Relazione di accompagnamento al D. L.vo 196/2003

RELAZIONE DI ACCOMPAGNAMENTO AL D. L.VO 196/2003

Nel 1996, dopo un lungo percorso normativo che ha interessato l’arco di più legislature, il Parlamento ha varato la prima legge italiana di carattere generale sulla tutela delle persone rispetto al trattamento dei dati personali, la n. 675, approvando contestualmente un’articolata legge delega –la n. 676- per rendere possibile la successiva integrazione e, se necessario, modificazione delle relative disposizioni.
Con tale delega si è così individuato uno strumento risultato poi valido e che, nel corso degli ultimi sei anni, ha permesso di completare gradualmente l’impianto normativo già complesso della protezione dei dati, che è stato progressivamente allineato alla disciplina comunitaria cui si ispirava e a vari accordi e convenzioni internazionali. Ha consentito inoltre di apportare, in determinati casi, alcune correzioni necessarie per la migliore attuazione dei principi affermati nel 1996, anche alla luce dell’esperienza applicativa, significativa ed intensa, via via maturata.
Il Parlamento, il Governo e l’autorità di garanzia istituita in materia hanno cooperato attivamente negli ultimi anni per arricchire e specificare questi strumenti di garanzia e di tutela.
Dall’8 maggio 1997 in poi, tale processo si è sviluppato in particolare attraverso nove decreti legislativi e due dd.P.R., nonché tramite molte altre specifiche disposizioni, legislative e regolamentari, inserite in speciali provvedimenti, che hanno potenziato ulteriormente il congruo numero di norme vigenti in materia.
Il termine per adottare i decreti legislativi integrativi e correttivi della delega è poi scaduto il 31 dicembre 2001.
Tuttavia, il legislatore ha previsto opportunamente, nel 2001, la successiva adozione di un testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e delle disposizioni “connesse”, al fine di coordinarvi le norme vigenti e di apportarvi le integrazioni o modificazioni necessarie sia a tale coordinamento, sia “per assicurarne la migliore attuazione” (art. 1, comma 4, legge 24 marzo 20o1, n. 127).
Quest’ultimo riferimento alle possibili integrazioni o modificazioni apportabili alle norme riunite nel testo unico, al fine appunto di assicurarne la migliore attuazione (sia di quelle riferite direttamente e strettamente alla protezione dei dati personali, sia delle altre norme “connesse” cui si è già accennato) corrisponde (e, per certi profili, è più ampio) all’analogo riferimento già presente nei criteri di delega per i decreti legislativi correttivi previsti dall’art. 2 della legge di delega n. 676/1996 e che ha permesso, negli ultimi anni, vari interventi di adeguamento su tutto l’arco delle disposizioni della legge n. 675/1996 (non solo sul piano del diritto sostanziale, ma anche sui profili sanzionatori –pene edittali; specificazione di nuovi illeciti- ed organizzativo-istituzionali relativi all’Ufficio del Garante).
Sulla base della nuova delega del 2001 il Governo ha pertanto iniziato un impegnativo processo di monitoraggio delle norme da riunire (direttamente relative alla protezione dei dati o ad essa connesse) sulla base della considerazione che la delega per la riunificazione della disciplina in materia presuppone non solo una ricognizione compilativa delle disposizioni vigenti, ma anche misurati e parziali interventi di armonizzazione e di adeguamento delle norme riunite in un unico testo, nel rispetto delle scelte di fondo già più volte ponderate dal Parlamento, dei connessi principi, del loro ambito applicativo e dell’impianto di garanzia derivante dall’attuale normativa.
Un’apposita commissione di studio costituita da numerosi esperti è stata pertanto istituita presso il Dipartimento per la funzione pubblica, autorevolmente presieduta dal prof. Cesare Massimo Bianca.
Il lavoro di ricognizione e di studio si è rivelato da subito più complesso del previsto e reso più impegnativo anche per effetto dell’intervento, medio tempore, di nuove convenzioni e direttive comunitarie -in particolare la n. 2002/58/CE del 12 luglio 2002- , che ha reso necessario un breve differimento al 30 giugno 2003 del termine di delega (art. 26 della legge 3 febbraio 2003, n. 14).
Invertendo la linea di tendenza di precedenti testi unici “misti” legislativo-regolamentari, il lavoro della commissione di studio si è poi orientato, da ultimo, verso la diversa prospettiva di un unico testo di rango legislativo, anziché misto, dovendosi (all’epoca della conclusione dei lavori e in futuro) tener conto dei nuovi orientamenti del disegno di legge di semplificazione 2001 (già approvato dalle Camere e attualmente in fase di nuovo esame dopo il rinvio da parte del Presidente della Repubblica: AS 776-B/bis), in tema di riassetto normativo e di codificazione, orientamenti applicabili per effetto di talune disposizioni transitorie anche a determinate deleghe legislative in corso.
Ciò spiega come oggi si proponga opportunamente di adottare un solo testo unico di matrice unicamente legislativa, con conseguente assorbimento o eliminazione di varie disposizioni di rango regolamentare non più necessarie, e con la contestuale previsione di un disciplinare tecnico per le c.d. misure minime di sicurezza, il quale potrà essere flessibilmente adeguato all’evoluzione del settore con decreti ministeriali non regolamentari.
L’adozione di un solo testo di rango legislativo, anziché anche regolamentare, si rivela tra l’altro assai più consono al rango dei diritti e delle libertà fondamentali tutelati dalla disciplina in questione. Permette inoltre di semplificare notevolmente l’impianto, l’articolazione e la “leggibilità” delle norme che si intende inserire nel testo, essendosi eliminati dal testo delle norme riunite a livello legislativo i vari riferimenti alle disposizioni regolamentari di attuazione (e potendosi fare a meno, viceversa, dei corrispondenti richiami che figurano nelle norme regolamentari attualmente in applicazione).
L’integrazione delle vigenti norme legislative con alcuni dettagli attualmente disciplinati a livello regolamentare consente peraltro di ridurre e semplificare le norme di cui oggi si intende effettuare una riunione, con conseguenti ovvii benefici sul piano sistematico e per l’interprete.
Il testo unico di cui si propone la denominazione convenzionale di “codice” (in sintonia con gli indirizzi del d.d.l. di semplificazione) recherà in allegato a scopo conoscitivo, nel rispetto di quanto stabilito da vari decreti legislativi già adottati in materia, gli esistenti codici di deontologia e di buona condotta (e quelli che verranno via via inseriti, una volta adottati), la cui allegazione (ritenuta indispensabile in ossequio all’art. 20, comma 4, del d.lg. n. 467/2001, nonché per esigenze di agevole conoscenza della materia) non fa mutare le caratteristiche giuridiche -non legislative- di questa nuova fonte.
Il rispetto delle disposizioni dei codici di deontologia e di buona condotta resta, per espressa previsione di rango legislativo introdotta da precedenti decreti legislativi, “essenziale” per determinare la liceità del trattamento dei dati personali ivi disciplinato, sebbene i codici continueranno a venire a giuridica esistenza -e ad essere eventualmente emendati- secondo i noti meccanismi procedurali non legislativi già osservati e che coinvolgono le entità maggiormente rappresentative del settore considerato.
Il “codice” reca anzitutto alcune nuove disposizioni direttamente connesse al quadro comunitario e internazionale, per aggiornare quanto già contenuto nel decreto legislativo n. 171/1998 alle nuove regole della direttiva n. 2002/58/CE e per completare o perfezionare il recepimento della direttiva n. 95/46/CE/CE (ad esempio, relativamente al principio di stabilimento e alla legge applicabile, o per taluni aspetti relativi ai flussi transfrontalieri di dati personali, ai numeri di identificazione personale e ai dati sensibili).
Il lavoro di ricognizione delle norme da riunire nel “codice” ha interessato molte altre disposizioni non modificate, integrate o aggiornate nel testo.
Ciò in quanto, pur ricorrendo i presupposti per un loro inserimento nel “codice”, si è ritenuto in linea generale -salvi specifici casi- proporzionato e ragionevole, e in sintonia con lo spirito della delega, non alterare la coerenza interna di altri testi normativi organici che, al loro interno, recano norme rilevanti in tema di tutela della riservatezza.
Ci si riferisce, in particolare, a disposizioni incriminatici del codice penale, oppure a previsioni contenute in altri testi unici di cui non si è ravvisata necessaria una modifica e per le quali, dovendosi determinare la loro futura collocazione sistematica, è stata valutata l’esigenza di assicurare la contrapposta omogeneità o del testo unico di settore già vigente o in fase di preparazione (documentazione amministrativa; enti locali; pubblico impiego; igiene e sicurezza del lavoro; ecc.) oppure (in caso di stralcio da tali testi unici delle norme sulla privacy da collocare nell’odierno “codice”), del “codice” sulla protezione dei dati personali.
Sul piano sistematico, prima ancora di valutare la collocazione dei vari precetti, si è ritenuto doveroso porre in maggiore evidenza nella parte iniziale del “codice” le disposizioni generali riguardanti i diritti e le libertà fondamentali, le principali generali garanzie e le connesse sfere di responsabilità. Ciò tenendo conto dell’erronea tendenza registratasi in passato, volta ad enfatizzare -e, talvolta, a drammatizzare- i profili legati a taluni adempimenti a carico del titolare del trattamento.
Si è voluto così, come si vedrà a proposito dell’art. 2 del codice, valorizzare gli aspetti di garanzia della persona e burocratizzare, altresì, quelli concernenti gli adempimenti formali e le stesse modalità di esercizio dei diritti, che si è voluto entrambi ispirare meglio ai principi di semplificazione ed efficacia, senza pregiudizio alcuno per i livelli di garanzia.
Altre disposizioni non sono state poi riassorbite nell’alveo del codice in quanto (ad esempio, alcune norme della legge sull’AIDS) disciplinano taluni profili di tutela della riservatezza in stretta connessione con altri aspetti che non possono, ratione materiae, essere qui collocati. Analogamente, si è ritenuto inopportuno inserire nel codice specifici decreti di interesse “interno” di una sola, specifica amministrazione pubblica (es.: decreti o regolamenti di ricognizione dei dati sensibili) che, inglobati nel testo, avrebbero portato il “codice” a dimensioni elefantiache, comprensive degli innumerevoli decreti adottati da tutte le amministrazioni pubbliche.
Si è voluto infine strutturare meglio la successione delle disposizioni applicabili da un lato ai soli soggetti pubblici e, dall’altro, ai privati -compresi i concessionari di pubblici servizi- e agli enti pubblici economici, in modo da ridurre le possibili sviste nel considerare applicabili agli uni o agli altri disposizioni cogenti solo per taluni di essi.
L’attività di semplificazione ha permesso di ridurre di una buona percentuale, stimabile attorno al 30 % circa, il numero delle disposizioni vigenti in materia (stima effettuata confrontando le vecchie e nuove disposizioni e tenendo conto delle molteplici norme del tutto innovative, nonché della frammentazione di attuali lunghi articoli in articoli composti di un solo comma).
Analoga semplificazione, anche in questo caso senza alcuna incidenza nei livelli di garanzia, è stata perseguita a proposito dell’illustrazione normativa delle varie ipotesi di esercizio dei diritti (art. 7), per i tempi per l’espressione di pareri (art. 154, comma 5), per la possibilità di esprimerli anche su schemi-tipo di provvedimento (es., art. 20, comma 2: in modo da facilitarne l’utilizzo da parte di più soggetti), sui modelli-tipo per la presentazione di reclami (art. 143, comma 3), ecc.
Da ultimo, sono stati apportati alcuni interventi sul “linguaggio” del codice, laddove necessario e possibile in rapporto anche alla normativa comunitaria, tenuto conto, al contempo, dell’opposta esigenza di non innovare rispetto a nozioni ed espressioni da tempo entrate nell’applicazione quotidiana e nel linguaggio comune degli operatori.
Il “codice” si compone di tre Parti, che contengono, rispettivamente:
a) le disposizioni generali, riguardanti le regole “sostanziali” della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, salvo eventuali (cfr. art. 6) regole specifiche per i trattamenti effettuati da soggetti pubblici o privati;
b) disposizioni particolari per specifici trattamenti, ad integrazione o eccezione alle disposizioni generali di cui alla lettera a) ;
c) le disposizioni relative alle azioni di tutela dell’interessato e al sistema sanzionatorio.
Consultando l’apposita tavola di corrispondenza delle disposizioni del codice alla normativa previgente è possibile consultare, agevolmente, il quadro completo dei nuovi riferimenti normativi. In alcuni casi la formulazione delle disposizioni del codice è stata chiarita, semplificata o adeguata, nella terminologia, a nuovi contesti normativi intervenuti in questi anni o al progresso tecnologico.
Il commento che segue si limita a illustrare particolari interventi di integrazione e modifica delle disposizioni vigenti, risultati necessari per assicurare il coordinamento e la razionalizzazione della normativa in materia di protezione dei dati personali e la sua migliore attuazione, nel rispetto dei principi contenuti nella legge-delega n. 127 del 2001 (art. 1, comma 4, l. n. 127 del 2001), nonché le disposizioni adottate a completamento della direttiva 95/46/CE e in attuazione della direttiva 2002/58/CE. Viene al contrario evitato un articolato commento delle disposizioni vigenti non modificate.

COMMENTO ALL’ARTICOLATO

PARTE I – Disposizioni generali

TITOLO I – Principi generali

Art. 1 (Diritto alla protezione dei dati personali)

L’art. 1 introduce nell’ordinamento il “diritto alla protezione dei dati personali”, diritto fondamentale della persona, autonomo rispetto al più generale diritto alla riservatezza già richiamato dall’articolo 1 della legge n. 675/1996, come chiarisce anche il successivo art. 2. Un diritto che tiene conto delle molteplici prerogative legate al trattamento dei dati personali, anche oltre quelle attinenti al riserbo e alla tutela della vita privata. In tal modo il legislatore italiano si adegua al quadro normativo comunitario che, nella Carta dei diritti del cittadino europeo, garantisce già tale diritto fondamentale (art. 8) che si accinge ad assumere una connotazione ancora più solenne nel quadro dei lavori della Convenzione europea.

Art. 2 (Finalità)

L’art. 2 individua le finalità dell’intervento normativo, precisando che il codice garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, e in particolare del diritto alla riservatezza e del “nuovo” diritto alla protezione dei dati personali. La norma, che riproduce, per questa parte, l’art. 1, comma 1, della legge n. 675/1996, rispetto alla definizione previgente si riferisce indistintamente all’interessato e non a persone fisiche o giuridiche, collegandosi, così, anche a diritti fondamentali eventualmente riconosciuti in altra sede dall’ordinamento anche a soggetti diversi da persone fisiche.
L’art. 2, inoltre, codifica l’importante “principio di semplificazione nell’elevata tutela” secondo il quale il grado alto di tutela dei diritti è assicurato nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità con le quali sono esercitati i medesimi diritti o devono essere adempiuti gli obblighi previsti a carico dei titolari del trattamento.

Art. 3 (Principio di necessità nel trattamento dei dati)

L’art. 3 introduce il “principio di necessità” nel trattamento dei dati personali, in base al quale, sin dalla loro configurazione, i sistemi informativi ed i software devono essere predisposti in modo da assicurare che i dati personali o identificativi siano utilizzati solo se indispensabili per il raggiungimento delle finalità consentite, e non anche quando i medesimi obiettivi possano essere raggiunti mediante l’uso di dati anonimi o che comunque consentano una più circoscritta identificazione degli interessati. Il principio introdotto integra e completa, con riferimento alla configurazione stessa dell’ambiente in cui i dati sono trattati, il principio di pertinenza e non eccedenza dei dati trattati già operante in relazione al trattamento dei medesimi dati (art. 11, già art. 9, l. n. 675/1996).
Si tratta di una regola di ordine generale, prevista anche nella legislazione tedesca, e operante, benché non specificamente sanzionata, in specie per i sistemi e i programmi che verranno d’ora in poi predisposti.

Art. 4 (Definizioni)

L’art. 4 contiene le definizioni, raggruppate in un’unica disposizione, anche se riguardanti materie e trattamenti ben diversi fra loro, per consentirne un’agevole consultazione.
Il comma 1 riguarda le definizioni “generali” già contenute nell’art. 1, comma 2, della legge n. 675/1996, alle quali sono state apportate alcune integrazioni:
a) alla lett. a), la definizione di trattamento include anche la “consultazione”, in attuazione di quanto previsto dall’art. 2, par. 1, lett. b) della direttiva 95/46/CE;
b) la lett. c), contiene la definizione di “dati identificativi” già applicabile in base alla normativa previgente in materia di trattamenti per scopi statistici e di ricerca scientifica (art. 10, comma 5, d. lg. n. 281/1999);
c) le lett. d) ed e), recepiscono in forma di definizioni le nozioni di dati sensibili e di dati “giudiziari”, indicate, rispettivamente, agli articoli 22, comma 1, e 24 della legge n. 675/1996. La definizione di dati “giudiziari” è stata aggiornata tecnicamente a seguito all’adozione del testo unico in materia di casellario giudiziale e, inoltre, integrata in misura ragionevole con il riferimento alla qualità di imputato o di indagato, senza prendere in considerazione le violazioni amministrative, in attuazione di quanto previsto dalla direttiva 95/46/CE (art. 8, comma 5, il quale si riferisce ai trattamenti riguardanti “infrazioni”). Analoga operazione è stata effettuata per la definizione di “incaricati” (ricavata, in particolare, dall’art. 19 della legge n. 675/1996), con la quale si chiarisce, fra l’altro, che gli incaricati del trattamento possono essere solo persone fisiche (art. 4, comma 1, lett. h);
d) alla lett. l), la definizione di “comunicazione” precisa che tale non può considerarsi la comunicazione effettuata nei confronti dell’interessato, del rappresentante del titolare nel territorio dello Stato, del responsabile o dell’incaricato, in linea con la citata direttiva europea 95/46/CE in base alla quale tali soggetti sono considerati “destinatari” dei dati e non rientrano nella nozione di “terzo” (art. 2, par. 1, lett. f), dir. 95/46/CE).
Il comma 2 contiene le definizioni necessarie per i trattamenti effettuati nell’ambito delle comunicazioni elettroniche (cfr. in particolare, Parte II, Titolo X), le quali riproducono pressoché pedissequamente le definizioni riportate nella direttiva n. 2002/58/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle comunicazioni elettroniche, nonché quelle, espressamente richiamate, della direttiva “quadro” n. 2002/21/CE in materia di reti e servizi di comunicazione elettronica. Al riguardo va rilevato che la definizione di “comunicazione” di cui alla citata direttiva 2002/58 è riferita, nel testo, alla “comunicazione elettronica” per distinguerla dalla “comunicazione” tout court di cui al comma 1 dell’articolo in commento.
Il comma 3 reca le definizioni relative alle misure minime di sicurezza di cui al Titolo V della Parte I e al disciplinare tecnico allegato al codice. Si tratta in gran parte di definizioni “nuove” indicative degli specifici adempimenti cui sono tenuti i titolari del trattamento a tutela della sicurezza dei dati e dei sistemi.
Il comma 4 riproduce le definizioni contenute nel d. lg. n. 281/1999 in materia di trattamenti per scopi storici, statistici e scientifici, con la sola sostituzione, meramente formale, della locuzione “scopi di ricerca scientifica” con la locuzione “scopi scientifici”.

