Collocamento e Lavoro - Decreto-196 Privacy lavoro formulario unilavmoduli lavoro gestione pratichemodello libro unico lavorocollocamento telematicosoftware invio telematico COlibro unico del lavorocollocamento adempimentisoftware collocamentoComunicazioni Obbligatorielibro unico del lavoro modulistica"

Decreto Legislativo 196/20003

Testo Unico sulla Privacy dei Dati Personali

PARTE I - DISPOSIZIONI GENERALI

Titolo I - PRINCIPI GENERALI

Art. 1 - Diritto alla protezione dei dati personali

1. Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

Art. 2 - Finalità

1. Il presente testo

unico, di seguito denominato "codice", garantisce che il trattamento dei

dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali,

nonché della dignità dell'interessato, con particolare riferimento alla riservatezza,

all'identità personale e al diritto alla protezione dei dati personali.

2. Il trattamento dei

dati personali è disciplinato assicurando un elevato livello di tutela dei

diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione,

armonizzazione ed efficacia delle modalità previste per il loro esercizio

da parte degli interessati, nonché per l'adempimento degli obblighi da parte

dei titolari del trattamento.

Art. 3 - Principio di necessità nel trattamento dei dati

1. I sistemi informativi

e i programmi informatici sono configurati riducendo al minimo l'utilizzazione

di dati personali e di dati identificativi, in modo da escluderne il trattamento

quando le finalità perseguite nei singoli casi possono essere realizzate

mediante, rispettivamente, dati anonimi od opportune modalità che permettano

di identificare l'interessato solo in caso di necessità.

Art. 4 - Definizioni

1. Ai fini del presente codice si intende per:

a) " - trattamento",

qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio

di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione,

la conservazione, la consultazione, l'elaborazione, la modificazione, la

selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il

blocco, la comunicazione, la diffusione, la cancellazione e la distruzione

di dati, anche se non registrati in una banca di dati;

b) " - dato personale",

qualunque informazione relativa a persona fisica, persona giuridica, ente

od associazione, identificati o identificabili, anche indirettamente, mediante

riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione

personale;

c) " - dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;

d) " - dati sensibili",

i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni

religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione

a partiti, sindacati, associazioni od organizzazioni a carattere religioso,

filosofico, politico o sindacale, nonché i dati personali idonei a rivelare

lo stato di salute e la vita sessuale;

e) " - dati giudiziari",

i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma

1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313,

in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative

dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato

o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;

f) " - titolare",

la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi

altro ente, associazione od organismo cui competono, anche unitamente ad

altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento

di dati personali e agli strumenti utilizzati, ivi compreso il profilo della

sicurezza;

g) " - responsabile",

la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi

altro ente, associazione od organismo preposti dal titolare al trattamento

di dati personali;

h) " - incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;

i) " - interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;

l) " - comunicazione",

il dare conoscenza dei dati personali a uno o più soggetti determinati diversi

dall'interessato, dal rappresentante del titolare nel territorio dello Stato,

dal responsabile e dagli incaricati, in qualunque forma, anche mediante la

loro messa a disposizione o consultazione;

m) " - diffusione",

il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque

forma, anche mediante la loro messa a disposizione o consultazione;

n) " - dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;

o) " - blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;

p) " - banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti;

q) " - Garante", l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675.

2. Ai fini del presente codice si intende, inoltre, per:

a) " - comunicazione elettronica",

ogni informazione scambiata o trasmessa tra un numero finito di soggetti

tramite un servizio di comunicazione elettronica accessibile al pubblico.

Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione

elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse

informazioni siano collegate ad un abbonato o utente ricevente, identificato

o identificabile;

b) " - chiamata",

la connessione istituita da un servizio telefonico accessibile al pubblico,

che consente la comunicazione bidirezionale in tempo reale;

c) " - reti di comunicazione elettronica",

i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento

e altre risorse che consentono di trasmettere segnali via cavo, via radio,

a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti

satellitari, le reti terrestri mobili e fisse a commutazione di circuito

e a commutazione di pacchetto, compresa Internet, le reti utilizzate per

la diffusione circolare dei programmi sonori e televisivi, i sistemi per

il trasporto della corrente elettrica, nella misura in cui sono utilizzati

per trasmettere i segnali, le reti televisive via cavo, indipendentemente

dal tipo di informazione trasportato;

d) " - rete pubblica di comunicazioni",

una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente

per fornire servizi di comunicazione elettronica accessibili al pubblico;

e) " - servizio di comunicazione elettronica",

i servizi consistenti esclusivamente o prevalentemente nella trasmissione

di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni

e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare

radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva

2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002;

f) " - abbonato",

qualunque persona fisica, persona giuridica, ente o associazione parte di

un contratto con un fornitore di servizi di comunicazione elettronica accessibili

al pubblico per la fornitura di tali servizi, o comunque destinatario di

tali servizi tramite schede prepagate;

g) " - utente",

qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica

accessibile al pubblico, per motivi privati o commerciali, senza esservi

necessariamente abbonata;

h) " - dati relativi al traffico",

qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una

comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;

i) " - dati relativi all'ubicazione",

ogni dato trattato in una rete di comunicazione elettronica che indica la

posizione geografica dell'apparecchiatura terminale dell'utente di un servizio

di comunicazione elettronica accessibile al pubblico;

l) " - servizio a valore aggiunto",

il servizio che richiede il trattamento dei dati relativi al traffico o dei

dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre

a quanto è necessario per la trasmissione di una comunicazione o della relativa

fatturazione;

m) " - posta elettronica",

messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una

rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura

terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.

3. Ai fini del presente codice si intende, altresì, per:

a) " - misure minime",

il complesso delle misure tecniche, informatiche, organizzative, logistiche

e procedurali di sicurezza che configurano il livello minimo di protezione

richiesto in relazione ai rischi previsti nell'articolo 31;

b) " - strumenti elettronici",

gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico

o comunque automatizzato con cui si effettua il trattamento;

c) " - autenticazione informatica", l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità;

d) " - credenziali di autenticazione",

i dati ed i dispositivi, in possesso di una persona, da questa conosciuti

o ad essa univocamente correlati, utilizzati per l' autenticazione informatica;

e) " - parola chiave",

componente di una credenziale di autenticazione associata ad una persona

ed a questa nota, costituita da una sequenza di caratteri o altri dati in

forma elettronica;

f) " - profilo di autorizzazione",

l'insieme delle informazioni, univocamente associate ad una persona, che

consente di individuare a quali dati essa può accedere, nonché i trattamenti

ad essa consentiti;

g) " - sistema di autorizzazione",

l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati

e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione

del richiedente.

4. Ai fini del presente codice si intende per:

a) " - scopi storici", le finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato;

b) " - scopi statistici", le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici;

c) " - scopi scientifici",

le finalità di studio e di indagine sistematica finalizzata allo sviluppo

delle conoscenze scientifiche in uno specifico settore.

Art. 5 - Oggetto ed ambito di applicazione

1. Il presente codice

disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato

da chiunque è stabilito nel territorio dello Stato o in un luogo comunque

soggetto alla sovranità dello Stato.

2. Il presente codice

si applica anche al trattamento di dati personali effettuato da chiunque

è stabilito nel territorio di un Paese non appartenente all'Unione europea

e impiega, per il trattamento, strumenti situati nel territorio dello Stato

anche diversi da quelli elettronici, salvo che essi siano utilizzati solo

ai fini di transito nel territorio dell'Unione europea. In caso di applicazione

del presente codice, il titolare del trattamento designa un proprio rappresentante

stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina

sul trattamento dei dati personali.

3. Il trattamento di

dati personali effettuato da persone fisiche per fini esclusivamente personali

è soggetto all'applicazione del presente codice solo se i dati sono destinati

ad una comunicazione sistematica o alla diffusione. Si applicano in ogni

caso le disposizioni in tema di responsabilità e di sicurezza dei dati di

cui agli articoli 15 e 31.

Art. 6 - Disciplina del trattamento

1. Le disposizioni contenute

nella presente Parte si applicano a tutti i trattamenti di dati, salvo quanto

previsto, in relazione ad alcuni trattamenti, dalle disposizioni integrative

o modificative della Parte II.

Titolo II -

DIRITTI DELL'INTERESSATO

Art. 7 - Diritto di accesso ai dati personali ed altri diritti

1. L'interessato ha

diritto di ottenere la conferma dell'esistenza o meno di dati personali che

lo riguardano, anche se non ancora registrati, e la loro comunicazione in

forma intelligibile.

