 |
Confederazione Generale
Italiana dei Trasporti e della Logistica
00198 Roma - via Panama
62 - tel. 06/8559151 - fax 06/8415576
e-mail: confetra@tin.it
- http://www.confetra.com
|
Roma, 14 febbraio 2002
Circolare n.30/2002
Oggetto: Ordine Pubblico –
Tutela della privacy – D.Lgvo 28.12.2001, n.467, su G.U. n.13 del 16.1.2002.
Esercitando la delega contenuta nella legge n.676/96, il Governo con
il decreto indicato in oggetto ha modificato la legge n.675/96 sulla tutela dei
dati personali.
Le nuove disposizioni introducono semplificazioni il cui ambito di
applicazione dovrà peraltro essere individuato dal Garante della Privacy. Ad
esempio l’obbligo della notifica (la
comunicazione all’Autorità Garante dell’esistenza di un trattamento di dati
personali) è stato circoscritto ai casi in cui “il trattamento, in ragione delle relative modalità o della natura dei
dati personali, sia suscettibile di recare pregiudizio ai diritti e alle
libertà dell’interessato”. Inoltre la richiesta di consenso al trattamento
dei dati personali potrà essere evitata quando “il trattamento dei dati personali sia necessario per perseguire un
legittimo interesse del titolare o di un terzo destinatario dei dati, qualora
non prevalgano i diritti e le libertà fondamentali la dignità o un legittimo interesse
dell’interessato.”
In realtà i difetti di fondo
della legge 675 (complessità e incertezza degli adempimenti a fronte di una
notevole pesantezza del regime sanzionatorio) non sembrano essere stati eliminati.
In particolare nessun passo avanti è stato fatto per superare la contraddizione
della disciplina che considera i dati relativi alle imprese alla stessa stregua
dei dati personali dell’individuo.
Con riguardo alle associazioni di categoria, si fa notare che il
provvedimento in oggetto ha specificato che i dati idonei a rivelare l’adesione
di associazioni sindacali o di categoria ad altre associazioni, organizzazioni
o confederazioni (es. l’adesione delle federazioni nazionali alla Confetra) non
rientrano nella categoria dei dati sensibili,
che possono essere trattati solo previo consenso dell’interessato e autorizzazione
del Garante (articolo 22 legge 675/96). Viceversa le informazioni concernenti
l’adesione dell’impresa all’associazione di categoria continuano ad essere dati
sensibili il cui trattamento rimane subordinato all’autorizzazione del Garante
(v. da ultimo autorizzazione generale n.3/2000 relativa agli organismi di tipo
associativo). Per quanto concerne il consenso da parte delle imprese aderenti,
si fa notare che il provvedimento in esame ha previsto l’esclusione della
richiesta del consenso “sempre che i dati
non siano comunicati o diffusi fuori del relativo ambito e l’ente, l’associazione
o l’organismo determinino idonee garanzie relativamente ai trattamenti
effettuati.” Sull’esatta portata della disposizione si attendono i
necessari chiarimenti da parte dell’Ufficio del Garante.
|
f.to
dr. Piero M. Luzzati |
Per
riferimenti confronta circ.ri conf.li nn151 e 65/2000.
|
|
|
Allegato
uno |
|
|
D/d |
|
© CONFETRA – La riproduzione totale o parziale è
consentita esclusivamente alle organizzazioni aderenti alla Confetra. |
|
G.U.
n.13 del 16.01.2002 (fonte Guritel)
DECRETO
LEGISLATIVO 28 dicembre 2001, n. 467
Disposizioni correttive ed integrative della normativa in materia
di
protezione dei dati personali, a norma dell'articolo 1 della legge
24
marzo 2001, n. 127.
IL PRESIDENTE DELLA
REPUBBLICA
E m a n a
il seguente decreto
legislativo:
Capo I
Modificazioni ed integrazioni alla
legge n. 675/1996
Art. 1.
Definizioni e diritto nazionale
applicabile
1. Agli effetti dell'applicazione del
presente decreto si applicano
le definizioni
elencate nell'articolo 1,
comma 2, della legge 31
dicembre
1996, n. 675.
2.
Nell'articolo 2 della
legge 31 dicembre 1996, n. 675, sono
aggiunti
i seguenti commi:
"1-bis. La presente legge si
applica anche al trattamento di dati
personali effettuato
da chiunque e' stabilito nel
territorio di un
Paese non
appartenente al-l'Unione europea
e impiega, per
il
trattamento, mezzi
situati nel territorio dello Stato anche diversi
da quelli elettronici o comunque automatizzati,
salvo che essi siano
utilizzati solo
ai fini di
transito nel territorio dell'Unione
europea.