Art. 5 (Oggetto ed ambito di applicazione)

L’art. 5 accorpa le disposizioni previgenti contenute in tre diversi articoli (artt. 2, 5 e 6, l. n. 675/1996).
Per quanto riguarda il diritto nazionale applicabile (artt. 2 e 6, comma 1, l. n. 675/1996), l’art. 5 completa il recepimento del principio comunitario di “stabilimento” del titolare del trattamento, indicato dalla direttiva quale criterio di applicazione della normativa nazionale, recepimento avviato con il d. lg. n. 467/2001 (art. 4 dir. n. 95/46/CE). A tal fine, esso chiarisce che il codice disciplina il trattamento di dati personali, effettuato da chiunque “è stabilito” nel territorio dello Stato (oppure effettuato in un luogo comunque soggetto alla sovranità dello Stato), anche se riguarda dati detenuti all’estero (art. 5, comma 1).
Il comma 3 riproduce la disposizione relativa al trattamento effettuato per fini esclusivamente personali (art. 5, l. n. 675/1996).

Art. 6 (Disciplina del trattamento)

L’art. 6 individua l’ambito di applicabilità delle disposizioni del codice. Esso fornisce una guida utile per il lettore, chiarendo che le disposizioni della Parte I, che recano le regole “sostanziali” per il trattamento dei dati personali, si applicano a tutti i trattamenti, salvo quanto previsto da eventuali disposizioni della Parte II in relazione ai particolari trattamenti ivi indicati. Nella Parte II, infatti, alcuni trattamenti, in ragione della loro specificità, sono disciplinati con disposizioni che in alcuni casi integrano, in altri derogano alle norme contenute nella Parte I.

TITOLO II – Diritti dell’interessato

Art. 7 (Diritto di accesso ai dati personali ed altri diritti)
Art. 8 (Esercizio dei diritti)
Art. 9 (Modalità di esercizio)
Art. 10 (Riscontro all’interessato)

Le disposizioni del titolo II individuano i diritti dell’interessato e ne disciplinano l’esercizio (art. 13, l. n. 675/1996).
Per quanto riguarda l’individuazione dei diritti dell’interessato, rispetto alla normativa previgente l’art. 7, comma 1, lett. e) attribuisce, in più, all’interessato il diritto di conoscere i soggetti ai quali i dati possono essere comunicati o che ne possono comunque venire a conoscenza. La norma dà attuazione all’art. 12, par. 1, lett. a), primo punto, della direttiva 95/46/CE e completa il quadro dei diritti dell’interessato in ordine al diritto di conoscere in sede di accesso i soggetti cui i dati possono essere comunicati, mentre la legge n. 675/1996 prevedeva soltanto il diritto di essere previamente informati sui soggetti “destinatari” dei dati medesimi (art. 10, comma 1, lett. d), l. n. 675/1996 e analoga disposizione dell’art. 13 del codice).
L’art. 7, inoltre, adegua alla predetta direttiva europea la disposizione che prevede il diritto dell’interessato di opporsi al trattamento dei propri dati personali effettuato per finalità di marketing o di ricerche di mercato, eliminando in questa sede l’ulteriore riferimento ad essere informato del medesimo trattamento, ridondante rispetto alla direttiva comunitaria e all’obbligo di informativa già previsto a carico del titolare. Inoltre, dal testo è stato espunto il riferimento alle “informazioni commerciali” inconferente rispetto allo specifico profilo in esame (art. 7, comma 4, lett. b), del codice, già art. 13, lett. e), l. n. 675/1996).
Per quanto riguarda l’esercizio dei diritti, l’art. 8, con una formulazione più chiara rispetto a quella previgente e più aderente alla realtà normativa, chiarisce che se, di regola, i diritti sono esercitati con richiesta rivolta al titolare o al responsabile (art. 8, comma 1), in relazione ad alcuni trattamenti possono essere esercitati solo attraverso una segnalazione al Garante (trattamenti effettuati in applicazione della normativa in materia di riciclaggio, di sostegno alle vittime di estorsioni, di politica monetaria, effettuati per finalità di investigazioni difensive o per l’esercizio di un diritto, da fornitori di servizi di comunicazione elettronica in relazione a telefonate in entrata, o, infine, effettuati per ragioni di giustizia, da forze di polizia o da altri soggetti pubblici per finalità di prevenzione o repressione di reati, o da commissioni parlamentari d’inchiesta) (art. 8, comma 2).
In tali casi, pertanto, in relazione alla specificità dei trattamenti, non è esperibile dall’interessato un ricorso al Garante (che può essere presentato, invece, per altri trattamenti, quando la richiesta rivolta al titolare non sia stata soddisfatta, in tutto o in parte), ma è importante sottolineare che le diverse modalità di esercizio dei diritti non incidono sul livello di tutela garantito all’interessato, essendo già consentita dalla legge vigente un’eventuale verifica della liceità e correttezza dei trattamenti di dati, con opportune modalità connesse alla specificità dei contesti in esame (con le modalità di cui agli artt. 157, 158 e 159 ovvero, in relazione a trattamenti particolarmente “delicati”, con le particolari modalità previste dall’art. 160: v. infra).
In relazione ai trattamenti appena descritti è stato peraltro chiarito dal punto di vista tecnico che tali specifiche modalità sono relative al trattamento nel suo complesso, anziché, come prima imprecisamente previsto, per i soli dati “raccolti”.
Un’importante chiarimento riguarda la nozione di “pregiudizio” richiamata dall’art. 14 della legge n. 675/1996 in relazione ai limiti all’esercizio dei diritti dell’interessato. In base a tale disposizione, infatti, il pregiudizio è rilevante al duplice fine: a) di “differire” l’accesso ai dati personali in caso di pregiudizio per lo svolgimento di investigazioni difensive o per l’esercizio di un diritto; b) di consentire, viceversa, il medesimo accesso ai dati relativi a chiamate in entrata (altrimenti non accessibili), in presenza di un pregiudizio riguardante lo svolgimento delle medesime indagini. L’art. 8, nel confermare tale disciplina, ha precisato che il pregiudizio deve essere “effettivo e concreto”. Il chiarimento è il frutto dell’esperienza applicativa di questi primi anni, che ha visto verificarsi tentativi di applicazione della norma in disarmonia con quanto previsto da alcune disposizioni del d.lg. n. 171/1998 che tutelano l’utente chiamante e quello chiamato, e risponde ad una prassi interpretativa già sperimentata e applicata anche dal Garante nell’ambito di vari procedimenti instaurati con ricorso.
Al comma 4 la norma reca un espresso riferimento alla disciplina dei dati personali di tipo valutativo; la disposizione è stata meglio esplicitata in relazione alle osservazioni svolte dalla Commissione giustizia del Senato, al fine di chiarirne meglio l’ambito applicativo.
Per quanto riguarda le modalità di esercizio dei diritti, la richiesta di accesso ai dati personali che riguardano l’interessato è esercitata “liberamente e senza costrizioni” (art. 9, comma 5). Con tale nuova disposizione il codice dà pedissequa attuazione ad un importante principio contenuto nella direttiva 95/46/CE (art. 12, par. 1, lett. a). Un altro intervento di mera precisazione tecnica da segnalare riguarda (anche in questo caso in sintonia con l’esperienza applicativa) l’ambito operativo dell’esercizio dei diritti riferiti a persone decedute, che, in base alla più chiara formulazione della norma, viene più espressamente riconosciuto a chi ha un interesse proprio, o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezione.
Quanto, infine, alle modalità di riscontro all’interessato, nell’art. 10 sono state inserite alcune previsioni “suggerite” anch’esse dall’esperienza applicativa della legge n. 675/1996, volte a incrementare il livello di intelligibilità e di chiarezza espositiva del riscontro assicurato dal titolare (art. 10, commi 4, 5 e 6). Le norme stabiliscono, infatti, che quando l’estrazione dei dati è particolarmente difficoltosa, il titolare può anche esibire o consegnare copia del documento contenente i dati personali richiesti. Inoltre, un buon livello di intelligibilità dei dati richiede una grafia comprensibile e la possibilità di decifrare eventuali codici o sigle adoperati, nonché la possibilità di conoscere anche dati di terzi quando la scomposizione dei dati personali da parte del titolare renderebbe incomprensibili i dati relativi all’interessato.
Inoltre, il comma 3 dell’art. 10 chiarisce che si applica anche in caso di esercizio del diritto d’accesso la particolare garanzia prevista per l’interessato in caso di riscontro di una richiesta effettuata in ambito sanitario e riguardante dati idonei a rivelare la salute (art. 84, in base al quale tali dati possono essere resi noti solo tramite un medico designato dall’interessato o dal titolare). La norma chiarisce implicitamente che tale cautela non si applica quando la richiesta non è rivolta ad un organismo sanitario, ma ad un altro soggetto pubblico o privato.

TITOLO III – Regole generali per il trattamento dei dati

CAPO I – Regole per tutti i trattamenti

Art. 11 (Modalità del trattamento e requisiti dei dati)
Art. 12 (Codici di deontologia e di buona condotta)
Art. 13 (Informativa)
Art. 14 (Definizione di profili e della personalità dell’interessato)
Art. 15 (Danni cagionati per effetto del trattamento)
Art. 16 (Cessazione del trattamento)
Art. 17 (Trattamento che presenta rischi specifici)

Il capo I in esame contiene regole valide per tutti i trattamenti, effettuati da soggetti pubblici o privati, e relativi a dati “comuni”, sensibili o giudiziari. Resta ferma, come si è accennato, la possibilità di norme integrative o di eccezione per i trattamenti disciplinati nella Parte II (art. 6).
Le disposizioni riproducono sostanzialmente le corrispondenti norme previgenti, salvo alcuni chiarimenti e piccole integrazioni.
Nell’art. 12, che attribuisce al Garante il potere di promuovere l’adozione di codici di deontologia e di buona condotta, la disposizione già contenuta nell’art. 31, comma 1, lett. h) della legge n. 675/1996 è stata integrata con la previsione che i codici deontologici sono allegati al presente codice e che il rispetto delle norme in essi contenute costituisce condizione essenziale per la liceità dei trattamenti, come già del resto previsto per un ampio arco di codici da varie esistenti previsioni che sono state ora ripartite, ratione materiae, nell’ambito dei pertinenti titoli della Parte II (art. 6, d. lg. n. 281/1999 e art. 20, d. lg. n. 467/ 2001).
Nell’art. 13, comma 1, che riguarda l’informativa all’interessato, il diritto di quest’ultimo di venire a conoscenza dell’ambito di comunicazione dei dati che lo riguardano è conformato alla “nuova” definizione di comunicazione di cui si è detto sopra (art. 13, comma 1, lett. d)) e sono chiarite, per dirimere ogni eventuale altro dubbio interpretativo, le modalità con le quali deve essere indicato il responsabile del trattamento, ove designato (art. 13, comma 1, lett. f)). Inoltre, si prevede che il Garante possa individuare modalità semplificate per l’informativa all’interessato, in particolare quando essa è resa da call-center. Tale previsione tiene conto dell’avvertita esigenza di assicurare, in maniera agevole, il rispetto dell’obbligo di fornire l’informativa anche per trattamenti in cui il contatto diretto con l’interessato non vede quest’ultimo fisicamente presente.
Al comma 4, in attuazione di una specifica previsione della direttiva europea n. 95/46, si è previsto che, quando l’informativa riguarda dati non raccolti presso l’interessato, essa deve contenere anche le “categorie di dati trattati” (art. 11, par. 1, lett. c), dir. 95/46/CE).
Al comma 5, si è precisato che il Garante può prescrivere misure appropriate a garanzia dell’interessato quando l’informativa non è dovuta perché comporta un impiego di mezzi che il Garante stesso giudichi manifestamente sproporzionati o risulti impossibile (come è avvenuto ad esempio in caso di cartolarizzazione).
Nell’art. 14, comma 2, si è opportunamente aggiunto, per motivi di agevole conoscibilità e, al tempo stesso, di flessibilità della disciplina, che le adeguate garanzie devono essere previste all’interno del codice stesso oppure da una decisione dell’Autorità in applicazione dell’istituto del c.d. “prior checking”.
All’art. 16, è stato opportunamente precisato che in caso di cessazione dei trattamenti i dati possono essere ceduti ad altro titolare, purché destinati ad un trattamento “in termini compatibili” agli scopi originariamente perseguiti, e non più “per finalità analoghe”, così omologando la disposizione a quanto previsto per il trattamento effettuato da un unico titolare in base al principio di compatibilità del trattamento dei dati (art. 11, comma 1, lett. b), già 9, comma 1, lett. b), l. n. 675/1996).

CAPO II – Regole ulteriori per i soggetti pubblici

Art. 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici)
Art. 19 (Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari)
Art. 20 (Principi applicabili al trattamento di dati sensibili)
Art. 21 (Principi applicabili al trattamento di dati giudiziari)
Art. 22 (Principi applicabili al trattamento di dati sensibili e giudiziari)

Il capo II contiene la disciplina specifica del trattamento effettuato da soggetti pubblici, prevedendo, per questi ultimi, regole ulteriori rispetto a quelle appena descritte nel capo I e valide per i trattamenti effettuati da qualunque soggetto.
L’art. 18 fissa alcuni importanti principi applicabili a tutti i trattamenti effettuati da soggetti pubblici, riguardanti, cioè, sia dati comuni, sia dati sensibili o giudiziari:
a) tali trattamenti sono consentiti soltanto per lo svolgimento di funzioni istituzionali;
b) i soggetti pubblici devono altresì rispettare i presupposti ed i limiti stabiliti, oltre che dal codice, anche da altre disposizioni di legge o di regolamento;
c) i soggetti pubblici non devono richiedere il consenso dell’interessato, salvo per i trattamenti effettuati da esercenti professioni sanitarie o da organismi sanitari pubblici, nei limiti stabiliti dal relativo capo della Parte II;
d) ai trattamenti effettuati da soggetti pubblici si applicano i medesimi divieti di comunicazione e diffusione dei dati previsti per i trattamenti effettuati da soggetti privati (art. 25).
L’art. 19 riproduce senza sostanziali modifiche la disciplina dei trattamenti di dati “comuni” (art. 27, l. n. 675/1996), con la sola precisazione delle modalità con le quali deve essere effettuata la comunicazione al Garante nel caso di comunicazione di dati ad un altro soggetto pubblico per la quale non sussista una specifica disposizione normativa “di copertura” (art. 19, comma 2). La disposizione va coordinata con quanto previsto dall’art. 39 (Obblighi di comunicazione) e, in base alla nuova disciplina, il soggetto pubblico può avviare la comunicazione dei dati ad un altro soggetto pubblico decorsi quarantacinque giorni dalla comunicazione al Garante, ferma restando la possibilità di una diversa determinazione dell’Autorità adottata anche successivamente al decorso del termine.
Gli articoli 20, 21 e 22 contengono la disciplina del trattamento di dati sensibili e giudiziari, che, com’è noto, presentava allo stato della normativa previgente al presente codice notevoli affinità soprattutto sotto il profilo delle modalità del trattamento (art. 22, commi 3 e 3-bis, l. n. 675/1996 e d. lg. 11 maggio 1999, n. 135). Tale omogeneità – pur nel rispetto di alcune specificità della disciplina delle due diverse tipologie di dati – è messa chiaramente in luce dal codice attraverso un più puntuale raccordo delle relative norme.
Pochi, ma significativi gli interventi di razionalizzazione del sistema.
All’art. 20 si chiarisce che l’atto con il quale i soggetti individuano i tipi di dati e di operazioni ha natura regolamentare, considerata la particolare delicatezza dei dati trattati, e si precisa, inoltre, che i regolamenti sono adottati in conformità al parere reso dal Garante sui relativi schemi (art. 20, comma 2). Il parere può essere reso anche su schemi-tipo in modo da agevolare il più possibile l’omogeneità degli atti regolamentari adottati dalle pubbliche amministrazioni e la speditezza della relativa adozione. Un’ apposita disposizione transitoria prevede che le pubbliche amministrazioni che non abbiano ancora adottato il regolamento di competenza vi provvedano entro il 30 settembre 2004 (art. 181, comma 1, lett. a)). Tale adempimento assume particolare importanza per una piena attuazione delle elevate garanzie previste dalla direttiva europea per il trattamento di dati sensibili o giudiziari (art. 8, dir. 95/46/CE).
Infine nell’art. 22 (nel quale sono confluite, in maniera coordinata, le varie disposizioni del d. lg. n. 135/1999 sulle modalità dei trattamenti in questione) si segnalano alcuni altri interventi per la migliore attuazione dei principi in tale delicata materia:
a) si continua a prevedere che i soggetti pubblici debbano prestare particolare attenzione alla prevenzione di possibili danni per l’interessato, conformando il trattamento dei dati sensibili e giudiziari in modo da prevenire il rischio di violazioni dei diritti fondamentali della persona (art. 22, comma 1);
b) viene sviluppato il principio di proporzionalità nel trattamento dei dati sensibili o giudiziari con il riferimento all’”indispensabilità” (e non più soltanto alla “necessità” o “essenzialità”) dell’uso di essi rispetto ad attività che non potrebbero essere adempiute mediante il ricorso a dati anonimi o a dati personali di diversa natura (art. 22, comma 3). Ciò al fine di armonizzare le varie disposizioni sparse in materia e di unificare le espressioni utilizzate, anche in riferimento alle autorizzazioni generali rilasciate dal garante a soggetti privati in tema di dati sensibili.