2. L'interessato ha diritto di ottenere l'indicazione:

a) dell'origine dei dati personali;

b) delle finalità e modalità del trattamento;

c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;

d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;

e) dei soggetti o delle

categorie di soggetti ai quali i dati personali possono essere comunicati

o che possono venirne a conoscenza in qualità di rappresentante designato

nel territorio dello Stato, di responsabili o incaricati.

3. L'interessato ha diritto di ottenere:

a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;

b) la cancellazione,

la trasformazione in forma anonima o il blocco dei dati trattati in violazione

di legge, compresi quelli di cui non è necessaria la conservazione in relazione

agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

c) l'attestazione che

le operazioni di cui alle lettere a) e b) sono state portate a conoscenza,

anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono

stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si

rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato

rispetto al diritto tutelato.

4. L'interessato ha diritto di opporsi, in tutto o in parte:

a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;

b) al trattamento di

dati personali che lo riguardano a fini di invio di materiale pubblicitario

o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione

commerciale - .

Art. 8 - Esercizio dei diritti

1. I diritti di cui

all'articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare

o al responsabile, anche per il tramite di un incaricato, alla quale è fornito

idoneo riscontro senza ritardo.

2. I diritti di cui

all'articolo 7 non possono essere esercitati con richiesta al titolare o

al responsabile o con ricorso ai sensi dell'articolo 145, se i trattamenti

di dati personali sono effettuati:

a) in base alle disposizioni

del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla

legge 5 luglio 1991, n. 197, e successive modificazioni, in materia di riciclaggio;

b) in base alle disposizioni

del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni,

dalla legge 18 febbraio 1992, n. 172, e successive modificazioni, in materia

di sostegno alle vittime di richieste estorsive;

c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione;

d) da un soggetto pubblico,

diverso dagli enti pubblici economici, in base ad espressa disposizione di

legge, per esclusive finalità inerenti alla politica monetaria e valutaria,

al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi

e finanziari, nonché alla tutela della loro stabilità;

e) ai sensi dell'articolo

24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe

derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni

difensive o per l'esercizio del diritto in sede giudiziaria;

f) da fornitori di servizi

di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni

telefoniche in entrata, salvo che possa derivarne un pregiudizio effettivo

e concreto per lo svolgimento delle investigazioni difensive di cui alla

legge 7 dicembre 2000, n. 397;

g) per ragioni di giustizia,

presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore

della magistratura o altri organi di autogoverno o il Ministero della giustizia;

h) ai sensi dell'articolo 53, fermo restando quanto previsto dalla legge 1° aprile 1981, n. 121.

3. Il Garante, anche

su segnalazione dell'interessato, nei casi di cui al comma 2, lettere a),

b), d), e) ed f), provvede nei modi di cui agli articoli 157, 158 e 159 e,

nei casi di cui alle lettere c), g) ed h) del medesimo comma, provvede nei

modi di cui all'articolo 160.

4. L'esercizio dei diritti

di cui all'articolo 7, quando non riguarda dati di carattere oggettivo, può

avere luogo salvo che concerna la rettificazione o l'integrazione di dati

personali di tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti

di tipo soggettivo, nonché l'indicazione di condotte da tenersi o di decisioni

in via di assunzione da parte del titolare del trattamento.

Art. 9 - Modalità di esercizio

1. La richiesta rivolta

al titolare o al responsabile può essere trasmessa anche mediante lettera

raccomandata, telefax o posta elettronica. Il Garante può individuare altro

idoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda

l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta

può essere formulata anche oralmente e in tal caso è annotata sinteticamente

a cura dell'incaricato o del responsabile.

2. Nell'esercizio dei

diritti di cui all'articolo 7 l'interessato può conferire, per iscritto,

delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato

può, altresì, farsi assistere da una persona di fiducia.

3. I diritti di cui

all'articolo 7 riferiti a dati personali concernenti persone decedute possono

essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato

o per ragioni familiari meritevoli di protezione.

4. L'identità dell'interessato

è verificata sulla base di idonei elementi di valutazione, anche mediante

atti o documenti disponibili o esibizione o allegazione di copia di un documento

di riconoscimento. La persona che agisce per conto dell'interessato esibisce

o allega copia della procura, ovvero della delega sottoscritta in presenza

di un incaricato o sottoscritta e presentata unitamente a copia fotostatica

non autenticata di un documento di riconoscimento dell'interessato. Se l'interessato

è una persona giuridica, un ente o un'associazione, la richiesta è avanzata

dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti.

5. La richiesta di cui

all'articolo 7, commi 1 e 2, è formulata liberamente e senza costrizioni

e può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo

non minore di novanta giorni.

Art. 10 - Riscontro all'interessato

1. Per garantire l'effettivo

esercizio dei diritti di cui all'articolo 7 il titolare del trattamento è

tenuto ad adottare idonee misure volte, in particolare:

a) ad agevolare l'accesso

ai dati personali da parte dell'interessato, anche attraverso l'impiego di

appositi programmi per elaboratore finalizzati ad un'accurata selezione dei

dati che riguardano singoli interessati identificati o identificabili;

b) a semplificare le

modalità e a ridurre i tempi per il riscontro al richiedente, anche nell'ambito

di uffici o servizi preposti alle relazioni con il pubblico.

. I dati sono estratti

a cura del responsabile o degli incaricati e possono essere comunicati al

richiedente anche oralmente, ovvero offerti in visione mediante strumenti

elettronici, sempre che in tali casi la comprensione dei dati sia agevole,

considerata anche la qualità e la quantità delle informazioni. Se vi è richiesta,

si provvede alla trasposizione dei dati su supporto cartaceo o informatico,

ovvero alla loro trasmissione per via telematica.

3. Salvo che la richiesta

sia riferita ad un particolare trattamento o a specifici dati personali o

categorie di dati personali, il riscontro all'interessato comprende tutti

i dati personali che riguardano l'interessato comunque trattati dal titolare.

Se la richiesta è rivolta ad un esercente una professione sanitaria o ad

un organismo sanitario si osserva la disposizione di cui all'articolo 84,

comma 1.

4. Quando l'estrazione

dei dati risulta particolarmente difficoltosa il riscontro alla richiesta

dell'interessato può avvenire anche attraverso l'esibizione o la consegna

in copia di atti e documenti contenenti i dati personali richiesti.

5. Il diritto di ottenere

la comunicazione in forma intelligibile dei dati non riguarda dati personali

relativi a terzi, salvo che la scomposizione dei dati trattati o la privazione

di alcuni elementi renda incomprensibili i dati personali relativi all'interessato.

6. La comunicazione

dei dati è effettuata in forma intelligibile anche attraverso l'utilizzo

di una grafia comprensibile. In caso di comunicazione di codici o sigle sono

forniti, anche mediante gli incaricati, i parametri per la comprensione del

relativo significato.

7. Quando, a seguito

della richiesta di cui all'articolo 7, commi 1 e 2, lettere a), b) e c) non

risulta confermata l'esistenza di dati che riguardano l'interessato, può

essere chiesto un contributo spese non eccedente i costi effettivamente sopportati

per la ricerca effettuata nel caso specifico - .

8. Il contributo di

cui al comma 7 non può comunque superare l'importo determinato dal Garante

con provvedimento di carattere generale, che può individuarlo forfettariamente

in relazione al caso in cui i dati sono trattati con strumenti elettronici

e la risposta è fornita oralmente. Con il medesimo provvedimento il Garante

può prevedere che il contributo possa essere chiesto quando i dati personali

figurano su uno speciale supporto del quale è richiesta specificamente la

riproduzione, oppure quando, presso uno o più titolari, si determina un notevole

impiego di mezzi in relazione alla complessità o all'entità delle richieste

ed è confermata l'esistenza di dati che riguardano l'interessato.

9. Il contributo di

cui ai commi 7 e 8 è corrisposto anche mediante versamento postale o bancario,

ovvero mediante carta di pagamento o di credito, ove possibile all'atto della

ricezione del riscontro e comunque non oltre quindici giorni da tale riscontro.

Titolo III - REGOLE GENERALI PER IL TRATTAMENTO DEI DATI

CAPO I - REGOLE PER TUTTI I TRATTAMENTI

Art. 11 - Modalità del trattamento e requisiti dei dati

1. I dati personali oggetto di trattamento sono:

a) trattati in modo lecito e secondo correttezza;

b) raccolti e registrati

per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni

del trattamento in termini compatibili con tali scopi;

c) esatti e, se necessario, aggiornati;

d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;

e) conservati in una

forma che consenta l'identificazione dell'interessato per un periodo di tempo

non superiore a quello necessario agli scopi per i quali essi sono stati

raccolti o successivamente trattati.

2. I dati personali

trattati in violazione della disciplina rilevante in materia di trattamento

dei dati personali non possono essere utilizzati.

