64 minuti

Dopo l’entrata in vigore del GDPR – Regolamento Europeo Privacy, giorno 8 giugno 2018 entrerà in vigore il nuovo decreto privacy, Decreto Legislativo n. 51 del 18 maggio 2018, sulla protezione dei dati personali in ambito penale. Infatti, è stato pubblicato nella Gazzetta Ufficiale del 24 maggio 2018 il DECRETO LEGISLATIVO 18 maggio 2018, n. 51 Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita’ competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche’ alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio. (18G00080) (GU n.119 del 24-5-2018 )

DECRETO LEGISLATIVO 18 maggio 2018, n. 51 

Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche
con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento  e perseguimento di
reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che  abroga  la  decisione  quadro 2008/977/GAI del Consiglio.

(18G00080) (GU n.119 del 24-5-2018)    Vigente dall'8-6-2018 
 Capo I

Disposizioni generali

 
                   IL PRESIDENTE DELLA REPUBBLICA 
 
  Visti gli articoli 76 e 87 della Costituzione; 
  Visto l'articolo 14 della legge 23 agosto 1988, n. 400; 
  Vista la direttiva (UE)  2016/680  del  Parlamento  europeo  e  del
Consiglio, del 27 aprile 2016, relativa alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali da parte delle
autorita' competenti a fini di prevenzione, indagine, accertamento  e
perseguimento di reati o esecuzione di sanzioni penali, nonche'  alla
libera circolazione di tali dati e che  abroga  la  decisione  quadro
2008/977/GAI del Consiglio; 
  Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e  del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati e che abroga la  direttiva  95/46/CE
concernente regolamento generale sulla protezione dei dati; 
  Vista la legge 25 ottobre 2017, n. 163, recante delega  al  Governo
per il recepimento delle direttive europee e  l'attuazione  di  altri
atti dell'Unione europea - Legge di delegazione europea 2016-2017,  e
in particolare l'articolo 11; 
  Visto il  codice  in  materia  di  protezione  dei  dati  personali
adottato con decreto legislativo 30 giugno 2003, n. 196; 
  Vista la preliminare  deliberazione  del  Consiglio  dei  ministri,
adottata nella riunione dell'8 febbraio 2018; 
  Acquisito  il  parere  del  Garante  per  la  protezione  dei  dati
personali, espresso nell'adunanza del 22 febbraio 2018; 
  Acquisito  il  parere  della  2ª  Commissione  del   Senato   della
Repubblica; 
  Considerato che le competenti Commissioni della Camera dei deputati
non hanno espresso il parere entro il termine di cui all'articolo 31,
comma 3, della legge 24 dicembre 2012, n. 234; 
  Vista la deliberazione del Consiglio dei ministri,  adottata  nella
riunione del 16 maggio 2018; 
  Sulla proposta del Presidente del  Consiglio  dei  ministri  e  del
Ministro della giustizia, di concerto con  i  Ministri  degli  affari
esteri  e   della   cooperazione   internazionale,   dell'interno   e
dell'economia e delle finanze; 
 
                                Emana 
                  il seguente decreto legislativo: 
 
                               Art. 1 
 
                  Oggetto e ambito di applicazione 
 
  1.  Il  presente  decreto   attua   nell'ordinamento   interno   le
disposizioni della direttiva (UE) 2016/680 del Parlamento  europeo  e
del Consiglio, del 27 aprile 2016,  relativa  alla  protezione  delle
persone fisiche con riguardo al trattamento  dei  dati  personali  da
parte delle autorita' competenti a  fini  di  prevenzione,  indagine,
accertamento e  perseguimento  di  reati  o  esecuzione  di  sanzioni
penali, nonche' alla libera circolazione di tali dati, e  che  abroga
la decisione quadro 2008/977/GAI del Consiglio. 
  2. Il presente decreto si  applica  al  trattamento  interamente  o
parzialmente automatizzato di dati personali delle persone fisiche  e
al trattamento non automatizzato  di  dati  personali  delle  persone
fisiche contenuti in un archivio o ad esso  destinati,  svolti  dalle
autorita' competenti a fini di prevenzione, indagine, accertamento  e
perseguimento di reati, o esecuzione di sanzioni penali,  incluse  la
salvaguardia contro  e  la  prevenzione  di  minacce  alla  sicurezza
pubblica. 
  3. Il presente decreto  non  si  applica  ai  trattamenti  di  dati
personali: 
    a) effettuati  nello  svolgimento  di  attivita'  concernenti  la
sicurezza nazionale o  rientranti  nell'ambito  di  applicazione  del
titolo V, capo 2, del trattato sull'Unione europea  e  per  tutte  le
attivita' che non rientrano nell'ambito di applicazione  del  diritto
dell'Unione europea; 
    b)  effettuati  da  istituzioni,   organi,   uffici   e   agenzie
dell'Unione europea. 
                               Art. 2 
 
                             Definizioni 
 
  1.  Ai  fini  del  presente  decreto,  si  applicano  le   seguenti
definizioni: 
    a) dati personali: qualsiasi informazione riguardante una persona
fisica identificata o identificabile («interessato»); 
    b) trattamento: qualsiasi operazione  o  insieme  di  operazioni,
compiute con o senza l'ausilio di processi automatizzati, applicate a
dati personali o insiemi di dati  personali,  come  la  raccolta,  la
registrazione, l'organizzazione, la strutturazione, la conservazione,
l'adattamento o la modifica, l'estrazione, la  consultazione,  l'uso,
la comunicazione mediante trasmissione, diffusione o qualsiasi  altra
forma di messa a disposizione, il raffronto o l'interconnessione,  la
limitazione, la cancellazione o la distruzione; 
    c) limitazione di trattamento: il contrassegno dei dati personali
conservati con l'obiettivo di limitarne il trattamento in futuro; 
    d) pseudonimizzazione: il trattamento dei dati personali in  modo
tale che i dati personali non possano piu'  essere  attribuiti  a  un
interessato specifico senza l'utilizzo di informazioni aggiuntive,  a
condizione  che  tali  informazioni   aggiuntive   siano   conservate
separatamente e soggette a misure tecniche e organizzative  intese  a
garantire che i dati personali non siano  attribuiti  a  una  persona
fisica identificata o identificabile; 
    e) profilazione: qualsiasi forma di trattamento automatizzato  di
dati personali consistente nell'utilizzo di tali  dati  per  valutare
determinati aspetti personali  relativi  a  una  persona  fisica,  in
particolare  per  analizzare  o  prevedere  aspetti  riguardanti   il
rendimento professionale, la  situazione  economica,  la  salute,  le
preferenze   personali,   gli    interessi,    l'affidabilita',    il
comportamento,  l'ubicazione  o  gli  spostamenti  di  detta  persona
fisica; 
    f) archivio: qualsiasi  insieme  strutturato  di  dati  personali
accessibili secondo criteri determinati, indipendentemente dal  fatto
che tale insieme sia centralizzato, decentralizzato  o  ripartito  in
modo funzionale o geografico; 
    g) autorita' competente: 
      1) qualsiasi autorita'  pubblica  dello  Stato,  di  uno  Stato
membro dell'Unione europea o di uno Stato terzo competente in materia
di prevenzione, indagine, accertamento e  perseguimento  di  reati  o
esecuzione di sanzioni penali, incluse la salvaguardia  contro  e  la
prevenzione di minacce alla sicurezza pubblica; 
      2)  qualsiasi  altro  organismo  o  entita'  incaricato   dagli
ordinamenti interni di esercitare l'autorita'  pubblica  e  i  poteri
pubblici  a   fini   di   prevenzione,   indagine,   accertamento   e
perseguimento di reati o esecuzione di sanzioni  penali,  incluse  la
salvaguardia e la prevenzione di minacce alla sicurezza pubblica; 
    h)  titolare  del  trattamento:   l'autorita'   competente   che,
singolarmente o insieme ad altri, determina le finalita'  e  i  mezzi
del trattamento di dati personali; quando le finalita' e i  mezzi  di
tale trattamento sono determinati dal diritto dell'Unione  europea  o
dello Stato, il  titolare  del  trattamento  o  i  criteri  specifici
applicabili alla sua  nomina  possono  essere  previsti  dal  diritto
dell'Unione europea o dello Stato; 
    i) responsabile del trattamento: la persona fisica  o  giuridica,
l'autorita' pubblica, il servizio o altro organismo che  tratta  dati
personali per conto del titolare del trattamento; 
    l) destinatario:  la  persona  fisica  o  giuridica,  l'autorita'
pubblica, il servizio o un altro organismo che  riceve  comunicazione
di dati personali, che si  tratti  o  meno  di  terzi.  Tuttavia,  le
autorita'  pubbliche  che  possono  ricevere  comunicazione  di  dati
personali nell'ambito di  una  specifica  indagine  conformemente  al
diritto dell'Unione  europea  o  dello  Stato  non  sono  considerate
destinatari; il trattamento di tali dati da parte di  tali  autorita'
pubbliche e' conforme alle norme in materia di  protezione  dei  dati
applicabili secondo le finalita' del trattamento; 
    m) violazione dei dati personali: la violazione  della  sicurezza
che comporta accidentalmente o in modo illecito  la  distruzione,  la
perdita, la modifica, la divulgazione non autorizzata o l'accesso  ai
dati personali trasmessi, conservati o comunque trattati; 
    n) dati genetici: i dati personali relativi alle  caratteristiche
genetiche  ereditarie  o  acquisite  di  una  persona   fisica,   che
forniscono informazioni univoche sulla fisiologia o sulla  salute  di
detta persona fisica e che risultano in particolare  dall'analisi  di
un campione biologico della persona fisica in questione; 
    o) dati biometrici: i dati personali ottenuti da  un  trattamento
tecnico specifico relativi alle caratteristiche fisiche, fisiologiche
o  comportamentali  di  una  persona  fisica  che  ne  consentono   o
confermano l'identificazione univoca, quali l'immagine facciale  o  i
dati dattiloscopici; 
    p) dati relativi alla salute: i  dati  personali  attinenti  alla
salute  fisica  o  mentale  di  una  persona  fisica,   compresa   la
prestazione  di  servizi  di  assistenza  sanitaria,   che   rivelano
informazioni relative al suo stato di salute; 
    q) file di log: registro degli accessi e delle operazioni; 
    r) autorita'  di  controllo:  l'autorita'  pubblica  indipendente
istituita  negli  Stati  membri  ai  sensi  dell'articolo  41   della
direttiva; 
    s) il Garante: autorita' di controllo  nell'ordinamento  interno,
individuata  nel  Garante  per  la  protezione  dei  dati  personali,
istituito dal decreto legislativo 30 giugno 2003, n. 196; 
    t)  organizzazione  internazionale:   un'organizzazione   e   gli
organismi di diritto internazionale pubblico  a  essa  subordinati  o
qualsiasi altro organismo istituito da o sulla base di un accordo tra
due o piu' Stati; 
    u) Codice: Codice in materia di protezione  dei  dati  personali,
adottato con il decreto legislativo 30 giugno 2003, n. 196; 
    v) Stato membro: Stato membro dell'Unione europea; 
    z) Paese terzo: Stato non membro dell'Unione europea; 
    aa) direttiva: la direttiva (UE) 2016/680 del Parlamento  europeo
e del Consiglio del 27 aprile 2016; 
    bb) regolamento UE: il regolamento (UE) 2016/679  del  Parlamento
europeo e del Consiglio del 27 aprile 2016; 
    cc) Forze di polizia: le Forze di polizia di cui all'articolo  16
della legge 1° aprile 1981, n. 121. 
                               Art. 3 
 