CAPO III – Regole ulteriori per privati ed enti pubblici economici

Art. 23 (Consenso)
Art. 24 (Casi nei quali può essere effettuato il trattamento senza il consenso)
Art. 25 (Divieti di comunicazione e diffusione)
Art. 26 (Garanzie per i dati sensibili)
Art. 27 (Garanzie per i dati giudiziari)

Il capo III contiene, in maniera pressoché speculare a quello che precede (riguardante i soggetti pubblici), la disciplina specifica del trattamento effettuato da soggetti privati, riguardante sia i dati “comuni”, sia i dati sensibili o giudiziari.
Per quanto riguarda i dati comuni, l’art. 23 (già 11 della legge n. 675/1996) chiarisce meglio, anche in accoglimento di quanto espressamente richiesto in sede di parere dalla Commissione giustizia del Senato, che il consenso al trattamento dei dati personali deve essere “espresso liberamente e specificamente in riferimento al trattamento chiaramente individuato,” e non solo reso “in forma specifica”, in linea con quanto richiesto dalla direttiva europea (art. 2, par. 1, lett. h, dir. n. 95/46/CE).
Coerentemente con l’esigenza di razionalizzare e coordinare meglio dal punto di vista sistematico la materia, le pertinenti disposizioni di questo capo, ove possibile, sono state accorpate.
In tal senso, nel medesimo art. 23 è stato aggiunto un comma il quale precisa che il consenso al trattamento dei dati sensibili e giudiziari è manifestato in forma scritta, come già previsto nella norma generale sul trattamento dei dati sensibili (art. 26, comma 1).
Nell’art. 24 sono state riunite, in ragione della sostanziale omogeneità della disciplina, le disposizioni che autorizzano il trattamento di dati personali anche in assenza del consenso, unificando, in sostanza, i previgenti articoli 12 e 20 della legge n. 675/1996. L’art. 24 fa salve le specificità riconosciute, in alcuni casi, per la comunicazione e, soprattutto, per la diffusione dei dati (lett. c), f) e g)). La disciplina risulta ora più chiara, essendo state eliminate alcune duplicazioni ed apportate talune opportune precisazioni.
In particolare, fra l’altro:
a) in relazione alle lettere a) e b), è stato meglio specificato, in conformità a quanto previsto dalla direttiva europea (art. 7, par. 1, lett. c), dir. 95/46/CE), il presupposto di liceità del trattamento relativo alla sussistenza di un obbligo legale, riferita ora correttamente alla necessità di adempiere comunque ad un obbligo previsto dalla legge, e non più solo al caso di “dati raccolti e detenuti” in base al medesimo obbligo. Inoltre, in sintonia con il diritto vivente, si è chiarito che il trattamento è consentito quando è comunque necessario per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato e non solo per eseguire “misure” precontrattuali su richiesta del medesimo interessato. Quest’ultimo intervento, ripetuto in maniera speculare nell’articolo 43 (già 28 della legge n. 675/1996), in relazione al trasferimento di dati all’estero, completa l’allineamento alla direttiva europea delle disposizioni concernenti trattamenti effettuati in relazione a rapporti precontrattuali, già avviato con il decreto legislativo n. 467/2001 (art. 7, par. 1, lett. b), dir. 95/46/CE);
b) alla lettera e), si è chiarito che il presupposto di liceità del trattamento riferito all’esigenza di salvaguardare la vita o l’incolumità di un terzo è comunque applicabile anche fuori dei precedenti casi in cui veniva specificato che l’interessato non può, per incapacità o altri motivi, prestare il proprio consenso. Inoltre, in relazione al caso in cui la medesima finalità riguardi la vita o l’incolumità dell’interessato, la disciplina è stata allineata a quella vigente in ambito sanitario in relazione al trattamento di dati idonei a rivelare lo stato di salute per finalità di cura della persona, che in base alle disposizioni previgenti risultava più rigorosa rispetto a quella del trattamento di dati comuni o sensibili effettuato da soggetti diversi da quelli sanitari. La disciplina prevede, ora, che anche in questi ultimi casi, se manca il consenso della persona incapace o altrimenti impossibilitata a prestarlo è necessario acquisire il consenso dei prossimi congiunti o familiari, e si può procedere al trattamento dei dati personali dell’interessato solo se sia impossibile acquisire anche il consenso di tali soggetti o vi è rischio grave ed imminente per la salute della persona, purché il consenso sia acquisito successivamente (art. 82, comma 2);
c) è stato soppresso l’ormai inutile riferimento specifico alla comunicazione effettuata nell’ambito di gruppi bancari o fra società controllate o collegate, in quanto la disposizione era legata al generalizzato sistema delle notificazioni di trattamenti correlati che il codice ha sostanzialmente eleminato (cfr. art. 37 – Notificazione del trattamento). La medesima esigenza, peraltro, può essere comunque efficacemente soddisfatta in applicazione dell’istituto del bilanciamento degli interessi del titolare con i diritti dell’interessato (art. 24, comma 1, lett. g);
d) si è esteso l’esonero dall’obbligo di acquisire il consenso ai trattamenti in ambito “interno” effettuati da organismi “no-profit” anche in relazione a dati comuni, in conformità a quanto già previsto per i dati sensibili, a condizione che le modalità di utilizzo dei dati siano esplicitate in un’apposita determinazione resa nota agli associati con l’informativa (analoga condizione è stata inserita per i trattamenti di dati sensibili all’art. 26, comma 4, lett. a));
e) la lettera i) reca un miglior coordinamento con la disciplina in materia di trattamenti per scopi storici, statistici o scientifici.
Per quanto riguarda il trattamento dei dati sensibili, si segnalano alcuni interventi di razionalizzazione del sistema e per il pieno adeguamento della normativa alla direttiva 95/46/CE (art. 26)
Anzitutto, conformemente a quanto previsto per i soggetti pubblici, si è nuovamente ricordato che anche i soggetti privati nel trattare dati sensibili devono altresì rispettare i presupposti ed i limiti stabiliti dal codice, da disposizioni di legge o di regolamento.
Un importante intervento di razionalizzazione della disciplina, riguarda il trattamento di dati sensibili effettuati da confessioni religiose.
L’art. 8, par. 2, lett. d), della dir. 95/46/CE prevede che i trattamenti effettuati da associazioni o altri organismi senza scopo di lucro operanti in ambito religioso, filosofico, politico o sindacale sono consentiti anche senza il consenso degli interessati, se effettuati in base a “garanzie adeguate” e purché siano utilizzati – all'”interno” degli organismi – i soli dati degli aderenti o delle persone che hanno contatti abituali con gli organismi stessi nell’ambito delle loro finalità lecite. Il particolare regime si giustifica in ragione del fine perseguito dagli organismi (in ogni caso non di lucro) e del “limite” rappresentato dalla circolazione dei dati solo all’interno degli organismi.
Per quanto riguarda l’ambito religioso, il decreto legislativo n. 135/1999, in materia di trattamento di dati sensibili da parte di soggetti pubblici, ha dato una prima attuazione a tale disciplina in riferimento alle confessioni religiose i cui rapporti con lo Stato sono regolati da accordi o intese (art. 22, comma 1-bis, l. n. 675/1996, introdotto dal d. lg. n. 135/1999), “autorizzando” le stesse a trattare i dati in questione anche senza il consenso degli interessati e senza l’obbligo di rispettare l’autorizzazione del Garante, nel rispetto, tuttavia, di idonee garanzie da adottare in relazione ai trattamenti effettuati. Successivamente il decreto legislativo n. 467/2001 ha integrato il medesimo articolo 22 della legge n. 675/1996 prevedendo che tutti gli organismi senza scopo di lucro, anche a carattere religioso, possono trattare i dati sensibili senza il consenso dell’interessato, ma nel rispetto dell’autorizzazione del Garante. L’art. 26, comma 3, lett. a) del codice completa, ora, l’intervento normativo, armonizzando meglio la disciplina normativa delle confessioni religiose, anche in riferimento alla giurisprudenza costituzionale e alle garanzie di cui le medesime confessioni si dotano nel rispetto dei principi contenuti in un’autorizzazione del Garante. Un’apposita disposizione transitoria (art. 181, comma 6) consente, in ogni caso, alle confessioni religiose che, prima dell’entrata in vigore del codice, abbiano già determinato e adottato le garanzie richieste nell’ambito del rispettivo ordinamento, di proseguire le attività di trattamento nel rispetto delle medesime.
Per quanto riguarda i casi in cui il trattamento è consentito anche senza il consenso dell’interessato, previa autorizzazione del Garante, si evidenzia:
a) la disciplina dei trattamenti effettuati da organismi senza scopo di lucro – analogamente a quanto sopra descritto in relazione al trattamento di dati comuni – è stata adeguata ad un criterio di maggiore garanzia e trasparenza prevedendo che tali organismi individuino con espressa determinazione le modalità di utilizzo dei dati, rendendola nota agli interessati all’atto dell’informativa (art. 26, comma 4, lett. a));
b) è stato apportato un intervento analogo a quello già descritto per il trattamento di dati comuni necessario per salvaguardare la vita o l’incolumità di un terzo o dell’interessato (art, 26, comma 4, lett. b));
c) in relazione al diritto di “rango pari” a quello dell’interessato – presupposto di liceità del trattamento di dati idonei a rivelare lo stato di salute per finalità di esercizio di un diritto – è stato precisato, in conformità alla giurisprudenza e al diritto vivente, che tale diritto è relativo ad un diritto della personalità o ad un altro diritto o libertà fondamentale e inviolabile; tale precisazione normativa ricorre, ovviamente, in ogni altro caso in cui nel codice si fa riferimento ad un diritto di rango pari (artt. 60, 71 e 92) (art. 26, comma 4, lett. c));
d) in attuazione di una specifica disposizione della direttiva europea (art. 8, par. 2, lett. b), dir. 95/46/CE), è stato introdotto un ulteriore presupposto di liceità del trattamento in relazione a ciò che è necessario per adempiere a specifici obblighi previsti dalla normativa, anche comunitaria, in materia di gestione del rapporto di lavoro, nei limiti previsti dall’autorizzazione del Garante e ferme restando le disposizioni del codice di deontologia e di buona condotta (art. 26, comma 4, lett. d).

TITOLO IV – I soggetti che effettuano il trattamento

Art. 28 (Titolare del trattamento)

Per quanto riguarda i soggetti che effettuano il trattamento, rispetto alla normativa previgente, l’art. 28 chiarisce (sebbene ciò sia pacifico sul piano giuridico e dell’applicazione pratica) che nel caso in cui il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da altro ente, “titolare” è l’entità nel suo complesso, oppure l’unità periferica che esercita un potere decisionale autonomo sulle finalità del trattamento, anziché la persona fisica incardinata nell’organo o preposta all’ufficio.

Art. 29 (Responsabile del trattamento)

L’art. 29, per fugare ogni possibile dubbio interpretativo emerso in qualche caso, chiarisce ancor più che la nomina del responsabile è meramente facoltativa e compete al solo titolare. Nella disposizione è espunto il riferimento agli incaricati, ora opportunamente inserito nella disposizione che riguarda questi ultimi (art. 30).

Art. 30 (Incaricati del trattamento)

L’art. 30 chiarisce, confermando una sperimentata prassi applicativa considerata corretta anche dal Garante, che alla designazione espressa e specifica degli incaricati – da effettuarsi in ogni caso per iscritto e con riguardo a specifiche mansioni – è “parificata” la preposizione della persona fisica ad una unità organizzativa per la quale sia individuato per iscritto l’ambito del trattamento consentito agli addetti ivi preposti. Tale previsione rappresenta un’indubbia forma di semplificazione dell’adempimento per i titolari o responsabili, che tuttavia non va a detrimento della sua efficacia.

TITOLO V – Sicurezza dei dati e dei sistemi

Capo I – Misure di sicurezza

Art. 31 (Obblighi di sicurezza)

L’art. 31 riproduce pedissequamente l’art. 15 della legge n. 675/1996.

Art. 32 (Particolari titolari)

L’art. 32 riguarda le particolari modalità di applicazione delle misure di sicurezza da parte di fornitori di servizi di comunicazione elettronica e ripropone pressoché integralmente, salvo per la terminologia che è adeguata alla direttiva 2002/58/CE, l’art. 2 del d.lg. n. 171/1998. Per quanto riguarda il rapporto fra l’adozione delle misure di sicurezza e i relativi costi, è confermata la scelta effettuata con il d. lg. n. 171/1998. La norma, infine, in attuazione di una specifica previsione della predetta direttiva 2002/58, prevede che le misure debbano essere adottate anche per salvaguardare l’integrità dei dati trattati e delle comunicazioni elettroniche contro il rischio di intercettazione o altra abusiva cognizione ed utilizzazione (art. 5, dir. cit).

Capo II – Misure minime di sicurezza

Art. 33 (Misure minime)
Art. 34 (Trattamenti con strumenti elettronici)
Art. 35 (Trattamenti senza l’ausilio di strumenti elettronici)
Art. 36 (Adeguamento)

Il capo II individua le note misure “minime” di sicurezza demandando la determinazione delle modalità di applicazione alle disposizioni contenute nel Disciplinare tecnico allegato al codice (allegato B).
Rispetto alle disposizioni contenute nel d.P.R. 28 luglio 1999, n. 318, emanato in attuazione dell’art. 15 della legge n. 675/1996, il sistema delle misure minime di sicurezza viene semplificato e aggiornato sulla base dell’esperienza applicativa degli ultimi tre anni e dell’evoluzione tecnologica.
Si segnalano, in particolare, alcuni aspetti caratterizzanti il nuovo sistema.
Ai fini dell’applicazione delle misure minime richieste, si conferma la distinzione fra trattamenti effettuati con strumenti elettronici e trattamenti “cartacei”, mentre, per quanto riguarda i primi, si evidenzia la diversa configurazione della distinzione, presente a determinati effetti nel d.P.R. 318/1999, tra trattamenti effettuati con elaboratori non accessibili da altri elaboratori o terminali e trattamenti con elaboratori “accessibili” in rete, e, tra questi ultimi, dell’ulteriore distinzione tra l’accessibilità attraverso reti disponibili o non disponibili al pubblico.
Non ha più una sua espressa rilevanza formale la figura dell’amministratore di sistema, mentre viene confermato l’obbligo di provvedere alla custodia di copie delle parole chiave per l’autenticazione, qualora sia tecnicamente indispensabile per garantire l’accesso ai dati in caso di impedimento di un incaricato.
Per il trattamento con strumenti elettronici si prevede l’obbligo di adottare l’autenticazione informatica dell’utente, anche mediante l’utilizzo di eventuali sistemi biometrici, e adeguate procedure di gestione delle relative credenziali di autenticazione.
Il titolare deve curare l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici, la tenuta di un aggiornato documento programmatico sulla sicurezza e l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Per i casi residuali in cui la limitatezza tecnologica degli strumenti in uso o la loro obsolescenza non consentano di attuare completamente il dettato normativo, si prevede l’obbligo da parte del titolare di descrivere in un documento a data certa, da custodire presso la propria struttura, gli impedimenti tecnici che hanno reso impossibile o parziale l’immediata applicazione delle misure minime di sicurezza. Viene inoltre introdotto, in relazione alla possibile inadeguatezza di alcuni elaboratori a consentire l’applicazione delle misure minime, un termine di un anno per dare tempo ai titolari di adeguare la propria dotazione tecnologica in modo da consentire l’applicazione delle misure minime di sicurezza (art. 180).
Per quanto riguarda le modalità di applicazione delle misure minime di sicurezza da adottare, sono state apportati gli adeguamenti richiesti dalla Commissione giustizia della Camera. In particolare, nel Disciplinare tecnico che reca tali modalità, sono state stabilite due scadenze periodiche (semestrale e annuale) per gli adempimenti a carico del titolare del trattamento e uniformate le scadenze rispondenti a finalità omogenee (punti 14 e 15 del Disciplinare). E’ stato infine determinato il termine di aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito agli incaricati (punto 27 del Disciplinare).

TITOLO VI – Adempimenti

Art. 37 (Notificazione del trattamento)
Art. 38 (Modalità di notificazione)

Gli articoli 37 e 38 completano l’intervento di semplificazione e razionalizzazione del sistema delle notificazioni già avviato dal decreto legislativo n. 467/2001, rivelatosi, sulla base dell’esperienza, per alcuni aspetti non indispensabile rispetto alle reali finalità di trasparenza perseguite dalla direttiva comunitaria. Con le modifiche apportate, si snelliscono gli adempimenti in favore sia di soggetti privati, sia della pubblica amministrazione. Si prevede, infatti, l’individuazione di un elenco “in positivo” di un numero più ristretto di categorie di trattamenti soggetti a notificazione, modificando il precedente impianto della normativa che, com’è noto, prevedeva un obbligo più ampio di effettuare la notificazione e individuava, poi, alcuni casi di esonero dall’obbligo o forme semplificate di notificazione. Il codice, completando, come si è detto, l’intervento normativo avviato dal d.lg. n. 467/2001, che aveva individuato le linee generali del nuovo sistema e demandato ad un regolamento governativo la determinazione dei casi e della modalità della notificazione, individua in positivo le tipologie dei trattamenti oggetto di notificazione al Garante in quanto suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato.
Si tratta, in sintesi, dei seguenti trattamenti, tutti relativi ad ambiti di particolare delicatezza:
a) dati genetici, biometrici o dati sull’ubicazione di persone od oggetti, da chiunque effettuati;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati per particolari finalità sanitarie (a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, ecc.);
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da organismi senza scopo di lucro;
d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica, con esclusione, però, dei trattamenti tecnicamente indispensabili per fornire i medesimi servizi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale, ma solo nei casi in cui ciò avvenga per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione e simili;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica e simili (c.d “centrali rischi”).
A completamento del sistema si prevede che il Garante possa prevedere con proprio provvedimento adottato in sede di controllo preliminare (art. 17), che siano soggetti a notificazione anche altri trattamenti in ragione del rischio derivante per i diritti dell’interessato.
Vari sono, inoltre, gli interventi di ulteriore semplificazione del sistema.
L’art. 37 prevede, anzitutto, che l’Autorità possa individuare, nell’ambito dei trattamenti individuati dalla norma e appena descritti, eventuali trattamenti non suscettibili, in concreto, di recare pregiudizio agli interessati e quindi sottratti all’obbligo di notificazione.
La notificazione potrà essere, poi, effettuata su un modello più snello di quello attuale, mentre un altro significativo elemento di semplificazione è riscontrabile nella soppressione dell’obbligo di effettuare una specifica notifica dei dati destinati all’estero (cfr. art. 43, rispetto al previgente art. 28, l. n. 675/1996). Il titolare del trattamento, pertanto, deve provvedere alla notifica nei soli casi previsti dall’articolo 37, con un adempimento richiesto una tantum (salvo, ovviamente, l’obbligo di notificare le eventuali modifiche del trattamento o la sua cessazione) e sempre con un unico atto anche quando il trattamento comporta un trasferimento di dati all’estero (art. 37, comma 3).
Le notificazioni sono inserite nel registro dei trattamenti tenuto dal Garante, ove sono consultabili da chiunque con modalità agevoli. Infine, una norma di chiusura conferma la piena attuazione del principio di massima trasparenza dei trattamenti previsto, oltre che dalla normativa comunitaria, dalla Convenzione del Consiglio d’Europa n. 108 del 1981, prevedendo che, in ogni caso, il titolare del trattamento il quale non è tenuto all’obbligo di notificazione ai sensi dell’art. 37, deve fornire all’interessato, ad eventuale richiesta, le notizie contenute nel modello predisposto per le notificazioni, salvo che il trattamento riguardi registri o elenchi pubblici.