Art. 12 - Codici di deontologia e di buona condotta

1. Il Garante promuove

nell'ambito delle categorie interessate, nell'osservanza del principio di

rappresentatività e tenendo conto dei criteri direttivi delle raccomandazioni

del Consiglio d'Europa sul trattamento di dati personali, la sottoscrizione

di codici di deontologia e di buona condotta per determinati settori, ne

verifica la conformità alle leggi e ai regolamenti anche attraverso l'esame

di osservazioni di soggetti interessati e contribuisce a garantirne la diffusione

e il rispetto.

2. I codici sono pubblicati nella Gazzetta Ufficiale della

Repubblica italiana a cura del Garante e, con decreto del Ministro della

giustizia, sono riportati nell'allegato A) del presente codice.

3. Il rispetto delle

disposizioni contenute nei codici di cui al comma 1 costituisce condizione

essenziale per la liceità e correttezza del trattamento dei dati personali

effettuato da soggetti privati e pubblici.

4. Le disposizioni

del presente articolo si applicano anche al codice di deontologia per i trattamenti

di dati per finalità giornalistiche promosso dal Garante nei modi di cui

al comma 1 e all'articolo 139.

Art. 13 - Informativa

1. L'interessato o

la persona presso la quale sono raccolti i dati personali sono previamente

informati oralmente o per iscritto circa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le

categorie di soggetti ai quali i dati personali possono essere comunicati

o che possono venirne a conoscenza in qualità di responsabili o incaricati,

e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi

del titolare e, se designati, del rappresentante nel territorio dello Stato

ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato

più responsabili è indicato almeno uno di essi, indicando il sito della rete

di comunicazione o le modalità attraverso le quali è conoscibile in modo

agevole l'elenco aggiornato dei responsabili. Quando è stato designato un

responsabile per il riscontro all'interessato in caso di esercizio dei diritti

di cui all'articolo 7, è indicato tale responsabile.

2. L'informativa di

cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni

del presente codice e può non comprendere gli elementi già noti alla persona

che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento,

da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte

per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento

o repressione di reati.

3. Il Garante può individuare

con proprio provvedimento modalità semplificate per l'informativa fornita

in particolare da servizi telefonici di assistenza e informazione al pubblico.

4. Se i dati personali

non sono raccolti presso l'interessato, l'informativa di cui al comma 1,

comprensiva delle categorie di dati trattati, è data al medesimo interessato

all'atto della registrazione dei dati o, quando è prevista la loro comunicazione,

non oltre la prima comunicazione.

5. La disposizione di cui al comma 4 non si applica quando:

a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

b) i dati sono trattati

ai fini dello svolgimento delle investigazioni difensive di cui alla legge

7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto

in sede giudiziaria, sempre che i dati siano trattati esclusivamente per

tali finalità e per il periodo strettamente necessario al loro perseguimento;

c) l'informativa all'interessato

comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure

appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato,

ovvero si riveli, a giudizio del Garante, impossibile.

Art. 14 - Definizione di profili e della personalità dell'interessato

1. Nessun atto o provvedimento

giudiziario o amministrativo che implichi una valutazione del comportamento

umano può essere fondato unicamente su un trattamento automatizzato di dati

personali volto a definire il profilo o la personalità dell'interessato.

2. L'interessato può

opporsi ad ogni altro tipo di determinazione adottata sulla base del trattamento

di cui al comma 1, ai sensi dell'articolo 7, comma 4, lettera a), salvo che

la determinazione sia stata adottata in occasione della conclusione o dell'esecuzione

di un contratto, in accoglimento di una proposta dell'interessato o sulla

base di adeguate garanzie individuate dal presente codice o da un provvedimento

del Garante ai sensi dell'articolo 17.

Art. 15 - Danni cagionati per effetto del trattamento

1. Chiunque cagiona

danno ad altri per effetto del trattamento di dati personali è tenuto al

risarcimento ai sensi dell'articolo 2050 del codice civile.

2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.

Art. 16 - Cessazione del trattamento

1. In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:

a) distrutti;

b) ceduti ad altro

titolare, purché destinati ad un trattamento in termini compatibili agli

scopi per i quali i dati sono raccolti;

c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;

d) conservati o ceduti

ad altro titolare, per scopi storici, statistici o scientifici, in conformità

alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia

e di buona condotta sottoscritti ai sensi dell'articolo 12.

2. La cessione dei

dati in violazione di quanto previsto dal comma 1, lettera b), o di altre

disposizioni rilevanti in materia di trattamento dei dati personali è priva

di effetti.

Art. 17 - Trattamento che presenta rischi specifici

1. Il trattamento dei

dati diversi da quelli sensibili e giudiziari che presenta rischi specifici

per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato,

in relazione alla natura dei dati o alle modalità del trattamento o agli

effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti

a garanzia dell'interessato, ove prescritti.

2. Le misure e gli

accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione

dei principi sanciti dal presente codice, nell'ambito di una verifica preliminare

all'inizio del trattamento, effettuata anche in relazione a determinate categorie

di titolari o di trattamenti, anche a seguito di un interpello del titolare.

CAPO II - REGOLE ULTERIORI PER I SOGGETTI PUBBLICI

Art. 18 - Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici

1. Le disposizioni del presente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici.

2. Qualunque trattamento

di dati personali da parte di soggetti pubblici è consentito soltanto per

lo svolgimento delle funzioni istituzionali.

3. Nel trattare i dati

il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente

codice, anche in relazione alla diversa natura dei dati, nonché dalla legge

e dai regolamenti.

4. Salvo quanto previsto

nella Parte II per gli esercenti le professioni sanitarie e gli organismi

sanitari pubblici, i soggetti pubblici non devono richiedere il consenso

dell'interessato.

5. Si osservano le disposizioni di cui all'articolo 25 in tema di comunicazione e diffusione.

Art. 19 - Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari

1. Il trattamento da

parte di un soggetto pubblico riguardante dati diversi da quelli sensibili

e giudiziari è consentito, fermo restando quanto previsto dall'articolo 18,

comma 2, anche in mancanza di una norma di legge o di regolamento che lo

preveda espressamente.

2. La comunicazione

da parte di un soggetto pubblico ad altri soggetti pubblici è ammessa quando

è prevista da una norma di legge o di regolamento. In mancanza di tale norma

la comunicazione è ammessa quando è comunque necessaria per lo svolgimento

di funzioni istituzionali e può essere iniziata se è decorso il termine di

cui all'articolo 39, comma 2, e non è stata adottata la diversa determinazione

ivi indicata.

3. La comunicazione

da parte di un soggetto pubblico a privati o a enti pubblici economici e

la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando

sono previste da una norma di legge o di regolamento.

Art. 20 - Principi applicabili al trattamento di dati sensibili

1. Il trattamento dei

dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato

da espressa disposizione di legge nella quale sono specificati i tipi di

dati che possono essere trattati e di operazioni eseguibili e le finalità

di rilevante interesse pubblico perseguite.

2. Nei casi in cui

una disposizione di legge specifica la finalità di rilevante interesse pubblico,

ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento

è consentito solo in riferimento ai tipi di dati e di operazioni identificati

e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in

relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto

dei principi di cui all'articolo 22, con atto di natura regolamentare adottato

in conformità al parere espresso dal Garante ai sensi dell'articolo 154,

comma 1, lettera g), anche su schemi tipo.

3. Se il trattamento

non è previsto espressamente da una disposizione di legge i soggetti pubblici

possono richiedere al Garante l'individuazione delle attività, tra quelle

demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante

interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi

dell'articolo 26, comma 2, il trattamento dei dati sensibili.

Il trattamento è consentito

solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici

i tipi di dati e di operazioni nei modi di cui al comma 2.

4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.

Art. 21 - Principi applicabili al trattamento di dati giudiziari

1. Il trattamento di

dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato

da espressa disposizione di legge o provvedimento del Garante che specifichino

le finalità di rilevante interesse pubblico del trattamento, i tipi di dati

trattati e di operazioni eseguibili.

2. Le disposizioni di cui all'articolo 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.

Art. 22 - Principi applicabili al trattamento di dati sensibili e giudiziari

1. I soggetti pubblici

conformano il trattamento dei dati sensibili e giudiziari secondo modalità

volte a prevenire violazioni dei diritti, delle libertà fondamentali e della

dignità dell'interessato.

2. Nel fornire l'informativa

di cui all'articolo 13 i soggetti pubblici fanno espresso riferimento alla

normativa che prevede gli obblighi o i compiti in base alla quale è effettuato

il trattamento dei dati sensibili e giudiziari.

3. I soggetti pubblici

possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere

attività istituzionali che non possono essere adempiute, caso per caso, mediante

il trattamento di dati anonimi o di dati personali di natura diversa.