                        Principi applicabili 
                  al trattamento di dati personali 
 
  1. I dati personali di cui all'articolo 1, comma 2, sono: 
    a) trattati in modo lecito e corretto; 
    b) raccolti per finalita' determinate,  espresse  e  legittime  e
trattati in modo compatibile con tali finalita'; 
    c) adeguati, pertinenti e non eccedenti rispetto  alle  finalita'
per le quali sono trattati; 
    d) esatti e, se necessario, aggiornati;  devono  essere  adottate
tutte  le   misure   ragionevoli   per   cancellare   o   rettificare
tempestivamente i dati inesatti rispetto alle finalita' per le  quali
sono trattati; 
    e) conservati  con  modalita'  che  consentano  l'identificazione
degli interessati per il  tempo  necessario  al  conseguimento  delle
finalita' per le quali sono trattati, sottoposti  a  esame  periodico
per  verificarne  la   persistente   necessita'   di   conservazione,
cancellati o anonimizzati una volta decorso tale termine; 
    f)  trattati  in  modo  da  garantire  un'adeguata  sicurezza   e
protezione da trattamenti non autorizzati o illeciti e dalla perdita,
dalla distruzione o dal danno  accidentali,  mediante  l'adozione  di
misure tecniche e organizzative adeguate. 
  2. Il trattamento per una delle finalita' di  cui  all'articolo  1,
comma 2,  diversa  da  quella  per  cui  i  dati  sono  raccolti,  e'
consentito se il titolare del trattamento, anche se diverso da quello
che ha  raccolto  i  dati,  e'  autorizzato  a  trattarli  per  detta
finalita',   conformemente   al   diritto   dell'Unione   europea   o
dell'ordinamento  interno  e  se  il  trattamento  e'  necessario   e
proporzionato a tale  diversa  finalita',  conformemente  al  diritto
dell'Unione europea o dell'ordinamento interno. 
  3. Il trattamento per le finalita' di cui all'articolo 1, comma  2,
puo' comprendere l'archiviazione nel pubblico  interesse,  l'utilizzo
scientifico, storico o statistico, fatte salve le  garanzie  adeguate
per i diritti e le liberta' degli interessati. 
  4. Il titolare del trattamento e'  responsabile  del  rispetto  dei
principi di cui ai commi 1, 2 e 3. 
                               Art. 4 
 
          Conservazione e verifica della qualita' dei dati, 
         distinzione tra categorie di interessati e di dati 
 
  1. Il titolare del trattamento, tenuto conto  della  finalita'  del
trattamento e per quanto possibile, distingue  i  dati  personali  in
relazione alle diverse categorie di interessati previste dalla  legge
e i dati fondati su  fatti  da  quelli  fondati  su  valutazioni.  La
distinzione in relazione alle diverse  categorie  di  interessati  si
applica, in particolare,  alle  seguenti  categorie  di  interessati:
persone  sottoposte  a  indagine;  imputati;  persone  sottoposte   a
indagine o imputate in procedimento  connesso  o  collegato;  persone
condannate con sentenza definitiva; persone offese dal  reato;  parti
civili; persone informate sui fatti; testimoni. 
  2. Le autorita' competenti adottano misure adeguate a garantire che
i dati personali inesatti, incompleti  o  non  aggiornati  non  siano
trasmessi  o  resi  disponibili.  A  tal  fine   ciascuna   autorita'
competente, per quanto  possibile,  verifica  la  qualita'  dei  dati
personali prima che questi  siano  trasmessi  o  resi  disponibili  e
correda  la  loro  trasmissione  delle  informazioni  che  consentono
all'autorita'  ricevente  di  valutarne  il   grado   di   esattezza,
completezza, aggiornamento e affidabilita'. 
  3. Quando  risulta  che  i  dati  personali  sono  stati  trasmessi
illecitamente o sono inesatti, il destinatario ne e'  tempestivamente
informato. In tal caso, i dati personali devono essere rettificati  o
cancellati  o  il  trattamento   deve   essere   limitato   a   norma
dell'articolo 12. 
                               Art. 5 
 
                      Liceita' del trattamento 
 
  1. Il trattamento e' lecito se e' necessario per l'esecuzione di un
compito  di  un'autorita'  competente  per  le   finalita'   di   cui
all'articolo 1, comma 2, e si basa sul diritto dell'Unione europea  o
su disposizioni di  legge  o,  nei  casi  previsti  dalla  legge,  di
regolamento che individuano i  dati  personali  e  le  finalita'  del
trattamento. 
  2. Con decreto del Presidente della Repubblica, adottato  ai  sensi
dell'articolo 17, comma 1, della legge 23 agosto 1988, n.  400,  sono
individuati, per i trattamenti o  le  categorie  di  trattamenti  non
occasionali di cui al comma 1, i termini, ove non gia'  stabiliti  da
disposizioni  di  legge  o  di  regolamento,  e   le   modalita'   di
conservazione dei dati,  i  soggetti  legittimati  ad  accedervi,  le
condizioni di accesso, le  modalita'  di  consultazione,  nonche'  le
modalita' e le condizioni per l'esercizio dei  diritti  di  cui  agli
articoli 9, 10, 11 e 13. I termini di conservazione sono  determinati
in conformita' ai criteri indicati all'articolo 3, comma  1,  tenendo
conto delle  diverse  categorie  di  interessati  e  delle  finalita'
perseguite. 
                               Art. 6 
 
                Condizioni di trattamento specifiche 
 
  1. I dati personali raccolti per le finalita' di  cui  all'articolo
1, comma 2, non possono essere trattati per finalita' diverse,  salvo
che tale trattamento sia consentito dal diritto dell'Unione europea o
dalla legge. 
  2. Ai trattamenti eseguiti per finalita' diverse da quelle  di  cui
all'articolo 1, comma 2, comprese le attivita' di  archiviazione  nel
pubblico interesse, di ricerca scientifica o storica o per  finalita'
statistiche, si applica il regolamento UE, salve le  disposizioni  di
cui all'articolo 58 del Codice. 
  3. Se il diritto dell'Unione europea o le disposizioni  legislative
o regolamentari prevedono condizioni specifiche  per  il  trattamento
dei dati personali, l'autorita' competente che  trasmette  tali  dati
informa  il  destinatario  delle   condizioni   e   dell'obbligo   di
rispettarle. 
  4. L'autorita' competente che trasmette i dati  applica  le  stesse
condizioni previste per le trasmissioni  di  dati  all'interno  dello
Stato ai destinatari di altri Stati membri o  ad  agenzie,  uffici  e
organi istituiti a norma del titolo V, capi 4 e 5, del  Trattato  sul
funzionamento dell'Unione europea. 
                               Art. 7 
 
