Governo Italiano
logo repubblica

Ministero della Giustizia

Ministero della Giustizia
Seguici su

XVIII LEG - Schema di D.Lgs. - Attuazione della direttiva (UE) 2016/680/UE protezione delle persone fisiche con riguardo al trattamento dei dati personali

aggiornamento: 12 ottobre 2018

Esame definitivo - Consiglio dei ministri 16 maggio 2018

Esame preliminare - Consiglio dei ministri 8 febbraio 2018

Schema di decreto legislativo recante attuazione della direttiva (UE) 2016/680/UE, del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/Gai del Consiglio.

Relazione illustrativa

Indice

 

CAPO I - DISPOSIZIONI GENERALI

Art. 1 - Oggetto e ambito di applicazione
Art. 2 - Definizioni
Art. 3 - Principi applicabili al trattamento di dati personali
Art. 4 - Conservazione e verifica della qualità dei dati, distinzione tra categorie di interessati e di dati
Art. 5 - Liceità del trattamento
Art. 6 - Condizioni di trattamento specifiche
Art. 7 - Trattamento di categorie particolari di dati personali
Art. 8- Processo decisionale automatizzato relativo alle persone fisiche

CAPO II - DIRITTI DELL’INTERESSATO

Art. 9 - Comunicazioni e modalità per l'esercizio dei diritti dell'interessato
Art. 10 - Informazioni da rendere disponibili o da fornire all'interessato
Art. 11 - Diritto di accesso dell'interessato
Art. 12 - Diritto di rettifica o cancellazione di dati personali e limitazione di trattamento
Art. 13 - Esercizio dei diritti dell'interessato e verifica da parte del Garante)
Art. 14 - Limitazioni dell’esercizio dei diritti dell’interessato

CAPO III - TITOLARE DEL TRATTAMENTO E RESPONSABILE DEL TRATTAMENTO

SEZIONE I - OBBLIGHI GENERALI

Art. 15 - Obblighi del titolare del trattamento
Art. 16 - Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
Art. 17 - Contitolari del trattamento
Art. 18 - Responsabile del trattamento
Art. 19 - Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento
Art. 20 - Registri delle attività di trattamento
Art. 21 - Registrazione
Art. 22 - Cooperazione con il Garante
Art. 23 - Valutazione d'impatto sulla protezione dei dati
Art. 24 - Consultazione preventiva del Garante

SEZIONE II - SICUREZZA DEI DATI PERSONALI

Art. 25 - Sicurezza del trattamento
Art. 26 - Notifica al Garante di una violazione di dati personali
Art. 27 - Comunicazione di una violazione di dati personali all'interessato

SEZIONE III - RESPONSABILE DELLA PROTEZIONE DEI DATI

Art. 28 - Designazione del responsabile della protezione dei dati
Art. 29- Posizione del responsabile della protezione dei dati
Art. 30- Compiti del responsabile della protezione dei dati

CAPO IV - TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI

Art. 31 - Principi generali in materia di trasferimento di dati personali
Art. 32 - Trasferimento sulla base di una decisione di adeguatezza
Art. 33 - Trasferimenti soggetti a garanzie adeguate
Art. 34 - Deroghe in situazioni specifiche
Art. 35 - Trasferimenti di dati personali a destinatari stabiliti in Paesi terzi
Art. 36 - Cooperazione internazionale per la protezione dei dati personali e accordi internazionali precedentemente conclusi

CAPO V - TUTELA E SANZIONI AMMINISTRATIVE

Art. 37 - Autorità di controllo
Art. 38 - Assistenza reciproca
Art. 39 - Reclamo al Garante e ricorso giurisdizionale
Art. 40 - Rappresentanza degli interessati
Art. 41 - Diritto al risarcimento
Art. 42 - Sanzioni amministrative

CAPO VI - ILLECITI PENALI

Art. 43 - Trattamento illecito di dati
Art. 44 - Falsità nelle dichiarazioni e notificazioni al Garante
Art. 45 - Inosservanza di provvedimenti del Garante
Art. 46 - Pene accessorie

CAPO VII - DISPOSIZIONI INTEGRATIVE SUI TRATTAMENTI DELLE FORZE DI POLIZIA

Art. 47 - Modalità di trattamento e flussi di dati da parte delle Forze di polizia
Art. 48 - Tutela dell'interessato

CAPO VIII - DISPOSIZIONI DI COORDINAMENTO E ABROGAZIONI

Art. 49 - Disposizioni di coordinamento
Art. 50 - Clausola di invarianza


IL PRESIDENTE DELLA REPUBBLICA



Visti gli articoli 76 e 87 della Costituzione;

Visto l’articolo 14 della legge 23 agosto 1988, n. 400;

Vista la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;

Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE concernente regolamento generale sulla protezione dei dati;

Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2016-2017, e in particolare l’articolo 11;

Visto il codice in materia di protezione dei dati personali adottato con decreto legislativo 30 giugno 2003, n. 196;

Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione dell’8 febbraio 2018;

Acquisito il parere del Garante per la protezione dei dati personali, espresso nell’adunanza del 22 febbraio 2018;

Acquisito il parere della 2° Commissione del Senato della Repubblica;

Considerato che le competenti Commissioni della Camera dei deputati non hanno espresso il parere entro il termine di cui all’articolo 31, comma 3, della legge 24 dicembre 2012, n. 234;

Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 16 maggio 2018;

Sulla proposta del Presidente del Consiglio dei ministri e del Ministro della giustizia, di concerto con i Ministri degli affari esteri e della cooperazione internazionale, dell’interno e dell’economia e delle finanze;

EMANA
il seguente decreto legislativo

CAPO I
DISPOSIZIONI GENERALI

Art. 1
(Oggetto e ambito di applicazione)

  1. Il presente decreto attua nell’ordinamento interno le disposizioni della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, e che abroga la decisione quadro 2008/977/GAI del Consiglio.
  2. Il presente decreto si applica al trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche e al trattamento non automatizzato di dati personali delle persone fisiche contenuti in un archivio o ad esso destinati, svolti dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.
  3. Il presente decreto non si applica ai trattamenti di dati personali:
    1. effettuati nello svolgimento di attività concernenti la sicurezza nazionale o rientranti nell’ambito di applicazione del titolo V, capo 2, del trattato sull’Unione europea e per tutte le attività che non rientrano nell'ambito di applicazione del diritto dell'Unione europea;
    2. effettuati da istituzioni, organi, uffici e agenzie dell'Unione europea.

Art. 2
(Definizioni)

  1. Ai fini del presente decreto, si applicano le seguenti definizioni:
    1. dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato");
    2. trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati, applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
    3. limitazione di trattamento: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;
    4. pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile;
    6. archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
    7. autorità competente:
      1. qualsiasi autorità pubblica dello Stato, di uno Stato membro dell’Unione europea o di uno Stato terzo competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
      2. qualsiasi altro organismo o entità incaricato dagli ordinamenti interni di esercitare l'autorità pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica;

h. titolare del trattamento: l'autorità competente che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione europea o dello Stato, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere previsti dal diritto dell'Unione europea o dello Stato;
i. responsabile del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
l. destinatario: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione europea o dello Stato non sono considerate destinatari; il trattamento di tali dati da parte di tali autorità pubbliche è conforme alle norme in materia di protezione dei dati applicabili secondo le finalità del trattamento;
m. violazione dei dati personali: la violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;
n. dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;
o. dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;
p. dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
q. file di log: registro degli accessi e delle operazioni;
r. autorità di controllo: l'autorità pubblica indipendente istituita negli Stati membri ai sensi dell'articolo 41 della direttiva;
s. il Garante: autorità di controllo nell’ordinamento interno, individuata nel Garante per la protezione dei dati personali, istituito dal decreto legislativo 30 giugno 2003, n. 196;   
t. organizzazione internazionale: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati;
u. Codice: Codice in materia di protezione dei dati personali, adottato con il decreto legislativo 30 giugno 2003, n. 196;
v. Stato membro: Stato membro dell'Unione europea;
z.Paese terzo: Stato non membro dell'Unione europea;
aa. direttiva: la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016;
bb. regolamento UE: il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016;
cc. Forze di polizia: le Forze di polizia di cui all’articolo 16 della legge 1° aprile 1981, n. 121.

Art. 3
(Principi applicabili al trattamento di dati personali)

  1. I dati personali di cui all’articolo 1, comma 2, sono:
    1. trattati in modo lecito e corretto;
    2. raccolti per finalità determinate, espresse e legittime e trattati in modo compatibile con tali finalità;
    3. adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati;
    4. esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
    5. conservati con modalità che consentano l'identificazione degli interessati per il tempo necessario al conseguimento delle finalità per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessità di conservazione, cancellati o anonimizzati una volta decorso tale termine;
    6. trattati in modo da garantire un’adeguata sicurezza e protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, mediante l’adozione di misure tecniche e organizzative adeguate.
  2. Il trattamento per una delle finalità di cui all'articolo 1, comma 2, diversa da quella per cui i dati sono raccolti, è consentito se il titolare del trattamento, anche se diverso da quello che ha raccolto i dati, è autorizzato a trattarli per detta finalità, conformemente al diritto dell'Unione europea o dell’ordinamento interno e se il trattamento è necessario e proporzionato a tale diversa finalità, conformemente al diritto dell'Unione europea o dell’ordinamento interno.
  3. Il trattamento per le finalità di cui all'articolo 1, comma 2, può comprendere l'archiviazione nel pubblico interesse, l'utilizzo scientifico, storico o statistico, fatte salve le garanzie adeguate per i diritti e le libertà degli interessati.
  4. Il titolare del trattamento è responsabile del rispetto dei principi di cui ai commi 1, 2 e 3.

Art. 4
(Conservazione e verifica della qualità dei dati, distinzione tra categorie di interessati e di dati)

  1. Il titolare del trattamento, tenuto conto della finalità del trattamento e per quanto possibile, distingue i dati personali in relazione alle diverse categorie di interessati previste dalla legge e i dati fondati su fatti da quelli fondati su valutazioni. La distinzione in relazione alle diverse categorie di interessati si applica, in particolare, alle seguenti categorie di interessati: persone sottoposte a indagine; imputati; persone sottoposte a indagine o imputate in procedimento connesso o collegato; persone condannate con sentenza definitiva; persone offese dal reato; parti civili; persone informate sui fatti; testimoni.
  2. Le autorità competenti adottano misure adeguate a garantire che i dati personali inesatti, incompleti o non aggiornati non siano trasmessi o resi disponibili. A tal fine ciascuna autorità competente, per quanto possibile, verifica la qualità dei dati personali prima che questi siano trasmessi o resi disponibili e correda la loro trasmissione delle informazioni che consentono all’autorità ricevente di valutarne il grado di esattezza, completezza, aggiornamento e affidabilità.
  3. Quando risulta che i dati personali sono stati trasmessi illecitamente o sono inesatti, il destinatario ne è tempestivamente informato. In tal caso, i dati personali devono essere rettificati o cancellati o il trattamento deve essere limitato a norma dell'articolo 12.

Art. 5
(Liceità del trattamento)

  1. Il trattamento è lecito se è necessario per l'esecuzione di un compito di un'autorità competente per le finalità di cui all'articolo 1, comma 2, e si basa sul diritto dell'Unione europea o su disposizioni di legge o, nei casi previsti dalla legge, di regolamento che individuano i dati personali e le finalità del trattamento.
  2. Con decreto del Presidente della Repubblica, adottato ai sensi dell’articolo 17, comma 1, della legge 23 agosto 1988, n. 400, sono individuati, per i trattamenti o le categorie di trattamenti non occasionali di cui al comma 1, i termini, ove non già stabiliti da disposizioni di legge o di regolamento, e le modalità di conservazione dei dati, i soggetti legittimati ad accedervi, le condizioni di accesso, le modalità di consultazione, nonché le modalità e le condizioni per l’esercizio dei diritti di cui agli articoli 9, 10, 11 e 13. I termini di conservazione sono determinati in conformità ai criteri indicati all’articolo 3, comma 1, tenendo conto delle diverse categorie di interessati e delle finalità perseguite.

Art. 6
(Condizioni di trattamento specifiche)

  1. I dati personali raccolti per le finalità di cui all'articolo 1, comma 2, non possono essere trattati per finalità diverse, salvo che tale trattamento sia consentito dal diritto dell'Unione europea o dalla legge.
  2. Ai trattamenti eseguiti per finalità diverse da quelle di cui all'articolo 1, comma 2, comprese le attività di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per finalità statistiche, si applica il regolamento UE, salve le disposizioni di cui all’articolo 58 del Codice.
  3. Se il diritto dell'Unione europea o le disposizioni legislative o regolamentari prevedono condizioni specifiche per il trattamento dei dati personali, l'autorità competente che trasmette tali dati informa il destinatario delle condizioni e dell’obbligo di rispettarle.
  4. L'autorità competente che trasmette i dati applica le stesse condizioni previste per le trasmissioni di dati all'interno dello Stato ai destinatari di altri Stati membri o ad agenzie, uffici e organi istituiti a norma del titolo V, capi 4 e 5, del Trattato sul funzionamento dell'Unione europea.

Art. 7
(Trattamento di categorie particolari di dati personali)

  1. Il trattamento di dati di cui all’articolo 9 del regolamento UE è autorizzato solo se strettamente necessario e assistito da garanzie adeguate per i diritti e le libertà dell'interessato e specificamente previsto dal diritto dell’Unione europea o da legge o, nei casi previsti dalla legge, da regolamento, ovvero, ferme le garanzie dei diritti e delle libertà, se necessario per salvaguardare un interesse vitale dell'interessato o di un’altra persona fisica o se ha ad oggetto dati resi manifestamente pubblici dall'interessato.

Art. 8
(Processo decisionale automatizzato relativo alle persone fisiche)

  1. Sono vietate le decisioni basate unicamente su un trattamento automatizzato, compresa la profilazione, che producono effetti negativi nei confronti dell’interessato, salvo che siano autorizzate dal diritto dell'Unione europea o da specifiche disposizioni di legge.
  2. Le disposizioni di legge devono prevedere garanzie adeguate per i diritti e le libertà dell'interessato. In ogni caso è garantito il diritto di ottenere l'intervento umano da parte del titolare del trattamento.
  3. Le decisioni di cui al comma 1 non possono basarsi sulle categorie particolari di dati personali di cui all’articolo 9 del regolamento UE, salvo che siano in vigore misure adeguate a salvaguardia dei diritti, delle libertà e dei legittimi interessi dell'interessato.
  4. Fermo il divieto di cui all’articolo 21 della Carta dei diritti fondamentali dell’Unione europea, è vietata la profilazione finalizzata alla discriminazione di persone fisiche sulla base di categorie particolari di dati personali di cui all'articolo 9 del regolamento UE.

CAPO II
DIRITTI DELL’INTERESSATO

Art. 9
(Comunicazioni e modalità per l'esercizio dei diritti dell'interessato)

  1. Il titolare del trattamento adotta misure adeguate a fornire all'interessato tutte le informazioni di cui all'articolo 10 ed effettua le comunicazioni relative al trattamento di cui agli articoli 8, 11, 12, 13, 14 e 27, in forma concisa, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite con qualsiasi mezzo adeguato, anche per via elettronica, se possibile con le stesse modalità della richiesta.
  2. Il titolare del trattamento facilita l’esercizio dei diritti di cui agli articoli 8, 11, 12, 13 e 14 da parte dell'interessato.
  3. Il titolare del trattamento informa l'interessato senza ingiustificato ritardo e per iscritto dell’esito della sua richiesta.
  4. E’ assicurata la gratuità del rilascio di informazioni ai sensi dell’articolo 10 e dell’esercizio dei diritti previsti dagli articoli 8, 11, 12, 13, 14 e 27. Si applicano le disposizioni di cui all’articolo 12, paragrafo 5, secondo periodo, del regolamento UE.
  5. Fermo quanto previsto dall’articolo 5 comma 1, con decreto adottato dal Ministro competente sono individuati, ove necessario anche per categorie, i trattamenti non occasionali effettuati con strumenti elettronici per le finalità di cui all’articolo 1, comma 2, previsti da disposizioni di legge o di regolamento, nonché i relativi titolari.

