Delega al Governo in materia di tutela delle persone e dialtri soggetti rispetto al trattamento dei dati personali.

Legge 31 dicembre 1996, n. 676 (in Gazz. Uff., 8 gennaio 1997, n. 5,
s.o.). — Delega al Governo in materia di tutela delle persone e di
altri soggetti rispetto al trattamento dei dati personali.

Art. 1.

Delega per l’emanazione di disposizioni integrative della
legislazione in materia di tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali.

1. Il Governo della Repubblica è delegato ad emanare, entro
diciotto mesi dalla data di entrata in vigore della presente legge,
uno o più decreti legislativi recanti disposizioni integrative della
legislazione in materia di tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali, con l’osservanza dei
seguenti princìpi e criteri direttivi:
a) specificare le modalità di trattamento dei dati personali
utilizzati a fini storici, di ricerca e di statistica, tenendo conto
dei princìpi contenuti nella raccomandazione n. R. [83] 10, adottata
il 23 settembre 1983 dal Consiglio d’Europa, e successive
modificazioni, con particolare riferimento alla durata della loro
conservazione ed alle garanzie adeguate prescritte dalla normativa
comunitaria riguardo ai dati raccolti per scopi diversi da quelli
statistici, storici o scientifici e successivamente conservati per
tali, diverse finalità;
b) garantire la piena attuazione dei princìpi previsti dalla
legislazione in materia di dati personali nell’ambito dei diversi
settori di attività, nel rispetto dei criteri direttivi e dei
princìpi della normativa comunitaria e delle seguenti raccomandazioni
adottate dal Consiglio d’Europa;
1) n. R. [81] 1, del 23 gennaio 1981, in materia di dati
sanitari, e successive modificazioni;
2) n. R. [85] 20, del 25 ottobre 1985, sui dati utilizzati per
fini di direct marketing;
3) n. R. [86] 1, del 23 gennaio 1986, sui dati impiegati per
scopi di sicurezza sociale;
4) n. R. [89] 2, del 18 gennaio 1989, sui dati utilizzati per
finalità di lavoro;
5) n. R. [90] 19, del 13 settembre 1990, in materia di dati
personali utilizzati per finalità di pagamento e di altre operazioni
connesse;
6) n. R. [91] 10, del 9 settembre 1991, sulla comunicazione a
terzi dei dati personali detenuti da organi pubblici;
7) n. R. [95] 4, del 7 febbraio 1995, sulla protezione dei dati
personali nel settore dei servizi di telecomunicazione, con
particolare riguardo ai servizi telefonici;
c) razionalizzare il trattamento economico del personale del
Garante per la protezione dei dati personali in relazione a quello
previsto dall’ordinamento per ogni altra Autorità di garanzia secondo
il tendenziale criterio dell’uniformità a parità di responsabilità
costituzionale;
d) individuare i presupposti per l’attribuzione di un numero di
identificazione personale, ivi compreso il codice fiscale, e per il
trattamento del medesimo e delle informazioni ad esso connesse,
nonché per il collegamento con altri dati, sentita l’Autorità per
l’informatica nella pubblica amministrazione, prevedendo adeguate
garanzie con riferimento ai numeri di identificazione personale
connessi a dati di carattere sensibile o idonei a rivelare i
provvedimenti di cui all’articolo 686, commi 1, lettere a) e d), 2 e
3 del codice di procedura penale;
e) stabilire le modalità e i termini per l’aggiornamento, per la
rettificazione e per le altre modificazioni dei dati effettuati in
conseguenza dell’esercizio dei diritti dell’interessato o di un
provvedimento del Garante per la protezione dei dati personali,
quando i dati personali sono riprodotti su disco ottico;
f) prevedere forme semplificate di notificazione del trattamento
dei dati personali e del loro trasferimento all’estero, con
particolare riguardo ai trattamenti non automatizzati di dati diversi
da quelli sensibili e da quelli di cui all’articolo 686 del codice di
procedura penale, ed ulteriori casi di esonero dal relativo obbligo
per trattamenti da individuare preventivamente che, in ragione delle
relative modalità o della natura dei dati personali, non presentino
rischi di un danno all’interessato, ferma restando l’applicabilità
delle altre disposizioni di legge;
g) prevedere forme di semplificazione degli adempimenti a carico
delle piccole imprese e di coloro che esercitano imprese artigiane;