4. I dati sensibili e giudiziari sono raccolti, di regola, presso l'interessato.

5. In applicazione

dell'articolo 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano

periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari,

nonché la loro pertinenza, completezza, non eccedenza e indispensabilità

rispetto alle finalità perseguite nei singoli casi, anche con riferimento

ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare

che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi

e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente

il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle

verifiche, risultano eccedenti o non pertinenti o non indispensabili non

possono essere utilizzati, salvo che per l'eventuale conservazione, a norma

di legge, dell'atto o del documento che li contiene. Specifica attenzione

è prestata per la verifica dell'indispensabilità dei dati sensibili e giudiziari

riferiti a soggetti diversi da quelli cui si riferiscono direttamente le

prestazioni o gli adempimenti.

6. I dati sensibili

e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con

l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura

o mediante l'utilizzazione di codici identificativi o di altre soluzioni

che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente

inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare

gli interessati solo in caso di necessità.

7. I dati idonei a

rivelare lo stato di salute e la vita sessuale sono conservati separatamente

da altri dati personali trattati per finalità che non richiedono il loro

utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6

anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio

di strumenti elettronici.

8. I dati idonei a rivelare lo stato di salute non possono essere diffusi.

9. Rispetto ai dati

sensibili e giudiziari indispensabili ai sensi del comma 3, i soggetti pubblici

sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili

per il perseguimento delle finalità per le quali il trattamento è consentito,

anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza,

di controllo o ispettivi.

10. I dati sensibili

e giudiziari non possono essere trattati nell'ambito di test psico-attitudinali

volti a definire il profilo o la personalità dell'interessato. Le operazioni

di raffronto tra dati sensibili e giudiziari, nonché i trattamenti di dati

sensibili e giudiziari ai sensi dell'articolo 14, sono effettuati solo previa

annotazione scritta dei motivi.

11. In ogni caso, le

operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando

banche di dati di diversi titolari, nonché la diffusione dei dati sensibili

e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge.

12. Le disposizioni

di cui al presente articolo recano principi applicabili, in conformità ai

rispettivi ordinamenti, ai trattamenti disciplinati dalla Presidenza della

Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla

Corte costituzionale.

CAPO III - REGOLE ULTERIORI PER PRIVATI ED ENTI PUBBLICI ECONOMICI

Art. 23 - Consenso

1. Il trattamento di

dati personali da parte di privati o di enti pubblici economici è ammesso

solo con il consenso espresso dell'interessato.

2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.

3. Il consenso è validamente

prestato solo se è espresso liberamente e specificamente in riferimento ad

un trattamento chiaramente individuato, se è documentato per iscritto, e

se sono state rese all'interessato le informazioni di cui all'articolo 13.

4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.

Art. 24 - Casi nei quali può essere effettuato il trattamento senza consenso

1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

b) è necessario per

eseguire obblighi derivanti da un contratto del quale è parte l'interessato

o per adempiere, prima della conclusione del contratto, a specifiche richieste

dell'interessato;

c) riguarda dati provenienti

da pubblici registri, elenchi, atti o documenti conoscibili da chiunque,

fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa

comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;

d) riguarda dati relativi

allo svolgimento di attività economiche, trattati nel rispetto della vigente

normativa in materia di segreto aziendale e industriale;

e) è necessario per

la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima

finalità riguarda l'interessato e quest'ultimo non può prestare il proprio

consenso per impossibilità fisica, per incapacità di agire o per incapacità

di intendere o di volere, il consenso è manifestato da chi esercita legalmente

la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente

o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato.

Si applica la disposizione di cui all'articolo 82, comma 2;

f) con esclusione della

diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive

di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o

difendere un diritto in sede giudiziaria, sempre che i dati siano trattati

esclusivamente per tali finalità e per il periodo strettamente necessario

al loro perseguimento, nel rispetto della vigente normativa in materia di

segreto aziendale e industriale;

g) con esclusione della

diffusione, è necessario, nei casi individuati dal Garante sulla base dei

principi sanciti dalla legge, per perseguire un legittimo interesse del titolare

o di un terzo destinatario dei dati, anche in riferimento all'attività di

gruppi bancari e di società controllate o collegate, qualora non prevalgano

i diritti e le libertà fondamentali, la dignità o un legittimo interesse

dell'interessato;

h) con esclusione della

comunicazione all'esterno e della diffusione, è effettuato da associazioni,

enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento

a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento

di scopi determinati e legittimi individuati dall'atto costitutivo, dallo

statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente

con determinazione resa nota agli interessati all'atto dell'informativa ai

sensi dell'articolo 13;

i) è necessario, in

conformità ai rispettivi codici di deontologia di cui all'allegato A), per

esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici

presso archivi privati dichiarati di notevole interesse storico ai sensi

dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490,

di approvazione del testo unico in materia di beni culturali e ambientali

o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.

Art. 25 - Divieti di comunicazione e diffusione

1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall'autorità giudiziaria:

a) in riferimento a

dati personali dei quali è stata ordinata la cancellazione, ovvero quando

è decorso il periodo di tempo indicato nell'articolo 11, comma 1, lettera

e);

b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.

2. E' fatta salva la

comunicazione o diffusione di dati richieste, in conformità alla legge, da

forze di polizia, dall'autorità giudiziaria, da organismi di informazione

e sicurezza o da altri soggetti pubblici ai sensi dell'articolo 58, comma

2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento

o repressione di reati.

Art. 26 - Garanzie per i dati sensibili

1. I dati sensibili

possono essere oggetto di trattamento solo con il consenso scritto dell'interessato

e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei

limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti.

2. Il Garante comunica

la decisione adottata sulla richiesta di autorizzazione entro quarantacinque

giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento

di autorizzazione, ovvero successivamente, anche sulla base di eventuali

verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato,

che il titolare del trattamento è tenuto ad adottare.

3. Il comma 1 non si applica al trattamento:

a) dei dati relativi

agli aderenti alle confessioni religiose e ai soggetti che con riferimento

a finalità di natura esclusivamente religiosa hanno contatti regolari con

le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente

riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle

medesime confessioni. Queste ultime determinano idonee garanzie relativamente

ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo

con autorizzazione del Garante;

b) dei dati riguardanti

l'adesione di associazioni od organizzazioni a carattere sindacale o di categoria

ad altre associazioni, organizzazioni o confederazioni a carattere sindacale

o di categoria.

4. I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante:

a) quando il trattamento

è effettuato da associazioni, enti od organismi senza scopo di lucro, anche

non riconosciuti, a carattere politico, filosofico, religioso o sindacale,

ivi compresi partiti e movimenti politici, per il perseguimento di scopi

determinati e legittimi individuati dall'atto costitutivo, dallo statuto

o dal contratto collettivo, relativamente ai dati personali degli aderenti

o dei soggetti che in relazione a tali finalità hanno contatti regolari con

l'associazione, ente od organismo, sempre che i dati non siano comunicati

all'esterno o diffusi e l'ente, associazione od organismo determini idonee

garanzie relativamente ai trattamenti effettuati, prevedendo espressamente

le modalità di utilizzo dei dati con determinazione resa nota agli interessati

all'atto dell'informativa ai sensi dell'articolo 13;

b) quando il trattamento

è necessario per la salvaguardia della vita o dell'incolumità fisica di un

terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non

può prestare il proprio consenso per impossibilità fisica, per incapacità

di agire o per incapacità di intendere o di volere, il consenso è manifestato

da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da

un familiare, da un convivente o, in loro assenza, dal responsabile della

struttura presso cui dimora l'interessato. Si applica la disposizione di

cui all'articolo 82, comma 2;

c) quando il trattamento

è necessario ai fini dello svolgimento delle investigazioni difensive di

cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere

in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente

per tali finalità e per il periodo strettamente necessario al loro perseguimento.

Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il

diritto deve essere di rango pari a quello dell'interessato, ovvero consistente

in un diritto della personalità o in un altro diritto o libertà fondamentale

e inviolabile;

d) quando è necessario

per adempiere a specifici obblighi o compiti previsti dalla legge, da un

regolamento o dalla normativa comunitaria per la gestione del rapporto di

lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione

e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e ferme

restando le disposizioni del codice di deontologia e di buona condotta di

cui all'articolo 111.

5. I dati idonei a rivelare lo stato di salute non possono essere diffusi.

Art. 27 - Garanzie per i dati giudiziari

Il trattamento di dati

giudiziari da parte di privati o di enti pubblici economici è consentito

soltanto se autorizzato da espressa disposizione di legge o provvedimento

del Garante che specifichino le rilevanti finalità di interesse pubblico

del trattamento, i tipi di dati trattati e di operazioni eseguibili.