Art. 10
(Informazioni da rendere disponibili o da fornire all'interessato)

  1. Il titolare del trattamento mette a disposizione dell’interessato, anche sul proprio sito internet, le seguenti informazioni:
    1. l'identità e i dati di contatto del titolare del trattamento;
    2. i dati di contatto del responsabile della protezione dei dati, se previsto;
    3. le finalità del trattamento cui sono destinati i dati personali;
    4. la sussistenza del diritto di proporre reclamo al Garante e i relativi dati di contatto;
    5. la sussistenza del diritto di chiedere al titolare del trattamento l'accesso ai dati e la rettifica o la cancellazione dei dati personali e la limitazione del trattamento dei dati personali che lo riguardano.
  2. In aggiunta alle informazioni di cui al comma 1, il titolare del trattamento, quando previsto da disposizioni di legge o di regolamento, fornisce all'interessato le seguenti ulteriori informazioni, funzionali all’esercizio dei propri diritti:
    1. il titolo giuridico del trattamento;
    2. il periodo di conservazione dei dati personali o, se non è possibile, i criteri per determinare tale periodo;
    3. le categorie di destinatari dei dati personali, anche in Paesi terzi o in seno a organizzazioni internazionali;
    4. le ulteriori informazioni ritenute utili all’esercizio dei diritti, in particolare nel caso in cui i dati personali siano stati raccolti all’insaputa dell’interessato.

Art 11
(Diritto di accesso dell'interessato)

  1. L’interessato ha il diritto di ottenere dal titolare del trattamento conferma dell’esistenza di un trattamento in corso di dati personali che lo riguardano e, in tal caso, l’accesso ai dati e alle seguenti informazioni:
    1. le finalità e il titolo giuridico del trattamento;
    2. le categorie di dati personali trattati;
    3. i destinatari o le categorie di destinatari a cui i dati personali sono stati comunicati;
    4. il periodo di conservazione dei dati personali o, se non è possibile, i criteri per determinare tale periodo;
    5. il diritto di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano;
    6. il diritto di proporre reclamo al Garante, con i relativi dati di contatto;
    7. la comunicazione dei dati personali oggetto del trattamento e di tutte le informazioni disponibili sulla loro origine.
  2. Nei casi di cui all’articolo 14, comma 2, il titolare del trattamento informa l'interessato, senza ingiustificato ritardo e per iscritto, di ogni rifiuto o limitazione dell'accesso e dei relativi motivi, nonché del diritto di proporre reclamo dinanzi al Garante o di proporre ricorso giurisdizionale.
  3. Il titolare del trattamento documenta i motivi di fatto o di diritto su cui si basa la decisione di cui al comma 2. Tali informazioni sono rese disponibili al Garante.


Art. 12
(Diritto di rettifica o cancellazione di dati personali e limitazione di trattamento)

  1. L'interessato ha il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che lo riguardano. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
  2. Fermo quanto previsto dall’articolo 14, comma 1 e 2, il titolare del trattamento cancella senza ingiustificato ritardo i dati personali, quando il trattamento si pone in contrasto con le disposizioni di cui agli articoli 3, 5 o 7 e in ogni altro caso previsto dalla legge.
  3. In luogo della cancellazione, il titolare del trattamento limita il trattamento quando l’esattezza dei dati, contestata dall’interessato, non può essere accertata o se i dati devono essere conservati a fini probatori.
  4. Quando il trattamento è limitato per l’impossibilità di accertare l’esattezza dei dati, il titolare del trattamento informa l'interessato prima di revocare la limitazione.
  5. L'interessato ha diritto di essere informato per iscritto dal titolare del trattamento del rifiuto di rettifica, di cancellazione o di limitazione del trattamento e dei relativi motivi, nonché del diritto di proporre reclamo dinanzi al Garante o di proporre ricorso giurisdizionale.
  6. Il titolare del trattamento comunica le rettifiche dei dati personali inesatti all'autorità competente da cui provengono.
  7. Qualora i dati personali siano stati rettificati o cancellati o il trattamento sia stato limitato ai sensi dei commi 1, 2 e 3, il titolare del trattamento ne informa i destinatari e questi provvedono, sotto la propria responsabilità, alla rettifica o cancellazione dei dati personali ovvero alla limitazione del trattamento.

Art. 13
(Esercizio dei diritti dell'interessato e verifica da parte del Garante)

  1. Al di fuori dei casi di trattamento effettuato dall’autorità giudiziaria per le finalità di cui all’articolo 1, comma 2, i diritti dell'interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160 del codice.
  2. Il titolare del trattamento informa l'interessato della facoltà di cui al comma 1.
  3. Nei casi di cui al comma 1, il Garante informa l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'interessato di proporre ricorso giurisdizionale.

Art. 14
(Limitazioni dell’esercizio dei diritti dell’interessato)

  1. I diritti di cui agli articoli 10, 11 e 12, relativamente ai dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, sono esercitati conformemente a quanto previsto dalle disposizioni di legge o di regolamento che disciplinano tali atti e procedimenti. Chiunque vi abbia interesse, durante il procedimento penale o dopo la sua definizione, può chiedere, con le modalità di cui all’articolo 116 del codice di procedura penale, la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano. Il giudice provvede con le forme dell’articolo 130 del codice di procedura penale.
  2. Fermo quanto previsto dal comma 1, l’esercizio dei diritti di cui agli articoli 11, commi 1 e 2, e 12, comma 5, nonché l’adempimento dell’obbligo di cui all’articolo 10, comma 2, possono essere ritardati, limitati o esclusi, con disposizione di legge o di regolamento adottato ai sensi dell’articolo 5, comma 2, nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata al fine di:
    1. non compromettere il buon esito dell’attività di prevenzione, indagine, accertamento e perseguimento di reati o l'esecuzione di sanzioni penali, nonché l’applicazione delle misure di prevenzione personali e patrimoniali e delle misure di sicurezza;
    2. tutelare la sicurezza pubblica;
    3. tutelare la sicurezza nazionale;
    4. tutelare i diritti e le libertà altrui.

CAPO III
TITOLARE DEL TRATTAMENTO E RESPONSABILE DEL TRATTAMENTO

SEZIONE I
OBBLIGHI GENERALI

Art. 15
(Obblighi del titolare del trattamento)

  1. Il titolare del trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato in conformità alle norme del presente decreto.
  2. Le misure di cui al comma 1 sono riesaminate e aggiornate qualora necessario e, ove proporzionato rispetto all’attività di trattamento, includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

Art. 16
(Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita)

  1. Il titolare del trattamento, tenuto conto delle cognizioni tecniche disponibili e dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche e organizzative adeguate, quale la pseudonimizzazione, per garantire la protezione dei dati e per tutelare i diritti degli interessati, in conformità alle norme del presente decreto.
  2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, tali misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.

Art.17
(Contitolari del trattamento)

  1.  Due o più titolari del trattamento che determinano congiuntamente le finalità e i mezzi del trattamento sono contitolari del trattamento.
  2. I contitolari del trattamento determinano mediante accordo con modalità trasparenti gli ambiti delle rispettive responsabilità per l’osservanza delle norme di cui al presente decreto, salvo che detti ambiti siano determinati dal diritto dell'Unione europea o da disposizioni legislative o regolamentari.
  3. Con l’accordo di cui al comma 2 è designato il punto di contatto per gli interessati. Indipendentemente dalle disposizioni di tale accordo, l’interessato può esercitare i diritti nei confronti di e contro ciascun titolare del trattamento.

Art. 18
(Responsabile del trattamento)

  1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre a responsabili del trattamento che garantiscono misure tecniche e organizzative adeguate ad assicurare la protezione dei dati personali e la tutela dei diritti dell'interessato.
  2. Il responsabile del trattamento non può ricorrere a un altro responsabile senza preventiva autorizzazione scritta del titolare del trattamento.
  3. L'esecuzione dei trattamenti da parte di un responsabile del trattamento è disciplinata da un contratto o da altro atto giuridico che prevede l’oggetto, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Tale contratto o diverso atto giuridico prevede anche che il responsabile del trattamento:
    1. agisca soltanto su istruzione del titolare del trattamento;
    2. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
    3. assista il titolare del trattamento con ogni mezzo adeguato per garantire il rispetto delle disposizioni relative ai diritti dell'interessato;
    4. su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi di trattamento di dati e cancelli le copie esistenti, salvo che il diritto dell'Unione europea o la legge preveda la conservazione dei dati personali;
    5. metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto delle condizioni di cui al presente articolo;
    6. rispetti le condizioni di cui ai commi 2 e 3 nel caso di ricorso ad altro responsabile del trattamento.
  4. Il contratto o il diverso atto di cui al comma 3 è stipulato per iscritto, anche in formato elettronico.
  5. Se un responsabile del trattamento determina, in violazione del presente decreto, le finalità e i mezzi del trattamento, è considerato titolare del trattamento.

Art. 19
(Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento)

  1. Il responsabile del trattamento o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento può trattare i dati personali cui ha accesso solo in conformità alle istruzioni del titolare del trattamento, salvo che sia diversamente previsto dal diritto dell'Unione europea o da disposizioni di legge o, nei casi previsti dalla legge, di regolamento.

Art. 20
(Registri delle attività di trattamento)

  1. I titolari del trattamento tengono un registro di tutte le categorie di attività di trattamento sotto la propria responsabilità. Tale registro contiene le seguenti informazioni:
    1. il nome e i dati di contatto del titolare del trattamento e, se previsti, di ogni contitolare del trattamento e del responsabile della protezione dei dati;
    2. le finalità del trattamento;
    3. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi o presso organizzazioni internazionali;
    4. una descrizione delle categorie di interessati e delle categorie di dati personali;
    5. se previsto, il ricorso alla profilazione;
    6. se previste, le categorie di trasferimenti di dati personali verso un Paese terzo o verso organizzazioni internazionali;
    7. un'indicazione del titolo giuridico del trattamento cui sono destinati i dati personali, anche in caso di trasferimento;
    8. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati personali;
    9. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 25, comma 1.
  2. I responsabili del trattamento tengono un registro di tutte le categorie di attività di trattamento svolte per conto di un titolare del trattamento, contenente le seguenti informazioni:
    1. il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agiscono e, se esistente, del responsabile della protezione dei dati;
    2. le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
    3. i trasferimenti di dati personali effettuati su istruzione del titolare del trattamento verso un Paese terzo o verso un'organizzazione internazionale;
    4. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 25, comma 1.

Art. 21
(Registrazione)

  1. Le operazioni di raccolta, modifica, consultazione, comunicazione, trasferimento, interconnessione e cancellazione di dati, eseguite in sistemi di trattamento automatizzati, sono registrate in appositi file di log, da conservare per la durata stabilita con il decreto di cui all'articolo 5, comma 2.
  2. Le registrazioni delle operazioni di cui al comma 1 debbono consentire di conoscere i motivi, la data e l'ora di tali operazioni e, se possibile, di identificare la persona che ha eseguito le operazioni e i destinatari.
  3. Le registrazioni sono usate ai soli fini della verifica della liceità del trattamento, per finalità di controllo interno, per garantire l'integrità e la sicurezza dei dati personali e nell'ambito di procedimenti penali.
  4. Su richiesta e fatto salvo quanto previsto dall’articolo 37, comma 3, il titolare del trattamento e il responsabile del trattamento mettono le registrazioni a disposizione del Garante.

Art. 22
(Cooperazione con il Garante)

  1. Salvo quanto previsto dall’articolo 37 comma 3, il titolare del trattamento e il responsabile del trattamento cooperano, su richiesta, con il Garante.

Art. 23
(Valutazione d'impatto sulla protezione dei dati)

  1. Se il trattamento, per l'uso di nuove tecnologie e per la sua natura, per l'ambito di applicazione, per il contesto e per le finalità, presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento, prima di procedere al trattamento, effettua una valutazione del suo impatto sulla protezione dei dati personali.
  2. La valutazione di cui al comma 1 contiene una descrizione generale dei trattamenti previsti, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare tali rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e il rispetto delle norme del presente decreto.

Art. 24
(Consultazione preventiva del Garante)

  1. Salvo quanto previsto dall’articolo 37, comma 6, il titolare del trattamento o il responsabile del trattamento consultano il Garante prima del trattamento di dati personali che figureranno in un nuovo archivio di prossima creazione se:
    1. una valutazione d'impatto sulla protezione dei dati di cui all'articolo 23 indica che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio; oppure
    2. il tipo di trattamento presenta un rischio elevato per i diritti e le libertà degli interessati anche in ragione dell’utilizzo di tecnologie, procedure o meccanismi nuovi ovvero di dati genetici o biometrici.
  2. Il Garante è consultato nel corso dell’esame di un progetto di legge o di uno schema di decreto legislativo ovvero di uno schema di regolamento o decreto non avente carattere regolamentare, suscettibile di rilevare ai fini della garanzia del diritto alla protezione dei dati personali.
  3. Il Garante può stabilire un elenco di trattamenti soggetti a consultazione preventiva ai sensi del comma 1.
  4. Il titolare del trattamento trasmette al Garante la valutazione d'impatto sulla protezione dei dati di cui all'articolo 23 e, su richiesta, ogni altra informazione, al fine di consentire a detta autorità di effettuare una valutazione della conformità del trattamento, dei rischi per la protezione dei dati personali dell'interessato e delle relative garanzie.
  5. Ove ritenga che il trattamento di cui al comma 1 violi le disposizioni del presente decreto, il Garante fornisce, entro un termine di sei settimane dal ricevimento della richiesta di consultazione, un parere per iscritto al titolare del trattamento e, se esistente, al responsabile del trattamento. Il Garante si avvale dei poteri di cui all’articolo 37, comma 3.
  6. Il termine di cui al comma 5 può essere prorogato di un mese nel caso di trattamento complesso. Il Garante informa della proroga e dei motivi del ritardo il titolare del trattamento e, se esistente, il responsabile del trattamento, entro un mese dal ricevimento della richiesta di consultazione.

SEZIONE II
SICUREZZA DEI DATI PERSONALI

Art. 25
(Sicurezza del trattamento)

  1. Il titolare del trattamento e il responsabile del trattamento, tenuto conto delle cognizioni tecniche disponibili, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché del grado di rischio per i diritti e le libertà delle persone fisiche, mettono in atto misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio di violazione dei dati.
  2. Per il trattamento automatizzato il titolare o il responsabile del trattamento, previa valutazione dei rischi, adottano misure volte a:
    1. vietare alle persone non autorizzate l'accesso alle attrezzature utilizzate per il trattamento («controllo dell'accesso alle attrezzature»);
    2. impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate («controllo dei supporti di dati»);
    3. impedire che i dati personali siano inseriti senza autorizzazione e che i dati personali conservati siano visionati, modificati o cancellati senza autorizzazione («controllo della conservazione»);
    4. impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato mediante attrezzature per la trasmissione di dati («controllo dell'utente»);
    5. garantire che le persone autorizzate a usare un sistema di trattamento automatizzato abbiano accesso solo ai dati personali cui si riferisce la loro autorizzazione d'accesso («controllo dell'accesso ai dati»);
    6. garantire la possibilità di individuare i soggetti ai quali siano stati o possano essere trasmessi o resi disponibili i dati personali utilizzando attrezzature per la trasmissione di dati («controllo della trasmissione»);
    7. garantire la possibilità di verificare e accertare a posteriori quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato, il momento della loro introduzione e la persona che l'ha effettuata («controllo dell'introduzione»);
    8. impedire che i dati personali possano essere letti, copiati, modificati o cancellati in modo non autorizzato durante i trasferimenti di dati personali o il trasporto di supporti di dati («controllo del trasporto»);
    9. garantire che, in caso di interruzione, i sistemi utilizzati possano essere ripristinati («recupero»);
      l. garantire che le funzioni del sistema siano operative, che eventuali errori di funzionamento siano segnalati («affidabilità») e che i dati personali conservati non possano essere falsati da un errore di funzionamento del sistema («integrità»).

Art. 26
(Notifica al Garante di una violazione di dati personali)

  1. Salvo quanto previsto dall’articolo 37, comma 6, in caso di violazione di dati personali, il titolare del trattamento notifica la violazione al Garante con le modalità di cui all’articolo 33 del regolamento UE.
  2. Se la violazione dei dati personali riguarda dati personali che sono stati trasmessi dal o al titolare del trattamento di un altro Stato membro, le informazioni previste dal citato articolo 33 del regolamento UE sono comunicate, senza ingiustificato ritardo, al titolare del trattamento di tale Stato membro.

Art. 27
(Comunicazione di una violazione di dati personali all'interessato)

  1. Quando la violazione di dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, si osservano le disposizioni in tema di comunicazioni di cui all’articolo 34 del regolamento UE.
  2. La comunicazione all'interessato di cui al comma 1 può essere ritardata, limitata od omessa alle condizioni e per i motivi di cui all'articolo 14, comma 2.


