. L'autorizzazione e' rilasciata, salvi i casi di particolare urgenza, sentito il Consiglio superiore di sanita'. E' vietata la comunicazione dei dati ottenuti oltre i limiti fissati con l'autorizzazione.

3. Salvo quanto stabilito dell'articolo 17, comma 1, lettera b), la diffusione dei dati personali sanitari e' vietata.

ART. 17 (Eccezioni ai divieti)

1. La comunicazione e la diffusione dei dati sono comunque permesse:

a) Quando siano necessarie per finalita' di ricerca scientifica o di statistica, e si tratti di dati anonimi;

b) quando siano necessarie per scopi concernenti la difesa dello Stato, la prevenzione o l'accertamento di illeciti o l'irrogazione di sanzioni, con l'osservanza delle norme che regolano la materia.


CAPO V - TRASFERIMENTO DI DATI PERSONALI OLTRE FRONTIERA

ART. 18 (Principi)

1. Il titolare che intenda trasferire anche temporaneamente fuori del territorio nazionale, con qualsiasi forma o mezzo, dati personali oggetto di trattamento, a tenuto a darne preventiva notificazione al Garante. Il trasferimento non puo' avvenire se non sono decorsi trenta giorni dalla data della notificazione, ovvero quarantacinque giorni qualora il trasferimento riguardi taluno dei dati di cui all'articolo 5.

2. Il trasferimento di dati personali fuori del territorio nazionale puo' essere vietato ove il Garante accerti che l'ordinamento del Paese nel territorio del quale o tramite il territorio del quale ha luogo il trasferimento non garantisca un livello di protezione di grado pari a quello assicurato nell'ordinamento italiano, valutata anche la natura dei dati e le finalita' del trattamento. Si applica, per l'opposizione al divieto, il disposto dell'articolo 22, comma 6.

3. Chiunque intenda procedere nel territorio dello Stato al trattamento di dati personali detenuti all'estero, e' tenuto a darne preventiva comunicazione al Garante, nella quale devono essere specificate le finalita' del trattamento e la natura dei dati. Il trattamento e' soggetto alle disposizioni della presente legge se l'ordinamento del Paese nel quale i dati sono detenuti a quello assicurato nell'ordinamento italiano, valutata anche la natura dei dati e le finalita' del trattamento. Il Garante procede in proposito ai necessari accertamenti, dandone tempestivamente notizia al soggetto che ha effettuato la comunicazione.

4. La notificazione prevista dal comma 1 deve contenere le indicazioni previste dall'articolo 8, ed e' annotata in apposita sezione del registro previsto dall'articolo 20, comma 1, lettera a).

CAPO VI

GARANTE PER LA PROTEZIONE DEI DATI

ART. 19 (Istituzione del Garante)

1. E' istituito il Garante per la protezione dei dati.

2. Il Garante opera in piena autonomia e con indipendenza di giudizio e di valutazione.

3. Il Garante e' organo collegiale costituito dal presidente e da quattro membri, nominati con decreto del Presidente della Repubblica, su proposta formulata d'intesa tra loro dai Presidenti del Senato della Repubblica e della Camera dei deputati. Il presidente e i membri sono scelti tra persone che assicurino indipendenza e che siano esperti di riconosciuta competenza delle materie del diritto e dell'informatica.

4. Il presidente e i membri durano in carica quattro anni e non possono essere confermati per piu' di una volta; per tutta la durata dell'incarico il presidente e i membri non possono esercitare, a pena di decadenza, alcuna attivita' professionale o di consulenza, ne' essere amministratori o dipendenti di enti pubblici o privati, ne' ricoprire cariche elettive.

5. All'atto dell'accettazione della nomina il presidente e i membri sono collocati fuori ruolo se dipendenti di pubbliche amministrazioni o magistrati in attivita' di Servizio; se professori universitari di ruolo, sono collocati in aspettativa senza assegni ai sensi dell'articolo 13 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, e successive modificazioni. Il personale collocato fuori ruolo o in aspettativa non puo' essere sostituito.

6. Al presidente compete una indennita' di funzione non eccedente, nel massimo, la retribuzione spettante ai presidenti di sezione della Corte di cassazione. Al membri compete un'indennita' di funzione non eccedente, nel massimo, i due terzi di quella spettante al presidente. Le predette indennita' di funzione sono determinate, con il decreto di cui all'articolo 21, comma 3, in misura tale da poter essere corrisposte a carico degli ordinari stanziamenti.

