Non profit

Disposizioni correttive ed integrative della normativa in materia di protezione dei dati personali, a norma dell’articolo 1 della legge 24 marzo 2001, n. 127

di Redazione

DECRETO LEGISLATIVO 28 dicembre 2001, n.467
Disposizioni correttive ed integrative della normativa in materia di protezione dei dati personali, a norma dell’articolo 1 della legge 24 marzo 2001, n. 127.
(GU n. 13 del 16-1-2002)
(testo in vigore dal: 1-2-2002)

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;
Vista la legge 31 dicembre 1996, n. 675, e successive modificazioni
ed integrazioni;
Vista la legge 31 dicembre 1996, n. 676, recante delega al Governo
in materia di tutela delle persone e di altri soggetti rispetto al
trattamento dei dati personali;
Vista la direttiva 95/46/CE del Consiglio, del 24 ottobre 1995,
relativa alla tutela delle persone fisiche con riguardo al
trattamento dei dati personali, nonche’ alla libera circolazione di
tali dati;
Vista la legge 24 marzo 2001, n. 127, recante differimento del
termine per l’esercizio della delega prevista dalla legge 31 dicembre
1996, n. 676;
Vista la direttiva 97/66/CE del Parlamento europeo e del Consiglio,
del 15 dicembre 1997, sul trattamento dei dati personali e sulla
tutela della vita privata nel settore delle telecomunicazioni;
Vista la raccomandazione del Consiglio d’Europa n. (95) 4 del 7
febbraio 1995, sulla protezione dei dati personali nel settore dei
servizi di telecomunicazioni, con particolare riguardo ai servizi
telefonici;
Visto il decreto legislativo 13 maggio 1998, n. 171, recante
disposizioni in materia di tutela della vita privata nel settore
delle telecomunicazioni, in attuazione della direttiva 97/66/CE del
Parlamento europeo e del Consiglio;
Sentito il Garante per la protezione dei dati personali;
Vista la deliberazione preliminare del Consiglio dei Ministri,
adottata nella riunione del 21 novembre 2001;
Acquisito il parere delle competenti Commissioni della Camera dei
deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei Ministri, adottata nella
riunione del 21 dicembre 2001;
Sulla proposta del Presidente del Consiglio dei Ministri, di
concerto con il Ministro della giustizia;

E m a n a

il seguente decreto legislativo:

Art. 1. Definizioni e diritto nazionale applicabile
1. Agli effetti dell’applicazione del presente decreto si applicano
le definizioni elencate nell’articolo 1, comma 2, della legge 31
dicembre 1996, n. 675.
2. Nell’articolo 2 della legge 31 dicembre 1996, n. 675, sono
aggiunti i seguenti commi:
“1-bis. La presente legge si applica anche al trattamento di dati
personali effettuato da chiunque e’ stabilito nel territorio di un
Paese non appartenente al-l’Unione europea e impiega, per il
trattamento, mezzi situati nel territorio dello Stato anche diversi
da quelli elettronici o comunque automatizzati, salvo che essi siano
utilizzati solo ai fini di transito nel territorio dell’Unione
europea.
1-ter. Nei casi di cui al comma 1-bis il titolare stabilito nel
territorio di un Paese non appartenente al-l’Unione europea deve
designare ai fini dell’applicazione della presente legge un proprio
rappresentante stabilito nel territorio dello Stato.”.

Art. 2. Trattamenti per fini esclusivamente personali
1. Nell’articolo 3, comma 2, della legge 31 dicembre 1996, n. 675,
le parole: “le disposizioni di cui agli articoli 18 e 36” sono
sostituite dalle seguenti: “l’articolo 18”.