SEZIONE III
RESPONSABILE DELLA PROTEZIONE DEI DATI

Art. 28
(Designazione del responsabile della protezione dei dati)

  1. Il titolare del trattamento designa un responsabile della protezione dei dati.
  2. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 30.
  3. Può essere designato un unico responsabile della protezione dei dati per più autorità competenti, tenuto conto della loro struttura organizzativa e dimensione.
  4. Il titolare del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e, salvo quanto previsto dall'articolo 37, comma 6, li comunica al Garante.

Art. 29
(Posizione del responsabile della protezione dei dati)

  1. Il titolare del trattamento si assicura che il responsabile della protezione dei dati sia coinvolto adeguatamente e tempestivamente in tutte le questioni riguardanti la protezione dei dati personali.
  2. Il titolare del trattamento coadiuva il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 30 fornendogli le risorse necessarie per assolvere tali compiti, per accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

Art 30
(Compiti del responsabile della protezione dei dati)

  1. Il titolare del trattamento conferisce al responsabile della protezione dei dati almeno i seguenti compiti:
    1. informare il titolare del trattamento e i dipendenti che effettuano il trattamento degli obblighi derivanti dal presente decreto nonché da altre disposizioni dell'Unione europea o dello Stato relative alla protezione dei dati;
    2. vigilare sull'osservanza del presente decreto e di altre disposizioni dell'Unione europea o dello Stato relative alla protezione dei dati nonché delle previsioni di programma del titolare del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
    3. fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 23;
    4. cooperare con il Garante;
    5. fungere da punto di contatto per il Garante per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 24, ed effettuare, ove necessario, consultazioni relativamente a qualunque altra questione.

CAPO IV
TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI

Art. 31
(Principi generali in materia di trasferimento di dati personali)

  1. Il trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un Paese terzo o un'organizzazione internazionale, compresi trasferimenti successivi verso un altro Paese terzo o un'altra organizzazione internazionale è consentito se:
    1. il trasferimento è necessario per le finalità di cui all'articolo 1, comma 2;
    2. i dati personali sono trasferiti al titolare del trattamento in un Paese terzo o a un'organizzazione internazionale che sia un'autorità competente per le finalità di cui all'articolo 1, comma 2;
    3. qualora i dati personali siano trasmessi o resi disponibili da uno Stato membro, tale Stato ha fornito la propria autorizzazione preliminare al trasferimento conformemente al proprio diritto nazionale;
    4. la Commissione europea ha adottato una decisione di adeguatezza, a norma dell'articolo 32 o, in mancanza, sono state fornite o esistono garanzie adeguate ai sensi dell'articolo 33; in assenza di una decisione di adeguatezza e di garanzie adeguate, si applicano deroghe per situazioni specifiche ai sensi dell'articolo 34; e
    5. in caso di trasferimento successivo a un altro Paese terzo o a un'altra organizzazione internazionale, l'autorità competente che ha effettuato il trasferimento originario o un'altra autorità competente dello stesso Stato membro autorizza il trasferimento successivo dopo avere valutato tutti i fattori pertinenti, tra cui la gravità del reato, la finalità per la quale i dati personali sono stati trasferiti e il livello di protezione dei dati personali previsto nel Paese terzo o nell'organizzazione internazionale verso i quali i dati personali sono successivamente trasferiti.
  2. In assenza dell'autorizzazione preliminare di un altro Stato membro di cui al comma 1, lettera c), il trasferimento di dati personali è consentito solo se necessario per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un Paese terzo o agli interessi vitali di uno Stato membro e l'autorizzazione preliminare non può essere ottenuta tempestivamente. L'autorità competente a rilasciare l'autorizzazione preliminare è informata senza ritardo.

Art. 32
(Trasferimento sulla base di una decisione di adeguatezza)

  1. Il trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale è consentito se la Commissione europea ha deciso che il Paese terzo, un territorio o uno o più settori specifici all'interno del Paese terzo, o l'organizzazione internazionale garantiscono un livello di protezione adeguato. In tal caso non sono necessarie autorizzazioni specifiche.

Art. 33
(Trasferimenti soggetti a garanzie adeguate)

  1. In mancanza o in caso di revoca, modifica o sospensione di una decisione di adeguatezza di cui all’articolo 32, il trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale è consentito se:
    1. sono fornite garanzie adeguate per la protezione dei dati personali attraverso uno strumento giuridicamente vincolante; o
    2. il titolare del trattamento, valutate tutte le circostanze relative allo specifico trasferimento, ritiene che sussistano garanzie adeguate per la protezione dei dati personali.
  2. Il titolare del trattamento informa il Garante dei trasferimenti effettuati ai sensi del comma 1, lettera b), e ne conserva documentazione che, su richiesta, mette a disposizione del Garante, con l'indicazione della data e dell'ora del trasferimento, dell’autorità competente ricevente, della motivazione del trasferimento e dei dati personali trasferiti.

Art. 34
(Deroghe in situazioni specifiche)

  1. In mancanza o in caso di revoca, modifica o sospensione di una decisione di adeguatezza ai sensi dell'articolo 32 o di garanzie adeguate di cui all’articolo 33, il trasferimento o una categoria di trasferimenti di dati personali verso un Paese terzo o un'organizzazione internazionale sono consentiti se necessari per una delle seguenti finalità:
    1. per tutelare un interesse vitale dell'interessato o di un'altra persona;
    2. per salvaguardare i legittimi interessi dell'interessato quando lo preveda il diritto dello Stato membro che trasferisce i dati personali;
    3. per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un Paese terzo;
    4. in singoli casi, per le finalità di cui all'articolo 1, comma 2;
    5. in singoli casi, per accertare, esercitare o difendere un diritto in sede giudiziaria in relazione alle finalità di cui all'articolo 1, comma 2.
  2. Nei casi di cui al comma 1, lettere d) ed e), i dati personali non sono trasferiti se l'autorità competente che effettua il trasferimento valuta i diritti e le libertà fondamentali dell'interessato prevalenti rispetto all'interesse pubblico al trasferimento.
  3. Il trasferimento effettuato ai sensi del comma 1 deve essere documentato e, su richiesta, la documentazione deve essere messa a disposizione del Garante con l'indicazione della data e dell'ora del trasferimento, dell'autorità competente ricevente, della motivazione del trasferimento e dei dati personali trasferiti.

Art. 35
(Trasferimenti di dati personali a destinatari stabiliti in Paesi terzi)

  1. In deroga a quanto previsto dall’articolo 31, comma 1, lettera b), e fatti salvi eventuali accordi internazionali di cui al comma 2, le autorità competenti di cui all'articolo 2, comma 1, lettera g), numero 1), possono, in singoli e specifici casi previsti da norme di legge o di regolamento o dal diritto dell’Unione europea, trasferire dati personali direttamente a destinatari stabiliti in Paesi terzi se:
    1. il trasferimento è strettamente necessario per l’assolvimento di un compito previsto dal diritto dell'Unione europea o dall’ordinamento interno, per le finalità di cui all'articolo 1, comma 2;
    2. l'autorità competente che effettua il trasferimento valuta che i diritti e le libertà fondamentali dell'interessato non prevalgono sull'interesse pubblico che rende necessario il trasferimento;
    3.  l'autorità competente che effettua il trasferimento ritiene che il trasferimento a un’autorità per le finalità di cui all'articolo 1, comma 2, nel Paese terzo sia inefficace o inidoneo, in particolare in quanto non può essere effettuato tempestivamente;
    4. l'autorità competente ai fini di cui all'articolo 1, comma 2, nel Paese terzo è informata senza ingiustificato ritardo, salvo che ciò pregiudichi la finalità per cui il trasferimento è effettuato;
    5. l'autorità competente che effettua il trasferimento informa il destinatario della finalità specifica o delle finalità specifiche per le quali i dati personali devono essere trattati, a condizione che tale trattamento sia necessario.
  2. Per accordo internazionale di cui al comma 1 si intende qualsiasi accordo internazionale bilaterale o multilaterale in vigore tra gli Stati membri e Paesi terzi nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia.
  3. L’autorità competente informa il Garante dei trasferimenti previsti dal presente articolo.
  4. Il trasferimento effettuato ai sensi del comma 1 è documentato.

Art. 36
(Cooperazione internazionale per la protezione dei dati personali e accordi internazionali precedentemente conclusi)

  1. In relazione ai Paesi terzi e alle organizzazioni internazionali, sono adottate misure appropriate per le finalità di cui all’articolo 50 del regolamento UE.
  2. Restano in vigore, fino alla loro modifica, sostituzione o revoca, gli accordi internazionali relativi al trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali conclusi anteriormente al 6 maggio 2016 e che sono conformi al diritto dell’Unione europea applicabile a tale data.

CAPO V
TUTELA E SANZIONI AMMINISTRATIVE

Art. 37
(Autorità di controllo)

  1. Il Garante è l’autorità di controllo incaricata di vigilare sull’applicazione delle norme di cui al presente decreto, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento di dati personali e di agevolare la libera circolazione dei dati all'interno dell'Unione europea.
  2. Ai fini di cui al comma 1 sono attribuite al Garante le funzioni di cui all’articolo 154 del Codice, nonché le seguenti:
    1. promozione di una diffusa conoscenza e della consapevolezza circa i rischi, le norme, le garanzie e i diritti in relazione al trattamento;
    2. promozione della consapevolezza in capo ai titolari e responsabili del trattamento dell’importanza degli obblighi previsti dal presente decreto;
    3. espressione di pareri nei casi previsti dalla legge;
    4. rilascio, su richiesta dell’interessato, di informazioni in merito all'esercizio dei diritti previsti dal presente decreto e, se del caso, cooperazione, a tal fine, con le autorità di controllo di altri Stati membri;
    5. trattazione dei reclami proposti da un interessato, da un organismo, un'organizzazione o un'associazione ai sensi dell'articolo 40 e compimento delle indagini sull'oggetto del reclamo, informando il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un'altra autorità di controllo;
    6. supporto agli interessati nella proposizione dei reclami;
    7. accertamento della liceità del trattamento ai sensi dell'articolo 13 e informazione all'interessato entro un termine ragionevole dell'esito della verifica ai sensi del comma 3 di detto articolo, o dei motivi per cui non è stata effettuata;
    8. collaborazione, anche tramite scambi di informazioni, con le altre autorità di controllo e attività di assistenza reciproca, al fine di garantire l'applicazione e l'attuazione del presente decreto;
    9. verifica degli sviluppi tecnologici e sociali che presentano un interesse, se ed in quanto incidenti sulla protezione dei dati personali, in particolare l'evoluzione delle tecnologie dell'informazione e della comunicazione;
      l. prestazione di consulenza in merito ai trattamenti di cui all'articolo 24;
      m. contribuzione alle attività del comitato di cui all’articolo 68 del regolamento UE;
  3. Ai fini di cui al comma 1 sono attribuiti al Garante i seguenti poteri:
    1. svolgere indagini sull’applicazione del presente decreto, anche sulla base di informazioni ricevute da un'altra autorità di controllo o da un'altra autorità pubblica. Lo svolgimento delle indagini è disciplinato dalle disposizioni del Codice;
    2. ottenere, dal titolare del trattamento e dal responsabile del trattamento, l'accesso a tutti i dati personali oggetto del trattamento e a tutte le informazioni necessarie per l'adempimento dei suoi compiti;
    3. rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento in ordine alle possibili violazioni delle norme del presente decreto;
    4. ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente decreto, se del caso, con specifiche modalità ed entro un determinato termine, ordinando in particolare la rettifica o la cancellazione di dati personali o la limitazione del trattamento ai sensi dell'articolo 12;
    5. imporre un limitazione provvisoria o definitiva al trattamento, incluso il divieto e il blocco dello stesso;
    6. promuovere la segnalazione riservata di violazioni del presente decreto;
    7. denunciare i reati dei quali viene a conoscenza nell'esercizio o a causa delle funzioni;
    8. predisporre annualmente una relazione sull’attività svolta, da trasmettere al Parlamento e al Governo, ai sensi dell’articolo 154, comma 1, del Codice e da mettere a disposizione del pubblico, della Commissione europea e del comitato di cui all’articolo 68 del regolamento UE, in cui può figurare un elenco delle tipologie di violazioni notificate e di sanzioni imposte.
  4. I poteri di cui al comma 3 sono esercitati nei modi, nelle forme e con le garanzie previste dalla legge.
  5. Le funzioni e i poteri di cui ai commi 2 e 3 sono esercitati senza spese per l’interessato o per il responsabile della protezione dati. Il Garante non provvede in ordine alle richieste manifestamente infondate o inammissibili in quanto ripropongono, senza nuovi elementi, richieste già rigettate.
  6. Il Garante non è competente in ordine al controllo del rispetto delle norme del presente decreto, limitatamente ai trattamenti effettuati dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali, nonché di quelle giudiziarie del pubblico ministero.

Art. 38
(Assistenza reciproca)

  1. Il Garante coopera con la Commissione europea al fine di contribuire alla coerente applicazione del diritto dell’Unione in materia di protezione dei dati personali, scambia con le autorità di controllo degli altri Stati membri le informazioni utili e presta assistenza reciproca al fine di attuare e applicare il presente decreto in maniera coerente, e di cooperare efficacemente con loro. L'assistenza reciproca comprende le richieste di informazioni e le misure di controllo, quali le richieste di effettuare consultazioni, ispezioni e indagini.
  2. Il Garante adotta, con proprio provvedimento, le misure di cui all’articolo 61, paragrafo 2, del regolamento UE.
  3. Le richieste di assistenza sono conformi alle modalità di cui all’articolo 61, paragrafo 3, del regolamento UE.
  4. Il Garante non può rifiutare di dare seguito alla richiesta, salvo che sia incompetente o l'intervento richiesto violi il diritto interno o dell'Unione europea.
  5. Il Garante osserva le disposizioni di cui all’articolo 61, paragrafi 5, 6 e 7, del regolamento UE.

Art. 39
(Reclamo al Garante e ricorso giurisdizionale)

  1. Fermo quanto previsto dall’articolo 37, comma 6, l’interessato, se ritiene che il trattamento dei dati personali che lo riguardano violi le disposizioni del presente decreto, può proporre reclamo al Garante, con le modalità di cui agli articoli 142 e 143 del Codice.
  2. Il Garante informa l'interessato dello stato o dell'esito del reclamo, compresa la possibilità del ricorso giurisdizionale.
  3. Per l’inosservanza delle disposizioni del presente decreto in violazione dei suoi diritti, l’interessato può proporre ricorso giurisdizionale secondo quanto previsto e regolato dalla disciplina contenuta nella parte III, titolo I, capo II del Codice.

Art. 40
(Rappresentanza degli interessati)

  1. L’interessato può dare mandato a un ente del terzo settore soggetto alla disciplina del decreto legislativo 3 luglio 2017, n. 117, che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, al fine di esercitare per suo conto i diritti di cui all’articolo 39, ferme le disposizioni in materia di patrocinio previste dal codice di procedura civile.

Art. 41
(Diritto al risarcimento)

  1. il titolare o il responsabile del trattamento sono tenuti, a norma dell’articolo 82 del regolamento UE, al risarcimento del danno patrimoniale o non patrimoniale cagionato da un trattamento o da qualsiasi altro atto compiuti in violazione delle disposizioni del presente decreto.

Art. 42
(Sanzioni amministrative)

  1. Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario, la violazione delle disposizioni di cui all’articolo 3, comma 1, lettere a), b), d), e) ed f), all’articolo 4, commi 2 e 3, all’articolo 6, commi 3 e 4, all’articolo 7, all’articolo 8, è punita con la sanzione amministrativa del pagamento di una somma da 50.000 euro a 150.000 euro. La medesima sanzione amministrativa si applica al trasferimento dei dati personali verso un Paese terzo o un’organizzazione internazionale in assenza della decisione di adeguatezza della Commissione europea, salvo quanto previsto dagli articoli 33 e 34.
  2. Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario, è punita con la sanzione amministrativa del pagamento di una somma da 20.000 euro a 80.000 euro la violazione delle disposizioni di cui all’articolo 14 comma 2. Con la medesima sanzione è punita la violazione delle disposizioni di cui all’articolo 17, comma 2, all’articolo 18, commi 1, 2, 3 e 4, all’articolo 19, all’articolo 20, all’articolo 21, all’articolo 22, all’articolo 23, all’articolo 24, commi 1 e 4, all’articolo 26, all’articolo 27, all’articolo 28, commi 1 e 4, all’articolo 29, comma 2.
  3. Il procedimento per l’applicazione delle sanzioni è regolato dall’articolo 166 del Codice. Si applica altresì l’articolo 165 del Codice.