1-ter.
Nei casi di
cui al comma 1-bis il titolare stabilito nel
territorio di
un Paese non
appartenente al-l'Unione europea deve
designare ai
fini dell'applicazione della presente legge un proprio
rappresentante
stabilito nel territorio dello Stato.".
Art. 2.
Trattamenti per fini
esclusivamente personali
1.
Nell'articolo 3, comma 2, della legge 31 dicembre 1996, n. 675,
le parole:
"le disposizioni di
cui agli articoli 18 e 36" sono
sostituite
dalle seguenti: "l'articolo 18".
Art. 3.
Semplificazione dei casi e delle
modalita' di notificazione
1. Nell'articolo 7, comma 1, della legge 31 dicembre 1996, n. 675,
e' aggiunto
in fine il
seguente periodo: "se il
trattamento, in
ragione delle
relative modalita' o della natura dei dati personali,
sia suscettibile di recare pregiudizio ai diritti e alle liberta'
dell'interessato, e nei soli casi e con le modalita' individuati
con
il
regolamento di cui all'articolo 33, comma 3.".
2.
Nell'articolo 7, comma 2, della legge 31 dicembre 1996, n. 675,
le parole:
"indicati nel comma 4" sono sostituite dalle
seguenti:
"che
devono essere indicati".
3.
Nell'articolo 7, comma 4, lettera h), della legge 31 dicembre
1996, n.
675, le parole: "del
responsabile;" sono sostituite dalle
seguenti:
"del rappresentante del titolare nel territorio dello Stato
e di
almeno un responsabile, da indicare nel soggetto eventualmente
designato
ai fini di cui all'articolo 13;".
4.
Le disposizioni di
cui all'articolo 7, commi 3, 4, 5, 5-bis,
5-ter,
5-quater e 5-quinquies, 13, comma 1, lettera b) e 28, comma 7,
della legge 31 dicembre 1996, n. 675 sono abrogate
a decorrere dalla
data
di entrata in vigore delle modifiche apportate al regolamento di
cui all'articolo 33, comma 3, della
medesima legge in applicazione
del
comma 1 del presente articolo.
Art. 4.
Informativa
all'interessato
1.
Nell'articolo 10, comma 1,
lettera f), della legge 31 dicembre
1996, n.
675, le parole: "e, se designato, del responsabile"
sono
sostituite dalle
seguenti: ", del suo rappresentante nel territorio
dello Stato
e di almeno un responsabile, da indicare nel soggetto
eventualmente designato ai fini di cui all'articolo 13,
indicando il
sito della
rete di comunicazione o le modalita' attraverso le quali
e' altrimenti
conoscibile in modo agevole l'elenco aggiornato dei
responsabili.".
Art. 5.
Misure precontrattuali e
bilanciamento di interessi
1.
Nell'articolo 12, comma 1, lettera
b), della legge 31 dicembre
1996, n.
675, le parole:
"per l'acquisizione di
informative
precontrattuali attivate" sono sostituite dalle
seguenti: "per
l'esecuzione
di misure precontrattuali adottate".
2. Nell'articolo 12, comma 1, della legge 31
dicembre 1996, n. 675,
e'
inserita in fine la seguente lettera:
"h-bis) e' necessario, nei
casi individuati dal Garante sulla
base dei
principi sanciti dalla legge,
per perseguire un legittimo
interesse del
titolare o di un terzo destinatario dei dati, qualora
non
prevalgano i diritti e le liberta' fondamentali, la dignita' o un
legittimo
interesse dell'interessato.".
Art. 6.
Limiti al diritto di
accesso
1. Nell'articolo 14, comma 1, della legge 31
dicembre 1996, n. 675,
e'
aggiunta in fine la seguente lettera:
"e-bis) da fornitori di servizi di telecomunicazioni accessibili
al pubblico,
limitatamente ai dati
personali identificativi di
chiamate telefoniche entranti, salvo che possa
derivarne pregiudizio
per
lo svolgimento delle investigazioni difensive di cui alla legge 7
dicembre
2000, n. 397.".
Art. 7.
Presupposti per la comunicazione e la
diffusione dei dati
1. Nell'articolo 20, comma 1, della legge 31
dicembre 1996, n. 675,
dopo
la lettera a) e' inserita la seguente:
"a-bis) qualora siano necessarie
per l'esecuzione di obblighi
derivanti da
un contratto del
quale e' parte l'interessato o per
l'esecuzione di misure precontrattuali adottate su richiesta di
quest'ultimo,".