Titolo IV - SOGGETTI CHE EFFETTUANO IL TRATTAMENTO

Art. 28 - Titolare del trattamento

Quando il trattamento

è effettuato da una persona giuridica, da una pubblica amministrazione o

da un qualsiasi altro ente, associazione od organismo, titolare del trattamento

è l'entità nel suo complesso o l'unità od organismo periferico che esercita

un potere decisionale del tutto autonomo sulle finalità e sulle modalità

del trattamento, ivi compreso il profilo della sicurezza.

Art. 29 - Responsabile del trattamento

1. Il responsabile è designato dal titolare facoltativamente.

2. Se designato, il

responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità

forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni

in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

3. Ove necessario per

esigenze organizzative, possono essere designati responsabili più soggetti,

anche mediante suddivisione di compiti.

4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.

5. Il responsabile

effettua il trattamento attenendosi alle istruzioni impartite dal titolare

il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza

delle disposizioni di cui al comma 2 e delle proprie istruzioni.

Art. 30 - Incaricati del trattamento

1. Le operazioni di

trattamento possono essere effettuate solo da incaricati che operano sotto

la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni

impartite.

2. La designazione

è effettuata per iscritto e individua puntualmente l'ambito del trattamento

consentito. Si considera tale anche la documentata preposizione della persona

fisica ad una unità per la quale è individuato, per iscritto, l'ambito del

trattamento consentito agli addetti all'unità medesima.

Titolo V - SICUREZZA DEI DATI E DEI SISTEMI

CAPO I - MISURE DI SICUREZZA

Art. 31 - Obblighi di sicurezza

1. I dati personali

oggetto di trattamento sono custoditi e controllati, anche in relazione alle

conoscenze acquisite in base al progresso tecnico, alla natura dei dati e

alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo,

mediante l'adozione di idonee e preventive misure di sicurezza, i rischi

di distruzione o perdita, anche accidentale, dei dati stessi, di accesso

non autorizzato o di trattamento non consentito o non conforme alle finalità

della raccolta.

Art. 32 - Particolari titolari

1. Il fornitore di

un servizio di comunicazione elettronica accessibile al pubblico adotta ai

sensi dell'articolo 31 idonee misure tecniche e organizzative adeguate al

rischio esistente, per salvaguardare la sicurezza dei suoi servizi, l'integrità

dei dati relativi al traffico, dei dati relativi all'ubicazione e delle comunicazioni

elettroniche rispetto ad ogni forma di utilizzazione o cognizione non consentita.

2. Quando la sicurezza

del servizio o dei dati personali richiede anche l'adozione di misure che

riguardano la rete, il fornitore del servizio di comunicazione elettronica

accessibile al pubblico adotta tali misure congiuntamente con il fornitore

della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta

di uno dei fornitori, la controversia è definita dall'Autorità per le garanzie

nelle comunicazioni secondo le modalità previste dalla normativa vigente.

3. Il fornitore di

un servizio di comunicazione elettronica accessibile al pubblico informa

gli abbonati e, ove possibile, gli utenti, se sussiste un particolare rischio

di violazione della sicurezza della rete, indicando, quando il rischio è

al di fuori dell'ambito di applicazione delle misure che il fornitore stesso

è tenuto ad adottare ai sensi dei commi 1 e 2, tutti i possibili rimedi e

i relativi costi presumibili. Analoga informativa è resa al Garante e all'Autorità

per le garanzie nelle comunicazioni.

CAPO II - MISURE MINIME DI SICUREZZA

Art. 33 - Misure minime

1. Nel quadro dei più

generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali

disposizioni, i titolari del trattamento sono comunque tenuti ad adottare

le misure minime individuate nel presente capo o ai sensi dell'articolo 58,

comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

Art. 34 - Trattamenti con strumenti elettronici

1. Il trattamento di

dati personali effettuato con strumenti elettronici è consentito solo se

sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato

B), le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico

dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati

e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli

strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati,

ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche

di cifratura o di codici identificativi per determinati trattamenti di dati

idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi

sanitari.

Art. 35 - Trattamenti senza l'ausilio di strumenti elettronici

1. Il trattamento di

dati personali effettuato senza l'ausilio di strumenti elettronici è consentito

solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto

nell'allegato B), le seguenti misure minime:

a) aggiornamento periodico

dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati

o alle unità organizzative;

b) previsione di procedure

per un'idonea custodia di atti e documenti affidati agli incaricati per lo

svolgimento dei relativi compiti;

c) previsione di procedure

per la conservazione di determinati atti in archivi ad accesso selezionato

e disciplina delle modalità di accesso finalizzata all'identificazione degli

incaricati.

Art. 36 - Adeguamento

Il disciplinare tecnico

di cui all'allegato B), relativo alle misure minime di cui al presente capo,

è aggiornato periodicamente con decreto del Ministro della giustizia di concerto

con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione

tecnica e all'esperienza maturata nel settore.

Titolo VI - ADEMPIMENTI

Art. 37 - Notificazione del trattamento

1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

a) dati genetici, biometrici

o dati che indicano la posizione geografica di persone od oggetti mediante

una rete di comunicazione elettronica;

b) dati idonei a rivelare

lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita,

prestazione di servizi sanitari per via telematica relativi a banche di dati

o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie

mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti

e monitoraggio della spesa sanitaria;

c) dati idonei a rivelare

la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi

senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico,

religioso o sindacale;

d) dati trattati con

l'ausilio di strumenti elettronici volti a definire il profilo o la personalità

dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a

monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione

dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi

agli utenti;

e) dati sensibili registrati

in banche di dati a fini di selezione del personale per conto terzi, nonché

dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e

altre ricerche campionarie;

f) dati registrati

in apposite banche di dati gestite con strumenti elettronici e relative al

rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto

adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

2. Il Garante può individuare

altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà

dell'interessato, in ragione delle relative modalità o della natura dei dati

personali, con proprio provvedimento adottato anche ai sensi dell'articolo

17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della

Repubblica italiana il Garante può anche individuare, nell'ambito dei trattamenti

di cui al comma 1, eventuali trattamenti non suscettibili di recare detto

pregiudizio e pertanto sottratti all'obbligo di notificazione.

3. La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati.

4. Il Garante inserisce

le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque

e determina le modalità per la sua consultazione gratuita per via telematica,

anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio.

Le notizie accessibili tramite la consultazione del registro possono essere

trattate per esclusive finalità di applicazione della disciplina in materia

di protezione dei dati personali.

Art. 38 - Modalità di notificazione

1. La notificazione

del trattamento è presentata al Garante prima dell'inizio del trattamento

ed una sola volta, a prescindere dal numero delle operazioni e della durata

del trattamento da effettuare, e può anche riguardare uno o più trattamenti

con finalità correlate.

2. La notificazione

è validamente effettuata solo se è trasmessa per via telematica utilizzando

il modello predisposto dal Garante e osservando le prescrizioni da questi

impartite, anche per quanto riguarda le modalità di sottoscrizione con firma

digitale e di conferma del ricevimento della notificazione.

3. Il Garante favorisce

la disponibilità del modello per via telematica e la notificazione anche

attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa

vigente, anche presso associazioni di categoria e ordini professionali.

4. Una nuova notificazione

è richiesta solo anteriormente alla cessazione del trattamento o al mutamento

di taluno degli elementi da indicare nella notificazione medesima.

5. Il Garante può individuare

altro idoneo sistema per la notificazione in riferimento a nuove soluzioni

tecnologiche previste dalla normativa vigente.

6. Il titolare del

trattamento che non è tenuto alla notificazione al Garante ai sensi dell'articolo

37 fornisce le notizie contenute nel modello di cui al comma 2 a chi ne fa

richiesta, salvo che il trattamento riguardi pubblici registri, elenchi,

atti o documenti conoscibili da chiunque.

Art. 39 - Obblighi di comunicazione

1. Il titolare del trattamento è tenuto a comunicare previamente al Garante le seguenti circostanze:

a) comunicazione di

dati personali da parte di un soggetto pubblico ad altro soggetto pubblico

non prevista da una norma di legge o di regolamento, effettuata in qualunque

forma anche mediante convenzione;

b) trattamento di dati

idonei a rivelare lo stato di salute previsto dal programma di ricerca biomedica

o sanitaria di cui all'articolo 110, comma 1, primo periodo.

2. I trattamenti oggetto

di comunicazione ai sensi del comma 1 possono essere iniziati decorsi quarantacinque

giorni dal ricevimento della comunicazione salvo diversa determinazione anche

successiva del Garante.

La comunicazione

di cui al comma 1 è inviata utilizzando il modello predisposto e reso disponibile

dal Garante, e trasmessa a quest'ultimo per via telematica osservando le

modalità di sottoscrizione con firma digitale e conferma del ricevimento

di cui all'articolo 38, comma 2, oppure mediante telefax o lettera raccomandata.