Art. 3. Semplificazione dei casi e delle modalita’ di notificazione
1. Nell’articolo 7, comma 1, della legge 31 dicembre 1996, n. 675,
e’ aggiunto in fine il seguente periodo: “se il trattamento, in
ragione delle relative modalita’ o della natura dei dati personali,
sia suscettibile di recare pregiudizio ai diritti e alle liberta’
dell’interessato, e nei soli casi e con le modalita’ individuati con
il regolamento di cui all’articolo 33, comma 3.”.
2. Nell’articolo 7, comma 2, della legge 31 dicembre 1996, n. 675,
le parole: “indicati nel comma 4” sono sostituite dalle seguenti:
“che devono essere indicati”.
3. Nell’articolo 7, comma 4, lettera h), della legge 31 dicembre
1996, n. 675, le parole: “del responsabile;” sono sostituite dalle
seguenti: “del rappresentante del titolare nel territorio dello Stato
e di almeno un responsabile, da indicare nel soggetto eventualmente
designato ai fini di cui all’articolo 13;”.
4. Le disposizioni di cui all’articolo 7, commi 3, 4, 5, 5-bis,
5-ter, 5-quater e 5-quinquies, 13, comma 1, lettera b) e 28, comma 7,
della legge 31 dicembre 1996, n. 675 sono abrogate a decorrere dalla
data di entrata in vigore delle modifiche apportate al regolamento di
cui all’articolo 33, comma 3, della medesima legge in applicazione
del comma 1 del presente articolo.

Art. 4. Informativa all’interessato
1. Nell’articolo 10, comma 1, lettera f), della legge 31 dicembre
1996, n. 675, le parole: “e, se designato, del responsabile” sono
sostituite dalle seguenti: “, del suo rappresentante nel territorio
dello Stato e di almeno un responsabile, da indicare nel soggetto
eventualmente designato ai fini di cui all’articolo 13, indicando il
sito della rete di comunicazione o le modalita’ attraverso le quali
e’ altrimenti conoscibile in modo agevole l’elenco aggiornato dei
responsabili.”.

Art. 5. Misure precontrattuali e bilanciamento di interessi
1. Nell’articolo 12, comma 1, lettera b), della legge 31 dicembre
1996, n. 675, le parole: “per l’acquisizione di informative
precontrattuali attivate” sono sostituite dalle seguenti: “per
l’esecuzione di misure precontrattuali adottate”.
2. Nell’articolo 12, comma 1, della legge 31 dicembre 1996, n. 675,
e’ inserita in fine la seguente lettera:
“h-bis) e’ necessario, nei casi individuati dal Garante sulla
base dei principi sanciti dalla legge, per perseguire un legittimo
interesse del titolare o di un terzo destinatario dei dati, qualora
non prevalgano i diritti e le liberta’ fondamentali, la dignita’ o un
legittimo interesse dell’interessato.”.

Art. 6. Limiti al diritto di accesso
1. Nell’articolo 14, comma 1, della legge 31 dicembre 1996, n. 675,
e’ aggiunta in fine la seguente lettera:
“e-bis) da fornitori di servizi di telecomunicazioni accessibili
al pubblico, limitatamente ai dati personali identificativi di
chiamate telefoniche entranti, salvo che possa derivarne pregiudizio
per lo svolgimento delle investigazioni difensive di cui alla legge 7
dicembre 2000, n. 397.”.

Art. 7. Presupposti per la comunicazione e la diffusione dei dati
1. Nell’articolo 20, comma 1, della legge 31 dicembre 1996, n. 675,
dopo la lettera a) e’ inserita la seguente:
“a-bis) qualora siano necessarie per l’esecuzione di obblighi
derivanti da un contratto del quale e’ parte l’interessato o per
l’esecuzione di misure precontrattuali adottate su richiesta di
quest’ultimo,”.
2. Nell’articolo 20, comma 1, della legge 31 dicembre 1996, n. 675,
e’ inserita in fine la seguente lettera:
“h-bis) limitatamente alla comunicazione, quando questa sia
necessaria, nei casi individuati dal Garante sulla base dei principi
sanciti dalla legge, per perseguire un legittimo interesse del
titolare o di un terzo destinatario dei dati, qualora non prevalgano
i diritti e le liberta’ fondamentali, la dignita’ o un legittimo
interesse dell’interessato.”.