h) estendere l’applicazione delle disposizioni relative al
trattamento dei dati da parte di chi esercita la professione di
giornalista, ad eccezione delle disposizioni concernenti i dati
sensibili, ai soggetti che esercitano con carattere di continuità
l’attività di pubblicista o di praticante giornalista iscritti,
rispettivamente, negli elenchi di cui agli articoli 26 e 33 della
legge 3 febbraio 1963, n. 69;
i) adattare, ai trattamenti in ambito pubblico esclusi
dall’applicazione della legislazione in materia di tutela delle
persone e di altri soggetti rispetto al trattamento dei dati
personali, i princìpi desumibili dalla medesima legislazione, sulla
base dei seguenti criteri;
1) pieno recepimento dei princìpi medesimi;
2) rispetto dei princìpi stabiliti dalla Convenzione n. 108
sulla protezione delle persone rispetto al trattamento automatizzato
di dati di carattere personale, adottata a Strasburgo il 28 gennaio
1981 e resa esecutiva con legge 21 febbraio 1989, n. 98, nonché della
normativa comunitaria, tenendo conto dei criteri di cui alla
raccomandazione n. R. [87] 15, adottata il 17 settembre 1987 dal
Consiglio d’Europa;
3) ricognizione puntuale dei soggetti pubblici titolari dei
trattamenti esclusi, nonché dei medesimi trattamenti;
4) introduzione degli adattamenti resi indispensabili dalla
specificità degli interessi perseguiti dai suddetti trattamenti in
ambito pubblico;
5) particolare considerazione per i trattamenti di dati che
implichino maggiori rischi di un danno all’interessato;
6) specificazione delle modalità attraverso le quali si svolge
il controllo sul rispetto delle disposizioni di legge che presiedono
ai suddetti trattamenti in ambito pubblico;
l) prevedere norme che favoriscano lo sviluppo dell’informatica
giuridica e le modalità di collegamento, per l’autorità giudiziaria e
per l’autorità di pubblica sicurezza, con le banche dati della
pubblica amministrazione;
m) mantenere il raccordo tra le attività del Garante per la
protezione dei dati personali e quelle dell’Autorità per
l’informatica nella pubblica amministrazione, anche modificando le
disposizioni della legislazione in materia di tutela delle persone e
di altri soggetti rispetto al trattamento dei dati personali e del
decreto legislativo 12 febbraio 1993, n. 39, e successive
modificazioni, nonché l’armonizzazione dello stato giuridico del
relativo personale;
n) stabilire le modalità applicative della legislazione in
materia di protezione dei dati personali ai servizi di comunicazione
e di informazione offerti per via telematica, individuando i titolari
del trattamento di dati inerenti i servizi accessibili al pubblico e
la corrispondenza privata, nonché i compiti del gestore anche in
rapporto alle connessioni con reti sviluppate su base internazionale;
o) individuare i casi in cui, all’atto della comunicazione e
della diffusione di dati personali provenienti da archivi, registri,
elenchi, atti o documenti tenuti da pubbliche amministrazioni, debba
essere indicata la fonte di acquisizione dei dati.

Art. 2.

Delega per l’emanazione di disposizioni correttive della legislazione
in materia di tutela delle persone e di altri soggetti rispetto al
trattamento dei dati personali.

1. Il Governo della Repubblica è delegato ad emanare, entro
diciotto mesi dalla data di entrata in vigore della presente legge,
uno o più decreti legislativi recanti disposizioni correttive della
legislazione in materia di tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali, con l’osservanza dei
seguenti princìpi e criteri direttivi:
a) rispetto dei princìpi e della impostazione sistematica della
legislazione in materia di tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali;
b) introduzione delle sole correzioni a tale legislazione che,
dopo il primo periodo di applicazione della medesima, sentiti il
Garante per la protezione dei dati personali e nelle materie di sua
competenza l’Autorità per l’informatica nella pubblica
amministrazione, si dimostrino necessarie per realizzarne pienamente
i princìpi o per assicurarne la migliore attuazione o per adeguarla
all’evoluzione tecnica del settore.

Art. 3.

Esercizio della delega.

1. I decreti legislativi di cui agli articoli 1 e 2 sono adottati
ai sensi dell’articolo 14 della legge 23 agosto 1988, n. 400.