2. Nell'articolo 20, comma 1, della legge 31
dicembre 1996, n. 675,
e'
inserita in fine la seguente lettera:
"h-bis) limitatamente alla
comunicazione, quando questa
sia
necessaria, nei casi individuati dal Garante sulla base
dei principi
sanciti dalla
legge, per perseguire
un legittimo interesse del
titolare o di un terzo destinatario dei dati, qualora
non prevalgano
i diritti
e le liberta' fondamentali, la
dignita' o un legittimo
interesse
dell'interessato.".
Art. 8.
Dati sensibili
1.
Nell'articolo 22 della legge 31
dicembre 1996, n. 675, dopo il
comma
1-bis e' inserito il seguente:
"1-ter. Il comma 1 non si applica, altresi', ai dati
riguardanti
l'adesione di associazioni od organizzazioni a
carattere sindacale o
di
categoria ad altre associazioni, organizzazioni o confederazioni a
carattere
sindacale o di categoria".
2.
Nell'articolo 22 della legge 31 dicembre 1996, n. 675, il comma
4
e' sostituito dal seguente:
"4.
I dati personali indicati al comma 1 possono essere oggetto di
trattamento
previa autorizzazione del Garante:
a) qualora il trattamento sia effettuato
da associazioni, enti od
organismi senza
scopo di lucro, anche non riconosciuti, a carattere
politico, filosofico,
religioso o sindacale, ivi compresi partiti e
movimenti politici,
confessioni e comunita'
religiose, per il
perseguimento di
finalita' lecite, relativamente
ai dati personali
degli
aderenti o dei soggetti che in relazione a tali finalita' hanno
contatti
regolari con l'associazione, ente od organismo, sempre che i
dati non
siano comunicati o
diffusi fuori del relativo
ambito e
l'ente, l'associazione o l'organismo determinino
idonee garanzie
relativamente
ai trattamenti effettuati;
b) qualora il trattamento sia
necessario per la salvaguardia
della vita o dell'incolumita' fisica
dell'interessato o di un terzo,
nel caso
in cui l'interessato non puo' prestare il proprio consenso
per
impossibilita' fisica, per incapacita' di agire o per incapacita'
d'intendere
o di volere;
c) qualora il trattamento sia
necessario ai fini
dello
svolgimento delle
investigazioni difensive di
cui alla legge 7
dicembre
2000, n. 397 o, comunque, per far valere o difendere in sede
giudiziaria un
diritto, di rango
pari a quello dell'interessato
quando i
dati siano idonei a rivelare lo
stato di salute e la vita
sessuale, sempre
che i dati siano trattati
esclusivamente per tali
finalita' e
per il periodo
strettamente necessario al
loro
perseguimento. Il
Garante prescrive le misure e gli accorgimenti di
cui al comma 2 e promuove la sottoscrizione di
un apposito codice di
deontologia e
di buona condotta
secondo le modalita'
di cui
all'articolo 31,
comma 1, lettera h). Resta fermo quanto previsto
dall'articolo
43, comma 2.".
Art. 9.
Verifiche preliminari
1.
Dopo l'articolo 24
della legge 31 dicembre 1996, n.
675, e'
inserito
il seguente:
"Art. 24-bis (Altri dati particolari).
- 1. Il trattamento dei dati
diversi da
quelli di cui agli articoli 22 e
24 che presenta rischi
specifici per
i diritti e le liberta'
fondamentali, nonche' per la
dignita' dell'interessato, in relazione alla natura dei dati o alle
modalita' del
trattamento o agli effetti che puo' determinare, e'
ammesso nel
rispetto di misure
ed accorgimenti a
garanzia
dell'interessato,
ove prescritti.
2.
Le misure e gli accorgimenti di
cui al comma 1 sono prescritti
dal Garante
sulla base dei principi sanciti dalla legge nell'ambito
di una
verifica preliminare all'inizio
del trattamento, effettuata
anche in relazione a
determinate categorie di
titolari o di
trattamenti,
sulla base di un eventuale interpello del titolare.".
Art. 10.
Semplificazione e
garanzie per i
trasferimenti di dati personali
all'estero
1. Nell'articolo 28, comma 1, della legge 31
dicembre 1996, n. 675,
le parole: "o riguardi taluno dei dati di
cui agli articoli 22 e 24"
sono sostituite
dalle seguenti: "e ricorra uno dei casi individuati
ai
sensi dell'articolo 7, comma 1".