ART. 20 (Compiti del Garante)

1. Il Garante ha il compito di:

a) istituire e tenere un registro generale dei trattamenti sulla base delle notificazioni ricevute;

b) controllare se i trattamenti di dati sono effettuati nel rispetto delle norme di legge o di regolamento e in conformita' della notificazione;

c) segnalare ai relativi titolari o responsabili le modificazioni opportune al fine di rendere il trattamento conforme alle disposizioni vigenti;

d) ricevere le segnalazioni ed i reclami degli interessati o delle associazioni che li rappresentano, relative ad inosservanze di legge o di regolamento, e provvedere sui ricorsi presentati ai sensi dell'articolo 22;

e) adottare i provvedimenti previsti dalla legge o dai regolamenti;

f) vigilare sui casi di cessazione, per qualsiasi causa, di un trattamento;

g) denunciare i fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a causa delle sue funzioni;

h) promuovere nell'ambito di categorie interessate, nell'osservanza del principio di rappresentativita', la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, verificarne la conformita' alle leggi e ai regolamenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuire a garantirne la diffusione e il rispetto;

i) curare la diffusione tra il pubblico dell'attivita' svolta, della conoscenza delle norme che regolano la materia e delle relative finalita', nonche' delle misure di sicurezza di cui all'articolo 7;

l) vietare, in tutto o in parte, il trattamento dei dati o disporne il blocco quando, in considerazione della natura dei dati o, comunque, delle modalita' del trattamento o degli effetti che esso puo' determinare, vi e' il concreto rischio del verificarsi di un pregiudizio rilevante per uno o piu' interessati;

m) segnalare al Governo l'opportunita' di provvedimenti normativi richiesti dall'evoluzione del settore;

n) predisporre annualmente una relazione sull'attivita' svolta e sullo stato di attuazione presente legge, che e' trasmessa al Parlamento, a cura del Presidente del Consiglio dei ministri, entro il 30 aprile dell'anno successivo a quello cui si riferisce;

o) curare, quale autorita' designata ai fini della cooperazione tra stati ai sensi dell'articolo 13 della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981, e resa esecutiva con legge 21 febbraio 1989, n. 98, l'attivita' di assistenza indicata nel capitolo IV della convenzione medesima;

p) esercitare il controllo sui trattamenti previsti dall'articolo 2, commi 4 e 5, e verificare, anche su richiesta dell'interessato, se rispondono ai requisiti stabiliti dalla legge o dai regolamenti.

2. Nell'espletamento dei propri compiti, il Garante puo' richiedere al responsabile o al titolare della banca di dati, all'interessato o anche a terzi, di fornire tutte le informazioni necessarie. Puo' inoltre disporre, ove necessario avvalendosi della collaborazione di amministrazioni dello Stato, ispezioni o accessi al fine di effettuare, anche mediante accesso diretto alla banca di dati, verifiche e controlli. Per i trattamenti di cui al comma 1, lettera p), del presente articolo, e all'articolo 12, comma 1, le verifiche sono eseguite per il tramite di un membro designato dal Garante. Se il trattamento non risulta conforme alle disposizioni di legge o di regolamento il Garante indica al titolare o al responsabile le necessarie modificazioni e ne verifica l'attuazione. Se l'accertamento e' stato richiesto dall'interessato, a quest'ultimo e' fornito in ogni caso fornito un riscontro circa il relativo esito, salvo che ricorrano motivi di cui all'articolo 10, comma 4, della legge l aprile 1981, n. 121.

3. Il registro di cui al comma 1, lettera a), del presente articolo, e' tenuto nei modi di cui all'articolo 21, comma 5. Entro il termine di un anno dalla data della sua istituzione, il Garante promuove opportune intese con amministrazioni locali ed enti pubblici al fine di assicurarne la consultabilita' anche mediante terminali dislocati su base almeno provinciale.

4. Il provvedimento di cui al comma l, lettera 1), e' impugnabile ai sensi dell'articolo 22, commi 6 e 7.

ART. 21 (Ufficio del Garante)

1. Alle dipendenze del Garante e posto un Ufficio composto da dipendenti dello Stato e di altre amministrazioni pubbliche, collocati fuori ruolo nelle forme previste dai rispettivi ordinamenti, il cui servizio presso il medesimo Ufficio e' equiparato ad ogni effetto di legge a quello prestato nelle rispettive amministrazioni di provenienza. Il relativo contingente e' determinato, in misura non superiore a quarantacinque unita', su proposta del Garante medesimo, con decreto del Presidente del Consiglio dei ministri, di concerto con i Ministri del tesoro e per la funzione pubblica, entro novanta giorni dalla data di nomina del Garante.