CAPO VI
ILLECITI PENALI

Art. 43
(Trattamento illecito di dati)

  1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall’articolo 5, comma 1, è punito, se dal fatto deriva nocumento, con la reclusione da sei mesi a un anno e sei mesi o, se la condotta comporta comunicazione o diffusione dei dati, con la reclusione da sei mesi a due anni.
  2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall’ articolo 7 o dall’articolo 8, comma 4, è punito, se dal fatto deriva nocumento, con la reclusione da  uno  a tre anni.

Art. 44
(Falsità in atti e dichiarazioni al Garante)

  1. Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante riguardante il trattamento dei dati di cui all’articolo 1, comma 2, o nel corso di accertamenti riguardanti i medesimi dati, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.

Art. 45
(Inosservanza di provvedimenti del Garante)

  1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell’articolo 143, comma 1, lettera c), del Codice, in un procedimento riguardante il trattamento dei dati di cui all’articolo 1, comma 2, è punito con la reclusione da tre mesi a due anni.

Art. 46
(Pene accessorie)

  1. La condanna per uno dei delitti previsti dal presente decreto importa la pubblicazione della sentenza, ai sensi dell’articolo 36, secondo e terzo comma, del codice penale.


CAPO VII
DISPOSIZIONI INTEGRATIVE SUI TRATTAMENTI DELLE FORZE DI POLIZIA

Art. 47
(Modalità di trattamento e flussi di dati da parte delle Forze di polizia)

  1. Nei casi in cui le autorità di pubblica sicurezza o le Forze di polizia possono acquisire in conformità alle vigenti disposizioni di legge o di regolamento dati, informazioni, atti e documenti da altri soggetti, l'acquisizione può essere effettuata anche per via telematica. A tal fine gli organi o uffici interessati possono avvalersi di convenzioni volte ad agevolare la consultazione da parte dei medesimi organi o uffici, mediante reti di comunicazione elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle pertinenti disposizioni e dei principi di cui agli articoli da 3 a 8. Le convenzioni–tipo sono adottate dal Ministero dell'interno, su conforme parere del Garante, e stabiliscono le modalità dei collegamenti e degli accessi anche al fine di assicurare l'accesso selettivo ai soli dati necessari al perseguimento delle finalità di cui all'articolo 1, comma 2.
  2. I dati trattati dalle Forze di polizia per le finalità di cui all’articolo 1, comma 2, sono conservati separatamente da quelli registrati per finalità amministrative che non richiedono il loro utilizzo.
  3. Fermo restando quanto previsto dagli articoli da 2 a 7, il Centro elaborazione dati del Dipartimento della pubblica sicurezza assicura l'aggiornamento periodico, la proporzionalità, la pertinenza e la non eccedenza dei dati personali trattati anche attraverso interrogazioni autorizzate del casellario giudiziale e del casellario dei carichi pendenti del Ministero della giustizia di cui al decreto del Presidente della Repubblica 14 novembre 2002, n. 313, o di altre banche di dati delle Forze di polizia, necessarie per le finalità di cui all'articolo 1, comma 1.
  4. Gli organi, uffici e comandi di polizia verificano periodicamente i requisiti di cui agli articoli da 2 a 7 in riferimento ai dati trattati anche senza l'ausilio di strumenti elettronici, e provvedono al loro aggiornamento anche sulla base delle procedure adottate dal Centro elaborazione dati ai sensi del comma 3, o, per i trattamenti effettuati senza l'ausilio di strumenti elettronici, mediante annotazioni o integrazioni dei documenti che li contengono.

Art. 48
(Tutela dell'interessato)

  1. Restano ferme le disposizioni di cui dall’articolo 10, commi 3, 4 e 5, della legge 1° aprile 1981, n. 121, e successive modificazioni, concernenti i controlli sul Centro elaborazione dati del Dipartimento della pubblica sicurezza.
  2. Le disposizioni di cui all’articolo 10, commi 3, 4 e 5, della legge n. 121 del 1981, si applicano, oltre ai dati destinati a confluire nel Centro elaborazione dati di cui al comma 1, ai dati trattati con l’ausilio di strumenti elettronici da organi, uffici o comandi delle Forze di polizia di cui all’articolo 16 della predetta legge n. 121 del 1981.

CAPO VIII
DISPOSIZIONI DI COORDINAMENTO E ABROGAZIONI

Art. 49
(Abrogazioni e disposizioni di coordinamento)

  1. Gli articoli 53, 54, 55 e 56 del Codice sono abrogati.
  2. L’articolo 57 del Codice è abrogato decorso un anno dalla data di entrata in vigore del presente decreto.
  3. I decreti adottati in attuazione degli articoli 53 e 57 del Codice continuano ad applicarsi fino all’adozione di diversa disciplina ai sensi degli articoli 5, comma 2, e 9, comma 5.

Art. 50
(Clausola di invarianza finanziaria)

  1. Dall'attuazione delle disposizioni di cui al presente decreto non devono derivare nuovi o maggiori oneri per la finanza pubblica. Le amministrazioni interessate provvedono agli adempimenti previsti dal presente decreto con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.

Il presente decreto, munito del sigillo dello Stato, sarà inserito nella raccolta ufficiale degli atti normativi della Repubblica italiana. E’ fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

 

Relazione illustrativa

Il presente schema di decreto legislativo è finalizzato a recepire nell’ordinamento interno la “direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio”.

Il provvedimento, redatto nell’esercizio della delega conferita al Governo dagli articoli 1 e 11 della legge 25 ottobre 2017, n. 163, recante “Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2016-2017”, ha ad oggetto la disciplina del trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche, nonché del trattamento non automatizzato di dati personali contenuti in un archivio, o ad esso destinati, nel settore penale.

Con riguardo alla tecnica redazionale, si è optato per la predisposizione di un unico corpo normativo, destinato a regolamentare il trattamento dei dati personali per finalità di prevenzione e repressione di reati, esecuzione di sanzioni penali, salvaguardia contro le minacce alla sicurezza pubblica e prevenzione delle stesse, da parte sia dell’autorità giudiziaria, sia delle forze di polizia.

In tal modo si propone di adottare un testo unitario, dedicato alla complessiva disciplina del trattamento di dati personali in ambito penale, con l’obiettivo di creare un vero e proprio statuto, contenente principi generali di regolamentazione della materia, rivolti anche al legislatore futuro, e disposizioni di dettaglio, nei vari settori in cui si può articolare il trattamento dei dati personali.

In sintonia con la direttiva che si va ad attuare nell’ordinamento interno, si è inteso anzitutto fornire una regolamentazione organica del trattamento dei dati personali delle persone fisiche per fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, la quale supera e sostituisce in gran parte quella attualmente contemplata nei titoli primo e secondo della parte seconda del Codice sul trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, dedicate a specifici settori, in particolare quello giudiziario e quello dei trattamenti da parte delle forze di polizia.

La scelta è stata, dunque, di ridisegnare la regolamentazione del trattamento dei dati personali con riguardo alla sua finalità, piuttosto che in relazione all’autorità competente al trattamento, in ogni caso assicurando le distinzioni rese necessarie dalle diverse caratteristiche e dalla differente natura delle autorità interessate, giudiziaria e di polizia.

Con specifico riferimento all’ambito giudiziario, attualmente trovano applicazione gli articoli da 46 a 52 del codice della privacy, dedicate ai trattamenti svolti nell’esercizio delle funzioni sia civili che penali, ivi compresi i trattamenti in materia di status giuridico ed economico del personale della magistratura che, seppure non direttamente correlati alla trattazione giudiziaria di affari e di controversie, abbiano una diretta incidenza sulla funzione giurisdizionale, nonché quelli svolti nell’ambito di attività ispettiva su uffici giudiziari.

Per quanto concerne, invece, i trattamenti effettuati dall’autorità di pubblica sicurezza per fini di prevenzione, accertamento o repressione dei reati o di tutela della sicurezza pubblica, la disciplina dettata dalla direttiva assorbe totalmente quella oggi prevista dagli articoli da 53 a 57 del codice della privacy, che vengono conseguentemente abrogati.

Rimane, invece, del tutto compatibile con i principi enunciati nella direttiva 2016/680 quanto stabilito dall’articolo 7, comma 3, del decreto legge 18 febbraio 2015, n. 7, circa l’individuazione, con decreto adottato dal Ministro dell'interno, dei trattamenti non occasionali effettuati per fini di polizia, previsti da norme legislative o regolamentari. Tale elencazione, infatti, insieme al registro delle operazioni di trattamento, è volta a garantire una maggiore conoscibilità, prima di tutto ai cittadini, dei trattamenti eseguiti per fini di polizia, oggi previsti da una molteplicità di disposizioni, spesso anche risalenti nel tempo.

Al fine di conferire alla disciplina la necessaria organicità e sistematicità, lo schema di decreto è stato suddiviso in otto Capi, dedicati a specifici aspetti della materia, che rinviano al Regolamento (UE) 2016/679 nelle parti il cui contenuto risulta coincidente con la direttiva.

Il Capo I indica i principi di carattere generale, i presupposti e le condizioni di liceità del trattamento.

Particolarmente significativa risulta, in tale ambito, la disposizione in tema di conservazione, la quale prescrive che i dati siano conservati per il tempo necessario al conseguimento delle finalità per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessità di conservazione e cancellati o anonimizzati una volta decorso tale termine. L’individuazione dei termini di conservazione per i trattamenti non occasionali, ove non già stabiliti da disposizioni di legge o di regolamento, viene demandata a un decreto del Presidente della Repubblica, ai sensi dell’articolo 17, comma 1, della legge 23 agosto 1988, n. 400.

Merita inoltre di essere segnalata la disposizione in tema di differenziazione tra categorie di dati (fondati su fatti ovvero su valutazioni) e di interessati, in ragione della loro specifica posizione processuale, atteso il differenziato regime applicabile agli interessati anche in ragione di tali specifici elementi.

In ordine ai presupposti di liceità del trattamento, conformemente al considerando n. 33 della direttiva, si è indicata quale fonte normativa, oltre a quella legislativa, anche quella regolamentare, più adatta a prevedere specifici trattamenti, pure di dati sensibili. Si è riservata, invece, alla sola fonte legislativa la disciplina dei processi decisionali automatizzati, compresa la profilazione, considerati i rischi insiti in tale tipologia di trattamenti per le libertà e i diritti dell’interessato.

Il Capo II, intitolato ai diritti dell’interessato, recepisce le norme di cui al capo terzo della direttiva, prevedendo che di dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, l’esercizio di tali diritti (ricezione di informazioni, accesso, rettifica, cancellazione, limitazione del trattamento) è regolato dalle disposizioni normative che disciplinano tali atti e procedimenti.

In ambito giudiziario, la tutela degli interessati è quindi assicurata, per le parti, dall’ampia gamma di garanzie che riconoscono i diritti di difesa all’interno del procedimento penale, anche con riguardo ai dati personali necessariamente oggetto di trattamento; analoghe garanzie vengono assicurate ai  terzi attraverso la previsione del comma 3 dell’articolo 14 dello schema, che a sua volta richiama l’articolo 116 c.p.p., in punto di accesso, e la disciplina sulla correzione dell’errore materiale di cui all’articolo 130 c.p.p.
In tal modo si assicura la possibilità di limitare l’esercizio dei diritti dell’interessato, conformemente alle esigenze di prevenzione, di indagine e processuali.  

Il Capo III ha ad oggetto i profili generali riguardanti il titolare e il responsabile del trattamento, nonché la descrizione di alcuni dei principali obblighi, articolati con riferimento agli adempimenti funzionali alla sicurezza e alla nomina del responsabile della protezione dati.

Vengono poi disciplinati obblighi in materia di sicurezza del trattamento, con particolare riguardo alla notifica della violazione dei dati personali e al responsabile della protezione dati, la cui nomina è stata prevista come obbligatoria anche per l’autorità giudiziaria, in ragione dell’ausilio che tale figura può fornire nella gestione di trattamenti complessi e spesso inerenti dati sensibili, quali appunto quelli svolti in sede giurisdizionale.

Il Capo IV si occupa dei trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, mentre il quinto reca, oltre alle abrogazioni, alcune norme particolarmente significative, tra cui l’esclusione del potere di controllo del Garante in ordine al trattamento svolto dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali, comprese quelle del pubblico ministero, nel rispetto di quanto disposto dall’articolo 45, paragrafo 2 della direttiva.

Il Capo V è dedicato alla tutela e alle sanzioni amministrative, mentre il Capo VI individua le condotte costituenti illecito penale, selezionate in relazione alla gravità e capacità offensiva dei diritti dell’interessato.

Il Capo VII trasferisce nello schema di decreto alcune disposizioni già presenti nel codice della privacy in materia di dati di polizia.

Il Capo VIII contiene le disposizioni di coordinamento e le abrogazioni.

Quanto al contenuto dello schema di decreto legislativo, esso si compone di cinquantuno articoli, che di seguito si illustrano.

Il Capo I contiene le «Disposizioni generali » e, in otto articoli, recepisce le disposizioni dei primi due Capi della Direttiva, dedicate alle disposizioni generali e ai principi.

L’articolo 1, rubricato «Oggetto e ambito di applicazione», individua i contenuti e l’ambito di applicazione del decreto legislativo. L’atto normativo attua nell’ordinamento interno le disposizioni della direttiva 27 aprile 2016, n. 2016/680/UE del Parlamento europeo e del Consiglio, in materia di trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. Al comma 2 l’ambito di applicazione viene circoscritto, in aderenza alle disposizioni di cui agli articoli 1 e 2 della direttiva, al trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche e al trattamento non automatizzato di dati personali delle persone fisiche contenuti in un archivio o ad esso destinati, svolti dalle autorità competenti per finalità sopra descritte. Restano pertanto esclusi dall’applicazione del decreto, come reso chiaro dalla definizione di «archivio» contenuta nel successivo art. 2 e dal considerando n. 18 della direttiva, i trattamenti di dati delle persone giuridiche e quelli di dati non contenuti in archivi, tra i quali i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, con le rispettive copertine. Sono infine estranei all’ambito applicativo del decreto, come specificato al comma 3, i trattamenti effettuati nello svolgimento di attività concernenti la sicurezza nazionale o rientranti nell’ambito di applicazione del titolo V capo 2 del trattato sull’Unione europea (in materia di politica estera e sicurezza comune), nonché tutte le attività non rientranti nell’ambito di applicazione del diritto dell'Unione europea. Il richiamo, tra le esclusioni oggettive, ai trattamenti effettuati nello svolgimento di attività concernenti la sicurezza nazionale o rientranti nell’ambito di applicazione del titolo V capo 2 del trattato sull’Unione europea riproduce il considerando n. 14, maggiormente esplicativo, rispetto alla formulazione dell’articolo 2 della direttiva, dell’ambito di applicazione della direttiva.

L’articolo 2, rubricato «Definizioni» contiene l’esplicazione del lessico utilizzato nel testo. Alcune definizioni si segnalano per la loro rilevanza ai fini dell’individuazione dell’oggetto e delle condizioni di liceità del trattamento, nonché della portata dei diritti e degli obblighi descritti ai capi II e III. In particolare, si evidenziano le nozioni di «trattamento» (inteso quale operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati, applicate a dati personali o insiemi di dati personali), «autorità competente» (caratterizzata funzionalmente dall’esercizio di pubblici poteri in materia di prevenzione e repressione di reati, di esecuzione di sanzioni penali o di salvaguardia contro le minacce alla sicurezza pubblica), «profilazione» (forma di trattamento automatizzato di dati personali oggetto di peculiari cautele, considerate le sue potenzialità discriminatorie) «titolare del trattamento» (l'autorità competente che determina le finalità e i mezzi del trattamento di dati personali).

er la centralità che ancora rivestono, in relazione al controllo dei trattamenti e alla tutela amministrativa avverso i trattamenti effettuati dalle autorità di pubblica sicurezza e dalle forze di polizia, si sono definiti in questa sede anche «il Garante» (quale il Garante di cui all’articolo 153 del decreto legislativo 30 giugno 2003, n. 196, identificato quale autorità di controllo indipendente, ai sensi dell'articolo 41 della Direttiva) e il «Codice» (con riferimento al Codice in materia di protezione dei dati personali, adottato con il decreto legislativo 30 giugno 2003, n. 196).