Art. 39 (Obblighi di comunicazione)

Come già anticipato nella parte relativa ai soggetti pubblici, l’art. 39 specifica le modalità e gli effetti della comunicazione al Garante dei flussi di dati in ambito pubblico. La disposizione prevede la possibilità di effettuare la comunicazione dei dati decorsi 45 giorni dalla comunicazione al Garante, ferma restando la possibilità di una determinazione dell’Autorità anche successiva all’avvio del flusso dei dati ,e si applica anche al trattamento di dati idonei a rivelare lo stato di salute previsto dal programma di ricerca biomedica e sanitaria di cui all’art. 110.

Art. 40 (Autorizzazioni generali)
Art. 41 (Richieste di autorizzazione)

Nessuna modifica riguarda il procedimento per il rilascio delle autorizzazioni del Garante, salva la previsione di un termine ritenuto più congruo per un’efficace valutazione dei trattamenti sottoposti all’esame dell’Autorità (45 giorni).

TITOLO VII – Trasferimenti dei dati all’estero)

Art. 42 (Trasferimenti all’interno dell’Unione europea)
Art. 43 (Trasferimenti consentiti in Paesi terzi)
Art. 44 (Altri trasferimenti consentiti)
Art. 45 (Trasferimenti vietati)

Il titolo VII reca la disciplina del trasferimento dei dati all’estero (già contenuta nell’art. 28 della legge n. 675/1996), riportata, ora, nel codice in maniera più chiara ed organica con la formulazione di tre distinte disposizioni.
In sintesi, gli interventi di razionalizzazione tendono nuovamente, in linea con la direttiva 95/46/CE:
a) a semplificare il sistema del trasferimento dei dati verso Paesi non appartenenti all’Unione europea, con l’esclusione dell’obbligo di notificare specificamente al Garante il trasferimento dei dati (l’obbligo è adempiuto, una tantum, con l’unica notifica eventualmente dovuta ai sensi dell’art. 37) e con la conseguente soppressione dell’obbligo di attendere il decorso del termine originariamente prima di poter procedere al trasferimento dei dati (art. 28, comma 2, l. n. 675/1996);
b) ad assicurare la piena simmetria della disciplina del trattamento dei dati personali effettuato a fini di trasferimento dei dati all’estero con quella relativa al trattamento sul territorio nazionale (art. 43, comma 1, lett. b) e d)).

PARTE II
Disposizioni relative a specifici settori

Nei Titoli I, II e III della Parte II (Trattamenti in ambito giudiziario – Trattamenti da parte di forze di polizia – Difesa e sicurezza dello Stato) sono contenute disposizioni relative a particolari trattamenti effettuati da soggetti pubblici (rispettivamente, in ambito giudiziario per ragioni di giustizia, da forze di polizia nell’ambito del C.e.d. del Dipartimento della pubblica sicurezza o per finalità di prevenzione, accertamento o repressione di reati, ovvero dagli organismi preposti alla tutela della sicurezza nazionale o in materia di difesa).
Il codice recepisce i principi in materia di protezione dei dati personali in relazione a tali trattamenti (già assoggettati in parte alla disciplina contenuta nella legge n. 675/1996, in base all’art. 4 della medesima legge), pur con gli adattamenti indispensabili in ragione della specificità degli interessi perseguiti in tali settori.

TITOLO I – Trattamenti in ambito giudiziario

Capo I – Profili generali

Art. 46 (Titolari dei trattamenti)

L’art. 46 individua i titolari dei trattamenti effettuati in tale ambito negli uffici giudiziari, nel CSM e negli altri organi di autogoverno e nel Ministero della giustizia, in relazione alle rispettive attribuzioni e prevede l’individuazione dei trattamenti, limitatamente a quelli effettuati con strumenti elettronici, in banche dati centrali o interconnesse.

Art. 47 (Trattamenti per ragioni di giustizia)

Il successivo art. 47 individua le disposizioni del codice applicabili a tali trattamenti, dalle quali rimangono escluse quelle non agevolmente compatibili con un efficace perseguimento dell’interesse pubblico perseguito, e individua l’ambito di applicabilità della particolare disciplina in commento in relazione alle “ragioni di giustizia” di cui è fornita una specificazione sulla base dell’esperienza applicativa. L’art. 47 chiarisce che si devono intendere effettuati per ragioni di giustizia i trattamenti di dati personali direttamente correlati alla trattazione giudiziaria di affari e di controversie, o che, in materia di trattamento giuridico ed economico del personale di magistratura, hanno una diretta incidenza sulla funzione giurisdizionale.
Le medesime ragioni di giustizia non ricorrono, ad esempio, per l’ordinaria attività amministrativo-gestionale di personale e mezzi. Rispetto a questi ultimi trattamenti, pertanto, trova applicazione in toto la pertinente disciplina del codice.
Della tutela dell’interessato nei confronti dei trattamenti effettuati per “ragioni di giustizia”, si è già detto nel commento agli articoli 7 e 8 del codice. Si rammenta in questa sede che in relazione a tali trattamenti il Garante effettua, ove necessario, i necessari accertamenti, anche su segnalazione dell’interessato, con le particolari modalità di cui all’art. 160, secondo opportuni moduli più proficuamente sperimentati, che tengono conto della particolare collocazione istituzionale degli organi interessati (v. infra).

Art. 48 (Banche di dati di uffici giudiziari)

L’art. 48 favorisce le modalità di collegamento dell’autorità giudiziaria con altre banche di dati della pubblica amministrazione. In tal senso si prevede che ferma restando la necessità del rispetto delle eventuali previsioni normative sull’acquisizione dei dati, questa può avvenire anche per via telematica sulla base di convenzioni che agevolino la consultazione degli archivi, nel rispetto delle regole di correttezza nel trattamento di dati personali (art. 11) e del principio, già descritto, di necessità del trattamento (art. 3).

Art. 49 (Disposizioni di attuazione)

L’art. 49 prevede l’adozione di norme regolamentari per l’attuazione dei principi del codice sia nella materia penale sia in quella civile.

Capo II – Minori

Art. 50 (Notizie o immagini relative a minori)

L’art. 50 estende ai procedimenti giudiziari in materie diverse da quella penale il divieto di pubblicazione e divulgazione con qualsiasi mezzo di notizie o immagini idonee a consentire l’identificazione di un minore (art. 13 d.P.R. 22 settembre 1988, n. 448).

Capo III – Informatica giuridica

Art. 51 (Principi generali)
Art. 52 (Dati identificativi degli interessati)

Gli articoli 51 e 52 contengono norme tendenti ad agevolare lo sviluppo dell’informatica giuridica nel rispetto dei principi in materia di protezione dei dati personali.
Con il primo articolo, in termini analoghi a quelli previsti dal recente d.d.l. relativo alla legge di semplificazione, si favorisce la conoscibilità dei dati identificativi dei giudizi pendenti e delle decisioni giudiziarie adottate mediante reti di comunicazione elettronica anche attraverso il sito internet dell’autorità giudiziaria, senza innovare sulle esistenti disposizioni processuali sulla conoscibilità di atti giudiziari. Per favorire un’efficace applicazione di tale disposizione, una norma di attuazione consente di adeguare i sistemi informativi entro un anno dall’entrata in vigore del codice (art. 181, comma 5).
Con l’art. 52 si definiscono le modalità con cui garantire le parti in giudizio nel caso di riproduzione di una decisione giudiziaria (ivi compreso il lodo arbitrale rituale) in qualunque forma (su riviste giuridiche, mediante compact disk, o mediante la rete internet), ferma restando, ovviamente, la pubblicazione della sentenza nelle forme previste dai codici di rito. L’ambito applicativo della disposizione è stato precisato in accoglimento di una specifica osservazione della Commissione giustizia del Senato, chiarendo che essa riguarda la “riproduzione” di sentenze o altri provvedimenti giurisdizionali e per “finalità d’informazione giuridica”. Il sistema si articola in una semplice procedura che sfocia nell’apposizione, sull’originale della decisione, di un timbro che attesti la volontà dell’interessato di precludere l’indicazione delle proprie generalità o altri dati identificativi in caso di diffusione dell’atto o della relativa massima giuridica, con il conseguente divieto di diffusione di tali dati da parte di qualunque soggetto. Tale annotazione può anche essere apposta d’ufficio dal giudice, a tutela della dignità dell’interessato.
Un divieto specifico è previsto in caso di decisioni giudiziarie concernenti minori in ordine ai quali non è consentito, anche in assenza della predetta annotazione, la diffusione delle generalità, di altri dati identificativi o di altri dati anche relativi a terze persone dai quali possa ricavarsi l’identità del minore (art. 52, comma 5).
Un’apposita disposizione transitoria prevede precisi limiti di applicabilità del divieto di diffusione dei dati relativi a persone non minori, contenuti in decisioni adottate prima dell’entrata in vigore del codice, in relazione a riviste già pubblicate (art. 181, comma 5).

TITOLO II – Trattamenti da parte di Forze di polizia

Capo I – Profili generali

Art. 53 (Ambito applicativo e titolari dei trattamenti)

Il titolo II disciplina i trattamenti effettuati dal Centro elaborazione dati del Dipartimento della pubblica sicurezza, ovvero dalle forze di polizia, organi di pubblica sicurezza e altri soggetti pubblici per finalità di tutela dell’ordine o della sicurezza pubblica e di prevenzione, accertamento o repressione dei reati, individuando le disposizioni del codice applicabili a tali trattamenti.
L’art. 53, inoltre, prevede l’individuazione, con decreto ministeriale, dei trattamenti effettuati con l’ausilio di strumenti elettronici e dei relativi titolari.

Art. 54 (Modalità di trattamento e flussi di dati)

Analogamente a quanto previsto per l’autorità giudiziaria (art. 48) l’art. 54 favorisce le modalità di collegamento dell’autorità di pubblica sicurezza e delle forze di polizia con altre banche di dati di altri soggetti. In tal senso si prevede che, nei casi in cui una previsione normativa autorizza l’acquisizione dei dati, questa può avvenire anche per via telematica sulla base di convenzioni che agevolino la consultazione degli archivi, nel rispetto delle regole di correttezza nel trattamento di dati personali (art. 11) e del principio, già descritto, di necessità del trattamento (art. 3).
L’art. 54, inoltre, prevede per il Centro elaborazione dati l’obbligo di assicurare l’aggiornamento dei dati ivi registrati anche mediante opportuni collegamenti con il casellario giudiziale e dei carichi pendenti del Ministero della giustizia. Analoga previsione è stabilita per gli organi e uffici di polizia.

Art. 55 (Particolari tecnologie)

L’art. 55 stabilisce che i trattamenti che implicano maggiori rischi di danno per l’interessato (in relazione, ad esempio, a banche di dati contenenti dati genetici o biometrici) devono essere comunicati previamente al Garante (art. 39) e devono essere effettuati nel rispetto delle misure stabilite dal Garante per tutti i trattamenti che presentano rischi per i diritti dell’interessato (art. 17).

Art. 56 (Tutela dell’interessato)

L’art. 56 estende le disposizioni sull’accesso ai dati destinati a confluire nel Centro elaborazioni di cui alla legge 1 aprile 1981, n. 121, anche agli altri trattamenti effettuati dagli organi e uffici di polizia con strumenti elettronici, assicurando, così, piena tutela ai diritti dell’interessato.

Art. 57 (Disposizioni di attuazione)

L’art. 57 prevede l’attuazione dei principi del codice in relazione al trattamento di dati effettuato da forze di polizia o dagli altri soggetti cui si applica il presente titolo, anche mediante l’integrazione e la modifica della normativa vigente in materia (d.P.R. n. 378/1982, di attuazione della predetta legge n. 121/1981). La norma prevede specifici “criteri” per l’individuazione delle modalità del trattamento, anche in attuazione della Raccomandazione del Consiglio d’Europa n. R(87)15 del 17 settembre 1987 sui trattamenti di dati personali effettuati per finalità di polizia e di prevenzione e repressione di reati.

TITOLO III – Difesa e sicurezza dello Stato

Capo I – Profili generali

Art. 58 (Disposizioni applicabili)

L’art. 58, riguarda i trattamenti effettuati dai servizi di informazione e di sicurezza previsti dalla legge n. 801/1977 e da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato, ovvero su dati coperti dal segreto di Stato. Esso specifica quali sono le sole disposizioni del codice applicabili a tali trattamenti.
In ragione della specificità di tali trattamenti e della loro particolare delicatezza, l’articolo stabilisce che con decreto del Presidente del Consiglio si provveda, non solo all’individuazione delle misure minime di sicurezza (come già previsto dalla legge n. 675/1996), ma anche alla determinazione delle modalità di applicazione a tali trattamenti della normativa del codice. La disposizione assume particolare importanza al fine di assicurare, anche in sintonia con orientamenti giurisprudenziali internazionali in materia di diritti dell’uomo, la necessaria trasparenza alle tipologie di trattamenti effettuati per tali finalità, in relazione ai tipi di operazioni e di dati oggetto di trattamento e alle esigenze di aggiornamento e conservazione dei dati medesimi.

TITOLO IV – Trattamenti in ambito pubblico

Capo I – Accesso a documenti amministrativi.

Art. 59 (Accesso a documenti amministrativi)

Art. 60 (Dati idonei a rivelare lo stato di salute e la vita sessuale)
L’art. 59 ribadisce la compatibilità delle disposizioni in materia di accesso ai documenti amministrativi con quelle che regolano il diritto di accesso ai dati personali. La norma deve essere letta anche in combinato con la modifica apportata all’articolo 24, comma 3, della legge n. 241/1990, che fa salva l’applicabilità della disciplina prevista dal presente codice nei casi in cui la richiesta di accesso ai dati raccolti mediante strumenti informatici riguarda dati personali del richiedente (v. amplius il commento all’art. 176, comma 1).
La norma riproduce inoltre la previsione già contenuta nell’art. 16 del d.lg. n. 135/1999, in materia di trattamenti di dati sensibili da parte di soggetti pubblici, prevedendo che le attività finalizzate all’applicazione della disciplina in materia di accesso ai documenti amministrativi sono di rilevante interesse pubblico. Al riguardo il successivo art. 60 prevede che il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. La disposizione chiarisce in modo inequivoco i presupposti per il trattamento di tali dati sensibili oggetto di una richiesta di accesso ai documenti, in linea con l’orientamento interpretativo espresso dalla giurisprudenza amministrativa sul predetto art. 16 del d. lg. n. 135/1999.

Capo II – Registri pubblici e albi professionali.

Art. 61 (Utilizzazione di dati pubblici)

L’art. 61 disciplina, fra l’altro, il trattamento dei dati personali contenuti in albi professionali, in applicazione dei principi in materia di comunicazione e diffusione di dati da parte di soggetti pubblici (art. 19, commi 2 e 3), consentendone il trattamento anche mediante reti di comunicazione elettronica. La disposizione, inoltre, ad integrazione di tali principi (specifica “copertura” normativa o perseguimento di finalità istituzionali), fa salva la possibilità che, a richiesta dell’interessato, siano inseriti nell’albo anche altri dati, purchè pertinenti rispetto all’attività professionale, o siano comunicate a terzi altre informazioni.

Capo III – Stato civile, anagrafi e liste elettorali.

Art. 62 (Dati sensibili e giudiziari)
Art. 63 (Consultazione di atti)

Il capo si limita sostanzialmente a riprodurre la disposizione che individua quali finalità di rilevante interesse pubblico, la tenuta degli atti e dei registri dello stato civile, delle anagrafi e delle liste elettorali (già art. 7, d. lg. n. 135/1999), con la precisazione che vi sono ricomprese anche le finalità relative al rilascio di documenti di riconoscimento e al cambiamento delle generalità.
In relazione a tali materie, inoltre, si segnalano nelle disposizioni transitorie alcuni interventi che adeguano la normativa vigente ai principi in materia di protezione dei dati personali (art. 177).

Capo IV – Finalità di rilevante interesse pubblico.

Art. 64 (Cittadinanza, immigrazione e condizione dello straniero)
Art. 65 (Diritti politici e pubblicità dell’attività di organi)
Art. 66 (Materia tributaria e doganale)
Art. 67 (Attività di controllo e ispettive)
Art. 68 (Benefici economici ed abilitazioni)
Art. 69 (Onorificenze, ricompense e riconoscimenti)
Art. 70 (Volontariato e obiezione di coscienza)
Art. 71 (Attività sanzionatorie e di tutela)
Art. 72 (Rapporti con enti di culto)
Art. 73 (Altre finalità in ambito amministrativo e sociale)

Nel capo IV sono riportate pressoché pedissequamente le disposizioni che individuano le finalità di rilevante interesse pubblico, già contenute agli articoli 8 e seguenti del citato d. lg. n. 135/1999. L’art. 73 riporta le altre finalità di rilevante interesse pubblico individuate, in materia amministrativa e sociale, dal Garante, ai sensi dell’art. 22, comma 3, della legge n. 675/1996, con il provvedimento n. 1/P/2000 del 30 dicembre 1999-13 gennaio 2000, pubblicato nella G.U. n. 26 del 2 febbraio 2000.
Per quanto riguarda le finalità di rilevante interesse pubblico in materia di attività sanzionatorie e di tutela, allo scopo di chiarire alcuni dubbi applicativi, in accoglimento delle osservazioni formulate dalla Commissione giustizia della Camera dei deputati, nell’articolo 71, comma 1, lett. b), è stata inserita la previsione che, nell’ambito di tali finalità volte a far valere il diritto di difesa in sede amministrativa o giudiziaria, rientrano anche le attività effettuate per consentire l’acquisizione da parte del difensore di documenti in possesso della pubblica amministrazione, ai sensi dell’articolo 391- quater del codice di procedura penale.
Non sono riprodotte nel presente capo, perché riportate nei capi del codice ove sono trattate le rispettive materie, oltre a quelle appena descritte in materia di accesso ai documenti amministrativi (già art. 16, d. lg. n. 135/1999) e di tenuta degli atti e dei registri dello stato civile, delle anagrafi e delle liste elettorali (già art. 7, d. lg. n. 135/1999), le disposizioni concernenti le finalità di rilevante interesse pubblico in materia di:
a) rapporto di lavoro (art. 112, già art. 9, d. lg. n. 135/1999);
b) istruzione (art. 95, già art. 12, d. lg. n. 135/1999);
c) tutela della salute, interruzione della gravidanza, tossicodipendenze e portatori di handicap (artt. 85 e 86, già artt. 17-20, d. lg. n. 135/1999);
d) statistica, ricerca storica ed archivi (art. 98, già artt. 22 e 23, d. lg. n. 135/1999).
La disposizione che prevede quale finalità di rilevante interesse pubblico l’applicazione della normativa in materia di immigrazione (art. 64) deve essere applicata in coordinamento con le recenti disposizioni introdotte dalla legge n. 189/2002, in relazione alle quali resta consentita la raccolta dei dati biometrici ivi previsti nel rispetto, ovviamente, dei principi in materia di protezione dei dati personali.
Per quanto riguarda le finalità di rilevante interesse pubblico inserite in questo capo si segnalano alcuni interventi integrativi volti a meglio precisare l’ambito di applicabilità delle disposizioni. In particolare, si considerano di rilevante interesse pubblico le finalità:
a) relative alla tenuta degli elenchi dei giudici popolari (art. 65, comma 1, lett. a));
b) connesse alla disciplina in materia di violazione del termine ragionevole del processo (art. 71, comma 1, lett. b));
c) di polizia amministrativa, opportunamente non limitata al livello locale (art. 73, comma 2, lett. f));
d) di tutela delle risorse idriche e di difesa del suolo (art. 73, comma 2, lett. f)).