2. Le spese di funzionamento dell'Ufficio del Garante sono poste a carico di un fondo stanziato a tale scopo nel bilancio dello Stato e iscritto in apposito capitolo dello stato di previsione del Ministero del tesoro. Il rendiconto della gestione finanziaria e' soggetto al controllo della Corte dei conti.

3. Le norme concernenti l'organizzazione ed il funzionamento dell'Ufficio del Garante, nonche' quelle dirette a disciplinare la riscossione dei diritti di segreteria e la gestione delle spese, anche in deroga alle disposizioni sulla contabilita' generale dello Stato, sono approvate con decreto del Presidente della Repubblica, da emanare entro tre mesi dalla data di entrata in vigore della presente legge, previa deliberazione del Consiglio dei ministri, su proposta del Presidente del Consiglio dei ministri, di concerto con i Ministri del tesoro e di grazia e giustizia, e su parere conforme del Garante stesso. Nel medesimo decreto sono altresi' previste le norme concernenti il procedimento dinanzi al Garante di cui all'articolo 22, commi da 1 a 5, secondo modalita' tali da assicurare, nella speditezza del procedimento medesimo, il pieno rispetto del contraddittorio tra le parti interessate.

4. Nei casi in cui la natura tecnica o la delicatezza dei problemi lo richiedano, il Garante puo' avvalersi dell'opera di consulenti i quali sono remunerati in base alle vigenti tariffe professionali.

5. Per l'espletamento dei propri compiti, l'Ufficio del Garante puo' avvalersi di sistemi automatizzati ad elaborazione informatica e di strumenti telematici propri o di enti pubblici convenzionati.

6. Il personale addetto all'Ufficio ed i consulenti sono tenuti al segreto per quel che concerne il contenuto delle banche di dati e le relative modalita' di funzionamento, di cui siano venuti a conoscenza nell'esercizio delle loro funzioni.

ART. 22 (Tutela amministrativa e giurisdizionale)

1. I diritti di cui all'articolo 11, comma 1, lettere b) e c), possono essere fatti valere con ricorso al Garante. Il ricorso non puo' essere proposto qualora, per il medesimo oggetto e tra le stesse parti, sia stata gia' adita l'autorita' giudiziaria.

2. Salvi i casi in cui il decorso del termine esporrebbe taluno a pregiudizio imminente ed irreparabile, il ricorso puo' essere proposto solo dopo che siano decorsi tre giorni dalla richiesta avanzata sul medesimo oggetto al responsabile del trattamento. Fermo restando quanto stabilito dal comma 6, la presentazione del ricorso rende improponibile un'ulteriore domanda dinanzi all'autorita' giudiziaria tra le stesse parti e per il medesimo oggetto.

3. Il titolare, il responsabile e l'interessato hanno diritto di essere sentiti, personalmente o a mezzo di procuratore speciale, e hanno facolta' di presentare memorie o documenti. Il Garante puo' disporre, anche d'ufficio, l'espletamento di perizie.

4. Assunte le necessarie informazioni il Garante, se ritiene fondato il ricorso, ordina al titolare e al responsabile, con decisione motivata, la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell'interessato, e assegnando un termine per la loro adozione. La mancata pronuncia sul ricorso, decorsi venti giorni dalla data di presentazione, equivale al suo rigetto. Il provvedimento e' comunicato senza ritardo alle parti interessate, a cura dell'Ufficio del Garante.

5. Se la particolarita' del caso lo richiede, il Garante puo' disporre in via provvisoria, con provvedimento non impugnabile, il blocco in tutto o in parte di taluno dei dati ovvero l'immediata sospensione di una o piu' operazioni del trattamento. Il provvedimento cessa di avere ogni effetto se, entro i successivi venti giorni, non e' adottata la decisione di cui al comma 4.

6. Avverso il provvedimento di cui al comma 4, il titolare o l'interessato possono proporre opposizione al tribunale del luogo ove risiede il titolare, entro il termine di trenta giorni dalla data di comunicazione. L'opposizione non sospende l'esecuzione del provvedimento.

7. Il tribunale provvede nei modi di cui agli articoli 737 e seguenti del codice di procedura civile anche in deroga al divieto di cui all'articolo 4 della legge 20 marzo 1865, n. 2248, allegato E), e puo' sospendere, a richiesta, l'esecuzione del provvedimento.

8. Le controversie inerenti il rilascio dell'autorizzazione di cui all'articolo 5, comma 1, o che riguardano, comunque, l'applicazione della presente legge sono di competenza dell'autorita' giudiziaria ordinaria.