Art. 40 - Autorizzazioni generali

Le disposizioni del

presente codice che prevedono un'autorizzazione del Garante sono applicate

anche mediante il rilascio di autorizzazioni relative a determinate categorie

di titolari o di trattamenti, pubblicate nella Gazzetta Ufficiale della Repubblica italiana.

Art. 41 - Richieste di autorizzazione

1. Il titolare del

trattamento che rientra nell'ambito di applicazione di un'autorizzazione

rilasciata ai sensi dell'articolo 40 non è tenuto a presentare al Garante

una richiesta di autorizzazione se il trattamento che intende effettuare

è conforme alle relative prescrizioni.

2. Se una richiesta

di autorizzazione riguarda un trattamento autorizzato ai sensi dell'articolo

40 il Garante può provvedere comunque sulla richiesta se le specifiche modalità

del trattamento lo giustificano.

3. L'eventuale richiesta

di autorizzazione è formulata utilizzando esclusivamente il modello predisposto

e reso disponibile dal Garante e trasmessa a quest'ultimo per via telematica,

osservando le modalità di sottoscrizione e conferma del ricevimento di cui

all'articolo 38, comma 2. La medesima richiesta e l'autorizzazione possono

essere trasmesse anche mediante telefax o lettera raccomandata.

4. Se il richiedente

è invitato dal Garante a fornire informazioni o ad esibire documenti, il

termine di quarantacinque giorni di cui all'articolo 26, comma 2, decorre

dalla data di scadenza del termine fissato per l'adempimento richiesto.

5. In presenza di particolari circostanze, il Garante può rilasciare un'autorizzazione provvisoria a tempo determinato.

Titolo VII - TRASFERIMENTO DEI DATI ALL'ESTERO

Art. 42 - Trasferimenti all'interno dell'Unione europea

Le disposizioni del

presente codice non possono essere applicate in modo tale da restringere

o vietare la libera circolazione dei dati personali fra gli Stati membri

dell'Unione europea, fatta salva l'adozione, in conformità allo stesso codice,

di eventuali provvedimenti in caso di trasferimenti di dati effettuati al

fine di eludere le medesime disposizioni.

Art. 43 - Trasferimenti consentiti in Paesi terzi

1. Il trasferimento

anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o

mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese

non appartenente all'Unione europea è consentito quando:

a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;

b) è necessario per

l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato

o per adempiere, prima della conclusione del contratto, a specifiche richieste

dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto

stipulato a favore dell'interessato;

c) è necessario per

la salvaguardia di un interesse pubblico rilevante individuato con legge

o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari,

specificato o individuato ai sensi degli articoli 20 e 21;

d) è necessario per

la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima

finalità riguarda l'interessato e quest'ultimo non può prestare il proprio

consenso per impossibilità fisica, per incapacità di agire o per incapacità

di intendere o di volere, il consenso è manifestato da chi esercita legalmente

la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente

o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato.

Si applica la disposizione di cui all'articolo 82, comma 2;

e) è necessario ai

fini dello svolgimento delle investigazioni difensive di cui alla legge 7

dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto

in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per

tali finalità e per il periodo strettamente necessario al loro perseguimento,

nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

f) è effettuato in

accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero

di una richiesta di informazioni estraibili da un pubblico registro, elenco,

atto o documento conoscibile da chiunque, con l'osservanza delle norme che

regolano la materia;

g) è necessario, in

conformità ai rispettivi codici di deontologia di cui all'allegato A), per

esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici

presso archivi privati dichiarati di notevole interesse storico ai sensi

dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490,

di approvazione del testo unico in materia di beni culturali e ambientali

o, secondo quanto previsto dai medesimi codici, presso altri archivi privati;

h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.

Art. 44 - Altri trasferimenti consentiti

1. Il trasferimento

di dati personali oggetto di trattamento, diretto verso un Paese non appartenente

all'Unione europea, è altresì consentito quando è autorizzato dal Garante

sulla base di adeguate garanzie per i diritti dell'interessato:

a) individuate dal Garante anche in relazione a garanzie prestate con un contratto;

b) individuate con

le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4,

della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre

1995, con le quali la Commissione europea constata che un Paese non appartenente

all'Unione europea garantisce un livello di protezione adeguato o che alcune

clausole contrattuali offrono garanzie sufficienti.

Art. 45 - Trasferimenti vietati

1. Fuori dei casi di

cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio

dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento,

diretto verso un Paese non appartenente all'Unione europea, è vietato quando

l'ordinamento del Paese di destinazione o di transito dei dati non assicura

un livello di tutela delle persone adeguato. Sono valutate anche le modalità

del trasferimento e dei trattamenti previsti, le relative finalità, la natura

dei dati e le misure di sicurezza.

PARTE II - DISPOSIZIONI RELATIVE A SPECIFICI SETTORI

Titolo I - TRATTAMENTI IN AMBITO GIUDIZIARIO

CAPO I - PROFILI GENERALI

Art. 46 - Titolari dei trattamenti

1. Gli uffici giudiziari

di ogni ordine e grado, il Consiglio superiore della magistratura, gli altri

organi di autogoverno e il Ministero della giustizia sono titolari dei trattamenti

di dati personali relativi alle rispettive attribuzioni conferite per legge

o regolamento.

2. Con decreto del

Ministro della giustizia sono individuati, nell'allegato C) al presente codice,

i trattamenti non occasionali di cui al comma 1 effettuati con strumenti

elettronici, relativamente a banche di dati centrali od oggetto di interconnessione

tra più uffici o titolari. I provvedimenti con cui il Consiglio superiore

della magistratura e gli altri organi di autogoverno di cui al comma 1 individuano

i medesimi trattamenti da essi effettuati sono riportati nell'allegato C)

con decreto del Ministro della giustizia.

Art. 47 - Trattamenti per ragioni di giustizia

1. In caso di trattamento

di dati personali effettuato presso uffici giudiziari di ogni ordine e grado,

presso il Consiglio superiore della magistratura, gli altri organi di autogoverno

e il Ministero della giustizia, non si applicano, se il trattamento è effettuato

per ragioni di giustizia, le seguenti disposizioni del codice:

a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45;

b) articoli da 145 a 151.

2. Agli effetti del

presente codice si intendono effettuati per ragioni di giustizia i trattamenti

di dati personali direttamente correlati alla trattazione giudiziaria di

affari e di controversie, o che, in materia di trattamento giuridico ed economico

del personale di magistratura, hanno una diretta incidenza sulla funzione

giurisdizionale, nonché le attività ispettive su uffici giudiziari. Le medesime

ragioni di giustizia non ricorrono per l'ordinaria attività amministrativo-gestionale

di personale, mezzi o strutture, quando non è pregiudicata la segretezza

di atti direttamente connessi alla predetta trattazione.

Art. 48 - Banche di dati di uffici giudiziari

1. Nei casi in cui

l'autorità giudiziaria di ogni ordine e grado può acquisire in conformità

alle vigenti disposizioni processuali dati, informazioni, atti e documenti

da soggetti pubblici, l'acquisizione può essere effettuata anche per via

telematica. A tale fine gli uffici giudiziari possono avvalersi delle convenzioni-tipo

stipulate dal Ministero della giustizia con soggetti pubblici, volte ad agevolare

la consultazione da parte dei medesimi uffici, mediante reti di comunicazione

elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel

rispetto delle pertinenti disposizioni e dei principi di cui agli articoli

3 e 11 del presente codice.

Art. 49 - Disposizioni di attuazione

1. Con decreto del

Ministro della giustizia sono adottate, anche ad integrazione del decreto

del Ministro di grazia e giustizia 30 settembre 1989, n. 334, le disposizioni

regolamentari necessarie per l'attuazione dei principi del presente codice

nella materia penale e civile.

CAPO II - MINORI

Art. 50 - Notizie o immagini relative a minori

1. Il divieto di cui

all'articolo 13 del decreto del Presidente della Repubblica 22 settembre

1988, n. 448, di pubblicazione e divulgazione con qualsiasi mezzo di notizie

o immagini idonee a consentire l'identificazione di un minore si osserva

anche in caso di coinvolgimento a qualunque titolo del minore in procedimenti

giudiziari in materie diverse da quella penale.

CAPO III - INFORMATICA GIURIDICA

Art. 51 - Principi generali

1. Fermo restando quanto

previsto dalle disposizioni processuali concernenti la visione e il rilascio

di estratti e di copie di atti e documenti, i dati identificativi delle questioni

pendenti dinanzi all'autorità giudiziaria di ogni ordine e grado sono resi

accessibili a chi vi abbia interesse anche mediante reti di comunicazione

elettronica, ivi compreso il sito istituzionale della medesima autorità nella

rete Internet.