                      Trattamento di categorie 
                    particolari di dati personali 
 
  1. Il trattamento di dati di cui all'articolo 9 del regolamento  UE
e'  autorizzato  solo  se  strettamente  necessario  e  assistito  da
garanzie adeguate per i diritti  e  le  liberta'  dell'interessato  e
specificamente previsto dal diritto dell'Unione europea o da legge o,
nei casi previsti dalla  legge,  da  regolamento,  ovvero,  ferme  le
garanzie  dei  diritti  e   delle   liberta',   se   necessario   per
salvaguardare un interesse  vitale  dell'interessato  o  di  un'altra
persona fisica o se ha ad oggetto dati resi  manifestamente  pubblici
dall'interessato. 
                               Art. 8 
 
                 Processo decisionale automatizzato 
                    relativo alle persone fisiche 
 
  1. Sono vietate le decisioni basate unicamente  su  un  trattamento
automatizzato,  compresa  la  profilazione,  che  producono   effetti
negativi nei confronti dell'interessato, salvo che siano  autorizzate
dal diritto dell'Unione  europea  o  da  specifiche  disposizioni  di
legge. 
  2. Le disposizioni di legge devono prevedere garanzie adeguate  per
i diritti e le liberta' dell'interessato. In ogni caso  e'  garantito
il diritto di ottenere l'intervento umano da parte del  titolare  del
trattamento. 
  3. Le decisioni di  cui  al  comma  1  non  possono  basarsi  sulle
categorie particolari di dati personali di  cui  all'articolo  9  del
regolamento  UE,  salvo  che  siano  in  vigore  misure  adeguate   a
salvaguardia dei diritti, delle liberta' e  dei  legittimi  interessi
dell'interessato. 
  4. Fermo il divieto di cui all'articolo 21 della Carta dei  diritti
fondamentali  dell'Unione  europea,  e'   vietata   la   profilazione
finalizzata alla discriminazione di persone  fisiche  sulla  base  di
categorie particolari di dati personali di  cui  all'articolo  9  del
regolamento UE. 

Capo II
Diritti dell’interessato

                               Art. 9 
 
                      Comunicazioni e modalita' 
            per l'esercizio dei diritti dell'interessato 
 
  1. Il titolare del trattamento adotta  misure  adeguate  a  fornire
all'interessato tutte le  informazioni  di  cui  all'articolo  10  ed
effettua  le  comunicazioni  relative  al  trattamento  di  cui  agli
articoli 8, 11, 12, 13, 14 e 27, in forma  concisa,  intellegibile  e
facilmente accessibile, con  un  linguaggio  semplice  e  chiaro.  Le
informazioni sono fornite con qualsiasi mezzo adeguato, anche per via
elettronica, se possibile con le stesse modalita' della richiesta. 
  2. Il titolare del trattamento facilita l'esercizio dei diritti  di
cui agli articoli 8, 11, 12, 13 e 14 da parte dell'interessato. 
  3.  Il  titolare  del  trattamento  informa   l'interessato   senza
ingiustificato ritardo e per iscritto dell'esito della sua richiesta. 
  4. E' assicurata la gratuita' del rilascio di informazioni ai sensi
dell'articolo 10 e dell'esercizio dei diritti previsti dagli articoli
8, 11, 12,  13,  14  e  27.  Si  applicano  le  disposizioni  di  cui
all'articolo 12, paragrafo 5, secondo periodo, del regolamento UE. 
  5. Fermo quanto previsto dall'articolo  5,  comma  1,  con  decreto
adottato dal Ministro competente  sono  individuati,  ove  necessario
anche per categorie, i trattamenti  non  occasionali  effettuati  con
strumenti elettronici per le finalita' di cui all'articolo  1,  comma
2, previsti da disposizioni di legge  o  di  regolamento,  nonche'  i
relativi titolari. 
                               Art. 10 
 
                 Informazioni da rendere disponibili 
                    o da fornire all'interessato 
 
  1.   Il   titolare   del   trattamento   mette    a    disposizione
dell'interessato,  anche  sul  proprio  sito  internet,  le  seguenti
informazioni: 
    a) l'identita' e i dati di contatto del titolare del trattamento; 
    b) i dati di contatto del responsabile della protezione dei dati,
se previsto; 
    c) le  finalita'  del  trattamento  cui  sono  destinati  i  dati
personali; 
    d) la sussistenza del diritto di proporre reclamo al Garante e  i
relativi dati di contatto; 
    e) la  sussistenza  del  diritto  di  chiedere  al  titolare  del
trattamento l'accesso ai dati e la rettifica o la  cancellazione  dei
dati personali e la limitazione del trattamento  dei  dati  personali
che lo riguardano. 
  2. In aggiunta alle informazioni di cui al comma 1, il titolare del
trattamento,  quando  previsto  da  disposizioni  di   legge   o   di
regolamento,   fornisce   all'interessato   le   seguenti   ulteriori
informazioni, funzionali all'esercizio dei propri diritti: 
    a) il titolo giuridico del trattamento; 
    b) il periodo di conservazione dei dati personali o,  se  non  e'
possibile, i criteri per determinare tale periodo; 
    c) le categorie di destinatari dei dati personali, anche in Paesi
terzi o in seno a organizzazioni internazionali; 
    d) le ulteriori informazioni  ritenute  utili  all'esercizio  dei
diritti, in particolare nel caso in cui i dati personali siano  stati
raccolti all'insaputa dell'interessato. 
                               Art. 11 
 
                 Diritto di accesso dell'interessato 
 
  1. L'interessato  ha  il  diritto  di  ottenere  dal  titolare  del
trattamento conferma dell'esistenza di un  trattamento  in  corso  di
dati personali che lo riguardano e, in tal caso, l'accesso ai dati  e
alle seguenti informazioni: 
    a) le finalita' e il titolo giuridico del trattamento; 
    b) le categorie di dati personali trattati; 
    c) i destinatari o le categorie  di  destinatari  a  cui  i  dati
personali sono stati comunicati; 
    d) il periodo di conservazione dei dati personali o,  se  non  e'
possibile, i criteri per determinare tale periodo; 
    e)  il  diritto  di  chiedere  al  titolare  del  trattamento  la
rettifica o la cancellazione dei dati personali o la limitazione  del
trattamento dei dati personali che lo riguardano; 
    f) il diritto di proporre reclamo al Garante, con i relativi dati
di contatto; 
    g) la comunicazione dei dati personali oggetto del trattamento  e
di tutte le informazioni disponibili sulla loro origine. 
  2. Nei casi di cui  all'articolo  14,  comma  2,  il  titolare  del
trattamento informa l'interessato, senza ingiustificato ritardo e per
iscritto, di ogni rifiuto o limitazione dell'accesso e  dei  relativi
motivi, nonche' del diritto di proporre reclamo dinanzi al Garante  o
di proporre ricorso giurisdizionale. 
  3. Il titolare del trattamento documenta i motivi  di  fatto  o  di
diritto su cui  si  basa  la  decisione  di  cui  al  comma  2.  Tali
informazioni sono rese disponibili al Garante. 
                               Art. 12 
 
       Diritto di rettifica o cancellazione di dati personali 
                    e limitazione di trattamento 
 
  1. L'interessato  ha  il  diritto  di  ottenere  dal  titolare  del
trattamento, senza ingiustificato  ritardo,  la  rettifica  dei  dati
personali inesatti che lo riguardano. Tenuto  conto  delle  finalita'
del  trattamento,   l'interessato   ha   il   diritto   di   ottenere
l'integrazione dei dati  personali  incompleti,  anche  fornendo  una
dichiarazione integrativa. 
  2. Fermo quanto previsto dall'articolo 14, comma 1 e 2, il titolare
del  trattamento  cancella  senza  ingiustificato  ritardo   i   dati
personali,  quando  il  trattamento  si  pone  in  contrasto  con  le
disposizioni di cui agli articoli 3, 5 o  7  e  in  ogni  altro  caso
previsto dalla legge. 
  3. In luogo della cancellazione, il titolare del trattamento limita
il   trattamento   quando   l'esattezza    dei    dati,    contestata
dall'interessato, non puo' essere accertata o se i dati devono essere
conservati a fini probatori. 
  4. Quando  il  trattamento  e'  limitato  per  l'impossibilita'  di
accertare l'esattezza dei dati, il titolare del  trattamento  informa
l'interessato prima di revocare la limitazione. 
  5. L'interessato ha diritto di essere informato  per  iscritto  dal
titolare del trattamento del rifiuto di rettifica, di cancellazione o
di limitazione del trattamento e dei  relativi  motivi,  nonche'  del
diritto di proporre reclamo dinanzi al Garante o di proporre  ricorso
giurisdizionale. 
  7. Il titolare del trattamento  comunica  le  rettifiche  dei  dati
personali inesatti all'autorita' competente da cui provengono. 
  8. Qualora i dati personali siano stati rettificati o cancellati  o
il trattamento sia stato limitato ai sensi dei commi 1,  2  e  3,  il
titolare  del  trattamento  ne  informa  i   destinatari   e   questi
provvedono,  sotto  la  propria  responsabilita',  alla  rettifica  o
cancellazione  dei  dati  personali  ovvero  alla   limitazione   del
trattamento. 
                               Art. 13 
 