Art. 8. Dati sensibili
1. Nell’articolo 22 della legge 31 dicembre 1996, n. 675, dopo il
comma 1-bis e’ inserito il seguente:
“1-ter. Il comma 1 non si applica, altresi’, ai dati riguardanti
l’adesione di associazioni od organizzazioni a carattere sindacale o
di categoria ad altre associazioni, organizzazioni o confederazioni a
carattere sindacale o di categoria”.
2. Nell’articolo 22 della legge 31 dicembre 1996, n. 675, il comma
4 e’ sostituito dal seguente:
“4. I dati personali indicati al comma 1 possono essere oggetto di
trattamento previa autorizzazione del Garante:
a) qualora il trattamento sia effettuato da associazioni, enti od
organismi senza scopo di lucro, anche non riconosciuti, a carattere
politico, filosofico, religioso o sindacale, ivi compresi partiti e
movimenti politici, confessioni e comunita’ religiose, per il
perseguimento di finalita’ lecite, relativamente ai dati personali
degli aderenti o dei soggetti che in relazione a tali finalita’ hanno
contatti regolari con l’associazione, ente od organismo, sempre che i
dati non siano comunicati o diffusi fuori del relativo ambito e
l’ente, l’associazione o l’organismo determinino idonee garanzie
relativamente ai trattamenti effettuati;
b) qualora il trattamento sia necessario per la salvaguardia
della vita o dell’incolumita’ fisica dell’interessato o di un terzo,
nel caso in cui l’interessato non puo’ prestare il proprio consenso
per impossibilita’ fisica, per incapacita’ di agire o per incapacita’
d’intendere o di volere;
c) qualora il trattamento sia necessario ai fini dello
svolgimento delle investigazioni difensive di cui alla legge 7
dicembre 2000, n. 397 o, comunque, per far valere o difendere in sede
giudiziaria un diritto, di rango pari a quello dell’interessato
quando i dati siano idonei a rivelare lo stato di salute e la vita
sessuale, sempre che i dati siano trattati esclusivamente per tali
finalita’ e per il periodo strettamente necessario al loro
perseguimento. Il Garante prescrive le misure e gli accorgimenti di
cui al comma 2 e promuove la sottoscrizione di un apposito codice di
deontologia e di buona condotta secondo le modalita’ di cui
all’articolo 31, comma 1, lettera h). Resta fermo quanto previsto
dall’articolo 43, comma 2.”.

Art. 9. Verifiche preliminari
1. Dopo l’articolo 24 della legge 31 dicembre 1996, n. 675, e’
inserito il seguente:
“Art. 24-bis (Altri dati particolari). – 1. Il trattamento dei dati
diversi da quelli di cui agli articoli 22 e 24 che presenta rischi
specifici per i diritti e le liberta’ fondamentali, nonche’ per la
dignita’ dell’interessato, in relazione alla natura dei dati o alle
modalita’ del trattamento o agli effetti che puo’ determinare, e’
ammesso nel rispetto di misure ed accorgimenti a garanzia
dell’interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti
dal Garante sulla base dei principi sanciti dalla legge nell’ambito
di una verifica preliminare all’inizio del trattamento, effettuata
anche in relazione a determinate categorie di titolari o di
trattamenti, sulla base di un eventuale interpello del titolare.”.