Capo V – Particolari contrassegni.

Art. 74 (Contrassegni su veicoli e accessi a centri storici)

L’articolo 74 individua alcune cautele a garanzia della riservatezza delle persone in relazione al trattamento di dati personali contenuti in contrassegni di circolazione, destinati all’esposizione all’interno di veicoli, anche relativi a persone handicappate. La disposizione prende in esame i principi a suo tempo richiamati dal Garante con un provvedimento generale (adottato il 19 gennaio 1999), già in larga parte applicati in ambito locale.

TITOLO V – Trattamento di dati personali in ambito sanitario

Capo I – Profili generali

Art. 75 (Ambito applicativo)
Art. 76 (Esercenti professioni sanitarie e organismi sanitari pubblici)

Gli art. 75 e 76 definiscono l’ambito di applicazione del capo e i presupposti di liceità del trattamento dei dati idonei a rivelare lo stato di salute da parte degli esercenti le professioni sanitarie e degli organismi sanitari pubblici. L’articolo riproduce pedissequamente il previgente art. 23 della legge n. 675/1996 chiarendo che tale trattamento è effettuato con il consenso dell’interessato e anche senza l’autorizzazione del Garante, se riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità fisica dell’interessato, ovvero anche senza il consenso dell’interessato e previa autorizzazione del Garante, se la finalità riguarda un terzo o la collettività.
L’art. 76 inoltre, anticipa, che nei casi in cui è richiesto, il consenso può essere prestato con forme semplificate e secondo le modalità contenute nel capo II.

Capo II – Modalità semplificate per informativa e consenso

Il capo II introduce modalità semplificate per il rilascio dell’informativa e per la prestazione del consenso dell’interessato in relazione al trattamento di dati in ambito sanitario, recependo integralmente e ulteriormente semplificando (con particolare riguardo a quello a fini amministrativi), le proposte formulate da una apposita commissione istituita presso il Ministero della salute per la redazione dello schema di regolamento ministeriale già previsto dalla normativa previgente (art. 23, comma 1-bis, l. n. 675/1996).

Art. 77 (Casi di semplificazione)

L’art. 77 individua l’ambito oggettivo e soggettivo di tali forme di semplificazione chiarendo che esse riguardano sia il rilascio dell’informativa, sia la prestazione del consenso dell’interessato (e, più in generale, le modalità del trattamento dei dati) e si applicano a tutti i soggetti operanti in ambito sanitario, pubblici o privati.

Art. 78 (Informativa del medico di medicina generale o del pediatra)

L’art. 78 individua le modalità di semplificazione per l’informativa all’interessato da parte del medico “di famiglia” (o del pediatra), sotto tre profili:
a) per quanto riguarda l’ambito “oggettivo” di applicazione, l’informativa può essere fornita, con un unico atto, per il complessivo trattamento di dati relativo al paziente (diagnosi, cura, riabilitazione, ecc.) e può riguardare anche dati raccolti presso terzi;
b) sotto il profilo “soggettivo”, essa può riguardare anche il trattamento di dati “correlato” a quello del medico “di famiglia”, effettuato da altro professionista che con quello venga, in vario modo, in contatto professionale nell’interesse del paziente;
c) infine, circa le modalità, l’informativa è resa preferibilmente per iscritto, ma anche con modalità alternative come le più recenti carte tascabili o altri simili strumenti, integrandola oralmente, se necessario.
Il comma 5 contiene un’importante previsione sul contenuto dell’informativa, in base alla quale essa deve evidenziare analiticamente eventuali trattamenti potenzialmente rischiosi per i diritti e le libertà fondamentali dell’interessato, come quelli effettuati a fini di ricerca scientifica o di sperimentazione clinica, oppure effettuati mediante il ricorso alle più moderne tecnologie, in particolare in forma di teleassistenza o telemedicina.

Art. 79 (Informativa da parte di organismi sanitari)

L’art. 79 estende le predette modalità semplificate in ambiti più ampi rispetto a quello dei singoli professionisti con cui il paziente può venire in contatto più direttamente, in relazione, cioè, agli organismi sanitari pubblici e privati nel loro complesso, anche in riferimento ad una pluralità di prestazioni erogate da distinti reparti dello stesso organismo o di più strutture ospedaliere o aziende sanitarie. E’ evidente l’intento della norma di semplificare il più possibile il rilascio dell’informativa assicurando al contempo l’effettività dell’adempimento. Infatti si precisa che i vari organismi o strutture devono annotare l’avvenuta informativa con modalità uniformi, tali da consentire ogni verifica al riguardo da parte di altri reparti ed unità o di altre strutture.

Art. 80 (Informativa da parte di altri soggetti pubblici)

L’art. 80 prevede la possibilità di un’unica informativa anche a fini amministrativi e per una pluralità di trattamenti di dati, quando i trattamenti siano effettuati dai competenti servizi o strutture di soggetti pubblici operanti in ambito sanitario o della prevenzione e sicurezza del lavoro. In tal caso la norma precisa che, a ulteriore garanzia dell’interessato, l’informativa è integrata con appositi avvisi, agevolmente visibili al pubblico o diffusi anche con strumenti telematici.

Art. 81 (Prestazione del consenso)

L’art. 81 disciplina le modalità semplificate per la prestazione del consenso, applicabili, ove necessario, in tutti i casi descritti in relazione agli articoli 78 e 79.
Il consenso al trattamento dei dati, nei casi in cui è necessario ai sensi del presente codice o di altra disposizione di legge, può essere manifestato con un’unica dichiarazione. Non si richiede che sia necessariamente prestato in forma scritta dall’interessato, ma è sufficiente che il medico o l’organismo annoti il consenso medesimo. L’art. 81, poi, “raccorda” il rilascio dell’informativa con la prestazione del consenso nel caso di informativa resa dal medico “di famiglia” per conto di più professionisti, prevedendo che, in tal caso, gli altri professionisti siano messi in condizione di conoscere l’avvenuta prestazione del consenso mediante l’apposizione di un bollino o altro segno sulla tessera sanitaria, anche con riferimento a eventuali “specificità” dell’informativa resa.

Art. 82 (Emergenza e tutela della salute e dell’incolumità fisica)

L’art. 82 disciplina i casi in cui, in relazione a situazioni di emergenza, anche connesse allo stato di salute del paziente, l’informativa e il consenso possono intervenire in un momento successivo alla prestazione medica resa dal sanitario.
A parte i casi in cui sussistono emergenze di carattere pubblico, sanitarie o di igiene, il trattamento dei dati idonei a rivelare lo stato di salute del paziente è consentito anche in assenza del suo consenso – purchè questo e la relativa informativa intervengano successivamente – quando:
a) l’interessato non è in grado di prestare il proprio consenso per incapacità o impossibilità e non può acquisirsi neanche il consenso delle persone che, già in base alla normativa previgente, possono esprimere il consenso per conto dell’interessato (chi esercita legalmente la potestà,un prossimo congiunto, ecc.);
b) nel caso di rischio grave per la salute o l’incolumità dell’interessato;
c) quando la prestazione medica potrebbe essere altrimenti pregiudicata dall’acquisizione preventiva del consenso.

Art. 83 (Altre misure per il rispetto dei diritti dell’interessato)

L’art. 83 prevede la possibilità per i soggetti cui si riferisce il presente capo di adottare, nell’ambito dell’organizzazione dei servizi, altre misure a garanzie dei diritti dell’interessato (distanze di cortesia, riservatezza nei colloqui, regole di condotta analoghe al segreto professionale per gli incaricati che non vi sono già sottoposti, ecc.).

Art. 84 (Comunicazione di dati all’interessato)

L’art. 84 riproduce l’art. 23, comma 2, della legge n. 675/1996 in base al quale i dati personali idonei a rivelare lo stato di salute possono essere resi noti all’interessato da parte di esercenti le professioni sanitarie ed organismi sanitari, solo per il tramite di un medico designato. Poiché la norma ha il chiaro intento di evitare al paziente di venire a conoscenza di notizie sul suo stato di salute da soggetti professionalmente non preposti a tale compito, che spesso è alquanto delicato, la norma è stata integrata prevedendo la sua inapplicabilità in riferimento ai dati personali già conosciuti dal medesimo interessato in quanto da lui forniti in precedenza. In ogni caso si prevede ulteriormente che possa essere espressamente incaricato a tale scopo anche altro personale sanitario che abbia rapporti diretti con il paziente.

Capo III – Finalità di rilevante interesse pubblico

Art. 85 (Compiti del Servizio sanitario nazionale)
Art. 86 (Altre finalità di rilevante interesse pubblico)

Gli articoli 85 e 86 riproducono le disposizioni del d. lg. n. 135/1999 che individuavano le finalità di rilevante interesse pubblico. Le disposizioni chiariscono che si tratta, in ogni caso, di finalità relative ad attività a carattere amministrativo. Pertanto, i soggetti che operano nell’ambito del SSN o gli altri organismi sanitari pubblici, se ricorrono tali finalità, possono trattare dati idonei a rivelare lo stato di salute dell’interessato anche in assenza del suo consenso, previa identificazione delle operazioni eseguibili e dei tipi di dati idonei a rivelare lo stato di salute, ai sensi dell’articolo 20, alla quale deve essere assicurata ampia pubblicità. Particolari cautele sono previste, in ogni caso, per il trattamento dei dati identificativi dell’interessato.

Capo IV – Prescrizioni mediche

Art. 87 (Medicinali a carico del Servizio sanitario nazionale)
Art. 88 (Medicinali non a carico del Servizio sanitario nazionale)
Art. 89 (Casi particolari)

Il capo IV reca la disciplina delle modalità di rilascio delle prescrizione mediche, riproducendo la normativa vigente opportunamente razionalizzata al fine di garantire la riservatezza dell’interessato e tenendo conto, anche in questo caso, delle indicazioni formulate dalla commissione menzionata all’inizio del presente capo..
Si distinguono diverse modalità di rilascio delle prescrizioni a secondo che le “ricette” siano a carico o meno del SSN.
Per le prime, l’esigenza, già contenuta nel d. lg. n. 282/1999, è di permettere di risalire all’identità dell’interessato solo in caso di necessità connesse al controllo della correttezza della prescrizione, ovvero a fini di verifiche amministrative o per scopi epidemiologici e di ricerca. In tal senso il modello di “ricetta” già in uso è integrato da un tagliando predisposto su carta o con tecnica di tipo copiativo e unito ai bordi della prescrizione, posizionato in modo da “coprire” le generalità dell’interessato, e separabile temporaneamente, ove necessario.
Sulle prescrizioni non a carico del SSN, invece, non sono riportate le generalità dell’interessato, salvo che il medico lo ritenga necessario per consentirne l’individuazione quando particolari situazioni lo richiedano.
Sono fatte salve disposizioni particolari, come per le prescrizioni relative al c.d. dccreto “Di Bella” o in materia di tossicodipendenze.

Capo V – Dati genetici

Art. 90 (Trattamento dei dati genetici e donatori di midollo osseo)

L’art. 90, ai commi 1 e 2, riproduce la disposizione previgente in materia di dati genetici chiarendo più in dettaglio il contenuto della necessaria autorizzazione del Garante al trattamento di tali dati, con riferimento, in particolare, all’informativa all’interessato.
Al comma 3, l’art. 90 inserisce nel codice per omogeneità di materia una disposizione in materia di riservatezza nel caso di trapianto di midollo osseo (art. 4, comma 3, l. 6 marzo 2001, n. 52), abrogando l’originaria disposizione (art. 183, comma 3, lett. c)).

Capo VI – Disposizioni varie

Art. 91 (Dati trattati mediante carte)

L’art. 91 riguarda i trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale dell’interessato eventualmente registrati su carte anche non elettroniche o trattati mediante le medesime carte, come, ad esempio, la carta nazionale dei servizi.
Ferma restando l’esigenza di una “copertura” normativa di tali trattamenti, la delicatezza di essi, per la natura dei dati e le particolari tecnologie adoperate, richiede che siano effettuati solo se necessari, nel rispetto del principio di necessità più volte richiamato (art. 3), e nell’osservanza delle misure eventualmente prescritte dal Garante nei modi di cui all’articolo 17, trattandosi di trattamenti che possono presentare specifici rischi per i diritti e le libertà fondamentali.

Art. 92 (Cartelle cliniche)

L’art. 92 introduce alcune importanti disposizioni in materia di trattamento di dati contenuti nelle cartelle cliniche e nelle accluse schede di dimissione ospedaliera.
Da un lato, si favorisce l’intelligibilità dei dati ivi contenuti da parte del medesimo interessato (art. 10), tutelando al contempo dati di terzi eventualmente presenti, come nel caso in cui, ad esempio, dal particolare stato di salute della madre possano ricavarsi dati relativi al nascituro.
Dall’altro, si assicura l’accesso alle informazioni ivi contenute anche a terzi, nei limiti dei principi del presente codice. In tal senso, si prevede, infatti, che a tali dati si possa avere accesso far valere o difendere un diritto in sede giudiziaria ai sensi dell’articolo 26, comma 4, lettera c), o per tutelare, in conformità alla disciplina sull’accesso ai documenti amministrativi, una situazione giuridicamente rilevante, purché in entrambi i casi la situazione soggettiva da far valere sia di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.

Art. 93 (Certificato di assistenza al parto)

L’art. 93 fa parte di un più complessivo intervento tendente a inserire nel codice alcune disposizioni che riguardano la riservatezza dei dati contenuti nel certificato di assistenza al parto, già previste dall’art. 16 del d.P.R. 28 dicembre 2000, n. 445, recante il testo unico in materia di documentazione amministrativa, che viene, pertanto, abrogato in parte qua (art. 183, comma 3, lett. d)). La disciplina è completata dall’art. 109 che riguarda gli aspetti della rilevazione di tali dati a fini statistici (v. infra).
L’art. 93, inoltre, raccorda tale disciplina con il diritto all’anonimato della madre, di cui all’art. 30 del d.P.R. 3 novembre 2000, n. 396, in materia di stato civile, prevedendo che il certificato di assistenza al parto (ed anche la cartella clinica), ove comprensivi dei dati personali che rendono identificabile la madre, possono essere rilasciati in copia integrale a chi vi abbia interesse solo decorsi cento anni dalla formazione del documento. Prima di tale termine, la richiesta di accesso al certificato o alla cartella non è, ovviamente, preclusa, ma devono essere adottate le opportune cautele per scongiurare l’identificabilità della madre che voglia rimanere anonima.

Art. 94 (Banche di dati, registri e schedari in ambito sanitario)

L’art. 94 prevede la specifica applicazione del principio di necessità nel trattamento dei dati al trattamento di dati idonei a rivelare lo stato di salute contenuti in banche di dati o altri archivi o registri tenuti in ambito sanitario.

TITOLO VI – Istruzione

Capo I – Profili generali

Art. 95 (Dati sensibili e giudiziari)

L’art. 95 riproduce la disposizione che individua quali finalità di rilevante interesse pubblico quelle in materia di istruzione e di formazione (già art. 12, d. g. n. 135/1999).
Art. 96 (Trattamento di dati relativo a studenti)
L’art. 96, riproduce l’art. 330-bis del d. lg. 16 aprile 1994, n. 297, introdotto dal d. lg. n. 281/1999, concernente il trattamento di dati relativi a studenti e la pubblicazione dell’esito degli esami, e conferma la vigenza di altre disposizioni in materia di tutela del diritto dello studente alla riservatezza.

TITOLO VII – Trattamento per scopi storici, statistici o scientifici

Capo I – Profili generali

Art. 97 (Ambito applicativo)
Art. 98 (Finalità di rilevante interesse pubblico)
Art. 99 (Compatibilità fra scopi e durata del trattamento)
Art. 100 (Dati relativi ad attività di studio e di ricerca)

Il Capo I contiene disposizioni comuni al trattamento di dati personali effettuato per scopi storici, statistici o scientifici, già disciplinato, oltre che da specifiche disposizioni della legge n. 675/1996, dal d. lg. 30 luglio 1999, n. 281.
All’art. 98, per evidente esigenza di armonizzazione normativa, sono ora considerate finalità di rilevante interesse pubblico anche quelle concernenti i trattamenti effettuati per scopi scientifici, che così si aggiungono agli scopi storici e alle finalità di statistica (già artt. 22 e 23, d. lg. n. 135/1999).
L’art. 100 riproduce il disposto dell’art. 6, comma 4, del decreto legislativo 5 giugno 1998, n. 204, in materia di diffusione di dati a fini di ricerca e collaborazione in campo scientifico e tecnologico, riportato nell’ambito del codice per omogeneità di materia.

Capo II – Trattamento per scopi storici.

Art. 101 (Modalità di trattamento)
Art. 102 (Codice di deontologia e di buona condotta)
Art. 103 (Consultazione di documenti conservati in archivi)

Il Capo II contiene le disposizioni riguardanti il trattamento di dati personali effettuato per scopi storici, in ordine alle quali non si riscontrano specifici interventi di razionalizzazione.
L’art. 103 dispone che per la consultazione dei documenti conservati negli archivi di Stato o in quelli storici degli enti pubblici ovvero in archivi privati si applicano le pertinenti disposizioni del testo unico in materia di beni culturali e ambientali, approvato con il d. lg. n. 490 del 1999, nel quale sono confluite le disposizioni del d. P.R. 30 settembre 1963, n. 1049, già modificato dal citato d. lg. n. 281/1999.