               Esercizio dei diritti dell'interessato 
                   e verifica da parte del Garante 
 
  1. Al di fuori dei casi di  trattamento  effettuato  dall'autorita'
giudiziaria per le finalita'  di  cui  all'articolo  1,  comma  2,  i
diritti dell'interessato possono essere esercitati anche  tramite  il
Garante con le modalita' di cui all'articolo 160 del codice. 
  2. Il titolare del trattamento informa l'interessato della facolta'
di cui al comma 1. 
  3. Nei casi di cui al comma 1, il Garante informa l'interessato  di
aver eseguito tutte le verifiche  necessarie  o  di  aver  svolto  un
riesame, nonche' del diritto  dell'interessato  di  proporre  ricorso
giurisdizionale. 
                               Art. 14 
 
       Limitazioni dell'esercizio dei diritti dell'interessato 
 
  1. I diritti di cui agli articoli 10, 11  e  12,  relativamente  ai
dati personali contenuti in una  decisione  giudiziaria,  in  atti  o
documenti  oggetto  di  trattamento  nel  corso  di  accertamenti   o
indagini, nel casellario giudiziale o  in  un  fascicolo  oggetto  di
trattamento nel  corso  di  un  procedimento  penale  o  in  fase  di
esecuzione penale, sono esercitati conformemente  a  quanto  previsto
dalle disposizioni di legge o di regolamento  che  disciplinano  tali
atti  e  procedimenti.  Chiunque  vi  abbia  interesse,  durante   il
procedimento penale o dopo la sua definizione, puo' chiedere, con  le
modalita' di cui all'articolo 116 del codice di procedura penale,  la
rettifica, la cancellazione o la limitazione dei dati  personali  che
lo riguardano. Il giudice provvede con le forme dell'articolo 130 del
codice di procedura penale. 
  2. Fermo quanto previsto dal comma 1, l'esercizio  dei  diritti  di
cui  agli  articoli  11,  commi  1  e  2,  e  12,  comma  5,  nonche'
l'adempimento dell'obbligo di cui all'articolo 10, comma  2,  possono
essere ritardati, limitati o esclusi, con disposizione di legge o  di
regolamento adottato ai sensi dell'articolo 5, comma 2, nella  misura
e per il tempo in  cui  cio'  costituisca  una  misura  necessaria  e
proporzionata, tenuto conto dei diritti fondamentali e dei  legittimi
interessi della persona fisica interessata al fine di: 
    a) non compromettere il buon esito dell'attivita' di prevenzione,
indagine, accertamento e perseguimento di  reati  o  l'esecuzione  di
sanzioni penali, nonche' l'applicazione delle misure  di  prevenzione
personali e patrimoniali e delle misure di sicurezza; 
    b) tutelare la sicurezza pubblica; 
    c) tutelare la sicurezza nazionale; 
    d) tutelare i diritti e le liberta' altrui. 

Capo III
Titolare del trattamento e responsabile del trattamento
Sezione I
Obblighi generali

                               Art. 15 
 
                Obblighi del titolare del trattamento 
 
  1.  Il  titolare  del  trattamento,  tenuto  conto  della   natura,
dell'ambito di applicazione,  del  contesto  e  delle  finalita'  del
trattamento, nonche' dei rischi per i diritti  e  le  liberta'  delle
persone fisiche,  mette  in  atto  misure  tecniche  e  organizzative
adeguate  per  garantire  che  il  trattamento  sia   effettuato   in
conformita' alle norme del presente decreto. 
  2. Le misure di cui  al  comma  1  sono  riesaminate  e  aggiornate
qualora necessario e, ove  proporzionato  rispetto  all'attivita'  di
trattamento, includono l'attuazione di politiche adeguate in  materia
di protezione dei dati da parte del titolare del trattamento. 
                               Art. 16 
 
             Protezione dei dati fin dalla progettazione 
              e protezione per impostazione predefinita 
 
  1. Il titolare  del  trattamento,  tenuto  conto  delle  cognizioni
tecniche  disponibili  e  dei  costi  di  attuazione,  della  natura,
dell'ambito di applicazione,  del  contesto  e  delle  finalita'  del
trattamento, nonche' dei rischi per i diritti  e  le  liberta'  delle
persone fisiche,  mette  in  atto  misure  tecniche  e  organizzative
adeguate, quale la pseudonimizzazione, per  garantire  la  protezione
dei dati e per tutelare i diritti degli interessati,  in  conformita'
alle norme del presente decreto. 
  2. Il titolare del trattamento mette  in  atto  misure  tecniche  e
organizzative  adeguate  per  garantire  che  siano   trattati,   per
impostazione predefinita, solo i dati personali  necessari  per  ogni
specifica  finalita'  del  trattamento.  Tale  obbligo  vale  per  la
quantita' dei dati personali raccolti, la portata del trattamento, il
periodo di conservazione e  l'accessibilita'.  In  particolare,  tali
misure garantiscono che, per impostazione predefinita, non siano resi
accessibili dati personali a un numero indefinito di persone  fisiche
senza l'intervento della persona fisica. 
                               Art. 17 
 
                     Contitolari del trattamento 
 
  1.  Due  o  piu'   titolari   del   trattamento   che   determinano
congiuntamente  le  finalita'  e  i  mezzi   del   trattamento   sono
contitolari del trattamento. 
  2. I contitolari del trattamento determinano mediante  accordo  con
modalita' trasparenti gli ambiti delle rispettive responsabilita' per
l'osservanza delle norme di cui al presente decreto, salvo che  detti
ambiti  siano  determinati  dal  diritto  dell'Unione  europea  o  da
disposizioni legislative o regolamentari. 
  3. Con l'accordo di cui  al  comma  2  e'  designato  il  punto  di
contatto per gli interessati. Indipendentemente dalle disposizioni di
tale accordo, l'interessato puo' esercitare i diritti  nei  confronti
di e contro ciascun titolare del trattamento. 
                               Art. 18 
 
                    Responsabile del trattamento 
 
  1. Qualora un trattamento debba essere  effettuato  per  conto  del
titolare del trattamento, quest'ultimo  ricorre  a  responsabili  del
trattamento che garantiscono misure tecniche e organizzative adeguate
ad assicurare la protezione  dei  dati  personali  e  la  tutela  dei
diritti dell'interessato. 
  2. Il responsabile del trattamento non puo' ricorrere  a  un  altro
responsabile senza preventiva autorizzazione scritta del titolare del
trattamento. 
  3. L'esecuzione dei trattamenti da parte  di  un  responsabile  del
trattamento e' disciplinata da un contratto o da altro atto giuridico
che prevede l'oggetto, la  durata,  la  natura  e  la  finalita'  del
trattamento, il tipo di dati personali e le categorie di interessati,
gli obblighi e i diritti del titolare del trattamento. Tale contratto
o diverso atto  giuridico  prevede  anche  che  il  responsabile  del
trattamento: 
    a) agisca soltanto su istruzione del titolare del trattamento; 
    b) garantisca che le persone autorizzate al trattamento dei  dati
personali si siano impegnate alla riservatezza o abbiano un  adeguato
obbligo legale di riservatezza; 
    c) assista il titolare del trattamento con  ogni  mezzo  adeguato
per garantire il rispetto  delle  disposizioni  relative  ai  diritti
dell'interessato; 
    d) su  scelta  del  titolare  del  trattamento,  cancelli  o  gli
restituisca  tutti  i  dati  personali  dopo  che  e'  terminata   la
prestazione dei servizi di trattamento di dati e  cancelli  le  copie
esistenti, salvo che  il  diritto  dell'Unione  europea  o  la  legge
preveda la conservazione dei dati personali; 
    e) metta a disposizione del titolare  del  trattamento  tutte  le
informazioni necessarie per dimostrare il rispetto  delle  condizioni
di cui al presente articolo; 
    f) rispetti le condizioni di cui ai commi  2  e  3  nel  caso  di
ricorso ad altro responsabile del trattamento. 
  4. Il contratto o il diverso atto di cui al comma  3  e'  stipulato
per iscritto, anche in formato elettronico. 
  5. Se un responsabile del trattamento determina, in violazione  del
presente  decreto,  le  finalita'  e  i  mezzi  del  trattamento,  e'
considerato titolare del trattamento. 
                               Art. 19 
 