Art. 10. Semplificazione e garanzie per i trasferimenti di dati personali all’estero
1. Nell’articolo 28, comma 1, della legge 31 dicembre 1996, n. 675,
le parole: “o riguardi taluno dei dati di cui agli articoli 22 e 24”
sono sostituite dalle seguenti: “e ricorra uno dei casi individuati
ai sensi dell’articolo 7, comma 1”.
2. Nell’articolo 28, comma 3, della legge 31 dicembre 1996, n. 675,
le parole da: “ovvero,” fino alla fine del periodo sono soppresse.
3. Nell’articolo 28, comma 4, lettera b), della legge 31 dicembre
1996, n. 675, le parole: “per l’acquisizione di informative
precontrattuali attivate” sono sostituite dalle seguenti: “per
l’esecuzione di misure precontrattuali adottate”.
4. Nell’articolo 28, comma 4, lettera g), della legge 31 dicembre
1996, n. 675, sono inserite in fine le seguenti parole: “, ovvero
individuate dalla Commissione europea con le decisioni previste dagli
articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva n.
95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995”.

Art. 11. Misure per il trattamento illecito o non corretto
1. Nella lettera c) del comma 1 dell’articolo 31 della legge 31
dicembre 1996, n. 675, la parola: “opportune” e’ sostituita dalle
seguenti: “necessarie o opportune”.
2. Nella lettera l) del comma 1 dell’articolo 31 della legge 31
dicembre 1996, n. 675, dopo la parola: “blocco” sono inserite le
seguenti: “se il trattamento risulta illecito o non corretto anche
per effetto della mancata adozione delle misure necessarie di cui
alla lettera c), oppure”.

Art. 12. Sanzione in tema di notificazione
1. L’articolo 34 della legge 31 dicembre 1996, n. 675 e’ sostituito
dal seguente:
“Art. 34 (Omessa o incompleta notificazione). – 1. Chiunque,
essendovi tenuto, non provvede tempestivamente alle notificazioni in
conformita’ a quanto previsto dagli articoli 7, 16, comma 1, e 28,
ovvero indica in esse notizie incomplete, e’ punito con la sanzione
amministrativa del pagamento di una somma da lire dieci milioni a
lire sessanta milioni e con la sanzione amministrativa accessoria
della pubblicazione dell’ordinanza-ingiunzione.”.
2. Alle violazioni dell’articolo 34 della legge 31 dicembre 1996,
n. 675, commesse prima dell’entrata in vigore del presente decreto si
applicano, in quanto compatibili, le disposizioni di cui agli
articoli 100, 101 e 102 del decreto legislativo 30 dicembre 1999, n.
507.”.

Art. 13. Trattamento illecito di dati personali
1. Nell’articolo 35, comma 2, della legge 31 dicembre 1996, n. 675,
le parole: “comunica o diffonde” sono sostituite dalle seguenti:
“procede al trattamento di” e le parole: “e 24, ovvero” sono
sostituite dalle parole: “, 24 e 24-bis, ovvero”.

Art. 14. Omessa adozione di misure minime di sicurezza
1. L’articolo 36 della legge 31 dicembre 1996, n. 675, e’
sostituito dal seguente:
“Art. 36 (Omessa adozione di misure necessarie alla sicurezza dei
dati). – 1. Chiunque, essendovi tenuto, omette di adottare le misure
necessarie a garantire la sicurezza dei dati personali, in violazione
delle disposizioni dei regolamenti di cui ai commi 2 e 3
dell’articolo 15, e’ punito con l’arresto sino a due anni o con
l’ammenda da lire dieci milioni a lire ottanta milioni.
2. All’autore del reato, all’atto dell’accertamento o, nei casi
complessi, anche con successivo atto del Garante, e’ impartita una
prescrizione fissando un termine per la regolarizzazione non
eccedente il periodo di tempo tecnicamente necessario, prorogabile in
caso di particolare complessita’ o per l’oggettiva difficolta’
dell’adempimento e comunque non superiore a sei mesi. Nei sessanta
giorni successivi allo scadere del termine, se risulta l’adempimento
alla prescrizione, l’autore del reato e’ ammesso dal Garante a pagare
una somma pari al quarto del massimo dell’ammenda stabilita per la
contravvenzione. L’adempimento e il pagamento estinguono il reato.
L’organo che impartisce la prescrizione e il pubblico ministero
provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto
legislativo 19 dicembre 1994, n. 758, in quanto applicabili.”.
2. Per i procedimenti penali per il reato di cui all’articolo 36
della legge 31 dicembre 1996, n. 675 in corso, entro quaranta giorni,
dall’entrata in vigore del presente decreto l’autore del reato puo’
fare richiesta all’autorita’ giudiziaria di essere ammesso alla
procedura indicata all’articolo 36, comma 2, della medesima legge n.
675 del 1996, come sostituito dal presente decreto. L’Autorita’
giudiziaria dispone la sospensione del procedimento e trasmette gli
atti al Garante per la protezione dei dati personali che provvede ai
sensi del medesimo articolo 36, comma 2.