L’articolo 3 enuncia i «Principi applicabili al trattamento di dati personali ». Il comma 1 riproduce i criteri di trattamento analiticamente previsti dall’art. 4 della Direttiva, imponendo liceità, correttezza e trasparenza del trattamento (lett. a); effettuazione della raccolta dei dati per finalità determinate, espresse e legittime e compatibilità del trattamento con le stesse (lett. b); adeguatezza, pertinenza e continenza dei trattamenti in rapporto alle finalità predette (lett. c); esattezza e aggiornamento dei dati (lett. d); temporaneità della conservazione dei dati o della identificabilità dell’interessato (lett. e); sicurezza e protezione dei dati (lett. f). Il senso e la portata dei principi sono chiariti nei considerando nn. 26 e 29 della Direttiva, in cui si spiega che qualsiasi trattamento di dati personali dovrebbe essere lecito, corretto e trasparente nei confronti della persona fisica interessata e perseguire unicamente fini specifici previsti dalla legge; che le finalità del trattamento dovrebbero essere esplicite, legittime e precisate al momento della raccolta; che i dati personali dovrebbero essere adeguati e pertinenti alle finalità del trattamento; che la raccolta dei dati personali non dovrebbe essere eccessiva e che i dati dovrebbero essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; che il trattamento di dati personali dovrebbe ammettersi solo quando la sua finalità non è ragionevolmente conseguibile con altri mezzi e che, onde garantire che i dati non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. Utili indicazioni si rinvengono anche a chiarimento del requisito della esattezza, da considerare in relazione alla natura e alle finalità del trattamento (sì che, come esemplificato nel considerando 30, nel caso di una “dichiarazione” resa in un procedimento giudiziario, basata su percezione soggettiva, tale requisito non può essere riferito al contenuto della dichiarazione, ma al semplice fatto che è stata rilasciata), e della liceità (considerando n. 35, secondo cui, per essere lecito, il trattamento dei dati personali dovrebbe essere necessario per l'esecuzione di un compito svolto nell'interesse pubblico da un'autorità competente ai fini di prevenzione e repressione dei reati, esecuzione di sanzioni penali, salvaguardia contro e prevenzione di minacce alla sicurezza pubblica). Il comma 2 contempla la possibilità di trattamento dei dati per finalità diverse da quelle per cui sono stati raccolti, pur sempre rientranti fra quelle dell’art. 1 comma 2 e lo consente solo se autorizzato dalle norme dell’ordinamento interno o dell’Unione europea e se necessario e proporzionato alla diversa finalità. Al comma 3 viene precisato che il trattamento per le finalità di cui all’art. 1 comma 2 può comprendere anche l’archiviazione nel pubblico interesse o per finalità scientifiche, storiche o statistiche, nel rispetto dei diritti e delle libertà degli interessati. Infine, al comma 4, il titolare del trattamento viene reso espressamente responsabile del rispetto dei principi indicati ai commi 1, 2 e 3. Si è ritenuto superfluo riprodurre la previsione ulteriore contenuta nella corrispondente norma della direttiva (art. 5 comma 4), secondo cui il titolare del trattamento non solo è “competente” per il rispetto dei principi applicabili al trattamento, ma è altresì “in grado di provarlo”, poiché nell’ordinamento interno tale onere è implicito nell’attribuzione stessa della responsabilità.

L’articolo 4, sotto la rubrica «Conservazione e verifica della qualità dei dati, distinzione tra categorie di interessati e di dati», detta prescrizioni in tema di catalogazione, conservazione e trasmissione dei dati. Il comma 1 dispone che il titolare del trattamento effettui, se del caso e per quanto possibile, una chiara distinzione tra i dati personali relativi a diverse categorie di interessati. Per consentire catalogazioni omogenee, si è deciso di circoscrivere la distinzione alle categorie di interessati “previste dalla legge”, facendo riferimento, cioè, alle diverse vesti e alle diverse denominazioni che, nell’ordinamento interno, le persone fisiche assumono nell’ambito di una attività di indagine o di un procedimento penale o di prevenzione. Per garantire una maggiore aderenza al testo dell’art. 6 della direttiva, in accoglimento di una delle osservazioni formulate dalla Commissione Giustizia del Senato si sono esplicitate alcune categorie di interessati cui applicare la distinzione, con una formulazione che, comunque, non esaurisce il novero delle possibili catalogazioni. L’utilità della disposizione è spiegata nel considerando 31 della Direttiva, con riferimento al trattamento dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, nel caso in cui siano trattati dati personali relativi a diverse categorie di interessati (quali indiziati, condannati, persone offese, testimoni, persone informate dei fatti, persone in contatto o collegate a indiziati o condannati). I commi 2 e 3 pongono a carico dell’autorità competente alcuni doveri per il caso di trasmissione di dati personali. Il comma 2 dispone che i dati personali inesatti, incompleti o non più aggiornati non siano trasmessi o resi disponibili. Al fine di garantire la protezione delle persone fisiche, l'esattezza, la completezza dei dati personali o la misura in cui essi sono aggiornati e l'affidabilità dei dati personali trasmessi o resi disponibili, è previsto che le autorità competenti, nella misura del possibile, verifichino la qualità dei dati prima della trasmissione o della messa a disposizione e aggiungano le informazioni necessarie in tutte le trasmissioni di dati personali. Nel caso di trasmissione illecita di dati o di inesattezza dei dati trasmessi, il comma 3 dispone che il destinatario deve esserne informato senza ritardo. In tal caso, i dati personali devono essere rettificati o cancellati o il trattamento deve essere limitato a norma dell'articolo 12.

L’articolo 5 pone le condizioni di «Liceità del trattamento», individuate con riferimento alle finalità (che debbono essere quelle di cui all'articolo 1, comma 2) e al fondamento giuridico del trattamento stesso. Il comma 1 prevede, a questo riguardo, che i dati personali da trattare e le finalità del trattamento debbano essere previsti da norme dell'Unione europea o dell’ordinamento interno, di natura legislativa o regolamentare. Particolarmente rilevante è la norma di cui al comma 2, con cui sono demandati a un decreto regolamentare, ai sensi dell’art. 17, comma 1, della legge 23 agosto 1988, n. 400, l’individuazione dei trattamenti o le categorie di trattamenti di cui al comma 1, i termini e le modalità di conservazione dei dati, i soggetti legittimati ad accedervi, le condizioni di accesso, le modalità di consultazione, nonché le modalità e le condizioni per l’esercizio dei diritti dell’interessato previsti ai successivi articoli 9, 10, 11 e 13. La norma fa salvi i casi in cui detti elementi siano già stabiliti da disposizioni di legge o di regolamento. In accoglimento di una delle osservazioni formulate dalla Commissione Giustizia del Senato, al fine di ancorare la fissazione dei termini di conservazione a criteri sostanziali e di declinare, anche rispetto alla conservazione, i criteri di proporzionalità e differenziazione del trattamento in ragione delle categorie di dati e di interessati,  si è ritenuto necessario specificare che detti termini debbono essere determinati in conformità ai criteri indicati all’articolo 3, comma 1, tenendo conto delle diverse categorie di interessati e delle finalità perseguite dal trattamento.

L’articolo 6 detta «Condizioni di trattamento specifiche», per il caso in cui il diritto dell’Unione europea o la legge consentano il trattamento per finalità diverse da quelle di cui all’articolo 1 comma 2 per le quali i dati siano stati raccolti. Tali trattamenti restano assoggettati al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (Regolamento generale sulla protezione dei dati), salvo che siano effettuati nell'ambito di attività alle quali non si applica il diritto dell'Unione europea o nei casi di cui all’articolo 58 del Codice (ossia nell’ambito di attività dei servizi di informazione e di sicurezza o avente ad oggetto dati coperti dal segreto di Stato o nell’ambito di attività svolta da soggetti pubblici per finalità di difesa o sicurezza dello Stato). Il comma 2 della norma prevede che il Regolamento UE si applica, con le stesse esclusioni di cui all’articolo 58 del Codice, anche ai trattamenti eseguiti per finalità diverse da quelle di cui all'articolo 1, comma 2, comprese le attività di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per finalità statistiche. Il comma 3 dispone che, nel caso di trasmissione dei dati, l'autorità competente informi il destinatario dell’eventuale esistenza di condizioni specifiche di trattamento e dell’obbligo di rispettarle. Al comma 4, infine, è previsto che le condizioni applicate ai destinatari dall’autorità competente che trasmette i dati ai destinatari di altri Stati membri o ad agenzie, uffici e organi istituiti a norma del titolo V, capi 4 e 5, TFUE siano le stesse condizioni applicabili alle trasmissioni di dati all'interno dello Stato.

L’articolo 7, sotto la rubrica « Trattamento di categorie particolari di dati personali», appronta una speciale protezione ai dati personali di cui all’articolo 9 del Regolamento UE. Tali dati, come spiegato nel considerando n. 37, “per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali”. Per tale ragione, il trattamento è consentito solo se strettamente necessario (come suggerito in una delle osservazioni formulate dalla Commissione Giustizia del Senato, in stretta aderenza al testo dell’art. 10 della direttiva),  se assistito da garanzie adeguate per i diritti e le libertà dell'interessato e solo se specificamente previsto dal diritto dell’Unione europea o da legge o regolamento, ovvero, ferme le garanzie dei diritti e delle libertà, se necessario per salvaguardare un interesse vitale dell'interessato o di un’altra persona fisica o se ha ad oggetto dati resi manifestamente pubblici dall'interessato. A migliore esplicazione delle cautele che devono assistere il trattamento in questi casi, il considerando n. 37 aggiunge che “garanzie adeguate per i diritti e le libertà dell'interessato potrebbero comprendere la possibilità di raccogliere tali dati unicamente in connessione con altri dati relativi alla persona fisica interessata, la possibilità di provvedere adeguatamente alla sicurezza dei dati raccolti, norme più severe riguardo all'accesso ai dati da parte del personale dell'autorità competente e il divieto di trasmissione di tali dati”.

L’articolo 8, rubricato «Processo decisionale automatizzato relativo alle persone fisiche», vieta le decisioni basate unicamente su un trattamento automatizzato, compresa la profilazione, che producano effetti negativi nei confronti sull’interessato, salvo che siano autorizzate dal diritto dell'Unione europea o da specifiche disposizioni di legge. In ogni caso, a norma del comma 2, tale trattamento deve essere subordinato per legge a garanzie adeguate e deve essere assicurato all’interessato il diritto di ottenere l'intervento umano. Nel considerando 38 si precisa che tra le garanzie adeguate dovrebbe essere compreso “il rilascio di specifiche informazioni all'interessato e il diritto di ottenere l'intervento umano, in particolare di esprimere la propria opinione, di ottenere una spiegazione della decisione raggiunta dopo tale valutazione e di impugnare la decisione”. Nel comma 3 è ulteriormente innalzato il livello di tutela per il caso di decisioni automatizzate basate su dati sensibili, ammesse esclusivamente se sono in vigore misure adeguate a salvaguardia dei diritti, delle libertà e dei legittimi interessi dell'interessato. Viene infine vietata, al comma 4, la profilazione finalizzata alla discriminazione di persone fisiche sulla base di dati personali sensibili, fermo il divieto di cui all’articolo 21 della Carta dei diritti fondamentali dell’Unione europea.

Il Capo II -  intitolato ai diritti dell’interessato- recepisce le norme di cui al Capo III della direttiva riconoscendo all’interessato taluni specifici diritti in relazione ai trattamenti in esame e disciplinandone condizioni, modalità di esercizio e limiti, a fronte di precisi obblighi (in particolare informativi) del titolare.

In particolare, l’articolo 9 sancisce, in capo al titolare del trattamento, l’obbligo di adottare misure adeguate a fornire all’interessato le informazioni necessarie sul trattamento (specificamente disciplinate all’articolo 10), ad agevolare l’esercizio dei diritti riconosciuti all’interessato medesimo, nonché a fornire riscontro alla richiesta pervenuta per iscritto e senza ingiustificato ritardo.

Il comma 5 dell’articolo 9 demanda, infine, a un decreto di natura non regolamentare (adottato dal Ministro competente) l’individuazione - ove necessario anche per categorie - dei trattamenti non occasionali effettuati per fini di prevenzione e repressione, sulla base di previsioni legislative e regolamentari, con l’indicazione del relativo titolare. Tale decreto, dal contenuto essenzialmente ricognitivo, mira a garantire, soprattutto ai cittadini, maggiore certezza in ordine alle tipologie di trattamenti ai quali i propri dati personali possano essere soggetti e ai titolari ai quali rivolgersi per l’esercizio dei diritti. Si tratta di una previsione particolarmente importante, soprattutto con riferimento a settori (si pensi, in particolare, a quello della pubblica sicurezza), nei quali la numerosità dei trattamenti e la molteplicità di fonti normative stratificatesi nel tempo rischiano di ostacolare l’esercizio dei diritti da parte dell’interessato.

L’articolo 10 disciplina il contenuto delle informazioni che il titolare del trattamento è tenuto a rendere all’interessato. Al primo comma sono previsti i contenuti informativi minimi, riguardanti l’identificazione del titolare e le finalità del trattamento, i diritti azionabili e le modalità di reclamo. Tali informazioni possono essere messe a disposizione anche attraverso il sito internet del titolare del trattamento. Al secondo comma sono invece elencate una serie di informazioni ulteriori che il titolare del trattamento deve fornire quando previsto da disposizioni di legge di regolamento. La distinzione rileva poiché solo per questa seconda categoria di informazioni è possibile una limitazione dei diritti dell’interessato, nei casi indicati dall’articolo 14, comma 2. In accoglimento delle osservazioni formulate dalla Commissione Giustizia del Senato, con riferimento alla informazione in ordine ai tempi di conservazione dei dati previsti dal comma 2, lettera b), si è chiarito (tramite l’inserimento delle parole “se non è possibile”) che l’ostensione dei criteri per la determinazione del periodo di conservazione è subordinata all’impossibilità di comunicare i termini stessi di conservazione, individuati come tali e non per relationem. Sempre in accoglimento delle osservazioni della Commissione parlamentare, si è specificato, alla lettera d) del comma 2, che ulteriori informazioni ritenute utili all’esercizio dei diritti vengono fornite, in particolare, nel caso in cui i dati personali siano stati raccolti all’insaputa dell’interessato.

L’articolo 11 disciplina il diritto di accesso dell’interessato ai dati che lo riguardano, nonché a specifiche informazioni caratterizzanti il trattamento (finalità, titolo giuridico, categorie di dati trattati, destinatari, periodo di conservazione). Si precisa peraltro che ogni diniego o limitazione dell’accesso, alle condizioni previste dall’articolo 14, deve essere motivato e comunicato per iscritto all’interessato, il quale deve altresì informato del diritto di proporre reclamo dinanzi Garante o di proporre ricorso giurisdizionale. In accoglimento delle osservazioni formulate dalla Commissione Giustizia del Senato, analogamente a quanto precisato sub articolo 10, si è si è chiarito (tramite l’inserimento delle parole “se non è possibile” al comma 1, lett. d) che l’ostensione dei criteri per la determinazione del periodo di conservazione è subordinata all’impossibilità di comunicare i termini stessi di conservazione.

L’articolo 12 riconosce all’interessato il diritto di ottenere la rettifica dei dati inesatti che lo riguardano, l’integrazione dei dati incompleti, la cancellazione di quelli trattati illegittimamente, nonché la limitazione del trattamento rispetto a dati la cui esattezza, contestata dall’interessato, non possa essere accertata o comunque nei casi nei quali non possa disporsi la cancellazione per esigenze probatorie. Anche in questo caso, sono riconosciuti all’interessato il diritto di informazione per iscritto in ordine ai motivi della decisione che limita i suoi diritti e alle modalità di tutela mediante reclamo o ricorso giurisdizionale.

L’articolo 13 consente all’interessato, al di fuori del caso di trattamento effettuato dell’autorità giudiziaria, di esercitare i suoi diritti tramite il Garante.

L’articolo 14 disciplina le limitazioni dell’esercizio dei diritti dell’interessato con riguardo a due fattispecie peculiari.

La prima, delineata dal comma 1, prevede che relativamente ai dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, i diritti dell’interessato di cui agli articoli 10, 11 e 12 siano esercitati conformemente alle norme di legge o di regolamento che disciplinano tali atti o procedimenti. La norma si avvale della specifica possibilità riconosciuta, in tal senso, agli Stati membri dall’articolo 18 della direttiva, al fine di modulare le esigenze di tutela dei diritti dell’interessato sulla base delle peculiarità proprie dell’attività di prevenzione e repressione dei reati.