     Trattamento sotto l'autorita' del titolare del trattamento 
                 o del responsabile del trattamento 
 
  1. Il responsabile del trattamento o chiunque agisca sotto  la  sua
autorita' o sotto quella del titolare del trattamento puo' trattare i
dati personali cui ha accesso solo in conformita' alle istruzioni del
titolare del trattamento, salvo che  sia  diversamente  previsto  dal
diritto dell'Unione europea o da disposizioni di legge  o,  nei  casi
previsti dalla legge, di regolamento. 
                               Art. 20 
 
               Registri delle attivita' di trattamento 
 
  1. I titolari del trattamento  tengono  un  registro  di  tutte  le
categorie   di   attivita'   di   trattamento   sotto   la    propria
responsabilita'. Tale registro contiene le seguenti informazioni: 
    a) il nome e i dati di contatto del titolare del  trattamento  e,
se previsti, di ogni contitolare del trattamento e  del  responsabile
della protezione dei dati; 
    b) le finalita' del trattamento; 
    c) le categorie di destinatari a cui i dati personali sono  stati
o saranno comunicati, compresi i destinatari di paesi terzi o  presso
organizzazioni internazionali; 
    d)  una  descrizione  delle  categorie  di  interessati  e  delle
categorie di dati personali; 
    e) se previsto, il ricorso alla profilazione; 
    f) se previste, le categorie di trasferimenti di  dati  personali
verso un Paese terzo o verso organizzazioni internazionali; 
    g) un'indicazione del titolo giuridico del trattamento  cui  sono
destinati i dati personali, anche in caso di trasferimento; 
    h) ove possibile, i termini ultimi previsti per la  cancellazione
delle diverse categorie di dati personali; 
    i) ove  possibile,  una  descrizione  generale  delle  misure  di
sicurezza tecniche e organizzative di cui all'articolo 25, comma 1. 
  2. I responsabili del trattamento tengono un registro di  tutte  le
categorie di attivita' di trattamento svolte per conto di un titolare
del trattamento, contenente le seguenti informazioni: 
    a)  il  nome  e  i  dati  di  contatto  del  responsabile  o  dei
responsabili del trattamento, di ogni titolare  del  trattamento  per
conto del quale agiscono e,  se  esistente,  del  responsabile  della
protezione dei dati; 
    b) le categorie dei trattamenti  effettuati  per  conto  di  ogni
titolare del trattamento; 
    c) i trasferimenti di dati personali effettuati su istruzione del
titolare   del   trattamento   verso   un   Paese   terzo   o   verso
un'organizzazione internazionale; 
    d) ove  possibile,  una  descrizione  generale  delle  misure  di
sicurezza tecniche e organizzative di cui all'articolo 25, comma 1. 
  3. I registri di cui ai commi 1 e 2 sono tenuti in  forma  scritta,
anche  in  formato  elettronico.  Su  richiesta,  il   titolare   del
trattamento e il responsabile del trattamento mettono tali registri a
disposizione del Garante. 
                               Art. 21 
 
                            Registrazione 
 
  1.   Le   operazioni   di   raccolta,   modifica,    consultazione,
comunicazione, trasferimento,  interconnessione  e  cancellazione  di
dati,  eseguite  in  sistemi  di  trattamento   automatizzati,   sono
registrate in appositi file di  log,  da  conservare  per  la  durata
stabilita con il decreto di cui all'articolo 5, comma 2. 
  2. Le registrazioni delle operazioni di  cui  al  comma  1  debbono
consentire di conoscere i motivi, la data e l'ora di tali  operazioni
e, se possibile, di  identificare  la  persona  che  ha  eseguito  le
operazioni e i destinatari. 
  3. Le registrazioni sono usate ai soli fini  della  verifica  della
liceita' del trattamento, per finalita'  di  controllo  interno,  per
garantire  l'integrita'  e  la  sicurezza  dei   dati   personali   e
nell'ambito di procedimenti penali. 
  4. Su richiesta e fatto salvo  quanto  previsto  dall'articolo  37,
comma  3,  il  titolare  del  trattamento  e  il   responsabile   del
trattamento mettono le registrazioni a disposizione del Garante. 
                               Art. 22 
 
                     Cooperazione con il Garante 
 
  1. Salvo quanto previsto dall'articolo 37, comma 3, il titolare del
trattamento  e  il  responsabile  del   trattamento   cooperano,   su
richiesta, con il Garante. 
                               Art. 23 
 
                        Valutazione d'impatto 
                      sulla protezione dei dati 
 
  1. Se il trattamento, per l'uso di nuove tecnologie e  per  la  sua
natura, per l'ambito di  applicazione,  per  il  contesto  e  per  le
finalita', presenta un rischio elevato per i diritti  e  le  liberta'
delle  persone  fisiche,  il  titolare  del  trattamento,  prima   di
procedere al trattamento, effettua una valutazione  del  suo  impatto
sulla protezione dei dati personali. 
  2. La valutazione di  cui  al  comma  1  contiene  una  descrizione
generale dei trattamenti previsti, una valutazione dei rischi  per  i
diritti e le liberta'  degli  interessati,  le  misure  previste  per
affrontare tali rischi, le garanzie,  le  misure  di  sicurezza  e  i
meccanismi per garantire  la  protezione  dei  dati  personali  e  il
rispetto delle norme del presente decreto. 
                               Art. 24 
 
                Consultazione preventiva del Garante 
 
  1. Salvo quanto previsto dall'articolo 37, comma 6, il titolare del
trattamento o il responsabile del trattamento consultano  il  Garante
prima del trattamento di dati personali che figureranno in  un  nuovo
archivio di prossima creazione se: 
    a) una valutazione d'impatto sulla protezione  dei  dati  di  cui
all'articolo 23 indica che il trattamento  presenterebbe  un  rischio
elevato in assenza di misure adottate dal  titolare  del  trattamento
per attenuare il rischio; oppure 
    b) il tipo di trattamento  presenta  un  rischio  elevato  per  i
diritti  e  le  liberta'   degli   interessati   anche   in   ragione
dell'utilizzo di tecnologie, procedure o meccanismi nuovi  ovvero  di
dati genetici o biometrici. 
  2. Il Garante e' consultato nel corso dell'esame di un progetto  di
legge o di uno schema di decreto legislativo ovvero di uno schema  di
regolamento   o   decreto   non   avente   carattere   regolamentare,
suscettibile di rilevare ai fini  della  garanzia  del  diritto  alla
protezione dei dati personali. 
  3. Il Garante puo' stabilire un elenco di  trattamenti  soggetti  a
consultazione preventiva ai sensi del comma 1. 
  4. Il titolare del trattamento trasmette al Garante la  valutazione
d'impatto sulla protezione dei dati di  cui  all'articolo  23  e,  su
richiesta, ogni altra informazione, al fine  di  consentire  a  detta
autorita'  di  effettuare  una  valutazione  della  conformita'   del
trattamento,  dei  rischi  per  la  protezione  dei  dati   personali
dell'interessato e delle relative garanzie. 
  5. Ove ritenga che il trattamento  di  cui  al  comma  1  violi  le
disposizioni del presente decreto,  il  Garante  fornisce,  entro  un
termine  di  sei  settimane  dal  ricevimento  della   richiesta   di
consultazione, un parere per iscritto al titolare del trattamento  e,
se esistente, al responsabile del trattamento. Il Garante  si  avvale
dei poteri di cui all'articolo 37, comma 3. 
  6. Il termine di cui al comma 5 puo' essere prorogato  di  un  mese
nel caso di trattamento complesso. Il Garante informa della proroga e
dei motivi del ritardo il titolare del trattamento e,  se  esistente,
il responsabile del trattamento, entro un mese dal ricevimento  della
richiesta di consultazione. 