2. Nell'articolo 28, comma 3, della legge 31
dicembre 1996, n. 675,
le
parole da: "ovvero," fino alla fine del periodo sono soppresse.
3.
Nell'articolo 28, comma 4,
lettera b), della legge 31 dicembre
1996, n.
675, le parole:
"per l'acquisizione di
informative
precontrattuali attivate" sono sostituite dalle
seguenti: "per
l'esecuzione
di misure precontrattuali adottate".
4.
Nell'articolo 28, comma 4,
lettera g), della legge 31 dicembre
1996, n.
675, sono inserite in fine le seguenti parole: ",
ovvero
individuate
dalla Commissione europea con le decisioni previste dagli
articoli 25,
paragrafo 6, e
26, paragrafo 4, della direttiva
n.
95/46/CE
del Parlamento europeo e del Consiglio del 24 ottobre 1995".
Art. 11.
Misure per il trattamento illecito o
non corretto
1.
Nella lettera c)
del comma 1 dell'articolo 31 della legge 31
dicembre 1996,
n. 675, la parola: "opportune" e' sostituita
dalle
seguenti:
"necessarie o opportune".
2.
Nella lettera l)
del comma 1 dell'articolo 31 della legge 31
dicembre 1996,
n. 675, dopo
la parola: "blocco" sono inserite le
seguenti: "se
il trattamento risulta illecito
o non corretto anche
per effetto
della mancata adozione delle misure necessarie di cui
alla
lettera c), oppure".
Art. 12.
Sanzione in tema di
notificazione
1. L'articolo 34 della legge 31 dicembre
1996, n. 675 e' sostituito
dal
seguente:
"Art.
34 (Omessa o
incompleta notificazione). -
1. Chiunque,
essendovi tenuto, non provvede tempestivamente alle
notificazioni in
conformita' a
quanto previsto dagli articoli
7, 16, comma 1, e 28,
ovvero indica
in esse notizie incomplete, e' punito con la sanzione
amministrativa del
pagamento di una somma da lire dieci milioni a
lire sessanta
milioni e con la sanzione amministrativa accessoria
della
pubblicazione dell'ordinanza-ingiunzione.".
2.
Alle violazioni dell'articolo 34
della legge 31 dicembre 1996,
n.
675, commesse prima dell'entrata in vigore del presente decreto si
applicano, in
quanto compatibili, le
disposizioni di cui
agli
articoli 100, 101 e 102 del decreto legislativo 30
dicembre 1999, n.
507.".
Art. 13.
Trattamento illecito di dati
personali
1. Nell'articolo 35, comma 2, della legge 31
dicembre 1996, n. 675,
le parole:
"comunica o diffonde" sono sostituite dalle seguenti:
"procede al
trattamento di" e le parole:
"e 24, ovvero" sono
sostituite
dalle parole: ", 24 e 24-bis, ovvero".
Art. 14.
Omessa adozione di misure minime
di sicurezza
1.
L'articolo 36 della
legge 31 dicembre
1996, n. 675,
e'
sostituito
dal seguente:
"Art.
36 (Omessa adozione di misure
necessarie alla sicurezza dei
dati).
- 1. Chiunque, essendovi tenuto, omette
di adottare le misure
necessarie
a garantire la sicurezza dei dati personali, in violazione
delle disposizioni dei regolamenti di
cui ai commi 2 e 3
dell'articolo
15, e'
punito con l'arresto
sino a due anni o con
l'ammenda
da lire dieci milioni a lire ottanta milioni.
2.
All'autore del reato,
all'atto dell'accertamento o, nei casi
complessi, anche
con successivo atto del Garante,
e' impartita una
prescrizione fissando
un termine per
la regolarizzazione non
eccedente
il periodo di tempo tecnicamente necessario, prorogabile in
caso di
particolare complessita' o
per l'oggettiva difficolta'
dell'adempimento e
comunque non superiore a sei
mesi. Nei sessanta
giorni successivi allo scadere del termine, se
risulta l'adempimento
alla
prescrizione, l'autore del reato e' ammesso dal Garante a pagare
una somma
pari al quarto del massimo
dell'ammenda stabilita per la
contravvenzione. L'adempimento e il pagamento estinguono
il reato.
L'organo che
impartisce la prescrizione e il pubblico ministero
provvedono nei modi di cui agli articoli 21, 22, 23 e
24 del decreto
legislativo
19 dicembre 1994, n. 758, in quanto applicabili.".