Art. 15. Inosservanza di provvedimenti di divieto o di blocco
1. Nell’articolo 37, comma 1, della legge 31 dicembre 1996, n. 675,
le parole: “o dell’articolo 29, commi 4 e 5,” sono sostituite dalle
seguenti: “o degli articoli 29, commi 4 e 5, e 31, comma 1, lettera
l),”.

Art. 16. False comunicazioni e dichiarazioni
1. Dopo l’articolo 37 della legge 31 dicembre 1996, n. 675, e’
inserito il seguente:
“Art. 37-bis (Falsita’ nelle dichiarazioni e nelle notificazioni al
Garante). – 1. Chiunque, nelle notificazioni di cui agli articoli 7,
16, comma 1, e 28 o in atti, documenti o dichiarazioni resi o esibiti
in un procedimento dinanzi al Garante o nel corso di accertamenti,
dichiara o attesta falsamente notizie o circostanze o produce atti o
documenti falsi, e’ punito, salvo che il fatto costituisca piu’ grave
reato, con la reclusione da sei mesi a tre anni.”.

Art. 17. Adeguamento di sanzioni amministrative
1. Nell’articolo 39, comma 1, della legge 31 dicembre 1996, n.
675, le parole: “da lire un milione a lire sei milioni” sono
sostituite dalle seguenti: “da lire cinquemilioni a lire
trentamilioni”.
2. L’articolo 39, comma 2, della legge 31 dicembre 1996, n. 675, e’
sostituito dal seguente:
“2. La violazione delle disposizioni di cui all’articolo 10 e’
punita con la sanzione amministrativa del pagamento di una somma da
lire tre milioni a lire diciotto milioni o, nei casi di cui agli
articoli 22, 24 e 24-bis o, comunque, di maggiore rilevanza del
pregiudizio per uno o piu’ interessati, da lire cinque milioni a lire
trenta milioni. La somma puo’ essere aumentata sino al triplo quando
essa risulti inefficace in ragione delle condizioni economiche del
contravventore. La violazione della disposizione di cui all’articolo
23, comma 2, e’ punita con la sanzione amministrativa del pagamento
di una somma da lire cinquecentomila a lire tre milioni.”.
3. Nell’articolo 39, comma 3, della legge 31 dicembre 1996, n. 675,
e successive modificazioni ed integrazioni, le parole: “presente
articolo” sono sostituite dalle seguenti: “presente capo”.

Art. 18. Adeguamento dei trattamenti alla disciplina comunitaria
1. Nell’articolo 41, comma 1, della legge 31 dicembre 1996, n. 675,
e’ aggiunto in fine il seguente periodo: “Le disposizioni del
presente comma restano in vigore sino alla data del 30 giugno 2003.”.

Art. 19. Investigazioni difensive
1. Negli articoli 10, comma 4, 12, comma 1, lettera h), 20, comma
1, lettera g) e 28, comma 4, lettera d)&D,;, della legge 31 dicembre
1996, n. 675, le parole: “investigazioni di cui all’articolo 38 delle
norme di attuazione, di coordinamento e transitorie del codice di
procedura penale, approvate con decreto legislativo 28 luglio 1989,
n. 271, e successive modificazioni,” sono sostituite dalle parole:
“investigazioni difensive di cui alla legge 7 dicembre 2000, n.
397,”.