2. Le sentenze e le

altre decisioni dell'autorità giudiziaria di ogni ordine e grado depositate

in cancelleria o segreteria sono rese accessibili anche attraverso il sistema

informativo e il sito istituzionale della medesima autorità nella rete Internet,

osservando le cautele previste dal presente capo.

Art. 52 - Dati identificativi degli interessati

1. Fermo restando quanto

previsto dalle disposizioni concernenti la redazione e il contenuto di sentenze

e di altri provvedimenti giurisdizionali dell'autorità giudiziaria di ogni

ordine e grado, l'interessato può chiedere per motivi legittimi, con richiesta

depositata nella cancelleria o segreteria dell'ufficio che procede prima

che sia definito il relativo grado di giudizio, che sia apposta a cura della

medesima cancelleria o segreteria, sull'originale della sentenza o del provvedimento,

un'annotazione volta a precludere, in caso di riproduzione della sentenza

o provvedimento in qualsiasi forma, per finalità di informazione giuridica

su riviste giuridiche, supporti elettronici o mediante reti di comunicazione

elettronica, l'indicazione delle generalità e di altri dati identificativi

del medesimo interessato riportati sulla sentenza o provvedimento.

2. Sulla richiesta

di cui al comma 1 provvede in calce con decreto, senza ulteriori formalità,

l'autorità che pronuncia la sentenza o adotta il provvedimento. La medesima

autorità può disporre d'ufficio che sia apposta l'annotazione di cui al comma

1, a tutela dei diritti o della dignità degli interessati.

3. Nei casi di cui

ai commi 1 e 2, all'atto del deposito della sentenza o provvedimento, la

cancelleria o segreteria vi appone e sottoscrive anche con timbro la seguente

annotazione, recante l'indicazione degli estremi del presente articolo: "In caso di diffusione omettere le generalità e gli altri dati identificativi di.....".

4. In caso di diffusione

anche da parte di terzi di sentenze o di altri provvedimenti recanti l'annotazione

di cui al comma 2, o delle relative massime giuridiche, è omessa l'indicazione

delle generalità e degli altri dati identificativi dell'interessato.

5. Fermo restando quanto

previsto dall'articolo 734-bis del codice penale relativamente alle persone

offese da atti di violenza sessuale, chiunque diffonde sentenze o altri provvedimenti

giurisdizionali dell'autorità giudiziaria di ogni ordine e grado è tenuto

ad omettere in ogni caso, anche in mancanza dell'annotazione di cui al comma

2, le generalità, altri dati identificativi o altri dati anche relativi a

terzi dai quali può desumersi anche indirettamente l'identità di minori,

oppure delle parti nei procedimenti in materia di rapporti di famiglia e

di stato delle persone.

6. Le disposizioni

di cui al presente articolo si applicano anche in caso di deposito di lodo

ai sensi dell'articolo 825 del codice di procedura civile. La parte può formulare

agli arbitri la richiesta di cui al comma 1 prima della pronuncia del lodo

e gli arbitri appongono sul lodo l'annotazione di cui al comma 3, anche ai

sensi del comma 2. Il collegio arbitrale costituito presso la camera arbitrale

per i lavori pubblici ai sensi dell'articolo 32 della legge 11 febbraio 1994,

n. 109, provvede in modo analogo in caso di richiesta di una parte.

7. Fuori dei casi indicati

nel presente articolo è ammessa la diffusione in ogni forma del contenuto

anche integrale di sentenze e di altri provvedimenti giurisdizionali.

Titolo II - TRATTAMENTI DA PARTE DI FORZE DI POLIZIA

CAPO I - PROFILI GENERALI

Art. 53 - Ambito applicativo e titolari dei trattamenti

1. Al trattamento di

dati personali effettuato dal Centro elaborazione dati del Dipartimento di

pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi

in base alla legge, ovvero da organi di pubblica sicurezza o altri soggetti

pubblici per finalità di tutela dell'ordine e della sicurezza pubblica, prevenzione,

accertamento o repressione dei reati, effettuati in base ad espressa disposizione

di legge che preveda specificamente il trattamento, non si applicano le seguenti

disposizioni del codice:

a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45;

b) articoli da 145 a 151.

2. Con decreto del

Ministro dell'interno sono individuati, nell'allegato C) al presente codice,

i trattamenti non occasionali di cui al comma 1 effettuati con strumenti

elettronici, e i relativi titolari.

Art. 54 - Modalità di trattamento e flussi di dati

1. Nei casi in cui

le autorità di pubblica sicurezza o le forze di polizia possono acquisire

in conformità alle vigenti disposizioni di legge o di regolamento dati, informazioni,

atti e documenti da altri soggetti, l'acquisizione può essere effettuata

anche per via telematica. A tal fine gli organi o uffici interessati possono

avvalersi di convenzioni volte ad agevolare la consultazione da parte dei

medesimi organi o uffici, mediante reti di comunicazione elettronica, di

pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle

pertinenti disposizioni e dei principi di cui agli articoli 3 e 11. Le convenzioni-tipo

sono adottate dal Ministero dell'interno, su conforme parere del Garante,

e stabiliscono le modalità dei collegamenti e degli accessi anche al fine

di assicurare l'accesso selettivo ai soli dati necessari al perseguimento

delle finalità di cui all'articolo 53.

2. I dati trattati

per le finalità di cui al medesimo articolo 53 sono conservati separatamente

da quelli registrati per finalità amministrative che non richiedono il loro

utilizzo.

3. Fermo restando quanto

previsto dall'articolo 11, il Centro elaborazioni dati di cui all'articolo

53 assicura l'aggiornamento periodico e la pertinenza e non eccedenza dei

dati personali trattati anche attraverso interrogazioni autorizzate del casellario

giudiziale e del casellario dei carichi pendenti del Ministero della giustizia

di cui al decreto del Presidente della Repubblica 14 novembre 2002, n. 313,

o di altre banche di dati di forze di polizia, necessarie per le finalità

di cui all'articolo 53.

4. Gli organi, uffici

e comandi di polizia verificano periodicamente i requisiti di cui all'articolo

11 in riferimento ai dati trattati anche senza l'ausilio di strumenti elettronici,

e provvedono al loro aggiornamento anche sulla base delle procedure adottate

dal Centro elaborazioni dati ai sensi del comma 3, o, per i trattamenti effettuati

senza l'ausilio di strumenti elettronici, mediante annotazioni o integrazioni

dei documenti che li contengono.

Art. 55 - Particolari tecnologie

1. Il trattamento di

dati personali che implica maggiori rischi di un danno all'interessato, con

particolare riguardo a banche di dati genetici o biometrici, a tecniche basate

su dati relativi all'ubicazione, a banche di dati basate su particolari tecniche

di elaborazione delle informazioni e all'introduzione di particolari tecnologie,

è effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell'interessato

prescritti ai sensi dell'articolo 17 sulla base di preventiva comunicazione

ai sensi dell'articolo 39.

Art. 56 - Tutela dell'interessato

Le disposizioni di

cui all'articolo 10, commi 3, 4 e 5, della legge 1° aprile 1981, n. 121,

e successive modificazioni, si applicano anche, oltre che ai dati destinati

a confluire nel Centro elaborazione dati di cui all'articolo 53, a dati trattati

con l'ausilio di strumenti elettronici da organi, uffici o comandi di polizia.

Art. 57 - Disposizioni di attuazione

1. Con decreto del

Presidente della Repubblica, previa deliberazione del Consiglio dei ministri,

su proposta del Ministro dell'interno, di concerto con il Ministro della

giustizia, sono individuate le modalità di attuazione dei principi del presente

codice relativamente al trattamento dei dati effettuato per le finalità di

cui all'articolo 53 dal Centro elaborazioni dati e da organi, uffici o comandi

di polizia, anche ad integrazione e modifica del decreto del Presidente della

Repubblica 3 maggio 1982, n. 378, e in attuazione della Raccomandazione R

(87) 15 del Consiglio d'Europa del 17 settembre 1987, e successive modificazioni.