Sezione II
Sicurezza dei dati personali

                               Art. 25 
 
                      Sicurezza del trattamento 
 
  1. Il titolare del trattamento e il responsabile  del  trattamento,
tenuto conto delle cognizioni  tecniche  disponibili,  dei  costi  di
attuazione,  della  natura,  dell'oggetto,  del  contesto   e   delle
finalita' del trattamento, nonche' del grado di rischio per i diritti
e le liberta' delle persone fisiche, mettono in atto misure  tecniche
e organizzative che garantiscano un livello di sicurezza adeguato  al
rischio di violazione dei dati. 
  2. Per il trattamento automatizzato il titolare o  il  responsabile
del trattamento, previa valutazione dei rischi, adottano misure volte
a: 
    a)  vietare  alle  persone   non   autorizzate   l'accesso   alle
attrezzature utilizzate per il trattamento  («controllo  dell'accesso
alle attrezzature»); 
    b) impedire che supporti di dati possano essere  letti,  copiati,
modificati o asportati da persone  non  autorizzate  («controllo  dei
supporti di dati»); 
    c)  impedire  che  i  dati   personali   siano   inseriti   senza
autorizzazione e che i dati  personali  conservati  siano  visionati,
modificati  o  cancellati  senza  autorizzazione  («controllo   della
conservazione»); 
    d) impedire che persone non  autorizzate  utilizzino  sistemi  di
trattamento automatizzato mediante attrezzature per  la  trasmissione
di dati («controllo dell'utente»); 
    e) garantire che le persone autorizzate a  usare  un  sistema  di
trattamento automatizzato abbiano accesso solo ai dati personali  cui
si   riferisce   la   loro   autorizzazione   d'accesso   («controllo
dell'accesso ai dati»); 
    f) garantire la possibilita' di individuare i soggetti  ai  quali
siano stati o possano essere trasmessi  o  resi  disponibili  i  dati
personali  utilizzando  attrezzature  per  la  trasmissione  di  dati
(«controllo della trasmissione»); 
    g)  garantire  la  possibilita'  di  verificare  e  accertare   a
posteriori quali dati personali sono stati introdotti nei sistemi  di
trattamento automatizzato, il momento della loro  introduzione  e  la
persona che l'ha effettuata («controllo dell'introduzione»); 
    h) impedire che i dati personali possano essere  letti,  copiati,
modificati  o  cancellati  in  modo   non   autorizzato   durante   i
trasferimenti di dati personali o il trasporto di  supporti  di  dati
(«controllo del trasporto»); 
    i) garantire che, in caso di interruzione, i  sistemi  utilizzati
possano essere ripristinati («recupero»); 
    l) garantire che le funzioni del  sistema  siano  operative,  che
eventuali errori di funzionamento siano segnalati («affidabilita'») e
che i dati personali conservati non  possano  essere  falsati  da  un
errore di funzionamento del sistema («integrita'»). 
                               Art. 26 
 
                         Notifica al Garante 
                 di una violazione di dati personali 
 
  1. Salvo quanto previsto dall'articolo 37,  comma  6,  in  caso  di
violazione di dati personali, il titolare del trattamento notifica la
violazione al Garante con le modalita' di  cui  all'articolo  33  del
regolamento UE. 
  2. Se la violazione dei dati personali riguarda dati personali  che
sono stati trasmessi dal o al titolare del trattamento  di  un  altro
Stato membro, le informazioni previste dal  citato  articolo  33  del
regolamento UE sono  comunicate,  senza  ingiustificato  ritardo,  al
titolare del trattamento di tale Stato membro. 
                               Art. 27 
 
                   Comunicazione di una violazione 
                  di dati personali all'interessato 
 
  1. Quando la  violazione  di  dati  personali  e'  suscettibile  di
presentare un rischio elevato per  i  diritti  e  le  liberta'  delle
persone  fisiche,  si  osservano   le   disposizioni   in   tema   di
comunicazioni di cui all'articolo 34 del regolamento UE. 
  2. La comunicazione all'interessato di cui al comma 1  puo'  essere
ritardata, limitata od omessa alle condizioni e per i motivi  di  cui
all'articolo 14, comma 2. 

Sezione III
Responsabile della protezione dei dati

                               Art. 28 
 
                    Designazione del responsabile 
                      della protezione dei dati 
 
  1. Il  titolare  del  trattamento  designa  un  responsabile  della
protezione dei dati. 
  2. Il responsabile  della  protezione  dei  dati  e'  designato  in
funzione  delle  qualita'   professionali,   in   particolare   della
conoscenza specialistica della normativa e delle prassi in materia di
protezione dei dati, e della capacita' di assolvere i compiti di  cui
all'articolo 30. 
  3. Puo' essere designato un unico responsabile della protezione dei
dati per piu' autorita' competenti, tenuto conto della loro struttura
organizzativa e dimensione. 
  4. Il titolare del trattamento pubblica  i  dati  di  contatto  del
responsabile della protezione  dei  dati  e,  salvo  quanto  previsto
dall'articolo 37, comma 6, li comunica al Garante. 
                               Art. 29 
 
                     Posizione del responsabile 
                      della protezione dei dati 
 
  1. Il titolare del trattamento  si  assicura  che  il  responsabile
della   protezione   dei   dati   sia   coinvolto   adeguatamente   e
tempestivamente in tutte le questioni riguardanti la  protezione  dei
dati personali. 
  2. Il titolare  del  trattamento  coadiuva  il  responsabile  della
protezione dei dati nell'esecuzione dei compiti di  cui  all'articolo
30 fornendogli le risorse necessarie per assolvere tali compiti,  per
accedere ai dati personali  e  ai  trattamenti  e  per  mantenere  la
propria conoscenza specialistica. 
                               Art. 30 
 
                      Compiti del responsabile 
                      della protezione dei dati 
 
  1. Il titolare del trattamento  conferisce  al  responsabile  della
protezione dei dati almeno i seguenti compiti: 
    a) informare il titolare  del  trattamento  e  i  dipendenti  che
effettuano il  trattamento  degli  obblighi  derivanti  dal  presente
decreto nonche' da altre disposizioni  dell'Unione  europea  o  dello
Stato relative alla protezione dei dati; 
    b) vigilare sull'osservanza  del  presente  decreto  e  di  altre
disposizioni  dell'Unione  europea  o  dello  Stato   relative   alla
protezione  dei  dati  nonche'  delle  previsioni  di  programma  del
titolare del trattamento in materia di protezione dei dati personali,
compresi l'attribuzione delle responsabilita', la sensibilizzazione e
la formazione del personale  che  partecipa  ai  trattamenti  e  alle
connesse attivita' di controllo; 
    c) fornire, se richiesto, un parere in  merito  alla  valutazione
d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento  ai
sensi dell'articolo 23; 
    d) cooperare con il Garante; 
    e) fungere da punto di contatto  per  il  Garante  per  questioni
connesse al trattamento, tra cui la consultazione preventiva  di  cui
all'articolo  24,  ed  effettuare,  ove   necessario,   consultazioni
relativamente a qualunque altra questione. 

Capo IV
Trasferimento di dati personali verso paesi terzi o organizzazioni
internazionali

                               Art. 31 
 
                    Principi generali in materia 
                 di trasferimento di dati personali 
 
  1. Il trasferimento di dati personali oggetto di un  trattamento  o
destinati a essere oggetto di un trattamento  dopo  il  trasferimento
verso un Paese terzo  o  un'organizzazione  internazionale,  compresi
trasferimenti successivi  verso  un  altro  Paese  terzo  o  un'altra
organizzazione internazionale e' consentito se: 
    a) il  trasferimento  e'  necessario  per  le  finalita'  di  cui
all'articolo 1, comma 2; 
    b) i dati personali sono trasferiti al titolare  del  trattamento
in un Paese  terzo  o  a  un'organizzazione  internazionale  che  sia
un'autorita' competente per le finalita' di cui all'articolo 1, comma
2; 
    c) qualora i dati personali siano trasmessi o resi disponibili da
uno Stato membro, tale Stato ha  fornito  la  propria  autorizzazione
preliminare  al  trasferimento  conformemente  al   proprio   diritto
nazionale; 
    d)  la  Commissione  europea  ha  adottato   una   decisione   di
adeguatezza, a norma dell'articolo 32  o,  in  mancanza,  sono  state
fornite o esistono garanzie adeguate ai sensi  dell'articolo  33;  in
assenza di una decisione di adeguatezza e di  garanzie  adeguate,  si
applicano deroghe per situazioni specifiche  ai  sensi  dell'articolo
34; e 
    e) in caso di trasferimento successivo a un altro Paese terzo o a
un'altra organizzazione internazionale, l'autorita' competente che ha
effettuato  il  trasferimento   originario   o   un'altra   autorita'
competente dello  stesso  Stato  membro  autorizza  il  trasferimento
successivo dopo avere valutato tutti i fattori pertinenti, tra cui la
gravita' del reato, la finalita' per la quale i dati  personali  sono
stati trasferiti e  il  livello  di  protezione  dei  dati  personali
previsto nel Paese terzo o nell'organizzazione internazionale verso i
quali i dati personali sono successivamente trasferiti. 
  2. In assenza dell'autorizzazione preliminare  di  un  altro  Stato
membro di cui al comma  1,  lettera  c),  il  trasferimento  di  dati
personali e' consentito solo se necessario per prevenire una minaccia
grave e immediata alla sicurezza pubblica di uno Stato membro o di un
Paese  terzo  o  agli  interessi  vitali  di  uno  Stato   membro   e
l'autorizzazione    preliminare    non    puo'    essere     ottenuta
tempestivamente. L'autorita' competente a rilasciare l'autorizzazione
preliminare e' informata senza ritardo. 
                               Art. 32 
 