Capo III – Trattamento per scopi statistici o scientifici

Art. 104 (Ambito applicativo e dati identificativi)
Art. 105 (Modalità di trattamento)
Art. 106 (Codici di deontologia e di buona condotta)
Art. 107 (Trattamento di dati sensibili)
Art. 108 (Sistema statistico nazionale)
Art. 109 (Dati statistici relativi all’evento della nascita)

Il Capo III contiene le disposizioni riguardanti il trattamento di dati personali effettuato per scopi statistici o scientifici.
In ordine a tali trattamenti nell’art. 105 si riscontra un importante intervento di semplificazione in relazione all’obbligo di fornire all’interessato l’informativa di cui all’art. 13.
L’art. 105, infatti, stabilisce che quando specifiche circostanze individuate dai rispettivi codici di deontologia sono tali da consentire ad un soggetto di rispondere in nome e per conto di un altro, in quanto familiare o convivente, l’informativa all’interessato di cui all’art. 13 è validamente prestata anche per il tramite del soggetto legittimato alla risposta (art. 105, comma 4). La semplificazione può trovare applicazione nell’ambito delle procedure di rilevamento di dati statistici in occasione del censimento della popolazione.
Inoltre l’informativa non è dovuta in relazione al trattamento effettuato per scopi statistici o scientifici rispetto a dati originariamente raccolti per altri scopi, quando richiederebbe uno sforzo sproporzionato rispetto al diritto tutelato, purché siano, però, adottate idonee forme di pubblicità alternative, individuate dai medesimi codici deontologici (art. 105, comma 4).
L’art. 108 chiarisce che il trattamento dei dati personali da parte di soggetti che fanno parte del Sistan è disciplinato altresì dal decreto legislativo 6 settembre 1989, n. 322, già modificato dal decreto legislativo n. 281/1999.
L’art. 109 riproduce, in parte, il disposto dell’art. 16, comma 3, del d.P.R. 28 dicembre 2000, n. 445, recante il testo unico in materia di documentazione amministrativa, concernente i dati statistici relativi all’evento della nascita, aggiornato in base al d.m. n. 349/2001. Come anticipato in altra parte della relazione, la norma completa, sotto il profilo degli adempimenti a fini statistici (il che giustifica la sua collocazione in questo capo) la disposizione dell’articolo 93 (Certificato di assistenza al parto).
L’art. 110 riguarda il trattamento di dati idonei a rivelare lo stato di salute per scopi di ricerca scientifica in campo medico, biomedico o epidemiologico (già art. 5, d. lg. n. 282/1999), che può essere effettuato anche senza il consenso dell’interessato quando il medesimo trattamento è previsto da una disposizione di legge o rientra in un programma di ricerca biomedica o sanitaria. La disposizione è stata integrata, come già anticipato nel commento all’art. 39, prevedendo la previa comunicazione del trattamento al Garante e l’avvio del medesimo solo dopo il decorso dei 45 giorni ivi previsti. Inoltre la possibilità di trattare i dati dell’interessato senza il suo consenso è stata estesa all’ipotesi in cui non sia possibile, a causa di particolari ragioni, informarlo e il programma di ricerca sia oggetto di parere favorevole del competente comitato etico e sia, altresì, autorizzato dal Garante.

TITOLO VIII – Lavoro e previdenza sociale

Capo I – Profili generali

Art. 111 (Codice di deontologia e di buona condotta)

L’art. 111 riproduce l’art. 20, comma 2, lett. b) del d. lgs. n. 467/2001 in tema di codice di deontologia e di buona condotta relativo al trattamento di dati in materia di gestione del rapporto di lavoro, in osservanza dei pareri espressi dalle Commissioni giustizia della Camera e del Senato .

Art. 112 (Finalità di rilevante interesse pubblico)

L’art. 112 riproduce l’articolo 9, del d. lgs. n. 135/1999 che individua le finalità di rilevante interesse pubblico in materia di lavoro, in osservanza dei pareri espressi dalle Commissioni giustizia della Camera e del Senato.

Capo II – Annunci di lavoro e dati riguardanti prestatori di lavoro

Art. 113 (Raccolta di dati e pertinenza)

L’art. 113 precisa che restano ferme le disposizioni dell’art. 8 della legge 25 maggio 1970 n. 300, (“statuto dei lavoratori”) sul divieto di indagini sulle opinioni dei lavoratori, che riguarda il trattamento di dati sensibili.

Capo III – Divieto di controllo a distanza e telelavoro

Art. 114 (Controllo a distanza)

L’art. 114, analogamente a quanto già descritto in relazione all’art. 113, precisa che restano ferme le disposizioni dell’art. 4 della legge 25 maggio 1970 n. 300, sul divieto di controllo a distanza dei lavoratori.

Art. 115 (Telelavoro e lavoro a domicilio)

L’art. 115, riproduce alcune disposizioni extravaganti in materia di riservatezza nell’ambito del lavoro domestico (art. 6, l. 2 aprile 1958, n. 339), che sono, conseguentemente, abrogate (art. 179, comma 1).

Capo IV – Istituti di patronato e di assistenza sociale

Art. 116 (Conoscibilità di dati su mandato dell’interessato)

L’art. 116, in osservanza dei pareri espressi dalle Commissioni giustizia della Camera e del Senato, riproduce l’art. 12 della legge 30 marzo 2001, n. 152, che viene conseguentemente abrogato (art. 183, comma 3, lett. b).

TITOLO IX – Sistema bancario, finanziario ed assicurativo

Capo I – Sistemi informativi

Art. 117 (Affidabilità e puntualità nei pagamenti)

L’art. 117 riproduce l’art. 20, comma 2, lett. e) del d. lg. n. 467/2001 recante il codice di deontologia e di buona condotta relativo al trattamento di dati in materia di affidabilità e puntualità nei pagamenti. In osservanza del parere espresso dalla Commissione giustizia del Senato, la parola “favorire” è stata sostituita dalla parola “garantire”.

Art. 118 (Informazioni commerciali)

L’art. 118 riproduce l’art. 20, comma 2, lett. d) del d. lg. n. 467/2001 recante il codice di deontologia e di buona condotta relativo al trattamento di dati in materia di informazioni commerciali. In osservanza del parere espresso dalla Commissione giustizia del Senato, la parola “favorire” è stata sostituita dalla parola “garantire”.

Art. 119 (Dati relativi al comportamento debitorio)

L’art. 119, contiene una norma di “chiusura” relativa ai trattamenti effettuati nell’ambito di banche di dati per finalità connesse ai comportamenti debitori (es. registro dei protesti), al fine di assicurare modalità del trattamento e termini di conservazione dei dati omogenei. A tale scopo l’art. 119 chiarisce che con il codice di deontologia e di buona condotta di cui all’articolo 118 (relativo al trattamento di dati in materia di informazioni commerciali) sono altresì individuati termini armonizzati di conservazione dei dati personali contenuti, in particolare, in banche di dati, registri ed elenchi tenuti da soggetti pubblici e privati, riferiti, appunto, al comportamento debitorio dell’interessato, in casi diversi da quelli già disciplinati nel codice di cui all’articolo 117, che riguarda i trattamenti effettuati nell’ambito delle c.d. “centrali rischi” private. Al riguardo una specifica disposizione transitoria stabilisce che dalla data di efficacia delle disposizioni del codice deontologico di cui all’art. 118, i termini di conservazione dei dati indicati dal presente articolo, eventualmente previsti da norme di legge o di regolamento, si osserveranno nella misura indicata nel medesimo codice (art. 183, comma 5).

Art. 120 (Sinistri)

L’art. 120 si riferisce alla banca di dati dei sinistri istituita per la prevenzione e il contrasto di comportamenti fraudolenti nel settore delle assicurazioni obbligatorie per i veicoli presso L’ISVAP, prevedendo che il medesimo organismo stabilisca le modalità per l’accesso alle informazioni ivi raccolte da parte degli organi giudiziari e delle pubbliche amministrazioni competenti in materia di prevenzione e contrasto di comportamenti fraudolenti, nonché delle imprese di assicurazione. La norma era contenuta nell’art. 2, comma 5 quater 1, del d.l. 28 marzo 2000, n. 70, convertito, con modificazioni, dalla legge n. 137/2000, che viene conseguentemente abrogato in parte qua (art. 183, comma 3, lett. f)).

TITOLO X – Comunicazioni elettroniche

Capo I – Servizi di comunicazione elettronica

Le disposizioni del presente titolo danno attuazione alla direttiva 2002/58 del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, secondo quanto previsto dall’articolo 26 della legge 3 febbraio 2003, n. 14 (legge comunitaria 2002) che ha prorogato il termine per l’adozione del presente codice anche al fine del previo recepimento della predetta direttiva.
Com’è noto, la direttiva 2002/58 ha sostituito la precedente direttiva 97/66/CE del 15 dicembre 1997, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle telecomunicazioni, recepita nel nostro ordinamento con il decreto legislativo 13 maggio 1998, n. 171 e con alcuni mirati interventi di completamento apportati al medesimo d. lg. n. 171/1998 dal decreto legislativo n. 467/2001 (artt. 21, 22 e 23, in materia di modalità di pagamento alternative alla fatturazione, di informazione al pubblico sull’identificazione della linea chiamante e collegata, nonché in materia di chiamate di emergenza).
Il titolo in commento, pertanto, nel “riportare” nel codice le disposizioni previgenti contenute nel d. lg. n. 171/1998, le modifica ed integra al fine di attuare le disposizioni della direttiva n. 2002/58 innovative o specificative della precedente direttiva.
La corrispondenza degli articoli del codice con gli articoli del d. lg. n. 171/1998, può agevolmente essere confrontata ricorrendo alla tavola sinottica allegata al codice, dove, per ulteriore chiarezza, sono state riportate anche le pertinenti disposizioni della direttiva 2002/58.
Di seguito, pertanto, come del resto in tutta la presente relazione, si riportano solo alcuni chiarimenti in relazione alle “novità” introdotte in attuazione della direttiva in esame.

Art. 121 (Servizi interessati)

Le disposizioni del presente titolo si applicano al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni, per le cui definizioni, in parte innovative rispetto a quanto previsto dalla direttiva 97/66, in ragione del progresso tecnologico registrato in questi anni, si rimanda all’art. 4.

Art. 122 (Informazioni raccolte nei riguardi dell’abbonato o dell’utente)

L’art. 122 recepisce una nuova previsione della direttiva 58/2002 (art. 5, par. 3). La disposizione introdotta vieta l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente, a fini di archiviazione di informazioni o di monitoraggio delle operazioni effettuate dall’utente medesimo. Si prevede, tuttavia, che il codice di deontologia da adottare in materia (cfr. art. 133) possa individuare i presupposti in presenza dei quali l’uso della rete nei modi predetti può essere consentito, purché si tratti di scopi legittimi relativi a specifici servizi richiesti dall’abbonato o dall’utente, e quest’ultimo abbia espresso il proprio consenso informato.

Art. 123 (Dati relativi al traffico)

Nell’art. 123, che riguarda il trattamento dei dati relativi al traffico, si individua il periodo di tempo entro il quale il fornitore può trattare i dati strettamente necessari per la fatturazione, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento (non superiore a sei mesi, salvo in caso di contestazione). In aderenza al parere espresso dalla Commissione giustizia del Senato, la disposizione chiarisce meglio l’ambito temporale di conservazione dei dati in caso di contestazione.
Rispetto alla previgente disposizione (art. 4, comma 3, d. lg. 171/1998), il comma 3 è integrato con la previsione che il consenso espresso dall’abbonato o dall’utente al trattamento dei dati personali a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, può essere revocato in ogni momento.
Il comma 4, interamente innovativo, introduce una specifica garanzia di trasparenza per l’abbonato o per l’utente, precisando che nel fornire l’informativa di cui all’articolo 13, il fornitore del servizio, in relazione ai trattamenti appena descritti, deve informare espressamente l’abbonato o l’utente sulla natura dei dati relativi al traffico che sono sottoposti a trattamento e sulla durata dei medesimi trattamenti (art. 6, par. 4, dir. 2002/58).

Art. 124 (Fatturazione dettagliata)

L’art. 124 riguarda le modalità di documentazione dei dati di traffico ai fini della fatturazione. Com’è noto, già in base alla normativa previgente (art. 5, d. lg. n. 171/1998), l’abbonato ha diritto di ricevere in dettaglio, a richiesta e senza alcun aggravio di spesa, la dimostrazione degli elementi che compongono la fattura (data e ora di inizio della conversazione, numero selezionato, scatti, ecc.).
Il citato art. 21 del d. lg. n. 467/2001 aveva già integrato tale normativa apportandovi, in linea con quanto previsto dalla precedente direttiva 97/66, alcuni correttivi per assicurare il contemperamento dell’esigenza degli abbonati di visionare il dettaglio del proprio traffico telefonico ai fini del pagamento della fattura con la riservatezza di altri utenti, in relazione, in particolare, alla disponibilità di modalità di pagamento alternative alla fatturazione. Il codice completa l’intervento di attuazione della corrispondente ed analoga previsione della nuova direttiva 2002/58, stabilendo che il fornitore del servizio è tenuto ad abilitare l’utente ad effettuare comunicazioni e a richiedere servizi da qualsiasi terminale, gratuitamente e in modo agevole, avvalendosi per il pagamento di modalità alternative alla fatturazione, anche impersonali, quali carte di credito o di debito o carte prepagate. L’art. 124, peraltro, conferma la previsione del “mascheramento” sulle fatture delle ultime tre cifre dei numeri chiamati, ma in linea con il progressivo adeguamento dei fornitori alla previsione comunitaria, a seguito dell’ampia diffusione nel nostro Paese dei mezzi di pagamento alternativi, prevede che il Garante, accertata l’effettiva disponibilità di tali mezzi, può autorizzare il fornitore ad indicare nella fatturazione i numeri completi delle comunicazioni.
Per i casi in cui si adotti il “mascheramento”, l’art. 124 contiene, inoltre, un’importante integrazione precisando che l’abbonato può richiedere la comunicazione “in chiaro” dei numeri chiamati per esclusivi fini di specifica contestazione dell’esattezza di determinati addebiti o di periodi limitati.

Art. 125 (Identificazione della linea)

L’art. 125 riproduce pressoché pedissequamente l’art. 6 del d. lg. n. 171/1998, come integrato dall’art. 22 del d. lg. n. 467/2001.

Art. 126 (Dati relativi all’ubicazione)

Del tutto innovativo è l’art. 126, che dà attuazione alla disposizione della direttiva 2002/58 che ha previsto il trattamento di dati relativi all’ubicazione dell’abbonato o dell’utente. Per “dati relativi all’ubicazione”, si intende ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico (art. 4).
L’art. 126 prevede che se tali dati sono diversi da quelli relativi al traffico e sono effettivamente oggetto di trattamento, nei limiti in cui l’attuale tecnologia lo consenta, essi possono essere trattati solo se anonimi o se l’utente o l’abbonato ha manifestato previamente il proprio consenso, anche in questo caso revocabile in ogni momento. Gli stessi soggetti conservano, inoltre, il diritto di richiedere l’interruzione temporanea del trattamento di tali dati.
Anche tale norma prevede, a fini di trasparenza, uno specifico onere informativo per il fornitore del servizio in relazione alla natura dei dati, agli scopi e alla durata del trattamento, nonché sull’eventualità che i dati siano trasmessi ad un terzo per la prestazione di un servizio a valore aggiunto.

Art. 127 (Chiamate di disturbo e di emergenza)

L’art. 127 riguarda le chiamate di disturbo o di emergenza e ricalca pressoché pedissequamente quella previgente (art. 7, d. lg. n. 171/1998, come modificato dall’art. 23, d. lg. n. 467/2001), salvo due precisazioni relative alle chiamate di disturbo che consentono una più agevole applicazione della norma:
a) la richiesta di rendere temporaneamente inefficace la soppressione della presentazione dell’identificazione della linea chiamante e di conservare i dati relativi alla provenienza della chiamata ricevuta, nel caso in cui sia preceduta da una richiesta telefonica deve essere inoltrata comunque in forma scritta entro quarantotto ore e non più entro ventiquattro ore, termine apparso, in sede applicativa, troppo stringente per l’abbonato;
b) i dati conservati possono essere comunicati all’abbonato che dichiari di utilizzarli per esclusive finalità di tutela rispetto a chiamate di disturbo.
Per quanto riguarda le chiamate di emergenza, la norma precisa che i servizi abilitati in base alla legge a ricevere chiamate d’emergenza sono individuati con decreto del Ministro delle comunicazioni, sentiti il Garante e l’Autorità per le garanzie nelle comunicazioni.

Art. 128 (Trasferimento automatico della chiamata)

L’art. 128 riproduce pressoché pedissequamente l’art. 8 del d. lg. n. 171/1998.

Art. 129 (Elenchi di abbonati)

L’art. 129 riguarda gli elenchi degli abbonati. La norma conferma l’assetto secondo cui le modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati negli elenchi cartacei o elettronici a disposizione del pubblico, sono individuate dal Garante con proprio provvedimento, in cooperazione con l’Autorità per le garanzie nelle comunicazioni anche in riferimento ai dati già raccolti prima dell’entrata in vigore del presente codice.

Art. 130 (Comunicazioni indesiderate)

L’art. 130 riguarda le comunicazioni indesiderate (c.d. spamming), già oggetto di previsione normativa nell’art. 10 del d. lg. n. 171/1998, e dà piena attuazione al principio codificato nell’art. 13 della direttiva 2002/58 in base al quale l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore (dispositivi automatici di chiamata), del fax e della posta elettronica “a fini di commercializzazione diretta” è consentito solo “nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso” (c.d. opt-in).
L’art. 130 chiarisce che la disposizione riguarda l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale e si applica anche alle comunicazioni elettroniche effettuate, per le finalità appena indicate, mediante messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.
Sempre in attuazione del medesimo art. 13 della direttiva, l’art. 130 stabilisce che se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica già fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato sempre che l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, inoltre, deve essere informato della possibilità di opporsi in ogni momento al trattamento.
Si prevede, inoltre, il divieto di inviare comunicazioni per le finalità in esame o, comunque, a scopo promozionale, camuffando o celando l’identità del mittente o senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i propri diritti.
Infine, in caso di reiterata violazione di tali disposizioni è previsto che il Garante possa prescrivere ai fornitori dei servizi di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.

Art. 131 (Informazioni ad abbonati e utenti)

L’art. 131 riproduce pedissequamente l’art. 3 del d. lg. n. 171/1998.

Art. 132 (Conservazione di dati di traffico per altre finalità)

L’art. 132 dà attuazione all’art. 15 della direttiva 2002/58 che attribuisce allo Stato membro la facoltà di adottare disposizioni volte a limitare alcuni diritti ed obblighi previsti dalla medesima direttiva quando ciò sia necessario per eccezionali esigenze di tutela di particolari interessi pubblici delimitati, dopo ampio dibattito, dalla stessa direttiva prevedendo, fra l’altro, che i dati siano conservati dai fornitori per un tempo limitato.
In tal senso, l’art. 132 stabilisce che, fermo restando quanto previsto dall’articolo 123 per la conservazione dei dati a fini civilistici, i dati relativi al traffico sono conservati dal fornitore per un periodo non superiore a trenta mesi, per finalità di accertamento e repressione di reati. Le modalità di tale conservazione sono individuate con decreto del Ministro della giustizia, di concerto con i ministri dell’interno e delle comunicazioni, su conforme parere del Garante.
Il termine, tenendo conto delle osservazioni svolte da entrambe le Commissioni e degli orientamenti e delle evoluzioni in ambito comunitario e internazionale, viene fissato in un periodo non superiore a 30 mesi, che appare congruo rispetto alle esigenze prospettate in sede parlamentare e comunque ampiamente inferiore a quello attuale di cinque anni.
Sul piano formale, tenendo conto della giurisprudenza costituzionale e di legittimità in materia, in particolare sulla natura dei dati in questione e sulle modalità di acquisizione da parte della sola autorità giudiziaria, la finalità della conservazione di tali dati viene più direttamente collegata all’accertamento e alla repressione dei reati, specificando meglio il contesto per il quale l’esigenza cui fa riferimento l’articolo in commento è stata prefigurata, vale a dire in relazione ai dati di traffico telefonico.