Le modalità sono individuate con particolare riguardo:

a) al principio secondo

cui la raccolta dei dati è correlata alla specifica finalità perseguita,

in relazione alla prevenzione di un pericolo concreto o alla repressione

di reati, in particolare per quanto riguarda i trattamenti effettuati per

finalità di analisi;

b) all'aggiornamento

periodico dei dati, anche relativi a valutazioni effettuate in base alla

legge, alle diverse modalità relative ai dati trattati senza l'ausilio di

strumenti elettronici e alle modalità per rendere conoscibili gli aggiornamenti

da parte di altri organi e uffici cui i dati sono stati in precedenza comunicati;

c) ai presupposti per

effettuare trattamenti per esigenze temporanee o collegati a situazioni particolari,

anche ai fini della verifica dei requisiti dei dati ai sensi dell'articolo

11, dell'individuazione delle categorie di interessati e della conservazione

separata da altri dati che non richiedono il loro utilizzo;

d) all'individuazione

di specifici termini di conservazione dei dati in relazione alla natura dei

dati o agli strumenti utilizzati per il loro trattamento, nonché alla tipologia

dei procedimenti nell'ambito dei quali essi sono trattati o i provvedimenti

sono adottati;

e) alla comunicazione

ad altri soggetti, anche all'estero o per l'esercizio di un diritto o di

un interesse legittimo, e alla loro diffusione, ove necessaria in conformità

alla legge;

f) all'uso di particolari

tecniche di elaborazione e di ricerca delle informazioni, anche mediante

il ricorso a sistemi di indice.

Titolo III - DIFESA E SICUREZZA DELLO STATO

CAPO I - PROFILI GENERALI

Art. 58 - Disposizioni applicabili

1. Ai trattamenti effettuati

dagli organismi di cui agli articoli 3, 4 e 6 della legge 24 ottobre 1977,

n. 801, ovvero sui dati coperti da segreto di Stato ai sensi dell'articolo

12 della medesima legge, le disposizioni del presente codice si applicano

limitatamente a quelle previste negli articoli da 1 a 6, 11, 14, 15, 31,

33, 58, 154, 160 e 169.

2. Ai trattamenti effettuati

da soggetti pubblici per finalità di difesa o di sicurezza dello Stato, in

base ad espresse disposizioni di legge che prevedano specificamente il trattamento,

le disposizioni del presente codice si applicano limitatamente a quelle indicate

nel comma 1, nonché alle disposizioni di cui agli articoli 37, 38 e 163.

3. Le misure di sicurezza

relative ai dati trattati dagli organismi di cui al comma 1 sono stabilite

e periodicamente aggiornate con decreto del Presidente del Consiglio dei

ministri, con l'osservanza delle norme che regolano la materia.

4. Con decreto del

Presidente del Consiglio dei ministri sono individuate le modalità di applicazione

delle disposizioni applicabili del presente codice in riferimento alle tipologie

di dati, di interessati, di operazioni di trattamento eseguibili e di incaricati,

anche in relazione all'aggiornamento e alla conservazione.

Titolo IV - TRATTAMENTI IN AMBITO PUBBLICO

CAPO I - ACCESSO A DOCUMENTI AMMINISTRATIVI

Art. 59 - Accesso a documenti amministrativi

1. Fatto salvo quanto

previsto dall'articolo 60, i presupposti, le modalità, i limiti per l'esercizio

del diritto di accesso a documenti amministrativi contenenti dati personali,

e la relativa tutela giurisdizionale, restano disciplinati dalla legge 7

agosto 1990, n. 241, e successive modificazioni e dalle altre disposizioni

di legge in materia, nonché dai relativi regolamenti di attuazione, anche

per ciò che concerne i tipi di dati sensibili e giudiziari e le operazioni

di trattamento eseguibili in esecuzione di una richiesta di accesso. Le attività

finalizzate all'applicazione di tale disciplina si considerano di rilevante

interesse pubblico.

Art. 60 - Dati idonei a rivelare lo stato di salute e la vita sessuale

1. Quando il trattamento

concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il

trattamento è consentito se la situazione giuridicamente rilevante che si

intende tutelare con la richiesta di accesso ai documenti amministrativi

è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un

diritto della personalità o in un altro diritto o libertà fondamentale e

inviolabile.

CAPO II - REGISTRI PUBBLICI E ALBI PROFESSIONALI

Art. 61 - Utilizzazione di dati pubblici

1. Il Garante promuove,

ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia

e di buona condotta per il trattamento dei dati personali provenienti da

archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici,

anche individuando i casi in cui deve essere indicata la fonte di acquisizione

dei dati e prevedendo garanzie appropriate per l'associazione di dati provenienti

da più archivi, tenendo presente quanto previsto dalla Raccomandazione n.

R (91)10 del Consiglio d'Europa in relazione all'articolo 11.

2. Agli effetti dell'applicazione

del presente codice i dati personali diversi da quelli sensibili o giudiziari,

che devono essere inseriti in un albo professionale in conformità alla legge

o ad un regolamento, possono essere comunicati a soggetti pubblici e privati

o diffusi, ai sensi dell'articolo 19, commi 2 e 3, anche mediante reti di

comunicazione elettronica. Può essere altresì menzionata l'esistenza di provvedimenti

che dispongono la sospensione o che incidono sull'esercizio della professione.

3. L'ordine o collegio

professionale può, a richiesta della persona iscritta nell'albo che vi ha

interesse, integrare i dati di cui al comma 2 con ulteriori dati pertinenti

e non eccedenti in relazione all'attività professionale.

4. A richiesta dell'interessato

l'ordine o collegio professionale può altresì fornire a terzi notizie o informazioni

relative, in particolare, a speciali qualificazioni professionali non menzionate

nell'albo, ovvero alla disponibilità ad assumere incarichi o a ricevere materiale

informativo a carattere scientifico inerente anche a convegni o seminari.

CAPO III - STATO CIVILE, ANAGRAFI E LISTE ELETTORALI

Art. 62 - Dati sensibili e giudiziari

1. Si considerano di

rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità

relative alla tenuta degli atti e dei registri dello stato civile, delle

anagrafi della popolazione residente in Italia e dei cittadini italiani residenti

all'estero, e delle liste elettorali, nonché al rilascio di documenti di

riconoscimento o al cambiamento delle generalità.

Art. 63 - Consultazione di atti

1. Gli atti dello stato

civile conservati negli Archivi di Stato sono consultabili nei limiti previsti

dall'articolo 107 del decreto legislativo 29 ottobre 1999, n. 490.

CAPO IV - FINALITA' DI RILEVANTE INTERESSE PUBBLICO

Art. 64 - Cittadinanza, immigrazione e condizione dello straniero

1. Si considerano di

rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità

di applicazione della disciplina in materia di cittadinanza, di immigrazione,

di asilo, di condizione dello straniero e del profugo e sullo stato di rifugiato.

2. Nell'ambito delle

finalità di cui al comma 1 è ammesso, in particolare, il trattamento dei

dati sensibili e giudiziari indispensabili:

a) al rilascio e al rinnovo di visti, permessi, attestazioni, autorizzazioni e documenti anche sanitari;

b) al riconoscimento

del diritto di asilo o dello stato di rifugiato, o all'applicazione della

protezione temporanea e di altri istituti o misure di carattere umanitario,

ovvero all'attuazione di obblighi di legge in materia di politiche migratorie;

c) in relazione agli

obblighi dei datori di lavoro e dei lavoratori, ai ricongiungimenti, all'applicazione

delle norme vigenti in materia di istruzione e di alloggio, alla partecipazione

alla vita pubblica e all'integrazione sociale.

3. Il presente articolo

non si applica ai trattamenti di dati sensibili e giudiziari effettuati in

esecuzione degli accordi e convenzioni di cui all'articolo 154, comma 2,

lettere a) e b), o comunque effettuati per finalità di difesa o di sicurezza

dello Stato o di prevenzione, accertamento o repressione dei reati, in base

ad espressa disposizione di legge che prevede specificamente il trattamento.

Art. 65 - Diritti politici e pubblicità dell'attività di organi

1. Si considerano di

rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità

di applicazione della disciplina in materia di:

a) elettorato attivo

e passivo e di esercizio di altri diritti politici, nel rispetto della segretezza

del voto, nonché di esercizio del mandato degli organi rappresentativi o

di tenuta degli elenchi dei giudici popolari;

b) documentazione dell'attività istituzionale di organi pubblici.

2. I trattamenti dei

dati sensibili e giudiziari per le finalità di cui al comma 1 sono consentiti

per eseguire specifici compiti previsti da leggi o da regolamenti fra i quali,

in particolare, quelli concernenti:

a) lo svolgimento di consultazioni elettorali e la verifica della relativa regolarità;

b) le richieste di referendum, le relative consultazioni e la verifica delle relative regolarità;

c) l'accertamento delle

cause di ineleggibilità, incompatibilità o di decadenza, o di rimozione o

sospensione da cariche pubbliche, ovvero di sospensione o di scioglimento

degli organi;

d) l'esame di segnalazioni,

petizioni, appelli e di proposte di legge di iniziativa popolare, l'attività

di commissioni di inchiesta, il rapporto con gruppi po

Decreto 196 Privacy lavoro formulario unilav

moduli lavoro gestione pratiche Decreto 196 Privacy

modello libro unico lavoro Decreto 196 Privacy

collocamento telematico Decreto 196 Privacy

software invio telematico CO Decreto 196 Privacy

Decreto Legislativo 196/20003