                      Trasferimento sulla base 
                   di una decisione di adeguatezza 
 
  1. Il trasferimento di  dati  personali  verso  un  Paese  terzo  o
un'organizzazione internazionale  e'  consentito  se  la  Commissione
europea ha deciso che il Paese terzo, un  territorio  o  uno  o  piu'
settori specifici all'interno del  Paese  terzo,  o  l'organizzazione
internazionale garantiscono un livello di protezione adeguato. In tal
caso non sono necessarie autorizzazioni specifiche. 
                               Art. 33 
 
             Trasferimenti soggetti a garanzie adeguate 
 
  1. In mancanza o in caso di revoca, modifica o sospensione  di  una
decisione di adeguatezza di cui all'articolo 32, il trasferimento  di
dati   personali   verso   un   Paese   terzo   o   un'organizzazione
internazionale e' consentito se: 
    a) sono fornite garanzie adeguate  per  la  protezione  dei  dati
personali attraverso uno strumento giuridicamente vincolante; o 
    b) il titolare del trattamento,  valutate  tutte  le  circostanze
relative  allo  specifico  trasferimento,  ritiene   che   sussistano
garanzie adeguate per la protezione dei dati personali. 
  2. Il titolare del trattamento informa il Garante dei trasferimenti
effettuati  ai  sensi  del  comma  1,  lettera  b),  e  ne   conserva
documentazione che, su richiesta, mette a disposizione  del  Garante,
con  l'indicazione  della  data   e   dell'ora   del   trasferimento,
dell'autorita'   competente   ricevente,   della   motivazione    del
trasferimento e dei dati personali trasferiti. 
                               Art. 34 
 
                  Deroghe in situazioni specifiche 
 
  1. In mancanza o in caso di revoca, modifica o sospensione  di  una
decisione di adeguatezza ai sensi  dell'articolo  32  o  di  garanzie
adeguate di cui all'articolo 33, il trasferimento o una categoria  di
trasferimenti  di   dati   personali   verso   un   Paese   terzo   o
un'organizzazione internazionale sono consentiti se necessari per una
delle seguenti finalita': 
    a)  per  tutelare  un  interesse  vitale  dell'interessato  o  di
un'altra persona; 
    b)  per  salvaguardare  i  legittimi  interessi  dell'interessato
quando lo preveda il diritto dello Stato  membro  che  trasferisce  i
dati personali; 
    c) per prevenire una minaccia grave e  immediata  alla  sicurezza
pubblica di uno Stato membro o di un Paese terzo; 
    d) in singoli casi, per le finalita' di cui all'articolo 1, comma
2; 
    e) in singoli casi, per  accertare,  esercitare  o  difendere  un
diritto in sede  giudiziaria  in  relazione  alle  finalita'  di  cui
all'articolo 1, comma 2. 
  2. Nei casi di cui al comma 1, lettere d) ed e), i  dati  personali
non  sono  trasferiti  se  l'autorita'  competente  che  effettua  il
trasferimento  valuta  i   diritti   e   le   liberta'   fondamentali
dell'interessato  prevalenti  rispetto  all'interesse   pubblico   al
trasferimento. 
  3. Il trasferimento effettuato ai sensi del  comma  1  deve  essere
documentato e, su richiesta, la documentazione deve  essere  messa  a
disposizione del Garante con l'indicazione della data e dell'ora  del
trasferimento, dell'autorita' competente ricevente, della motivazione
del trasferimento e dei dati personali trasferiti. 
                               Art. 35 
 
                   Trasferimenti di dati personali 
               a destinatari stabiliti in Paesi terzi 
 
  1. In deroga a quanto previsto dall'articolo 31, comma  1,  lettera
b), e fatti salvi eventuali accordi internazionali di cui al comma 2,
le autorita' competenti di cui all'articolo 2, comma 1,  lettera  g),
numero 1), possono, in singoli e specifici casi previsti da norme  di
legge o di regolamento o dal diritto dell'Unione europea,  trasferire
dati personali direttamente a destinatari stabiliti  in  Paesi  terzi
se: 
    a) il trasferimento e' strettamente necessario per l'assolvimento
di  un  compito  previsto   dal   diritto   dell'Unione   europea   o
dall'ordinamento interno, per le finalita'  di  cui  all'articolo  1,
comma 2; 
    b) l'autorita' competente che effettua  il  trasferimento  valuta
che  i  diritti  e  le  liberta'  fondamentali  dell'interessato  non
prevalgono  sull'interesse   pubblico   che   rende   necessario   il
trasferimento; 
    c) l'autorita' competente che effettua il  trasferimento  ritiene
che  il  trasferimento  a  un'autorita'  per  le  finalita'  di   cui
all'articolo 1, comma 2, nel Paese terzo sia inefficace  o  inidoneo,
in particolare in quanto non puo' essere effettuato tempestivamente; 
    d) l'autorita' competente ai fini di cui all'articolo 1, comma 2,
nel Paese terzo e' informata senza ingiustificato ritardo, salvo  che
cio' pregiudichi la finalita' per cui il trasferimento e' effettuato; 
    e) l'autorita' competente che effettua il  trasferimento  informa
il  destinatario  della  finalita'  specifica   o   delle   finalita'
specifiche per le quali i dati personali devono  essere  trattati,  a
condizione che tale trattamento sia necessario. 
  2. Per  accordo  internazionale  di  cui  al  comma  1  si  intende
qualsiasi accordo internazionale bilaterale o multilaterale in vigore
tra gli Stati membri e Paesi terzi  nel  settore  della  cooperazione
giudiziaria in materia penale e della cooperazione di polizia. 
  3. L'autorita' competente  informa  il  Garante  dei  trasferimenti
previsti dal presente articolo. 
  4. Il trasferimento effettuato ai sensi del comma 1 e' documentato. 
                               Art. 36 
 
Cooperazione internazionale per la protezione dei  dati  personali  e
  accordi internazionali precedentemente conclusi 
 
  1.  In   relazione   ai   Paesi   terzi   e   alle   organizzazioni
internazionali, sono adottate misure appropriate per le finalita'  di
cui all'articolo 50 del regolamento UE. 
  2. Restano in vigore,  fino  alla  loro  modifica,  sostituzione  o
revoca, gli accordi internazionali relativi al trasferimento di  dati
personali verso Paesi terzi o organizzazioni internazionali  conclusi
anteriormente al 6  maggio  2016  e  che  sono  conformi  al  diritto
dell'Unione europea applicabile a tale data. 