Capo II – Internet e reti telematiche.

Art. 133 (Codice di deontologia e di buona condotta)

L’art. 133 riproduce l’art. 20, comma 2, lett. a) del d. lg. n. 467/2001.

Capo III– Videosorveglianza.

Art. 134 (Codice di deontologia e di buona condotta)

L’art. 134 riproduce l’art. 20, comma 2, lett. g) del d. lgs. n. 467/2001.

TITOLO XI – Libere professioni ed investigazione privata

Capo I – Profili generali

Art. 135 (Codice di deontologia e di buona condotta)

L’art. 135 riproduce, con gli opportuni adeguamenti, l’art. 20, comma 4, lett. c), della l. n. 675/1996.

TITOLO XII – Giornalismo ed espressione letteraria ed artistica

Capo I – Profili generali

Art. 136 (Finalità giornalistiche e altre manifestazioni del pensiero)
Art. 137 (Disposizioni applicabili)
Art. 138 (Segreto professionale)

Le disposizioni del presente titolo riguardano il trattamento effettuato nell’esercizio della professione di giornalista o da pubblicisti o per finalità, anche temporanee, di pubblicazione o diffusione occasionale di articoli e altre manifestazioni del pensiero anche nell’espressione artistica.
Il capo si limita, sostanzialmente, a riordinare la materia disciplinata dalla l. n. 675/1996, ove non risultava di agevole leggibilità anche perché le pertinenti disposizioni erano collocate in più parti della medesima legge, a secondo che riguardassero il trattamento di dati comuni o di dati sensibili, o altri aspetti.
L’art. 136 contiene anche un importante intervento di attuazione della direttiva 95/46, prevedendo che nell’ambito dei trattamenti effettuati per finalità di manifestazione del pensiero rientrano anche quelli nel campo dell’espressione artistica, nel caso in cui, ovviamente, abbiano ad oggetto dati personali (art. 9, dir. 95/46).

Capo II – Codice di deontologia

Art. 139 (Codice di deontologia relativo ad attività giornalistiche)

L’art. 139 riproduce, con gli opportuni adeguamenti formali, l’art. 25 della l. n. 675/1996, nella parte relativa all’adozione del codice di deontologia.
Un’importante intervento di razionalizzazione consiste nell’aver esteso, per ragioni di omogeneità, anche al codice di deontologia in materia di giornalismo la particolare “efficacia” delle disposizioni in esso contenute, il cui rispetto costituisce condizione di liceità del trattamento, nonché la previsione dell’allegazione al presente codice (art. 12, comma 4).

TITOLO XIII – Marketing diretto

Art. 140 (Codice di deontologia e di buona condotta)

L’art. 140 riproduce l’art. 20, comma 2, lett. g) del d. lg. n. 467/2001.

PARTE III – TUTELA DELL’INTERESSATO E SANZIONI

TITOLO I – Tutela amministrativa e giurisdizionale

Capo I – Tutela dinanzi al Garante

Sezione I – Principi generali

Art. 141 (Forme di tutela)

Nell’art. 141 sono indicate le forme di tutela dell’interessato dinanzi al Garante, che trovano poi la propria specifica disciplina nelle sezioni successive. L’articolo consente di avere, da subito, il quadro d’insieme delle diverse possibilità di tutela per l’interessato, agevolando, così, la lettura delle norme successive.
L’art. 141 conferma che l’interessato può rivolgersi al Garante in tre forme diverse a secondo dei diritti che intende far valere o, comunque, della tutela richiesta:
a) mediante “reclamo” circostanziato (art. 142), quando intende rappresentare una violazione della disciplina rilevante in materia di trattamento di dati personali;
b) mediante “segnalazione” se, pur non essendo possibile presentare un reclamo circostanziato, intende sollecitare un controllo da parte del Garante sulla disciplina medesima (144);
c) mediante ricorso, se intende far valere gli specifici diritti di cui all’articolo 7.
Da segnalare il riferimento alla “disciplina rilevante” in materia di protezione dei dati, con il quale il codice, da un lato, reca un ulteriore riconoscimento delle nuove fonti normative rappresentate dai codici di deontologia, che si aggiungono, quale ulteriore parametro di liceità del trattamento, alle disposizioni di legge o di regolamento, e, dall’altro, opportunamente rinvia a disposizioni anche di altri settori dell’ordinamento che comunque rilevino ai fini dell’applicazione dei principi in materia di protezione dei dati personali.

Sezione II – Tutela amministrativa

Art. 142 (Proposizione dei reclami)

La sezione concerne le forme di tutela amministrativa innanzi al Garante diverse dal ricorso.
L’art. 142 chiarisce, in linea con quanto l’esperienza di questi primi anni di applicazione della legge n. 675/1996 ha “suggerito”, che il reclamo deve contenere un’indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda, oltre che delle disposizioni che si presumono violate e delle misure richieste. Tale aspetto “qualifica” il reclamo rispetto alla segnalazione, alla quale, invece, l’interessato può ricorrere per sottoporre al Garante una violazione meno dettagliata e circoscritta della disciplina in materia di protezione dei dati personali, sollecitando un intervento di controllo del Garante nei modi previsti dai successivi articoli.
Il medesimo art. 142 reca anche indicazioni circa le modalità di presentazione del reclamo, specificando che esso è inoltrato al Garante senza particolari formalità, al fine di rendere più agevole possibile il ricorso a questa forma di tutela. A tale scopo, il Garante può anche predisporre un modello per la proposizione del reclamo.

Art. 143 (Procedimento per i reclami)

L’art. 143, sempre nel quadro di un sistema semplificato e snello, “procedimentalizza” le fasi di proposizione del reclamo e del suo esame da parte del Garante.
Si prevede, infatti, una fase di istruttoria preliminare, all’esito della quale se il reclamo non è manifestamente infondato e sussistono i presupposti per un intervento dell’Autorità, il Garante, anche prima della definizione del procedimento, adotta le prescrizioni e i divieti necessari.
Non si tratta di specifiche decisioni adottabili esclusivamente nell’ambito di tali procedimenti, ma dei provvedimenti che il Garante può adottare anche d’ufficio nell’ambito dei poteri di controllo attribuitigli (art. 154, già 31 della legge n. 675/1996).
Si prevede, inoltre, che prima di prescrivere le misure o adottare i divieti il Garante può invitare il titolare, anche in contraddittorio con l’interessato, ad effettuare il blocco dei dati spontaneamente.
L’art. 143 precisa, altresì, che i provvedimenti adottati dal Garante sono pubblicati nella Gazzetta Ufficiale se i relativi destinatari non sono facilmente identificabili per il numero o per la complessità degli accertamenti.

Art. 144 (Segnalazioni)

L’art. 144 chiarisce che i provvedimenti descritti possono essere adottati dal Garante anche a seguito della proposizione di una segnalazione, nel caso in cui sia stata avviata un’istruttoria.

Sezione III – Tutela alternativa a quella giurisdizionale

Art. 145 (Ricorsi)
Art. 146 (Interpello preventivo)

La sezione disciplina la proposizione dei ricorsi al Garante, il relativo procedimento, i provvedimenti adottabili dall’Autorità e i rimedi esperibili dal titolare o dall’interessato.
Il sistema normativo è stato razionalizzato mediante una più ordinata collocazione delle norme – che nel quadro previgente erano “sparse” in più parti della legge n. 675/1996 e nel regolamento di attuazione (d.P.R. n. 501 del 1999) – e con alcuni mirati interventi volti a rendere più snello il procedimento, ferma restando l’effettività della tutela dell’interessato.
Aderendo allo spirito di tutta la normativa in materia di protezione dei dati personali, improntata più ad orientare l’applicazione delle disposizioni da parte degli stessi titolari piuttosto che a sanzionare, nelle diverse forme, i trattamenti illeciti, il codice ha proseguito lungo la linea già avviata dalla legge n. 675/1996 di favorire la “composizione” delle controversie direttamente fra l’interessato e il titolare del trattamento, assicurando, da un lato, che i diritti di cui all’art. 7 siano esercitati con richieste il più possibile mirate e chiare e, dall’altro, che il riscontro del titolare sia tempestivo e pertinente (cfr. anche il commento all’art. 7).
In tal senso, l’art. 146 aggiorna il termine entro il quale è dovuto il riscontro, anche ai fini della proponibilità del ricorso al Garante, a quindici giorni dal ricevimento della richiesta, termine ritenuto oggettivamente più congruo rispetto a quello di cinque giorni previsto dalla normativa previgente. Inoltre se le operazioni necessarie per un integrale riscontro alla richiesta sono di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o il responsabile, purché ne diano comunicazione all’interessato, possono esaudire la richiesta entro trenta giorni dal suo ricevimento.

Art. 147 (Presentazione del ricorso)
Art. 148 (Inammissibilità del ricorso)
Art. 149 (Procedimento relativo al ricorso)
Art. 150 (Provvedimenti a seguito del ricorso)
Art. 151 (Opposizione)

Gli articoli 147, 148 e 149 regolano le formalità di presentazione del ricorso, i casi di inammissibilità dello stesso e il relativo procedimento, in maniera pressoché pedissequa alla previgente normativa, salvo alcune precisazioni apparse necessarie al fine di assicurare una maggiore snellezza ed efficacia alla procedura.
In tal senso, fra l’altro, a seguito di qualche incertezza applicativa verificatasi, si è chiarito che il ricorso è proposto nei confronti del titolare ed è rivolto al Garante (art. 147, commi 1 e 4). In relazione all’evoluzione tecnologica, è previsto che il ricorso è validamente proposto anche se è trasmesso per via telematica osservando le modalità relative alla sottoscrizione con firma digitale e alla conferma del ricevimento dell’istanza.
Qualche intervento di razionalizzazione si registra nell’ambito del procedimento dove alcuni termini sono stati adeguati all’esperienza applicativa di questi anni, ivi compreso quello entro il quale il Garante deve adottare la propria decisione sul ricorso (sessanta giorni) (art. 149).
Da ultimo, si segnala un importante intervento in materia di spese del procedimento, in base al quale in caso di mancata opposizione avverso il provvedimento che determina l’ammontare delle spese, o di suo rigetto, il provvedimento medesimo costituisce, per questa parte, titolo esecutivo ai sensi degli articoli 474 e 475 del codice di procedura civile (art. 150, c0mma 6).

Capo II – Tutela giurisdizionale

Art. 152 (Autorità giudiziaria ordinaria)

L’art. 152 disciplina il procedimento innanzi all’autorità giudiziaria ordinaria, sostituendo l’attuale previsione del procedimento in camera di consiglio con un nuovo procedimento instaurabile con ricorso innanzi al tribunale in composizione monocratica. L’art. 152 introduce un procedimento molto snello, che tuttavia assicura pienamente alle parti le dovute garanzie, strutturato in modo da assicurare in tempi brevi la decisione. La sentenza non è appellabile.

TITOLO II – L’Autorità

Capo I – Garante per la protezione dei dati personali

Art. 153 (Il Garante)
Art. 154 (I compiti)

Gli articoli riproducono senza variazioni di particolare rilievo le disposizioni previgenti.
Per quanto riguarda i compiti del Garante (art. 154) si registrano i seguenti interventi, alcuni di natura meramente formale:
a) a completamento del compito già previsto dalla normativa previgente, in linea con la direttiva europea (art. 28, par. 3, secondo trattino) e con la disciplina normativa di altre autorità indipendenti, è, ora, previsto che il Garante possa segnalare anche al Parlamento e non solo al Governo l’opportunità di interventi normativi, con l’ulteriore precisazione che tale segnalazione è effettuata dall’Autorità per la necessità di tutelare i diritti fondamentali della persona, anche a seguito dell’evoluzione del settore (art. 154, comma 1, lett. f);
b) l’articolo è stato coerentemente aggiornato nella parte relativa ai compiti di controllo o assistenza attribuiti al Garante in materia di trattamento dei dati personali, in relazione alle altre leggi di ratifica di accordi o convenzioni internazionali o ai regolamenti comunitari che prevedono tale competenza dell’Autorità (l. 30 settembre 1993, n. 388, di ratifica dell’accordo di Schengen; l. 23 marzo 1998, n. 93, di ratifica della convenzione istitutiva di Europol; regolamento (Ce) n. 515/97 del Consiglio del 13 marzo 1997 e l. 30 luglio 1998, n. 291, di ratifica della convenzione sull’uso dell’informatica nel settore doganale; regolamento (Ce) n. 2725/2000 del Consiglio dell’ 11 dicembre 2000 che istituisce l’”Eurodac”).
Inoltre si segnala un’importante intervento con il quale si prevede che nei casi in cui il Garante debba esprimere un parere ai sensi di legge, tale parere deve essere adottato, salvi i termini più brevi eventualmente previsti, nel termine di quarantacinque giorni dal ricevimento della richiesta, decorso il quale l’amministrazione può procedere indipendentemente dall’acquisizione del parere. E’ previsto, peraltro, che per esigenze istruttorie il termine può essere interrotto per una sola volta e il parere reso entro venti giorni dal ricevimento degli elementi istruttori (art. 154, comma 5). La scelta del termine di quarantacinque giorni è omogenea a quella relativa al rilascio delle autorizzazioni da parte del Garante (art. 40) ed è in linea con quanto previsto per i pareri del Consiglio di Stato (art. 17, comma 27, l. 15 maggio 1997, n. 127).

Capo II – L’Ufficio del Garante

Art. 155 (Principi applicabili)
Art. 156 (Ruolo organico e personale)

Gli articoli si limitano a riprodurre – in maniera organica e più facilmente leggibile – le corrispondenti disposizioni della legge n. 675/1996, che erano il frutto, peraltro, di una stratificazione di interventi successivi (art. 33, l. n. 675/1996). Non sono state riportate nel codice alcune disposizioni a carattere transitorio che hanno già esaurito i propri effetti.
Si segnala, inoltre, quale intervento di razionalizzazione, l’allineamento della disposizione sul segreto d’ufficio cui è tenuto il personale alla pertinente disposizione del codice penale (il personale è tenuto al segreto in ordine a notizie che “devono rimanere segrete”) (art. 326, c.p.).

Capo III – Accertamenti e controlli

Art. 157 (Richiesta di informazioni e di esibizione di documenti)
Art. 158 (Accertamenti)
Art. 159 (Modalità)
Art. 160 (Particolari accertamenti)

Gli articoli riproducono, senza sostanziali modifiche o integrazioni le corrispondenti disposizioni della legge n. 675/1996, con alcuni adeguamenti sul piano sistematico (ad es., è qui riprodotta la previsione che il provvedimento del Garante relativo alle spese eventualmente accertate nell’ambito del procedimento di controllo costituisce titolo esecutivo ai sensi del codice di procedura civile).
Come già in base alla precedente normativa:
a) gli accertamenti sono effettuati dal Garante d’ufficio o anche nell’ambito dei procedimenti avviati dall’interessato con reclamo o segnalazione (v. il commento relativo all’esercizio dei diritti dell’interessato e al procedimento in materia di reclami di cui agli artt. 7 e ss. e 142, 143 e 144);
b) in relazione a taluni trattamenti (disciplinati ai titoli I, II e III della Parte II del codice, e indicati all’articolo 8, comma 3) gli accertamenti sono effettuati dal Garante con le particolarità modalità dell’art. 160 (cfr. anche il commento all’art 8).
In relazione a questi ultimi si registra un intervento integrativo della normativa, necessario per regolare le modalità e gli effetti degli accertamenti del Garante riguardo ai trattamenti effettuato nei riguardi di uffici giudiziari, al fine di consentire, in ogni caso, il pieno esercizio della funzione giurisdizionale.
L’art. 160 chiarisce, infatti, che nell’effettuare tali accertamenti il Garante adotta idonee modalità che tengano conto anche della particolare collocazione istituzionale dell’organo che procede. Inoltre nel caso di indagini coperte dal segreto, gli accertamenti, quando vi sia richiesta dell’organo procedente, sono differiti (art. 160, comma 5). In ogni caso, la validità, l’efficacia e l’utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale (art. 160, comma 6).

TITOLO III – Sanzioni

Capo I – Violazioni amministrative

Art. 161 (Omessa o inidonea informativa all’interessato)
Art. 162 (Altre fattispecie)
Art. 163 (Omessa o incompleta notificazione)
Art. 164 (Omessa informazione o inidonea informativa all’interessato)
Art. 165 (Pubblicazione del provvedimento del Garante)
Art. 166 (Procedimento di applicazione)

Il capo I riguarda le fattispecie per la cui violazione è prevista l’applicazione di una sanzione amministrativa.
In tutti i casi l’importo delle sanzioni è stato adeguato alla nuova moneta dell’euro e opportunamente calibrato, come già analogamente effettuato in occasione di precedenti decreti, rispetto alla gravità delle violazioni e all’effettività della sanzione. Nell’applicazione della legge n. 675/1996, si è registrata, infatti, in vari casi, la particolare esiguità delle sanzioni, anche in rapporto al livello di altre sanzioni amministrative pecuniarie introdotte in altri settori dell’ordinamento, tale da non costituire un efficace deterrente anche in ragione delle particolari condizioni economiche dei titolari cui, spesso, sono irrogate le sanzioni medesime.
Si registra un unico intervento integrativo della normativa, in base al quale può essere applicata, in ogni caso, a titolo di sanzione accessoria, la pubblicazione dell’ordinanza-ingiunzione del Garante. La previsione non riguarda, ovviamente, la fattispecie dell’omessa o incompleta notificazione ove la sanzione accessoria è già prevista come obbligatoria (art. 165).