9. Il danno non patrimoniale e' risarcibile anche nei casi di violazione dell'articolo 4.


CAPO VII - SANZIONI

ART. 23 (Omessa o infedele notificazione o comunicazione)

1. Chiunque, essendovi tenuto, non provvede alle notificazioni o comunicazioni prescritte dagli articoli 8 e 18, ovvero indica in esse notizie incomplete o non rispondenti al vero, e punito con la reclusione da tre mesi a due anni. Se il fatto concerne la notificazione prevista dall'articolo 7, comma 4, la pena e' della reclusione sino ad un anno.

ART. 24 (Trattamento illecito di dati personali)

1. Chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 3, 5 e 8, comma 7, e punito con la reclusione sino a due anni o, se il fatto consiste nella comunicazione o diffusione, con la reclusio ne da tre mesi a due anni.

2. Chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, comunica o diffonde dati personali in violazione di quanto disposto dagli articoli 13, 14, 15 o 16 ovvero del divieto di cui all'articolo 18, comma 2, e' punito con la reclusione da tre mesi a due anni.

3. Se dai fatti di cui ai commi 1 e 2 deriva nocumento, la reclusione e' da uno a quattro anni.

ART. 25 (Omessa adozione di misure necessarie alla sicurezza dei dati)

1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie ad assicurare la sicurezza dei dati personali, in violazione delle disposizioni dei decreti di cui ai commi 2 e 3 dell'articolo 7, e' punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena e' della reclusione da due mesi a due anni.

2. Se il fatto di cui al comma 1 e' commesso per colpa, le pene sono diminuite fino alla meta'.

ART. 26 (Inosservanza dei provvedimenti del Garante)

1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell'articolo 8, comma 7, o dall'articolo 22, commi 4 e 5, e' punito con la reclusione da tre mesi a due anni.

ART. 27 (Pena accessorie)

1. La condanna per uno dei delitti previsti dalla presente legge importa la pubblicazione della sentenza.

ART. 28 (Sanzioni amministrative)

1. Chiunque omette di fornire al Garante le informazioni richieste ai sensi degli articoli 20, comma 2, e 22, comma 4, punito con la sanzione amministrativa pecuniaria da lire un milione a lire sei milioni.

2. La violazione del disposto di cui agli articoli 10, commi 1 e 2, e 12, comma 3, e' punita con la sanzione amministrativa pecuniaria da lire cinquecentomila a lire tre milioni.

3. L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente articolo e' il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novem bre 1981, n. 689.


CAPO VIII

DISPOSIZIONI TRANSITORIE E FINALI ED ABROGAZIONI

ART. 29 (Legislazione regionale)

1. Nell'emanazione delle norme legislative per le materie di cui all'articolo 117 della Costituzione, le regioni a statuto ordinario si attengono ai principi desumibili dalle disposizioni della presente legge, che costituiscono principi fondamentali ai sensi del medesimo articolo 117.

2. Entro un anno dalla data di entrata in vigore della presente legge, le regioni a statuto speciale e le provincie autonome di Trento e Bolzano adeguano i rispettivi ordinamenti ai principi fondamentali desumibili dalla legge medesima, che costituiscono norme fondamentali di riforma economico─sociale della Repubblica.

ART. 30 (Comunicazioni al Garante)

1. Copia dei provvedimenti emessi dall'autorita' giudiziaria in relazione a quanto previsto dalla presente legge e' trasmessa, a cura della cancelleria, al Garante.

ART. 31 (Disposizioni transitorie)

1. Fermo restando l'esercizio dei diritti di cui agli articoli 11 e 22, le disposizioni della presente legge che prescrivono il consenso dell'interessato non si applicano in riferimento ai dati personali raccolti precedentemente alla data di entrata in vigore della legge stessa, o il cui trattamento sia iniziato prima di tale data.

2. Per i trattamenti di dati personali iniziati prima della data di entrata in vigore della presente legge o nei novanta giorni successivi a tale data, le notificazioni e le comunicazioni prescritte dagli articoli 8 e 18 devono essere effettuate entro il termine di sei mesi dalla data di pubblicazione nella Gazzetta ufficiale del decreto di cui all'articolo 21, comma 1 ovvero, nelle ipotesi di cui all'articolo 2, comma 2, entro il termine di nove mesi dalla medesima data.

3. Le misure di protezione di cui all'articolo 7, comma 2, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore del decreto ivi previsto. Fino al decorso di tale termine, i dati personali devono essere custoditi in maniera tale da evitare un incremento del rischio di cui all'articolo 7, comma 1.

4. Le misure di protezione di cui all'articolo 7, comma 3, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore dei decreti ivi previsti.