Al fine consentire il pieno esercizio dei predetti diritti in ambito giudiziario, si prevede che qualunque interessato, durante il procedimento penale o dopo la sua definizione, possa chiedere, con le modalità di cui all’articolo 116 del codice di procedura penale, la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano. Il giudice in tal caso procede alle correzioni necessarie con le forme dell’articolo 130 del codice di procedura penale.

Il comma 2  dell’articolo 14 prevede la possibilità di ritardare, limitare o escludere l’esercizio dei diritti di informazione, accesso, rettifica o cancellazione o limitazione del trattamento, ovvero l’adempimento dell’obbligo del titolare del trattamento di fornire le informazioni aggiuntive di cui all’articolo 10 comma 2, nella misura e per il tempo necessari a salvaguardare il buon esito dell’attività di prevenzione e repressione dei reati, ovvero le esigenze di tutela della sicurezza pubblica, della sicurezza nazionale, dei diritti delle libertà altrui. In ogni caso la limitazione deve essere prevista con disposizione di legge o di regolamento adottato ai sensi dell’articolo 5, comma 2 e deve tenere conto dei diritti fondamentali e dei legittimi interessi della persona i cui dati sono trattati.

Il Capo III – intitolato al titolare e al responsabile del trattamento – contiene le disposizioni sugli adempimenti ai quali tali figure sono tenute e si suddivide al suo interno- come nella direttiva- in tre sezioni: la prima concernente gli obblighi generali (artt. 15-24), la seconda la sicurezza dei dati personali (artt.25-27), la terza il responsabile della protezione dati (artt. 28-30).

L’articolo 15 sancisce, in capo al titolare del trattamento, l’obbligo generale di adozione (nonché di riesame ed aggiornamento, ove necessario) di misure tecniche e organizzative adeguate per garantire la conformità del trattamento alla disciplina dettata dal decreto stesso.

L’articolo 16 sancisce, in capo al titolare del trattamento, l’obbligo generale di adozione di misure per la protezione dei dati fin dalla progettazione e per impostazione predefinita, volte a integrare nel trattamento le necessarie garanzie a tutela dei diritti degli interessati.

L’articolo 17 disciplina la contitolarità del trattamento, imponendo ai contitolari di concordare con modalità trasparenti gli ambiti delle rispettive responsabilità e di designare il punto di contatto cui possano rivolgersi gli interessati, i quali possono tuttavia, indipendentemente da tale accordo, esercitare i propri diritti nei confronti di ciascun titolare.

L’articolo 18 concerne il responsabile del trattamento, che come nel Regolamento generale per la protezione dei dati personali assume una connotazione per molti aspetti diversa da quella oggi prevista dal d.lgs. 30 giugno 2003, n. 196. In particolare, l’effettuazione, per conto del titolare, di un trattamento è affidata al responsabile (che garantisca misure tecniche e organizzative adeguate) da un contratto o altro atto giuridico, redatto in forma scritta, che disciplini le caratteristiche essenziali del trattamento e gli obblighi generali del responsabile. Si precisa peraltro che qualora il responsabile, in violazione della disciplina dettata dal decreto, determini motu proprio finalità e mezzi del trattamento, se ne considera titolare, con tutto ciò che ne consegue in termini di obblighi e responsabilità.

L’articolo 19 disciplina l’ipotesi in cui il trattamento sia svolto sotto l’autorità del titolare o del responsabile, prevedendo che in tal caso l’agente possa trattare i dati ai quali abbia accesso solo conformemente alle istruzioni ricevute, salvo diversa previsione normativa.

L’articolo 20 sancisce, in capo al titolare del trattamento, l’obbligo di tenere, in forma scritta, un registro delle categorie delle attività di trattamento effettuate sotto la propria responsabilità, dal contenuto specificamente disciplinato secondo quanto previsto dal comma 1. Analogo obbligo (sia pure con contenuti del registro diversi) è sancito, al comma 2, in capo al responsabile del trattamento, relativamente alle categorie di attività di trattamento svolte per conto del titolare.

L’articolo 21 impone l’obbligo di tracciabilità (con registrazione in appositi file di log) delle operazioni essenziali svolte sui dati personali in sistemi di trattamento automatizzati, in modo tale da poter consentire la verifica della liceità del trattamento nell’ambito di controlli interni o di procedimenti penali. In accoglimento di una delle osservazioni della Commissione Giustizia del Senato, anche per la conservazione dei file di log si è fatto rinvio ai termini stabiliti con il decreto di cui all'articolo 5, comma 2.

L’articolo 22 sancisce, in capo al titolare e al responsabile del trattamento, l’obbligo di cooperazione, su richiesta, con il Garante, nell’esercizio delle sue funzioni.

L’articolo 23 impone al titolare di effettuare una valutazione d’impatto sulla protezione dei dati (con il contenuto disciplinato al comma 2), prima di procedere al trattamento, qualora esso – in ragione della sua natura, delle nuove tecnologie utilizzate, dell’ambito di applicazione, del contesto o delle finalità- presenti un rischio elevato per i diritti e le libertà (non solo, dunque, per il diritto alla protezione dei dati) delle persone.  

L’articolo 24 prevede l’obbligo di consultazione preventiva del Garante se, all’esito della valutazione d’impatto, il trattamento presenterebbe comunque un rischio elevato in assenza di misure idonee ad attenuarlo, ovvero qualora il trattamento presenti comunque tale rischio, in particolare in ragione dell’utilizzo di tecnologie o procedure nuove ovvero di dati genetici o biometrici. Si prevede anche la facoltà per il Garante di stabilire un elenco di trattamenti soggetti a consultazione preventiva. In ogni caso, qualora ritenga che il trattamento non sia conforme alla disciplina di riferimento, il Garante fornisce un parere scritto entro sei settimane (termine suscettibile di proroga nella misura di un mese nel caso di trattamento complesso).

Al comma 2, si prevede altresì l’obbligo di consultazione del Garante in ordine a progetti di atti normativi di rango primario e secondario, nonché di decreti non aventi natura regolamentare, secondo una procedura che nel nostro ordinamento era peraltro già invalsa.

L’articolo 25 che apre la sezione intitolata alla sicurezza dei dati personali - sancisce, in capo al titolare e al responsabile del trattamento, l’obbligo generale di adozione di misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato al rischio di violazione dei dati personali trattati e finalizzate ad obiettivi specificamente indicati al comma 2.

L’articolo 26 sancisce, in capo al titolare del trattamento, l’obbligo di notifica del data breach eventualmente occorso, con le modalità previste dall’articolo 33 del Regolamento UE. Qualora, poi, la violazione di dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone, il titolare è tenuto a effettuare una specifica comunicazione all’interessato senza ingiustificato ritardo.

L’articolo 28 che apre la sezione intitolata al responsabile della protezione dei dati – disciplina la designazione e i requisiti di tale figura, la cui nomina è stata prevista come necessaria anche per l’autorità giudiziaria, in ragione dell’ausilio che tale figura professionale può fornire nella gestione di trattamenti complessi e spesso inerenti dati sensibili, quali appunto quelli svolti in sede giudiziaria.

L’articolo 29 sancisce, in capo al titolare, l’obbligo di coinvolgere adeguatamente e tempestivamente il responsabile della protezione dati in tutte le questioni riguardanti la protezione dati, fornendogli anche le risorse necessarie per assolvere i suoi compiti.

L’articolo 30 indica dettagliatamente tali compiti, di natura non soltanto consultiva ma anche di controllo in ordine alla conformità del trattamento alla relativa disciplina e di cooperazione con il Garante.   

Il Capo IV, dedicato alla materia relativa al trasferimento dei dati personali verso paesi terzi o verso organizzazioni internazionali, differenzia presupposti, condizioni, modalità e garanzie nella trasmissione, a seconda delle situazioni concrete in cui essa avviene e delle specifiche finalità che si intendono realizzare.

In particolare, l’articolo 31 individua i principi generali in tale materia, stabilendo che il trasferimento di dati personali oggetto di trattamento, o destinati ad esserlo a seguito del trasferimento verso un paese terzo o un'organizzazione internazionale, inclusi i trasferimenti successivi verso un ulteriore altro paese terzo o organizzazione internazionale, è consentito solo in presenza di specifiche condizioni, segnatamente: il trasferimento è necessario per le finalità di cui all’articolo 1, comma 2, dello schema di decreto; i dati personali sono trasferiti al titolare del trattamento in un paese terzo o a un'organizzazione internazionale che risulti essere un’autorità competente per le finalità di cui all'articolo 1, comma 2; nel caso in cui i dati siano trasmessi o resi disponibili da uno Stato membro, lo stesso abbia fornito la preliminare autorizzazione al trasferimento conformemente al diritto interno; la Commissione dell’Unione Europea abbia adottato una decisione di adeguatezza, a norma dell'articolo 32 (di cui si dirà) o, in mancanza, vi siano garanzie adeguate ai sensi dell'articolo 33, nonché, in assenza di una decisione di adeguatezza e di garanzie adeguate, trovino applicazione deroghe per situazioni specifiche di cui all'articolo 34, nonché, in caso di trasferimento successivo a un altro paese terzo o a un'altra organizzazione internazionale, l'autorità competente che ha effettuato il trasferimento originario o un'altra autorità competente dello stesso Stato membro, autorizzi il trasferimento successivo dopo avere valutato tutti i fattori pertinenti.
Nei casi più gravi, cioè quando il trasferimento di dati personali si renda necessario per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo o agli interessi vitali di uno Stato membro, si prevede che il trasferimento è eseguito anche senza autorizzazione preliminare se non può essere ottenuta con la tempestività richiesta dalla concreta situazione di emergenza.

L’articolo 32 riguarda il trasferimento di dati personali effettuato sulla base di una decisione di adeguatezza, che esclude la necessità di autorizzazioni specifiche. La decisione è emessa dalla Commissione dell’Unione europea la quale valuta che il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale, garantiscono un livello di protezione adeguato.

All’articolo 33 sono indicate le garanzie adeguate che devono sussistere in mancanza di una decisione di adeguatezza Commissione dell’Unione europea di cui all’articolo 32, segnatamente: debbono essere fornite garanzie adeguate per la protezione dei dati personali attraverso uno strumento giuridicamente vincolante oppure il titolare del trattamento, valutate tutte le circostanze relative allo specifico trasferimento, deve ritenere che sussistano garanzie adeguate per la protezione dei dati personali.
In quest’ultimo caso grava sul titolare del trattamento un obbligo di informativa all'autorità di controllo dei trasferimenti effettuati e un obbligo di conservazione della documentazione relativa al trasferimento, da mettere a disposizione del Garante, ove questi ne faccia richiesta.

L’articolo 34 prevede, invece, le deroghe in situazioni specifiche, quando manchi una decisione di adeguatezza ai sensi dell'articolo 32 o garanzie adeguate di cui all’articolo 33. In dette ipotesi il trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale sono consentiti solo se necessari: a) per tutelare un interesse vitale dell'interessato o di un'altra persona; b) per salvaguardare i legittimi interessi dell'interessato quando lo preveda il diritto dello Stato membro che trasferisce i dati personali; c) per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo; d) in singoli casi, per le finalità di cui all'articolo 1, comma 2; oppure e) in singoli casi, per accertare, esercitare o difendere un diritto in sede giudiziaria in relazione alle finalità di cui all'articolo 1, comma 2.

L’articolo 35 detta una deroga al principio secondo il quale i dati personali sono trasferiti al titolare del trattamento in un Paese terzo solo se quest’ultima è un'autorità competente per le finalità di cui all'articolo 1, comma 2, consentendo in singoli e specifici casi previsti da norme di legge o dal diritto dell’Unione europea di trasferire i dati direttamente a destinatari stabiliti in Paesi terzi, fatti salvi eventuali accordi internazionali.

Tale eccezione è prevista nei casi in cui il trasferimento è strettamente necessario per l’assolvimento di un compito previsto dal diritto dell'Unione o dall’ordinamento interno, per le finalità di cui all'articolo 1, comma 2; b) l'autorità competente che effettua il trasferimento valuta che i diritti e le libertà fondamentali dell'interessato non prevalgono sull'interesse pubblico che rende necessario il trasferimento; c) l'autorità competente che effettua il trasferimento ritiene che il trasferimento a un’autorità per le finalità di cui all'articolo 1, comma 2, nel Paese terzo sia inefficace o inidoneo, soprattutto in considerazione della tempestività con cui deve essere eseguito; d) l'autorità competente ai fini di cui all'articolo 1, comma 2, nel Paese terzo è informata senza ingiustificato ritardo, sempre se ciò non pregiudichi la finalità per cui il trasferimento è effettuato; e) l'autorità competente che effettua il trasferimento informa il destinatario della finalità specifica o delle finalità specifiche per le quali i dati personali devono essere trattati, a condizione che tale trattamento sia necessario.

Infine all’articolo 36 si stabilisce che restano in vigore, fino alla loro modifica, sostituzione o revoca, gli accordi internazionali relativi al trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali conclusi anteriormente alla data del 6 maggio 2016, sempre che siano conformi al diritto dell’Unione applicabile a tale data.

Il Capo V dello schema di decreto è intitolato alla tutela e alle sanzioni.

L’articolo 37, in apertura del capo in esame individua nel Garante nazionale, l’autorità deputata a vigilare sul rispetto delle norme attuative della direttiva in funzione della tutela dei diritti e delle libertà fondamentali delle persone fisiche, coinvolti dalle attività di trattamento di dati personali.
Si tratta di opzione discendente direttamente dall’articolo 41 della direttiva.

Al Garante - già istituito per legge - le disposizioni in esame attribuiscono “i poteri e le funzioni di cui all’articolo 154 del Codice”. Si tratta cioè dei compiti già riconosciuti e disciplinati dal vigente Codice in materia di protezione dei dati personali. Sempre al Garante competono i poteri di cui agli articoli da 46 a 49 della Direttiva, esplicitati nel comma 2. Le ulteriori attribuzioni sono modulate su quelle già tipiche del Garante e funzionali al controllo del rispetto delle norme in materia di protezione dei dati personali e alla conseguente tutela dei soggetti lesi da trattamenti illegittimi, mediante la possibilità di reclamo, oltre che di vigilanza e indagine sui titolari del trattamento. Sono infine tipici del Garante i poteri consultivi e le attribuzioni in tema di sensibilizzazione e informazione in materia di trattamento dei dati personali.

Il comma 6 dell’articolo in esame è volto espressamente ad escludere la competenza del Garante “in ordine al controllo del rispetto delle norme del presente decreto, limitatamente ai trattamenti effettuati dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali, nonché di quelle giudiziarie del pubblico ministero”. La disposizione trova la sua fonte nell’articolo 45, paragrafo 2, della direttiva: “Ogni Stato membro dispone che ciascuna autorità di controllo non sia preposta a controllare i trattamenti effettuati dalle autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali. Gli Stati membri possono disporre che le rispettive autorità di controllo non siano competenti per il controllo dei trattamenti effettuati da altre autorità giurisdizionali indipendenti nell'esercizio delle loro funzioni giurisdizionali”. Agevole spiegazione della esclusione in parola si rinviene nell’esigenza di evitare ogni interferenza con le attribuzioni proprie degli organi giurisdizionali e a tutela delle loro prerogative di indipendenza. Secondo il considerando 80) della direttiva, infatti, “sebbene la presente direttiva si applichi anche alle attività delle autorità giurisdizionali nazionali e di altre autorità giudiziarie, non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali, al fine di salvaguardare l'indipendenza dei giudici nell'adempimento dei loro compiti giurisdizionali. Tale esenzione dovrebbe essere limitata all'attività giurisdizionale e non applicarsi ad altre attività a cui i giudici potrebbero partecipare in forza del diritto dello Stato membro. Gli Stati membri dovrebbero inoltre poter disporre che nella competenza delle autorità di controllo non rientri il trattamento di dati personali effettuato da altre autorità giudiziarie indipendenti nell'esercizio delle loro funzioni giurisdizionali, ad esempio le procure. In ogni caso, il rispetto delle norme della presente direttiva da parte di autorità giurisdizionali e altre autorità giudiziarie indipendenti è sempre soggetto a un controllo indipendente conformemente all'articolo 8, paragrafo 3, della Carta”.

L’articolo 38 dello schema di decreto disciplina le attribuzioni del Garante in tema di cooperazione con la Commissione dell’Unione europea e con le omologhe autorità europee secondo quanto previsto dall’articolo 50 della direttiva.