Capo II– Illeciti penali

Art. 167 (Trattamento illecito di dati)

L’art. 167 riproduce pressoché pedissequamente l’art. 35 della legge 675/1996, con un unico intervento di razionalizzazione in base al quale si rendono punibili le condotte ivi richiamate solo se dal fatto derivi nocumento, mentre in precedenza il nocumento costituiva solo un’aggravante.
Le condotte punibili riproducono, oltre a quelle già contenute nel citato art. 35 della legge 675/1996, anche quelle punite ai sensi del medesimo articolo 35 dall’art. 11 del d. lg. 171/1998.
Ai sensi del comma 1, quindi, è punibile il trattamento in violazione delle disposizioni contenute negli articoli 18 e 19 (trattamenti effettuati da soggetti pubblici in relazione a dati diversi da quelli sensibili e giudiziari) 23 (che disciplina la prestazione del consenso), 123 (trattamento di dati relativi al traffico), 126 (trattamento di dati relativi all’ubicazione), 130 (comunicazioni indesiderate), ovvero in applicazione dell’art. 129 (elenchi di abbonati).
Ai sensi del comma 2, è punibile il trattamento in violazione delle disposizioni contenute negli articoli 17 (trattamento che presenta rischi specifici), 20, 21 e 22, commi 8 e 11 (trattamento di dati sensibili e giudiziari effettuato da soggetti pubblici, 25 (divieto di comunicazione e diffusione di dati), 26 e 27 (trattamento di dati sensibili o giudiziari da parte di privati) e 45 (divieto di trasferimento di dati all’estero).
Le pene edittali sono stati pienamente adeguate a quanto richiesto dalla Commissione giustizia del Senato.

Art. 168 (Falsità nelle dichiarazioni e notificazioni)

Tale fattispecie, introdotta dal decreto legislativo n. 467/2001, è stata tecnicamente integrata, per omogeneità di materia, sanzionando anche il mendacio commesso nelle comunicazioni dovute al Garante ai sensi dell’art. 39. Si rammenta, al riguardo, che la legge 675/1996 già sanzionava la mancata comunicazione, per la quale si veda ora l’art. 167, comma 1.

Art. 169 (Misure di sicurezza)

Non si registra alcun intervento.

Art. 170 (Inosservanza di provvedimenti del Garante)

L’art. 170 amplia, coerentemente, le ipotesi di inosservanza di provvedimenti del Garante penalmente sanzionate, punendo anche l’inosservanza dell’autorizzazione adottata dall’Autorità in relazione al trattamento dei dati genetici. L’intervento si giustifica in ragione della particolare delicatezza della materia disciplinata.

Art. 171 (Altre fattispecie)

L’art. 171 punisce il trattamento effettuato in violazione delle disposizioni di cui agli articoli 113, comma 1, e 114 del codice, che, come descritto nella relazione, riproducono, sostanzialmente, le disposizioni di cui agli articoli 4 e 8 dello “statuto dei lavoratori”. Coerentemente resta applicabile la sanzione penale prevista dall’articolo 38 della legge n. 300/1970.

Art. 172 (Pene accessorie)

Non si registra alcun intervento.

Titolo IV – Disposizioni modificative, abrogative, transitorie e finali

Capo I Disposizioni di modifica

Il titolo IV contiene le disposizioni modificative, abrogative, transitorie e finali. Il capo I di tale titolo detta le “disposizioni di modifica” di altri testi normativi conseguenti o connesse all’adozione del codice.

Art. 173 (Convenzione di applicazione dell’Accordo di Schengen)

L’art. 173 apporta alcune modifiche alla disciplina in materia di accesso ai dati registrati nel Sistema d’informazione Schengen di cui agli articoli 10 e ss. della legge 30 settembre 1993, n. 388, di ratifica dell’Accordo di Schengen e della relativa convenzione di applicazione.
L’art. 173, comma 1, lett. a), modificando l’articolo 9, comma 2, della legge 388/1993, stabilisce che le richieste di accesso, rettifica o cancellazione, nonché di verifica dei dati personali inserite nel S.I.S. sono rivolte direttamente al Ministero dell’Interno. Il Garante per la protezione dei dati personali esercita, in ogni caso, il controllo sul trattamento di tali dati, anche su segnalazione o reclamo dell’interessato all’esito di un inidoneo riscontro alla richiesta già formulata ai competenti organi del citato ministero e in relazione alla risposta eventualmente fornita dai medesimi organi (art. 11, l. 388/1993, come modificato dall’art. 173, lett. c)).
Sono, inoltre, abrogate le disposizioni della legge n. 388/1993 che operavano un rinvio “temporaneo” alla legge 1 aprile 1981, n. 121, sull’ordinamento della pubblica sicurezza, fino all’entrata in vigore della legge istitutiva del Garante, nonchè quelle relative alla responsabilità per i danni derivanti dalla violazione delle norme che regolano la raccolta, la conservazione e l’utilizzazione dei dati in relazione alla disciplina prevista al codice (artt. 10, comma 2, e 12, l. 388/1993).

Art. 174 (Notifiche di atti e vendite giudiziarie)

L’art. 174 contiene alcuni mirati interventi su norme, anche processuali, al fine di tutelare la riservatezza delle persone alle quali sono notificati atti giudiziari, verbali di contravvenzione, avvisi o altri atti amministrativi.
L’intervento normativo riproduce sostanzialmente una proposta parlamentare di modifica di alcune norme dei codici di rito e della legge sulle notificazioni a mezzo posta, approvata da un ramo del Parlamento nella XIII legislatura e attualmente all’esame della Commissione giustizia del Senato.
L’intervento sul codice di procedura civile è articolato. La principale modifica prevede, intervenendo sull’articolo 137 del medesimo codice, che, nel caso in cui la notificazione non possa essere eseguita nelle mani del destinatario – ipotesi che viene comunque riaffermata come prioritaria, ai sensi del successivo articolo 138, come novellato – la copia dell’atto sia consegnata in busta sigillata sulla quale non sono apposte indicazioni dalle quali possa desumersi il contenuto dell’atto. Un rinvio a tale disciplina viene poi inserito anche nella legge n. 689/1981, relativamente alle notificazioni di sanzioni amministrative.
Si aggiunge, poi, una disposizione al d.P.R. n. 445 del 2000, recante il testo unico delle disposizioni legislative e regolamentari in materia amministrativa (art. 15-bis), volta ad estendere l’applicazione di tale disciplina anche alle notificazioni di atti e di documenti da parte di organi delle pubbliche amministrazioni, ove effettuate a soggetti diversi dagli interessati.
Sono inoltre modificate alcune norme del codice di procedura penale (articoli 148 e 157), e delle relative disposizioni di attuazione, sempre al fine di stabilire che la notifica nelle mani di soggetti diversi dal destinatario e dal suo difensore deve essere effettuata in busta sigillata e precisando che nelle altre comunicazioni sono contenute le sole indicazioni strettamente necessarie.
Infine, sempre con lo stesso obiettivo, si apportano alcune modifiche alla legge 20 novembre 1982, n. 890, recante notificazioni di atti a mezzo posta.
Da ultimo l’articolo modifica due disposizioni del codice di procedura civile concernenti la pubblicazione degli avvisi relativi alle vendite giudiziarie (artt. 490 e 570, c.p.c.).

Art. 175 (Forze di polizia)

L’art. 175 contiene alcune disposizioni di raccordo con la normativa in materia di trattamenti effettuati nell’ambito del Centro elaborazione dati del Dipartimento della pubblica sicurezza del Ministero dell’interno, in relazione alle disposizioni di cui al Titolo II della Parte II.

Art. 176 (Soggetti pubblici)

L’art. 176 apporta alcune modifiche a testi normativi che disciplinano l’attività e l’organizzazione delle pubbliche amministrazioni.
Al comma 1, come anticipato in occasione del commento all’art. 59, l’art. 176 interviene sulla regolamentazione del diritto di accesso agli atti amministrativi contenuta, in particolare, nell’art. 24, comma 3, della legge n. 241/1990, al fine di chiarire che le eventuali limitazioni al diritto di accesso ai dati raccolti mediante strumenti informatici – che possono essere stabilite con decreto a tutela degli interessi ivi descritti – non si applicano all’accesso ai dati personali da parte della persona cui i dati si riferiscono, che è disciplinato dal presente testo unico.
Al comma 2, per assicurare l’omogeneità del relativo testo unico di settore, l’articolo “sposta” nel decreto legislativo 30 marzo 2001, n. 165, in materia di ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche, la disposizione già contenuta nella legge n. 675/1996 (art. 27, comma 4) in base alla quale i criteri di organizzazione dei pubblici uffici sono attuati nel rispetto della disciplina in materia di trattamento dei dati personali.
Ai commi 3 e seguenti, l’art. 176 reca una disciplina di raccordo con problematiche relative all’Autorità per l’informatica nella pubblica amministrazione, raccordo che deriva dalla presenza di tali tematiche nell’abrogando art. 42 della legge n. 675/1996.

Art. 177 (Disciplina anagrafica, dello stato civile e delle liste elettorali)

L’art. 177 reca alcune disposizioni in materia di anagrafe, stato civile e liste elettorali, necessarie per una piena applicazione dei principi in materia di protezione dei dati personali e per assicurare il rispetto delle disposizioni del codice.
Un primo intervento riguarda le adozioni e si ricollega a quanto disciplinato dal codice in relazione al diritto all’anonimato della madre in occasione del parto (art. 93). Al riguardo l’art. 177, comma 2, novellando l’art. 28, comma 7, della legge n. 184 del 1983, precisa, con una formulazione della norma più chiara rispetto a quella originaria, che l’adottato non può accedere alle informazioni relative alla madre che abbia dichiarato, alla nascita, di non volere essere nominata nella dichiarazione di nascita.
Altre disposizioni riguardano l’uso di elenchi o liste elettorali o il rilascio di atti in base alla normativa in materia di anagrafe, elettorato attivo e passivo e stato civile (rispettivamente d.P.R. n. 223/1989, d.P.R. n. 223/1967 e d.P.R. n. 396/2000) (art. 177, commi 1, 4 e 5).
In particolare, per effetto del comma 4, che sopprime le lettere d) ed e) dell’articolo 25 del d.P.R. n. 223/1967, le liste elettorali non indicheranno il titolo di studio, né la professione o il mestiere dell’elettore. Inoltre in base ad una modifica apportata all’art. 51 del medesimo d.P.R. 223/1967, ai sensi del quale era consentito a chiunque di copiare, stampare o mettere in vendita le liste elettorali del comune, si prevede, in relazione al principio di finalità, che copia delle liste elettorali può essere rilasciata solo in applicazione della disciplina in materia di elettorato attivo o passivo o per finalità di studio, ricerca scientifica o storico o socio-assistenziale o per il perseguimento di un interesse collettivo o diffuso.
L’art. 177, comma 1, contiene un “raccordo” con la disciplina del rilascio degli elenchi anagrafici per uso di pubblica utilità (art. 34, comma 1, d.P.R. n. 223/1989), in relazione all’uso di tali elenchi in applicazione della disciplina sulla comunicazione istituzionale.
L’art. 177, comma 3, infine, contiene alcune importanti precisazioni in relazione al rilascio degli estratti degli atti dello stato civile, chiarendo il novero dei soggetti cui tali estratti possono essere rilasciati e prevedendo, in ogni caso, il libero accesso ad essi decorsi settanta anni dalla formazione dell’atto.

Art. 178 (Disposizioni in materia sanitaria)

L’art. 178 contiene alcune modifiche che riguardano la disciplina vigente in materia sanitaria.
In particolare, l’art. 5 della legge n. 135/1990, in materia di prevenzione dell’AIDS, è modificato al fine di precisare che nell’assistenza ai malati di AIDS gli operatori sanitari devono adottare ogni accorgimento occorrente per la tutela dei diritti e delle libertà fondamentali dell’interessato, nonché della relativa dignità.
L’art. 5 del d. lg. 539/1992, riguardante la classificazione per la fornitura dei medicinali per uso umano, è modificato al fine di chiarire che, decorsi sei mesi, il farmacista è tenuto a distruggere le ricette mediche ed a farlo con modalità idonee ad escludere l’accesso di soggetti terzi ai dati in esse contenute.
All’art. 2 del decreto del ministro della sanità 11 febbraio 1997, in materia di importazione di medicinali registrati all’estero, sono abrogate le lettere f) ed h) che contenevano disposizioni tali da comportare la violazione della riservatezza del paziente, in quanto prevedevano l’indicazione delle sue generalità e la menzione del consenso informato prestato.
L’articolo 5-bis del decreto legge 23/1998, convertito con modificazioni dalla legge n. 94 del 1998, (c.d. Di Bella) recante disposizioni urgenti in materia di sperimentazioni cliniche in campo oncologico, è modificato al fine di chiarire la distinzione fra il consenso medico reso dal paziente e il consenso al trattamento dei dati personali, che tuttavia possono comunque essere prestati in un unico atto.

Art. 179 (Altre modifiche)

L’art. 179 reca alcune modifiche normative di raccordo con disposizioni del codice in materia di lavoro (artt. 114, 115 e 171).
Il comma 2, in particolare, sopprime i riferimenti agli articoli 4 (sugli impianti audiovisivi) e 8 (divieto di indagini sulle opinioni dei lavoratori) della legge n. 300 del 1970, sullo “statuto dei lavoratori”, presenti nell’articolo 38 della medesima legge, che riconnetteva alla loro violazione l’applicazione della sanzione penale, ora contenuta nell’art. 171 del codice.
Il comma 3, invece, riguarda un’integrazione alla disciplina delle informazioni dovute a tutela del consumatore, in relazione all’obbligo di rilascio dell’informativa di cui all’art. 13 del codice (art. 12, d. lg. 22 maggio 1999, n. 185)

Capo II – Disposizioni transitorie

Art. 180 (Misure di sicurezza)

Come già anticipato nel corso della relazione, il comma 1 prevede che le misure minime di sicurezza di cui agli articoli da 33 e 35 e all’allegato B del codice, e già non previste dal d.P.R. n. 318/1999, devono essere adottate entro il 30 giugno 2004, assicurando così ai titolari del trattamento un congruo periodo di tempo per l’adeguamento.
I commi 2 e 3 consentono ai titolari che non possiedono strumenti elettronici idonei all’applicazione delle misure minime di disporre di un ulteriore anno dall’entrata in vigore del codice per adeguarvisi. Essi devono comunque descrivere in un documento a data certa, da conservare presso la propria struttura, le obiettive ragioni tecniche che non consentono le dovute applicazioni e devono, in ogni caso, adottare ogni possibile misura compatibile con gli strumenti elettronici posseduti in modo da evitare un incremento dei rischi.

Art. 181 (Altre disposizioni transitorie)

Tale articolo prevede specifici e dettagliati termini di applicazione di alcune disposizioni in relazione ai trattamenti iniziati prima dell’entrata in vigore del codice, al fine di consentire un efficace adeguamento alle nuove norme introdotte in taluni settori che richiedono specifici adempimenti per i titolari del trattamento.

Art. 182 (Ufficio del Garante)

L’art. 182 si riferisce ad eventuali atti interni del Garante di adeguamento alle norme relative al funzionamento dell’Ufficio.

Capo III – Abrogazioni

Art. 183 (Norme abrogate)

L’art. 183, nel quale si esaurisce il capo III sulle abrogazioni, contiene l’elenco delle disposizioni abrogate.

Capo IV – Norme finali

Articolo 184 (Attuazione di direttive europee)

L’art. 184, al comma 1, specifica che le disposizioni del codice danno attuazione alle più volte ripetute direttive 95/46/CE e 2002/58/CE.
Il comma 3 riproduce la previgente disposizione della legge n. 675/1996 in base alla quale restano ferme le disposizioni di legge o di regolamento che stabiliscono divieti o limiti più restrittivi in materia di trattamento di taluni dati personali.

Articolo 185 (Allegazione dei codici di deontologia e di buona condotta)

L’art. 185, prevede che i codici deontologici siano allegati al codice. Come si è chiarito in apertura della relazione, l’allegazione ha finalità documentali.

Articolo 186 (Entrata in vigore)

L’art. 186 stabilisce l’entrata in vigore del codice al 1° gennaio 2004, calibrandola in funzione dei congrui tempi necessari, ferme restando alcune disposizioni transitorie.
In merito al presente decreto legislativo sono stati acquisiti i pareri delle competenti Commissioni parlamentari. In particolare, per la Camera dei deputati, la V Commissione e la XIV Commissione hanno espresso, alla II Commissione, parere favorevole; la II Commissione ha espresso anch’essa parere favorevole in merito al provvedimento, formulando alcune osservazioni, che sono state parzialmente recepite nel presente testo, come specificamente illustrato con riferimento ai singoli articoli conseguentemente modificati. In particolare, non si è ritenuto opportuno accogliere le osservazioni che riguardavano alcuni aspetti concernenti l’organico ed il trattamento economico del personale dell’ufficio del Garante e la proposta di riferire le disposizioni di cui agli articoli 7, comma 4, lettera b), 130, comma 1, e 140, comma 1, alle comunicazioni commerciali “interattive”.
Al riguardo si rileva, in primo luogo, che il quadro normativo vigente disciplina l’intero spettro delle comunicazioni, riferendosi, in senso lato, alle comunicazioni commerciali, pubblicitarie e promozionali, senza ulteriori distinzioni, peraltro spesso non di facile individuazione. Inoltre, il testo unico recepisce, all’articolo 130 la disposizione di cui all’articolo 13 della direttiva n. 2002/58/CE, che si riferisce a “fini di commercializzazione diretta”, senza introdurre ulteriori distinzioni fra comunicazioni interattive e non.
Sono stati altresì acquisiti, per il Senato, il parere favorevole, con osservazioni, della 1^ Commissione e il parere favorevole della 5^ Commissione, resi alla 2^ Commissione. Quest’ultima ha a sua volta espresso parere favorevole formulando alcune osservazioni, che sono state accolte e specificamente illustrate con riferimento agli articoli del testo conseguentemente modificati. In merito al suggerimento della Commissione, “di verificare all’articolo 176 del testo unico, con riferimento ai commi 4, 5 e 6, la sussistenza ed effettività della delega”, si osserva quanto segue.
Preliminarmente occorre rilevare che l’articolo 176, commi 4, 5 e 6 del T.U., interviene modificando gli articolo 4, comma 1 e 5 comma 1 del decreto legislativo 12 febbraio 1993, n. 39 che ha istituito l’AIPA, in virtù del fatto che tale articolo è stato modificato dall’articolo 42 della legge 675/1996, assimilando l’AIPA, da organismo della Presidenza del Consiglio dei ministri, alle Autorità indipendenti.
Peraltro, l’articolo 41, comma 6, della citata legge n. 675/1996 ha previsto che “in sede di prima applicazione, fino alla elezione del Garante ai sensi dell’articolo 30, le funzioni del Garante sono svolte dal presidente dell’Autorità per l’informatica nella pubblica amministrazione, fatta eccezione per l’esame dei ricorsi di cui all’articolo 29”.
Sulla base di quanto considerato, appare del tutto legittimo che nell’ambito del presente testo unico, volto ad operare il coordinamento delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e delle disposizioni connesse, anche al fine di assicurarne la migliore attuazione delle medesime, si intervenga anche sulle disposizioni riguardanti l’AIPA.
Il presente schema di decreto legislativo non comporta oneri aggiuntivi né minori entrate a carico del bilancio dello Stato, conseguentemente il provvedimento non è corredato della relazione tecnica di cui all’articolo 11-ter, comma 2 della legge 5 agosto 1978, n. 468 e successive modificazioni.