5. Nei dodici mesi successivi alla data di entrata in vigore della presente legge, i trattamenti dei dati di cui all'articolo 5, comma 3, ad opera della pubblica amministrazione e degli enti pubblici, possono essere proseguiti anche in assenza delle disposizioni di legge ivi indicate, previa informativa al Garante.

6. Per i trattamenti svolti senza l'ausilio di mezzi elettronici o comunque automatizzati che non riguardano taluno dei dati di cui all'articolo 5, le disposizioni della presente legge si applicano a decorrere dal 1° luglio 1996. I termini di cui al comma 2 decorrono da tale data.

7. In sede di prima applicazione della presente legge e comunque non oltre l'entrata in vigore del decreto legislativo di cui all'articolo 34, comma 2, l'ufficio di presidente del Garante e' ricoperto dal presidente dell'Autorita' per l'informatica nella pubblica amministrazione.

ART. 32 (Modifiche a disposizioni vigenti)

1. L'articolo 10 della legge 1° aprile 1981, n. 121, e' sostituito dal seguente:

"ART. 10. (Controlli). ─ 1. Il controllo sul centro elaborazione dati e' esercitato dal Garante per la protezione dei dati, nei modi previsti dalla legge e dai regolamenti.

2. I dati e le informazioni conservati negli archivi del Centro possono essere utilizzati in procedimenti giudiziari o amministrativi soltanto attraverso l'acquisizione delle fonti originarie indicate nel primo comma dell'articolo 7, fermo restando quanto stabilito dall'articolo 240 del codice di procedura penale. Quando nel corso di un procedimento giurisdizionale o amministrativo viene rilevata l'erroneita' o l'incompletezza dei dati e delle informazioni, o l'illegittimita' del loro trattamento, l'autorita' procedente ne da' notizia al Garante per la protezione dei dati.

3. La persona alla quale si riferiscono i dati puo' chiedere all'ufficio di cui alla lettera a) del primo comma dell'articolo 5 la conferma dell'esistenza di dati personali che lo riguardano, la loro comunicazione in forma intellegibile e, se i dati risul tano trattati in violazione di vigenti disposizioni di legge o di regolamento, la loro cancellazione o trasformazione in forma anonima.

4. Esperiti i necessari accertamenti, l'ufficio comunica al richiedente, non oltre venti giorni dalla richiesta, le determinazioni adottate. L'ufficio puo' omettere di provvedere sulla richiesta se cio' puo' pregiudicare azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione della criminalita', dandone informazione al Garante per la protezione dei dati.

5. Chiunque viene a conoscenza dell'esistenza di dati personali che lo riguardano, trattati anche in forma non automatizzata in violazione di disposizioni di legge o di regolamento, puo' chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare la rettifica, l'integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi. Il tribunale provvede nei modi di cui agli articoli 737 e seguenti del codice di procedura civile."

2. L'articolo 4, comma 1, del decreto legislativo 12 feb braio 1993, n. 39, e' sostituito dal seguente:

"1. E' istituita l'Autorita' per l'informatica nella pubblica amministrazione, denominata Autorita' ai fini del presente decreto; tale Autorita' opera in piena autonomia e con indipendenza di giudizio e di valutazione."

3. Nell'articolo 4, comma 2, del decreto legislativo 12 febbraio 1993, n. 39, il secondo ed il terzo periodo sono sostituiti dal seguente: "Il presidente e' nominato con decreto del Presidente della Repubblica, su proposta formulata, d'intesa tra loro, dai Presidenti del Senato della Repubblica e della Camera dei deputati. Gli altri membri sono nominati con decreto del Presidente della Repubblica da emanarsi entro quindici giorni dalla nomina del presidente, su proposta di quest'ultimo, previa deliberazione del Consiglio dei ministri.".

4. L'articolo 5, comma 1, del decreto legislativo 12 febbraio 1993, n. 39, e' sostituito dal seguente:

"1. Le norme concernenti l'organizzazione ed il funzionamento dell'Autorita', il trattamento giuridico ed economico del persona le e l'ordinamento delle carriere, nonche' la gestione delle spese nei limiti previsti dal presente decreto, anche in deroga alle disposizioni sulla contabilita' generale dello Stato, sono appro vate con decreto del Presidente della Repubblica, previa delibe razione del Consiglio dei ministri, su proposta del Presidente del Consiglio dei ministri, di concerto con il Ministro del tesoro e su parere conforme dell'Autorita' medesima.".