La norma si ispira ai principi di leale collaborazione ed è funzionale a garantire in via generale l'applicazione e l'attuazione conforme sul territorio dell’Unione della direttiva. Tuttavia l’articolo reca disposizioni specifiche ai fini dello scambio di informazioni di indagine e di esecuzione delle richieste delle autorità straniere ai medesimi fini. In particolare, mediante rinvio alle corrispondenti disposizioni dell’articolo 61 del Regolamento (UE) 2016/679, sono stabiliti i termini entro i quali l’assistenza è prestata, nonché le modalità, ispirate a principi di massima semplificazione, anche con riguardo alla possibilità di attività ispettive e di sorveglianza congiunte. La norma fa tuttavia salva la facoltà di rifiutare la richiesta di collaborazione quando essa sia contraria al diritto dell’Unione ovvero a specifiche norme di diritto interno. Si tratta così di salvaguardare i principi fondamentali dell’ordinamento interno laddove le forme di assistenza richiesta siano tali pregiudicare gravemente diritti delle persone coinvolte. Si pensi ai limiti posti all’autorità amministrativa in materia di perquisizione domiciliare collegata ad attività ispettiva.  

L’articolo 39 è dedicato alla disciplina del reclamo al Garante, nonché del ricorso giurisdizionale riconosciuti ai soggetti che lamentino un trattamento, in senso lato, dei propri dati personali in maniera difforme da quanto stabilito in direttiva. È ribadito che dalla disciplina in punto di reclamo sono esclusi i dati trattati nell’ambito di un procedimento giurisdizionale, mediante la formula per cui resta fermo quanto previsto dall’articolo 37, comma 6.

Al di fuori dell’eccezione richiamata, la norma rinvia alle disposizioni vigenti del Codice, con riguardo alla procedura di reclamo. Il Garante avrà cura di prestare l’assistenza necessaria, anche di informazione in favore dell’interessato (cfr. articolo 52 della direttiva).

La norma assicura comunque la tutela giurisdizionale attraverso il procedimento per ricorso già disciplinato dagli articoli 152 e ss. del Codice della privacy, pure espressamente richiamati. La previsione discende dalla direttiva secondo la quale “ciascun interessato dovrebbe avere il diritto di proporre reclamo a un'unica autorità di controllo e a un ricorso giurisdizionale effettivo a norma dell'articolo 47 della Carta qualora ritenga che siano stati violati i diritti di cui gode ai sensi delle disposizioni adottate a norma della presente direttiva o se l'autorità di controllo non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell'interessato”. Sotto questo profilo la legislazione vigente già contempla la possibilità che i diritti riconosciuti dalla direttiva “possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante” e prevede, altresì, la possibilità di ricorrere contro le decisioni del Garante.

L’articolo 40 costituisce attuazione dell’articolo 55 della direttiva. Le disposizioni in esame riconoscono la tutela dei diritti contemplati dalla direttiva anche mediante l’esercizio attraverso associazioni ed enti collettivi: “L’interessato può dare mandato a un ente del terzo settore soggetto alla disciplina del decreto legislativo 3 luglio 2017, n. 117, che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, al fine di esercitare per suo conto i diritti di cui all’articolo 39, ferme le disposizioni in materia di patrocinio previste dal codice di procedura civile.” A questo riguardo si è ritenuto opportuno chiarire che gli enti in parola sono quelli del terzo settore, già soggetti alla disciplina del decreto legislativo 3 luglio 2017, n. 117, a condizione che tali enti siano attivi nello specifico “settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali”. Resta naturalmente ferma la disciplina processuale interna circa i rapporti tra l’azione instaurata singolarmente e l’intervento processuale dell’ente, in ciò risolvendosi la clausola: “ferme le disposizioni in materia di patrocinio previste dal codice di procedura civile”.

L’articolo 41 stabilisce che “il titolare o il responsabile del trattamento sono tenuti, a norma dell’articolo 82 del regolamento, al risarcimento del danno patrimoniale o non patrimoniale cagionato da un trattamento o da qualsiasi altro atto compiuti in violazione delle disposizioni del presente decreto”. Si tratta di norma ricognitiva, dal momento che ribadisce l’obbligo di risarcimento del danno laddove il trattamento sia ritenuto civilmente illecito. La previsione discende da quanto stabilito dall’articolo 56 della direttiva.

L’articolo 42 predispone l’apparato di sanzioni amministrative per la violazione delle singole disposizioni del decreto. In mancanza di criteri e principi direttivi contenuti nell’articolo 11 della legge n.163 del 2017, che mantiene ferme le sanzioni penali vigenti, occorre far riferimento ai principi richiamati all’articolo 1 delle medesima legge, che espressamente rinvia all’articolo 32 della legge quadro n. 234 del 2012. I limiti edittali delle sanzioni pecuniarie amministrative pertanto non possono superare nel massimo 150.000 euro. E al riguardo non è invocabile il disallineamento con analoghe previsioni sanzionatorie del Regolamento UE: la predisposizione in ipotesi di sanzioni pecuniarie amministrative più elevate si scontrerebbe con i limiti della delega legislativa.

Si è inteso pertanto punire con le sanzioni più elevate (da 50.000 a 150.000 euro) le violazioni inerenti le modalità del trattamento, al fine di assicurare la piena corrispondenza al principio di legalità sul piano del vincolo finalistico determinato per legge dell’attività di trattamento, nonché agli ulteriori principi di correttezza, esattezza, aggiornamento, temporaneità e sicurezza previsti dall’art. 3 lettere a) b), d), e) e f).  È fatta salva naturalmente l’attività che deroga ai predetti principi sempre per espressa previsione di legge. Con le medesime sanzioni sono punite le violazioni in tema di predisposizione delle misure che garantiscono l’esattezza e la completezza dei dati destinati alla trasmissione o comunicazione (art. 4, commi 2 e 3), nonché quelle relative al trattamento in casi specifici (art. 6, commi 3 e 4).

Analoga gravità rivestono le violazioni delle norme dedicate al trattamento di dati sensibili (art. 7) e alla gestione automatizzata dei dati, anche sotto il profilo del divieto di profilazione, alle condizioni indicate dall’art. 8, e alla garanzia dell’intervento correttivo umano a richiesta dell’interessato. È prevista la medesima sanzione anche per le attività di trasferimento dei dati verso paesi terzi in mancanza delle condizioni di legge, vale a dire laddove manchi la decisione di adeguatezza, unica che autorizza il trasferimento, o non ricorrano le ulteriori condizioni che comunque lo consentirebbero, come disciplinate dagli articoli 33 e 34 del decreto.

Il comma 2 è dedicato alle violazioni ritenute meno gravi, inerenti l’esercizio dei diritti di informazione, accesso, rettifica o cancellazione dei dati personali e limitazione del trattamento, nonché le limitazioni all’esercizio di detti diritti. La sanzione indicata nel massimo di 80.000 euro si applica anche alle violazioni formali dei doveri facenti capo al titolare del trattamento, come indicati dai singoli articoli del decreto richiamati.

Nell’applicazione delle sanzioni il Garante si atterrà ai criteri direttivi specificamente indicati dal Regolamento UE all’articolo 83, paragrafo 2, al fine di adeguare la sanzione alle specificità del caso concreto.

Infine il comma 4 rinvia per il procedimento di applicazione alle vigenti norme del Codice.  

Il Capo VI è intitolato agli illeciti penali. Il criterio direttivo è quello ricavabile dall’articolo 11 delle legge di delega, che stabilisce espressamente che resta ferma la disciplina vigente per le fattispecie penali già oggetto di previsione. Ne discende che non si è intervenuti sui reati già contemplati dal codice penale (articoli 615 bis e ss. c.p., posti a tutela del domicilio informatico e dell’integrità dei sistemi). Si è, in contrario, reso necessario intervenire sugli illeciti contemplati dal Codice della privacy al fine di garantire continuità normativa alle norme penali ivi stabilite, limitatamente ai dati trattati per finalità di prevenzione, repressione e accertamento dei reati. Accanto alle fattispecie penali già esistenti, si sono poi introdotti tre nuovi reati, per le violazioni di maggiore offensività. Come reso chiaro dalla delimitazione dell’ambito applicativo del decreto tracciata dall’articolo 1, comma 2, le disposizioni incriminatrici riguardano esclusivamente i trattamenti ivi previsti, ossia il trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche e il trattamento non automatizzato di dati personali delle persone fisiche contenuti in un archivio o ad esso destinati, svolti dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.

L’articolo 43 introduce tre nuove fattispecie di reato. Il comma 1 punisce il trattamento illecito di dati personali perché effettuato al di fuori delle condizioni di liceità poste dall’articolo 5, comma 1, e, quindi, al di fuori dei casi consentiti dal diritto dell’Unione o da disposizione di legge o di regolamento o per finalità estranee a quelle dell’articolo 1, comma 2. Nel comma 2 sono puniti con una pena più severa condotte connotate da maggiore disvalore, attesa la particolare natura dei dati personali trattati e il pregiudizio arrecato alle libertà e ai diritti delle persone interessate: il trattamento illecito dei dati sensibili (quelli, cioè, che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, oggi disciplinati dall’articolo 9 del Regolamento UE, cui rinvia l’art. 7 del presente schema di decreto) e la profilazione finalizzata alla discriminazione di persone fisiche sulla base di categorie particolari di dati personali di cui all'articolo 9 del Regolamento UE (vietata dall’articolo 8, comma 4). Tali delitti, come già le fattispecie penali previste dall'art. 167 del Codice della privacy, sono costruiti come reati di danno (ossia caratterizzati, sul piano oggettivo, dalla produzione di un nocumento) e connotati, sotto il profilo soggettivo, dal dolo specifico (il fine di profitto o di danno).

L’articolo 44 riproduce sostanzialmente il contenuto dell’articolo 168 del Codice, punendo le attività di falsificazione, volte a ostacolare quindi il controllo del Garante, già punite dalla norma citata. In accoglimento di una delle osservazioni della Commissione Giustizia del Senato, si è specificato l’ambito delle condotte delittuose, costituito dal procedimento riguardante il trattamento dei dati di cui all’articolo 1, comma 2 o dagli accertamenti riguardanti i medesimi dati, al fine di delimitare con maggiore precisione la rilevanza penale delle falsità e di evitare sovrapposizioni con l’analoga fattispecie penale prevista nel caso di violazione delle norme del Regolamento UE.

Analogamente gli articoli 45 e 46 riproducono il contenuto dei vigenti articoli 170 e 172 del Codice, in tema di inosservanza dei provvedimenti del garante e di pene accessorie. Con riferimento all’articolo 45, si è specificato che l’inosservanza penalmente rilevante è quella avente ad oggetto un provvedimento del Garante, emesso a seguito di reclamo, riguardante il trattamento dei dati di cui all’articolo 1, comma 2.  

L’articolo 47 riproduce nello schema di decreto le norme attualmente vigenti e contenute nel Codice della privacy relative alla particolari modalità di trattamento dei dati da parte delle forze di polizia, nonché al centro elaborazione dati, in uso alle medesime, istituito con legge n. 121 del 1981. Norme che, pertanto, vengono meramente trasferite nel presente testo, senza alcuna innovazione, per ragioni di ordine sistematico e per completezza della disciplina in materia.

Analogamente per quanto concerne l’articolo 48, dedicato alla tutela dell’interessato rispetto a tale tipo di trattamento.

L'articolo 49 dispone le abrogazioni delle norme del Codice concernenti il trattamento dei dati da parte delle Forze di polizia, ormai confluite nel presente testo o superate dalle nuove norme e fa salve, sino all’eventuale adozione di nuova disciplina ai sensi degli articoli 5, comma 2, e 9, comma 5, le disposizioni recate dal recente decreto del Ministro dell’Interno in data 24 maggio 2017, nonché dai decreti del Presidente della Repubblica di attuazione dell’articolo 57 del decreto legislativo 30 giugno 2003, n. 196.

L’articolo 50 reca la clausola di invarianza finanziaria.
 
Lo schema di decreto legislativo è stato trasmesso in data 21 febbraio 2018 alla Camera dei deputati e al Senato della Repubblica, per il parere dei competenti organi parlamentari, ai sensi dell’art. 1, comma 2, della legge 25 ottobre 2017, n. 163, e dell’art. 31, comma 3, della legge 24 dicembre 2012, n. 234. Nell'adunanza del 22 febbraio 2018, il Garante per la protezione dei dati personali ha espresso parere favorevole, con alcune osservazioni, sul decreto trasmesso alle Camere.

La 2ª Commissione permanente (Giustizia) del Senato, nella seduta del 15 marzo 2018, ha formulato parere non ostativo con osservazioni. Le altre competenti Commissioni di Camera e Senato  non si sono espresse entro il termine prescritto.

Si rappresenta che il provvedimento non è stato assegnato alla Commissione speciale della Camera dei deputati a seguito della decisione della Conferenza dei presidenti di gruppo nella seduta del 10 aprile u.s. e della successiva deliberazione dell’assemblea intervenuta nella medesima data. Anche presso il Senato il provvedimento non è stato deferito alla Commissione speciale.

Le osservazioni della Commissione giustizia del Senato sono le seguenti:

a)    in ordine alle "Definizioni" si suggerisce di modificare l'articolo 2, comma 1, lettera a) dello schema, sostituendo la definizione di "dati personali" con la seguente: "qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato")" e, conseguentemente, sopprimendo la lettera b) del medesimo comma, al fine di rendere le definizioni omogenee a quelle contenute nell'articolo 3 della direttiva;
b)    all'articolo 3, ultimo comma, dello schema, si suggerisce di aggiungere, in fine, le parole: ", che deve risultare dalla relativa documentazione o da altra modalità idonea", al fine di sancire espressamente il principio di responsabilizzazione del titolare che rappresenta uno dei punti qualificanti del nuovo quadro giuridico europeo;
c)    all'articolo 4, comma 1, dello schema sarebbe opportuno sostituire le parole: "se necessario rispetto alla finalità del trattamento" con le seguenti: "tenuto conto della finalità del trattamento", al fine di specificare in maniera più precisa le modalità per l'adempimento dell'obbligo, per il titolare, di distinguere i dati in ragione della loro attinenza a fatti ovvero a valutazioni; al medesimo comma 1 si suggerisce inoltre di aggiungere in fine il seguente periodo: " La distinzione in relazione alle diverse categorie di interessati si applica, in particolare, alle seguenti categorie di interessati: persone sottoposte a indagine; imputati; persone sottoposte a indagine o imputate in procedimento connesso o collegato; condannati con sentenza definitiva; parti offese; parti civili; persone informate sui fatti."
d)    in ordine ai termini di conservazione dei dati, all'articolo 5, comma 2, si suggerisce di aggiungere in fine il seguente periodo: "I termini di conservazione sono determinati in conformità ai criteri indicati all’articolo 3, comma 1, tenendo conto delle diverse categorie di interessati e delle finalità perseguite."
e)    in riferimento a quanto previsto dall'articolo 7, si ritiene opportuno introdurre uno specifico richiamo alla necessità di valutazione dei rischi connessi al trattamento dei dati personali all'interno dell'articolo 16, recante la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita, e dell'articolo 23, che disciplina la valutazione d'impatto sulla protezione dei dati;
f)    al fine di dare più conforme attuazione all'articolo 10 della direttiva, in ordine alla valutazione dei rischi per il trattamento di particolari categorie di dati, sarebbe inoltre opportuno inserire all'articolo 7, dopo le parole: "solo se" le seguenti: "strettamente necessario e";
g)    all'articolo 10, al comma 2, alla lettera d) si suggerisce di aggiungere in fine le seguenti parole ", in particolare nel caso in cui i dati personali siano stati raccolti all’insaputa dell’interessato.";
h)    al fine di rendere il testo dell'articolo 10 maggiormente conforme all'articolo 13 della direttiva, sarebbe opportuno sostituire, al comma 2, alinea, le parole: ", quando previsto da disposizioni di legge o regolamento, fornisce all'interessato" con le seguenti: ", ove non ostino contrarie previsioni di legge o regolamento, fornisce direttamente all'interessato". Alla lettera b) del medesimo comma è inoltre opportuno anteporre alle parole: "i criteri", le seguenti: ", se non è possibile,", al fine di chiarire che l'indicazione dei criteri per la determinazione del periodo di conservazione dei dati è subordinata all'impossibilità di comunicazione dei termini stessi di conservazione, individuati come tali e non per relationem. Analoga modifica andrebbe apportata, per le medesime ragioni, all'articolo 11, comma 1, lettera d);
i)    per le operazioni di raccolta e modifica dei dati personali, sarebbe opportuno anche rinviare al regolamento di cui all'articolo 5, comma 2, dello schema, il cui oggetto comprende, tra l'altro, anche i termini di conservazione dei dati trattati e le modalità di consultazione degli stessi; pertanto, all'articolo 21, comma 1, è auspicabile aggiungere, in fine, le seguenti parole: ", da conservare per la durata stabilita con il decreto di cui all'articolo 5, comma 2";
j)    all'articolo 23 si rappresenta l'opportunità di prevedere espressamente che la valutazione d'impatto debba essere effettuata comunque nei casi di cui all'articolo 8 del decreto, in ragione del particolare rischio cui tali trattamenti possono esporre i diritti e le libertà dell'interessato;
k)    all'articolo 33, al comma 1, si suggerisce di sostituire le lettere a) e b) con le seguenti: " a) sono fornite garanzie adeguate per la protezione dei dati personali attraverso uno strumento giuridicamente vincolante; o b) il titolare del trattamento, valutate tutte le circostanze relative allo specifico trasferimento, ritiene che sussistano garanzie adeguate per la protezione dei dati personali.";
l)    all'articolo 33, al comma 2 dopo le parole "lettera b)" si suggerisce di inserire le seguenti "e ne conserva documentazione che, su richiesta, mette a disposizione del Garante," e, dopo le parole "l'indicazione", sopprimere le parole ", se richiesta,";
m)    all'articolo 38, sostituire il comma 1 con il seguente "1. Il Garante coopera con la Commissione dell’Unione europea al fine di contribuire alla coerente applicazione del diritto dell’Unione in materia di protezione dei dati personali, scambia con le autorità di controllo degli altri Stati membri le informazioni utili e presta assistenza reciproca al fine di attuare e applicare il presente decreto in maniera coerente, e di cooperare efficacemente con loro. L'assistenza reciproca comprende le richieste di informazioni e le misure di controllo, quali le richieste di effettuare consultazioni, ispezioni e indagini."
n)    all'articolo 44 si suggerisce infine di sostituire il comma 1 con il seguente "1.  Chiunque in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante riguardante il trattamento dei dati di cui all’articolo 1, comma 2, o nel corso di accertamenti riguardanti i medesimi dati, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni." e sopprimere, nella rubrica, le parole "e notificazioni".