Capo II
Attuazione dei principi di protezione dei dati in determinati settori

Art. 21. Modalita’ di pagamento alternative alla fatturazione
1. All’articolo 5, comma 1, del decreto legislativo 13 maggio 1998,
n. 171, le parole: “consentono che” sono sostituite dalle seguenti:
“sono tenuti a predisporre ogni misura idonea affinche'”.
2. Dopo il comma 1 dell’articolo 5 del decreto legislativo 13
maggio 1998, n. 171, e’ inserito il seguente:
“1-bis. I fornitori di cui al comma 1 sono tenuti a documentare al
Garante, entro il 30 giugno 2002, le misure predisposte. In caso di
mancata documentazione si applica la sanzione amministrativa prevista
dall’articolo 39, comma 1, della legge 31 dicembre 1996, n. 675. In
mancanza di idonee misure il Garante provvede altresi’ ai sensi
dell’articolo 31, comma 1, lettere c) ed l), della medesima legge.”.

Art. 22. Informazione al pubblico sull’identificazione della linea chiamante e collegata
1. All’articolo 6, comma 6, del decreto legislativo 13 maggio 1998,
n. 171, le parole “di tale servizio” sono sostituite dalle seguenti:
“di tale servizio e delle possibilita’ previste ai commi 1, 2, 3 e 4”.

Art. 23. Chiamate di emergenza
1. L’articolo 7 del decreto legislativo 13 maggio 1998, n. 171, e’
cosi’ modificato:
“a) la rubrica e’ sostituita dalla seguente: “(Chiamate di
disturbo e di emergenza)”;
b) dopo il comma 2, e’ aggiunto il seguente:
“2-bis. Il fornitore di una rete di telecomunicazioni pubblica o di
un servizio di telecomunicazioni accessibili al pubblico deve
predisporre procedure adeguate e trasparenti per garantire, linea per
linea, l’annullamento della soppressione dell’identificazione della
linea chiamante da parte dei servizi abilitati a ricevere chiamate
d’emergenza.”.

Art. 24. Disposizioni transitorie
1. Le disposizioni di cui agli articoli 3, comma 3, 4, 22 e 23 del
presente decreto si applicano a decorrere dal 1 marzo 2002.
2. I provvedimenti attuativi delle disposizioni di cui agli
articoli 5, comma 2, e 9 sono adottati, in sede di prima applicazione
del presente decreto, entro centoventi giorni a decorrere dal 1
ottobre 2002.
3. In sede di prima applicazione della disposizione di cui alla
lettera a) del comma 4 dell’articolo 22 della legge 31 dicembre 1996,
n. 675, introdotta dall’articolo 8 del presente decreto, le garanzie
previste nella medesima lettera a)sono determinate dall’associazione,
dall’ente o dall’organismo entro il 30 giugno 2002.

Art. 25. Entrata in vigore
1. Le disposizioni di cui al presente decreto entrano in vigore il
1 febbraio 2002.
Il presente decreto, munito del sigillo dello Stato, sara’ inserito
nella Raccolta ufficiale degli atti normativi della Repubblica
italiana. E’ fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare.

Dato a Roma, addi’ 28 dicembre 2001
CIAMPI
Berlusconi, Presidente del Consiglio dei Ministri
Castelli, Ministro della giustizia
Visto, il Guardasigilli: Castelli

Cosa fa VITA?

Da 30 anni VITA è la testata di riferimento dell’innovazione sociale, dell’attivismo civico e del Terzo settore. Siamo un’impresa sociale senza scopo di lucro: raccontiamo storie, promuoviamo campagne, interpelliamo le imprese, la politica e le istituzioni per promuovere i valori dell’interesse generale e del bene comune. Se riusciamo a farlo è  grazie a chi decide di sostenerci.