2.
Per i procedimenti penali per il reato di cui all'articolo 36
della
legge 31 dicembre 1996, n. 675 in corso, entro quaranta giorni,
dall'entrata in
vigore del presente decreto l'autore del reato puo'
fare richiesta
all'autorita' giudiziaria di
essere ammesso alla
procedura indicata all'articolo 36, comma 2, della
medesima legge n.
675 del
1996, come sostituito
dal presente decreto.
L'Autorita'
giudiziaria dispone
la sospensione del procedimento e trasmette gli
atti al Garante per la protezione dei dati
personali che provvede ai
sensi
del medesimo articolo 36, comma 2.
Art. 15.
Inosservanza di provvedimenti di
divieto o di blocco
1. Nell'articolo 37, comma 1, della legge 31
dicembre 1996, n. 675,
le parole:
"o dell'articolo 29, commi 4 e 5," sono sostituite dalle
seguenti: "o
degli articoli 29, commi 4 e 5, e 31, comma 1, lettera
l),".
Art. 16.
False comunicazioni e
dichiarazioni
1.
Dopo l'articolo 37 della
legge 31 dicembre 1996, n. 675,
e'
inserito
il seguente:
"Art. 37-bis (Falsita' nelle
dichiarazioni e nelle notificazioni al
Garante).
- 1. Chiunque, nelle notificazioni di
cui agli articoli 7,
16,
comma 1, e 28 o in atti, documenti o dichiarazioni resi o esibiti
in un
procedimento dinanzi al Garante
o nel corso di accertamenti,
dichiara o attesta falsamente notizie o circostanze o
produce atti o
documenti
falsi, e' punito, salvo che il fatto costituisca piu' grave
reato,
con la reclusione da sei mesi a tre anni.".
Art. 17.
Adeguamento di sanzioni
amministrative
1.
Nell'articolo 39, comma 1, della legge 31 dicembre 1996, n.
675, le
parole: "da lire
un milione a
lire sei milioni" sono
sostituite dalle
seguenti: "da lire
cinquemilioni a lire
trentamilioni".
2. L'articolo 39, comma 2, della legge 31
dicembre 1996, n. 675, e'
sostituito
dal seguente:
"2.
La violazione delle
disposizioni di cui all'articolo
10 e'
punita con
la sanzione amministrativa del pagamento di una somma da
lire tre
milioni a lire
diciotto milioni o, nei casi di cui agli
articoli 22,
24 e 24-bis o, comunque, di maggiore rilevanza del
pregiudizio
per uno o piu' interessati, da lire cinque milioni a lire
trenta milioni. La somma puo' essere aumentata sino
al triplo quando
essa risulti
inefficace in ragione delle
condizioni economiche del
contravventore. La violazione della disposizione di cui
all'articolo
23, comma
2, e' punita con la sanzione amministrativa del pagamento
di
una somma da lire cinquecentomila a lire tre milioni.".
3. Nell'articolo 39, comma 3, della legge 31
dicembre 1996, n. 675,
e successive
modificazioni ed integrazioni, le parole: "presente
articolo"
sono sostituite dalle seguenti: "presente capo".
Art. 18.
Adeguamento dei trattamenti alla
disciplina comunitaria
1. Nell'articolo 41, comma 1, della legge 31
dicembre 1996, n. 675,
e' aggiunto
in fine il
seguente periodo: "Le
disposizioni del
presente
comma restano in vigore sino alla data del 30 giugno 2003.".
Art. 19.
Investigazioni difensive
1.
Negli articoli 10, comma 4, 12,
comma 1, lettera h), 20, comma
1, lettera g) e 28, comma 4, lettera
d)&D,;, della legge 31 dicembre
1996,
n. 675, le parole: "investigazioni di cui all'articolo 38 delle
norme di
attuazione, di coordinamento e transitorie del codice di
procedura penale,
approvate con decreto legislativo 28 luglio 1989,
n. 271,
e successive
modificazioni," sono sostituite dalle parole:
"investigazioni difensive
di cui alla legge 7 dicembre 2000, n.
397,".
Capo II
Attuazione dei principi di protezione dei dati in determinati settori
Art. 20.
Codici di deontologia e di buona
condotta
1.
Al fine di garantire la piena
attuazione dei principi previsti
dalla disciplina
in materia di trattamento dei dati personali, ai
sensi dell'articolo 31, comma 1, lettera h), della
legge 31 dicembre