Le osservazioni della Commissione Giustizia del Senato sono state tutte recepite, tranne quelle di cui alle lettere b), e), h) primo periodo e j), non accolte per le ragioni di seguito illustrate (le lettere fanno riferimento ai corrispondenti punti-elenco del parere reso dalla Commissione Giustizia del Senato):

 

  • «b) all'articolo 3, ultimo comma, dello schema, si suggerisce di aggiungere, in fine, le parole: ", che deve risultare dalla relativa documentazione o da altra modalità idonea". Come già spiegato sopra, la direttiva (art. 5 comma 4) prevede che il titolare del trattamento non solo è “competente” (ossia è responsabile) per il rispetto dei principi applicabili al trattamento, ma è anche “in grado di provarlo”. Nell’ordinamento interno tale onere probatorio (da assolversi con qualsiasi mezzo, non imponendo la direttiva una forma particolare per la prova) è implicito nell’attribuzione stessa al titolare del trattamento della responsabilità giuridica per il rispetto dei principi applicabili al trattamento. Appare conseguentemente superflua l'indicazione integrativa suggerita dalla Commissione parlamentare;
  • «e) in riferimento a quanto previsto dall'articolo 7, si ritiene opportuno introdurre uno specifico richiamo alla necessità di valutazione dei rischi connessi al trattamento dei dati personali all'interno dell'articolo 16, recante la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita, e dell'articolo 23, che disciplina la valutazione d'impatto sulla protezione dei dati.» L'indicazione integrativa appare superflua, considerata l'onnicomprensività della formulazione dell'art. 16 (che già esplicitamente dispone che il titolare del trattamento, nel mettere in atto misure tecniche e organizzative adeguate per garantire la protezione dei dati e per tutelare i diritti degli interessati, tenga conto, fra l'altro, "dei rischi per i diritti e le libertà delle persone fisiche”) e dell'art. 23 (che impone la valutazione d'impatto quando "il trattamento, per l'uso di nuove tecnologie e per la sua natura, per l'ambito di applicazione, per il contesto e per le finalità, presenta un rischio elevato per i diritti e le libertà delle persone fisiche"). L'ampiezza della formulazione normativa, sia nell'uno che nell'altro caso, rende evidente l'inclusione dei rischi connessi al trattamento dei dati di cui all'art. 7 nell’alveo di quelli che il titolare del trattamento è tenuto a valutare, trattandosi di dati che per loro stessa natura sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali;
  • « h) al fine di rendere il testo dell'articolo 10 maggiormente conforme all'articolo 13 della direttiva, sarebbe opportuno sostituire, al comma 2, alinea, le parole: ", quando previsto da disposizioni di legge o regolamento, fornisce all'interessato" con le seguenti: ", ove non ostino contrarie previsioni di legge o regolamento, fornisce direttamente all'interessato".» La modifica suggerita non appare in linea con il dettato e la finalità della disposizione di cui all’art. 13, par. 2, della direttiva, secondo cui, "in aggiunta alle informazioni di cui al paragrafo 1" (informazioni che il titolare del trattamento è sempre tenuto a fornire all'interessato, senza alcuna possibilità di deroga), gli Stati membri dispongono per legge che il titolare del trattamento fornisca all'interessato, "in casi specifici", ulteriori informazioni, qualora non vi ostino esigenze di tutela degli interessi individuati all'articolo 13, par. 3, della stessa direttiva (richiamati nel testo dell'art. 14, comma 2, dello schema di decreto). Per esprimere il carattere eccezionale e circoscritto ("in casi specifici") dell'onere informativo suppletivo posto a carico del titolare del trattamento, si ritiene necessario mantenere l'incidentale "quando previsto da disposizioni di legge o di regolamento";
  • « j) all'articolo 23 si rappresenta l'opportunità di prevedere espressamente che la valutazione d'impatto debba essere effettuata comunque nei casi di cui all'articolo 8 del decreto, in ragione del particolare rischio cui tali trattamenti possono esporre i diritti e le libertà dell'interessato ». Le ragioni del mancato accoglimento sono analoghe a quelle espresse a proposito delle osservazioni sub e). Si tratta, infatti, di integrazione non richiesta dalla direttiva, che, all’art. 27, impone la valutazione d’impatto “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'ambito di applicazione, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. La previsione normativa di cui all’articolo 23 dello schema di decreto, che riproduce il testo dell’articolo 27 citato, è già adeguata ad assicurare che la valutazione d’impatto sia effettuata dal titolare del trattamento nei casi di processi decisionali automatizzati che presentino un rischio “elevato” per i diritti e le libertà dell’interessato.

Al fine di garantire una maggiore aderenza delle disposizioni del decreto legislativo al testo della direttiva, all’esito di consultazioni informali con i funzionari della Commissione dell’Unione Europea e delle riunioni del Gruppo di esperti istituito dalla Commissione europea per la trasposizione nei Paesi rappresentati della Direttiva 2016/680/UE del Parlamento europeo e del Consiglio, valutato il parere reso dal Garante della privacy, si è ritenuto di procedere anche alle seguenti modifiche:

  • all’articolo 4, comma 1, il periodo aggiunto in accoglimento dell’osservazione della Commissione Giustizia del Senato (“La distinzione in relazione alle diverse categorie di interessati si applica, in particolare, alle seguenti categorie di interessati: persone sottoposte a indagine; imputati; persone sottoposte a indagine o imputate in procedimento connesso o collegato; persone condannate con sentenza definitiva; persone offese dal reato; parti civili; persone informate sui fatti”) è stato integrato con l’indicazione di un’ulteriore categoria di interessati, rilevante e ricorrente nella prassi: quella dei “testimoni”, la cui veste giuridica, nel sistema processuale interno, è distinta da quella di “persone informate sui fatti”.
  • all’articolo 14, comma 2, dopo le parole “possono essere ritardati, limitati o esclusi” si sono aggiunte le seguenti: “con disposizione di legge o di regolamento adottato ai sensi dell’articolo 5, comma 2”. La precisazione è necessaria per assicurare che, in mancanza di esplicitazione (nella norma in esame) dei criteri per la limitazione all’esercizio dei diritti dell’interessato, sia chiaro che essa resta comunque assoggettata a specifica disciplina normativa legislativa o regolamentare, secondo quanto già previsto dall’articolo 5 comma 2 dello schema di decreto.
  • all’articolo 31, comma 2, primo periodo, l’aggettivo “preventiva” è stato sostituto con “preliminare”, per esigenze di coerenza interna rispetto alla formulazione letterale della disposizione di cui al secondo periodo dello stesso comma e del comma 1, lettera c) (che, per l’appunto, fanno riferimento all’autorizzazione “preliminare” dello Stato membro);
  • all’articolo 34, comma 1, lettere d) ed e), si sono aggiunte le parole “in casi specifici”, per rendere chiaro,  in conformità a quanto previsto dall’articolo 38 della direttiva (“nel singolo caso”), che le deroghe ivi contemplate non sono generalizzate, ma valgono in singoli casi, considerati per la loro specificità, in rapporto alle finalità concrete del trasferimento, siano esse le finalità indicate nell’articolo 1, comma 2 dello schema di decreto o l’esigenza di accertare, esercitare o difendere un diritto in sede giudiziaria in relazione a dette finalità;


Le osservazioni del Garante sono in gran parte coincidenti con quelle della Commissione Giustizia del Senato e, in tale misura, sono state valutate nei termini già esposti sopra. Per quanto riguarda le restanti osservazioni, è stata accolta solo parzialmente l'osservazione n. 2.11, con la quale, in ordine alla fattispecie delittuosa di cui all'articolo 43, il Garante chiede di valutare l'opportunità “ di attrarre nel comma 2 (che reca un trattamento sanzionatorio più rigoroso rispetto al comma 1) anche le condotte violative delle disposizioni di cui all'articolo 8 nella sua interezza (non limitatamente al comma 4), al fine di contrastare possibili abusi (qualificati, come detto, dal dolo di danno o di profitto e dalla condizione obiettiva di punibilità) nel ricorso a metodi investigativi particolarmente invasivi quali i processi decisionali automatizzati.” Si è ritenuto ragionevole, infatti, uniformare il trattamento sanzionatorio del reato di profilazione discriminatoria (violazione dell'articolo 8, comma 4) a quello previsto dall'articolo 43, comma 2, per il  trattamento illecito dei dati di cui all'articolo 9 del Regolamento UE, trattandosi di condotte aventi ad oggetto dati della medesima natura (dati c.d. sensibili), connotate da omologa gravità.

Tutte le altre osservazioni sono state integralmente recepite, tranne le seguenti:

  • n. 2, riguardante l'opportunità di un inserimento delle norme all'interno del Codice. Il suggerimento non può essere accolto, in quanto i tempi strettissimi imposti per il recepimento della direttiva (UE) 2016/680 non consentono una riscrittura dell’intera architettura del trattamento dei dati personali in un unico, coordinato corpo normativo. Peraltro, la proposta confligge con la filosofia di fondo della scelta normativa, che – come spiegato in premessa - è quella di creare un sistema autonomo, destinato a regolamentare il solo trattamento dei dati personali per finalità di prevenzione e repressione di reati, esecuzione di sanzioni penali, salvaguardia contro le minacce alla sicurezza pubblica e prevenzione delle stesse, da parte sia dell’autorità giudiziaria, sia delle forze di polizia;
  • n. 2.9: “Ai commi 1 degli articoli 33 e 34, appare superflua la locuzione "o in caso di revoca, modifica o sospensione" tenuto conto che nel caso di "modifica", la decisione di adeguatezza comunque sussisterebbe e i dati potrebbero essere trasferiti su quella base, mentre l'ipotesi della revoca o della sospensione devono ritenersi ricomprese in quella di assenza di una (valida) decisione di adeguatezza”. Si ritiene opportuno mantenere inalterato il testo degli articoli 33 e 34, per garantire maggiore chiarezza in ordine ai presupposti di attivazione dei trasferimenti “soggetti a garanzie adeguate” o “in situazioni specifiche” previsti dai due articoli citati;
  • n. 2.10: “Si valuti l'opportunità di prevedere, quali cornici edittali per gli illeciti amministrativi delineati dall'articolo 42, quelle comminate dal Regolamento generale sulla protezione dati, al fine di garantire maggiore omogeneità nella tutela accordata al medesimo bene giuridico nell'ambito dei vari settori oggetto di disciplina.”  Come si è già illustrato sopra (sub articolo 42), in mancanza di criteri e principi direttivi specifici, in punto sanzioni amministrative, rinvenibili nell’articolo 11 della legge n. 163 del 2017, occorre far riferimento ai principi richiamati all’articolo 1 delle medesima legge, che espressamente rinvia all’articolo 32 della legge quadro n. 234 del 2012. Le sanzioni pecuniarie amministrative, pertanto, non possono superare i limiti massimi ivi previsti, pari a 150.000 euro. Ipotesi di sanzioni pecuniarie amministrative più elevate si scontrerebbe con i limiti della delega legislativa;
  • n. 2.11: “In ordine alla fattispecie delittuosa di cui all'articolo 43, si valuti l'opportunità di attrarre nel comma 2 (che reca un trattamento sanzionatorio più rigoroso rispetto al comma 1) anche le condotte violative delle disposizioni di cui all'articolo 8 nella sua interezza (non limitatamente al comma 4), al fine di contrastare possibili abusi (qualificati, come detto, dal dolo di danno o di profitto e dalla condizione obiettiva di punibilità) nel ricorso a metodi investigativi particolarmente invasivi quali i processi decisionali automatizzati.” Il rilievo è in parte superato dalla riformulazione dell’articolo 43 di cui sopra si è detto (attrazione della condotta in violazione dell'articolo 8, comma 4, nel comma 2 dell'articolo 43). Quanto alla inclusione nell’area penalmente rilevante delle “condotte violative delle disposizioni di cui all'articolo 8 nella sua interezza (non limitatamente al comma 4)”, si ritiene di ribadire la scelta di incriminare la violazione del solo comma 4 del citato articolo 8, in quanto coerente con l’impianto sistematico generale, informato ai principi di sussidiarietà ed extrema ratio che caratterizzano la sanzione penale.  Si è quindi limitata la tutela penale (e, quindi, la massima opzione punitiva) alle violazioni caratterizzate da più grave disvalore: nel caso di specie, la sola profilazione discriminatoria e non tutte le possibili violazioni dei limiti imposti ai processi decisionali automatizzati dall’articolo 8
  • n. 2.12: “Si valuti l'opportunità - già segnalata dal Garante al Governo - di inserire in un provvedimento, quale quello in esame, volto a introdurre nell'ordinamento una disciplina organica del trattamento di dati personali per fini di giustizia penale e polizia, alcune essenziali modifiche alla normativa sulla conservazione dei dati di traffico per fini di giustizia, per adeguarla ai principi sanciti dalla Corte di giustizia Ue con le sentenze Digital Rights Ireland (resa nelle cause riunite C-293/12 e C-594/12, l'8 aprile 2014) e Tele2 e Watson (resa il 21 dicembre 2016, nelle cause riunite C 203/15 e C 698/15). Il rilievo, unitamente ai connessi suggerimenti attinenti alla soppressione della norma di cui all'articolo 24 della legge n. 167 del 2017 e alla “generale revisione della disciplina di cui all'art. 132 del Codice” attinge materie estranee all’ambito di stretta attuazione della direttiva ed esorbita dai limiti della delega legislativa.

Due lievi modifiche, dopo il primo esame preliminare, sono state apportate agli articoli 44 e 45.
L’articolo 44, previo inserimento della specificazione di cui all’osservazione sub lettera n) della Commissione Giustizia del Senato, ha subito una modifica meramente stilistica, nel rispetto del principio di conservazione degli illeciti penali previsto dall’articolo 11 della legge delega. La rubrica della norma è stata modificata, per renderla coerente con il contenuto della fattispecie incriminatrice.

Quanto all’articolo 45, si è ritenuto necessario specificare - così come nel caso dell’articolo 44 - che la violazione riguarda esclusivamente la mancata osservanza di un provvedimento del Garante riguardante il trattamento ai dati di cui all’articolo 1, comma 2, dello schema. La precisazione si impone per non ingenerare incertezze sulla portata della norma incriminatrice, a fronte della diversa disciplina sanzionatoria (di tipo amministrativo) riservata dall’articolo 83 del Regolamento (UE) 2016/679 per il caso di mancata osservanza del provvedimento del Garante disponente la limitazione o il divieto di trattamento di dati diversi da quelli di cui all’articolo 1, comma 2, dello schema di decreto.


Allegati