ART. 33 (Abrogazioni)

1. Sono abrogati gli articoli 8, quarto comma, e 9, quarto comma, della legge 1° aprile 1981, n. 121. Entro sei mesi dalla emanazione del decreto di cui all'articolo 21, comma 1, il Ministro dell'interno trasferisce all'Ufficio del Garante il materiale informativo raccolto in attuazione di tale disposizione.

2. Sono altresi' abrogate le disposizioni di legge o di regolamento incompatibili con le norme della presente legge. Restano ferme le disposizioni della legge 20 maggio 1970, n. 300, e successive modificazioni, nonche', in quanto compatibili, le disposizioni della legge 5 giugno 1990, n. 135, e successive modificazioni, del decreto legislativo 6 settembre 1989, n. 322, nonche' le vigenti norme in materia di accesso ai documenti amministrativi e di archivi di Stato. Restano altresi' ferme le disposizioni di legge che stabiliscono divieti o limiti piu' restrittivi in materia di trattamento di taluni dati personali.


CAPO IX - DISCIPLINA INTEGRATIVA

ART. 34 (Delega)

1. Il Governo della Repubblica e' delegato ad adottare, entro diciotto mesi dalla data di entrata in vigore della presente legge, uno o piu' decreti legislativi recanti disposizioni modificative ed integrative della legislazione in materia di protezione dei dati personali, volte a disciplinare:

a) specifiche modalita' di trattamento dei dati personali utilizzati a fini storici, di ricerca e di statistica con particolare riferimento alla durata della loro conservazione, tenendo conto anche dei principi contenuti nella raccomandazione n. R (83) 10) adottata il 23 settembre 1983 dal Consiglio d'Europa;

b) limiti e condizioni per il trattamento di informazioni consistenti in un numero di identificazione personale o altra informazione analoga, ivi compreso il codice fiscale, con specifico riguardo al collegamento con altri dati personali;

c) modalita' da osservarsi, nell'ambito dell'attivita' di diffusione di dati personali effettuata, anche a mezzo di riproduzione su disco nell'ambito dell'esercizio della professione giornalistica e per l'esclusivo perseguimento delle relative finalita', ai fini del rispetto del principio di conservazione dei dati in una forma che consenta l'identificazione dell'interessato per un periodo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti;

d) forme semplificate di notificazione del trattamento dei dati personali e del loro trasferimento all'estero, ed ulteriori casi di esonero dal relativo obbligo per specifici trattamenti da individuarsi preventivamente che, in ragione delle relative modalita' o della natura dei dati personali, presentano minori rischi di un danno all'interessato, ferma restando l'applicabilita' delle altre disposizioni di legge; previsione di adeguate garanzie in riferimento a casi di esonero per trattamenti effettuati da associazioni senza scopo di lucro per il perseguimento di finalita' legittime;

e) i trattamenti di cui all'articolo 2, commi 4 e 5, al fine di assicurare la piena attuazione dei principi previsti dalla legislazione in materia di protezione dei dati personali con gli adattamenti resi necessari dalla specificita' degli interessi perseguiti con l'istituzione delle banche dati ivi indicate, con riferimento anche al trattamento di dati che implica maggiori rischi di un danno all'interessato e alle modalita' attraverso le quali si puo' esplicare il controllo sul rispetto delle disposi zioni di legge, nel rispetto dei principi stabiliti dalla conven zione n. 108 sulla protezione delle persone rispetto al tratta mento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio 1989, n. 98, e dalla normativa comunitaria in materia, e tenendo anche conto dei criteri di cui alla raccomandazione n. R. (87) 15), adottata il 17 settembre 1987 dal Consiglio d'Europa; previsione, in armonia con tali disposizioni, ulteriori regole volte a favorire lo sviluppo dell'informatica giuridica e le modalita' di collegamento, per l'autorita' giudiziaria e per l'au torita' di pubblica sicurezza, con le banche dati della pubblica amministrazione;

f) eventuali limiti al diritto di accesso dell'interessato e ai diritti complementari, laddove ricorrano finalita' di protezione dell'interessato medesimo o di diritti altrui, nel rispetto di quanto stabilito dall'articolo 9 della citata convenzione n. 108;

g) la piena attuazione dei principi previsti dalla legislazione in materia di protezione dei dati personali nell'ambito dei diversi settori di attivita', tenendo conto anche dei criteri direttivi indicati nelle seguenti raccomandazioni adottate dal Consiglio d'Europa:

1) n. R. (81) 1) del 23 gennaio 1981, in materia di dati sanitari, e successive modificazioni;
2) n. R. (85) 20), sui dati utilizzati per fini di direct marketing;
3) n. R. (86) 1), sui dati impiegati per scopi di sicurezza sociale;
4) n. R. (89) 2), sui dati utilizzati per finalita' di lavo ro;
5) n. R (90) 19), in materia di dati personali utilizzati per finalita' di pagamento e di altre operazioni connesse;
6) n. R. (91) 10), sulla comunicazione a terzi dei dati personali detenuti da organi pubblici;
h) ulteriori, eventuali, presupposti di legittimazione del trattamento di dati in ragione del perseguimento di una finalita' legittima d'interesse del titolare o di terzi destinatari dei dati, a condizione che non ricorra un interesse prevalente, un diritto o una liberta' fondamentale dell'interessato;

i) ulteriori, eventuali, casi di autorizzazione preventiva al trattamento da parte del Garante, in riferimento ad operazioni o trattamenti determinati che implicano specifici rischi per diritti e le liberta' dell'interessato;

l) le modalita' applicative della legislazione in materia di protezione dei dati ai nuovi mezzi di comunicazione ed informazione per via telematica, anche al fine di salvaguardare il diritto all'informazione e i diritti degli utenti, e di individuare i compiti del gestore in rapporto ai servizi aperti al pubblico o riservati alla corrispondenza privata, e alle connessioni con sistemi sviluppati su base internazionale.

2. Con i decreti di cui al comma 1 sono adottate le disposizioni modificative ed integrative della legislazione in materia di protezione dei dati personali e del decreto legislativo 13 febbraio 1993, n. 39, come modificato dall'articolo 32, commi 2 e 3, al fine di assicurare il raccordo tra le attivita' del Garante e dell'Autorita' per l'informatica nella pubblica amministrazione, il coordinamento o l'integrazione dei rispettivi uffici, l'armonizzazione dello stato giuridico ed economico del relativo personale e la contitolarita' delle funzioni di presidente dei due organi.

3. I decreti di cui al comma 1 del presente articolo sono adottati ai sensi dell'articolo 14 della legge 23 agosto 1988, n. 400. Sui relativi schemi il Governo richiede il parere delle competenti Commissioni permanenti ai sensi del comma 4 del mede simo articolo.


CAPO X - COPERTURA FINANZIARIA ED ENTRATA IN VIGORE

ART. 35 (Copertura finanziaria)

1. All'onere derivante dall'attuazione della presente legge, valutato in lire 2.350 milioni per l'anno 1995 ed in lire 3.900 milioni annue a decorrere dal 1996, si provvede mediante corrispondente riduzione dello stanziamento iscritto, ai fini del bilancio triennale 1995─1997, al capitolo 6856 dello stato di previsione del Ministero del tesoro per l'anno 1995, all'uopo parzialmente utilizzando l'accantonamento riguardante il Ministero degli affari esteri.

2. Il Ministro del tesoro e' autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio.

ART. 36 (Entrata in vigore)

1. La presente legge entra in vigore centoventi giorni dopo la sua pubblicazione nella Gazzetta ufficiale.


RELAZIONE TECNICA

(Articolo 11-ter, comma 2, della legge 5 agosto 1978, n. 468,
introdotto dall'articolo 7 della legge 23 agosto 1988, n. 362).

Con il disegno di legge concernente la "Tutela delle persone rispetto al trattamento di dati personali" viene istituita la figura del "Garante per la protezione dei dati" (articolo 19). Alle dipendenze del Garante e' posto un ufficio composto di dipendenti dello Stato e di altre amministrazioni pubbliche, collocati fuori ruolo (articolo 21). Il provvedimento medesimo dispone che il Garante, nell'espletamento dei propri compiti e nei casi in cui la natura tecnica o la delicatezza dei problemi lo richiedano, potra' avvalersi dell'opera di consulenti (articolo 21). Allo scopo di quantificare gli oneri per il personale, e le spese di funzionamento derivanti dalle disposizioni dianzi citate, si forniscono i seguenti dati e notizie a carattere generale e particolare.

ONERI PER PERSONALE

Va innanzitutto precisato che la disciplina in parola assegna un termine di tre mesi dalla sua entrata in vigore per la emanazione di norme concernenti l'organizzazione ed il funzionamento dell'Ufficio del Garante. Indicativamente, sulla base sia di un'attenta lettura del testo normativo sia di esperienze similari presentanti analoga struttura e caratteristiche equivalenti, si e' comunque ritenuto di prevedere in 45 dipendenti l'organico del personale a supporto della funzione del Garante. Considerati i tempi amministrativi e tecnici per una conveniente organizzazione della struttura, la costituzione dell'Ufficio del Garante non puo' ragionevolmente prevedersi prima del 1° luglio 1995. Per la quantificazione degli oneri per emolumenti al personale di detto ufficio, e' stato seguito il seguente processo logico-contabile. Rilevata la mancanza di altri elementi di valutazione comparativa, e' stata mutuata la strutturazione amministrativa dell'Ufficio del Garante per la radiodiffusione e l'editoria e, quindi, e' stato preso a riferimento personale dirigenziale, direttivo e impiegatizio dello Stato e di altre amministrazioni pubbliche, nel contingente analiticamente indicato nell'allegato prospetto A. Per le diverse qualifiche sono stati assunti a base del computo gli stipendi iniziali in godimento al gennaio 1994. I relativi importi lordi sono stati quindi sviluppati in ragione di anno e calcolati in L.1.516.062.880. Per il Presidente dell'autorita' garante e' stata indicata una indennita' di funzione, onnicomprensiva lorda annua di Lire 215.639.000, pari alla retribuzione spettante ai presidenti di sezione della Corte di Cassazione, mentre ai 4 membri compete una indennita' di funzione onnicomprensiva (L. 575.037.332) pari ai due terzi di quella spettante al Presidente. Il totale, pari a lire 2.306.739.212, e' stato aumentato dell'importo relativo alla corresponsione di una indennita' di funzione (per 45 unita') analoga a quella percepita dal personale dell'Ufficio del Garante per la radiodiffusione e l'Editoria, pari a lire 354.972.872 nonche' della quota del 14% per straordinari ed altre eventuali competenze accessorie (lire 322.943.489). Tenuto conto di un avvio del funzionamento dell'Ufficio del Garante dal 1° luglio 1995, detti oneri possono prevedersi in lire 1.492.500.000 per l'anno 1995 ed in lire 2.985.000.000 a decorrere dall'anno 1996.

ONERI DI FUNZIONAMENTO

Relativamente ai beni mobili, arredi ed attrezzature d'ufficio (Macchine per scrivere, fotocopiatrici e calcolatrici), detti oneri possono essere valutati in lire 265 milioni annui per il 1995 e in L. 100 milioni dal 1996. Valga a proposito l'allegato prospetto B.

Le spese generali e amministrative per l'ordinario funzionamento degli uffici dell'Autorita' (spese per acquisto stampa e pubblicazioni, per cancelleria e stampati, spese postali, telegrafiche e telefoniche, ecc.) possono prevedersi in lire 60 milioni per il 1995 e in lire 120 milioni dal 1996.

Per l'Ufficio del Garante e' prevista, altresi', la possibilita' di avvalersi di sistemi automatizzati ad elaborazione informatica e di strumenti telematici. Il costo complessivo, comprensivo delle spese di manutenzione e gestione, tiene conto anche delle spese di impiantistica, quali l'aria condizionata, I'insonorizzazione degli ambienti, una rete interna di trasmissione dati, stampanti ed altri accessori.

Detti oneri possono essere valutati in lire 280 milioni per il 1995 ed in lire 200 milioni dal 1996.

ONERI DI LOCAZIONE

Per il funzionamento dell'Autorita' occorrera' inoltre provvedere alla locazione di un immobile idoneo ad ospitare il personale della stessa.

Il prospetto A individua in 50 le unita' occorrenti per l'Ufficio del Garante (45 componenti piu' i cinque componenti l'Autorita').

Sono state quindi fissate in 43 le unita' con specifiche esigenze logisti che. ll totale di queste unita' e' stato moltiplicato per il coefficiente fisso di metri quadrati 18 per persona. La superficie necessaria e' stata quindi stabilita in metri quadrati 774.

Tale superficie e' stata portata a metri quadrati 960, con un incremento di metri quadrati 186 per una adeguata sistemazione logistica del Garante e degli altri membri.

L'edificio, considerando un canone medio annuo di lire 300.000 per metro quadrato, in zona semicentrale, comporta un onere locativo complessivo di lire 288.000.000 (960 x 300.000).

Tenuto, altresi', conto delle spese per oneri accessori, manutenzione ordinaria e custodia, i relativi oneri possono essere valutati in lire 325 milioni annui dal 1996 (per il 1995 lire 162,5).

Per gli oneri connessi alle consulenze di cui all'articolo 21, comma 4, puo' prevedersi una spesa di lire 20 milioni per il 1995 e lire 40 milioni dal 1996. Per l'effettuazione di ispezioni, verifiche, controlli e, comunque, di indagini conoscitive di cui all'articolo 20, comma 2, puo' prevedersi un onere di spesa di lire 70 milioni per il 1995 e in lire 130 milioni dal 1996.


[Homepage]