Capo V
Tutela e sanzioni amministrative

                               Art. 37 
 
                       Autorita' di controllo 
 
  1. Il Garante e' l'autorita' di controllo  incaricata  di  vigilare
sull'applicazione delle norme di cui al presente decreto, al fine  di
tutelare i diritti e le liberta' fondamentali delle  persone  fisiche
con riguardo al trattamento di  dati  personali  e  di  agevolare  la
libera circolazione dei dati all'interno dell'Unione europea. 
  2. Ai fini di cui al comma 1 sono attribuite al Garante le funzioni
di cui all'articolo 154 del Codice, nonche' le seguenti: 
    a) promozione di una diffusa conoscenza  e  della  consapevolezza
circa i rischi, le norme, le garanzie e i  diritti  in  relazione  al
trattamento; 
    b)  promozione  della  consapevolezza  in  capo  ai  titolari   e
responsabili del trattamento dell'importanza degli obblighi  previsti
dal presente decreto; 
    c) espressione di pareri nei casi previsti dalla legge; 
    d) rilascio, su richiesta dell'interessato,  di  informazioni  in
merito all'esercizio dei diritti previsti dal presente decreto e,  se
del caso, cooperazione, a tal fine, con le autorita' di controllo  di
altri Stati membri; 
    e) trattazione dei reclami proposti  da  un  interessato,  da  un
organismo, un'organizzazione o un'associazione ai sensi dell'articolo
40 e compimento delle indagini sull'oggetto del  reclamo,  informando
il reclamante dello  stato  e  dell'esito  delle  indagini  entro  un
termine ragionevole, in particolare ove  siano  necessarie  ulteriori
indagini o un coordinamento con un'altra autorita' di controllo; 
    f) supporto agli interessati nella proposizione dei reclami; 
    g)  accertamento  della  liceita'  del   trattamento   ai   sensi
dell'articolo 13 e  informazione  all'interessato  entro  un  termine
ragionevole dell'esito della verifica ai sensi del comma 3  di  detto
articolo, o dei motivi per cui non e' stata effettuata; 
    h) collaborazione, anche tramite scambi di informazioni,  con  le
altre autorita' di controllo e attivita' di assistenza reciproca,  al
fine di garantire l'applicazione e l'attuazione del presente decreto; 
    i) verifica degli sviluppi tecnologici e sociali  che  presentano
un interesse, se ed in quanto incidenti  sulla  protezione  dei  dati
personali,   in    particolare    l'evoluzione    delle    tecnologie
dell'informazione e della comunicazione; 
    l) prestazione di consulenza in  merito  ai  trattamenti  di  cui
all'articolo 24; 
    m) contribuzione alle attivita' del comitato di cui  all'articolo
68 del regolamento UE; 
  3. Ai fini di cui al comma 1 sono attribuiti al Garante i  seguenti
poteri: 
    a) svolgere  indagini  sull'applicazione  del  presente  decreto,
anche sulla base di informazioni ricevute da  un'altra  autorita'  di
controllo o da un'altra  autorita'  pubblica.  Lo  svolgimento  delle
indagini e' disciplinato dalle disposizioni del Codice; 
    b) ottenere, dal titolare del trattamento e dal responsabile  del
trattamento,  l'accesso  a  tutti  i  dati  personali   oggetto   del
trattamento e a tutte le informazioni  necessarie  per  l'adempimento
dei suoi compiti; 
    c) rivolgere  avvertimenti  al  titolare  del  trattamento  o  al
responsabile del trattamento  in  ordine  alle  possibili  violazioni
delle norme del presente decreto; 
    d) ingiungere al titolare del trattamento o al  responsabile  del
trattamento  di  conformare  i  trattamenti  alle  disposizioni   del
presente decreto, se del caso, con specifiche modalita' ed  entro  un
determinato termine, ordinando  in  particolare  la  rettifica  o  la
cancellazione di dati personali o la limitazione del  trattamento  ai
sensi dell'articolo 12; 
    e)  imporre  una  limitazione   provvisoria   o   definitiva   al
trattamento, incluso il divieto e il blocco dello stesso; 
    f)  promuovere  la  segnalazione  riservata  di  violazioni   del
presente decreto; 
    g) denunciare i reati dei quali viene a conoscenza nell'esercizio
o a causa delle funzioni; 
    h) predisporre annualmente una relazione  sull'attivita'  svolta,
da trasmettere al Parlamento e al  Governo,  ai  sensi  dell'articolo
154, comma 1, del Codice e da mettere a  disposizione  del  pubblico,
della Commissione europea e del comitato di cui all'articolo  68  del
regolamento UE, in cui puo' figurare un  elenco  delle  tipologie  di
violazioni notificate e di sanzioni imposte. 
  4. I poteri di cui al comma 3 sono esercitati nei modi, nelle forme
e con le garanzie previste dalla legge. 
  5. Le funzioni e i poteri di cui ai commi 2  e  3  sono  esercitati
senza spese per l'interessato o per il responsabile della  protezione
dati. Il Garante non provvede in ordine alle richieste manifestamente
infondate  o  inammissibili  in  quanto  ripropongono,  senza   nuovi
elementi, richieste gia' rigettate. 
  6. Il Garante non e' competente in ordine al controllo del rispetto
delle  norme  del  presente  decreto,  limitatamente  ai  trattamenti
effettuati dall'autorita' giudiziaria nell'esercizio  delle  funzioni
giurisdizionali,  nonche'  di   quelle   giudiziarie   del   pubblico
ministero. 
                               Art. 38 
 
                        Assistenza reciproca 
 
  1. Il Garante  coopera  con  la  Commissione  europea  al  fine  di
contribuire alla coerente applicazione  del  diritto  dell'Unione  in
materia di protezione dei dati personali, scambia con le autorita' di
controllo degli altri Stati membri le  informazioni  utili  e  presta
assistenza reciproca al fine  di  attuare  e  applicare  il  presente
decreto in maniera coerente, e di cooperare efficacemente  con  loro.
L'assistenza reciproca comprende le richieste di  informazioni  e  le
misure di controllo, quali le richieste di effettuare  consultazioni,
ispezioni e indagini. 
  2. Il Garante adotta, con proprio provvedimento, le misure  di  cui
all'articolo 61, paragrafo 2, del regolamento UE. 
  3. Le richieste di assistenza sono conformi alle modalita'  di  cui
all'articolo 61, paragrafo 3, del regolamento UE. 
  4. Il Garante non puo' rifiutare di dare  seguito  alla  richiesta,
salvo che sia incompetente o l'intervento richiesto violi il  diritto
interno o dell'Unione europea. 
  5. Il Garante osserva  le  disposizioni  di  cui  all'articolo  61,
paragrafi 5, 6 e 7, del regolamento UE. 
                               Art. 39 
 
                         Reclamo al Garante 
                      e ricorso giurisdizionale 
 
  1. Fermo quanto previsto dall'articolo 37, comma 6,  l'interessato,
se ritiene che il trattamento dei dati personali  che  lo  riguardano
violi le disposizioni del presente decreto, puo' proporre reclamo  al
Garante, con le modalita' di cui agli articoli 142 e 143 del Codice. 
  2. Il Garante informa l'interessato dello stato  o  dell'esito  del
reclamo, compresa la possibilita' del ricorso giurisdizionale. 
  3. Per l'inosservanza delle disposizioni del  presente  decreto  in
violazione dei suoi  diritti,  l'interessato  puo'  proporre  ricorso
giurisdizionale secondo quanto previsto e regolato  dalla  disciplina
contenuta nella parte III, titolo I, capo II del Codice. 
                               Art. 40 
 
                  Rappresentanza degli interessati 
 
  1. L'interessato puo' dare mandato a  un  ente  del  terzo  settore
soggetto alla disciplina del decreto legislativo 3  luglio  2017,  n.
117, che sia attivo nel settore della  tutela  dei  diritti  e  delle
liberta' degli interessati con  riguardo  alla  protezione  dei  dati
personali, al fine di esercitare per  suo  conto  i  diritti  di  cui
all'articolo 39, ferme  le  disposizioni  in  materia  di  patrocinio
previste dal codice di procedura civile. 
                               Art. 41 
 
                       Diritto al risarcimento 
 
  1. Il titolare o il responsabile del  trattamento  sono  tenuti,  a
norma dell'articolo 82 del regolamento UE, al risarcimento del  danno
patrimoniale o non patrimoniale cagionato  da  un  trattamento  o  da
qualsiasi altro atto compiuti in violazione  delle  disposizioni  del
presente decreto. 
                               Art. 42 
 
                       Sanzioni amministrative 
 
  1. Salvo che  il  fatto  costituisca  reato  e  ad  esclusione  dei
trattamenti  svolti  in  ambito  giudiziario,  la  violazione   delle
disposizioni di cui all'articolo 3, comma 1, lettere a), b),  d),  e)
ed f), all'articolo 4, commi 2 e 3, all'articolo  6,  commi  3  e  4,
all'articolo  7,  all'articolo  8,  e'   punita   con   la   sanzione
amministrativa del pagamento di una somma da 50.000  euro  a  150.000
euro. La medesima sanzione amministrativa si applica al trasferimento
dei  dati  personali  verso  un  Paese  terzo   o   un'organizzazione
internazionale  in  assenza  della  decisione  di  adeguatezza  della
Commissione europea, salvo quanto previsto dagli articoli 33 e 34. 
  2. Salvo che  il  fatto  costituisca  reato  e  ad  esclusione  dei
trattamenti svolti in ambito giudiziario, e' punita con  la  sanzione
amministrativa del pagamento di una somma da  20.000  euro  a  80.000
euro la violazione delle disposizioni di cui all'articolo  14,  comma
2.  Con  la  medesima  sanzione  e'  punita   la   violazione   delle
disposizioni di cui all'articolo 17, comma 2, all'articolo 18,  commi
1, 2, 3 e 4,  all'articolo  19,  all'articolo  20,  all'articolo  21,
all'articolo 22, all'articolo 23,  all'articolo  24,  commi  1  e  4,
all'articolo 26, all'articolo 27,  all'articolo  28,  commi  1  e  4,
all'articolo 29, comma 2. 
  3. Nella determinazione della sanzione amministrativa da  applicare
secondo quanto previsto dai commi 1 e 2 si tiene conto dei criteri di
cui all'articolo 83, paragrafo 2, lettere a), b), c), d), e), f), g),
h), i), k), del regolamento UE. 
  4. Il procedimento per l'applicazione delle  sanzioni  e'  regolato
dall'articolo 166 del Codice. Si applica altresi' l'articolo 165  del
Codice. 

Capo VI
Illeciti penali

                               Art. 43 
 
                    Trattamento illecito di dati 
 
  1. Salvo che il fatto costituisca piu' grave  reato,  chiunque,  al
fine di trarne per se' o per altri profitto o di recare ad  altri  un
danno, procede al trattamento di  dati  personali  in  violazione  di
quanto disposto dall'articolo 5, comma 1, e'  punito,  se  dal  fatto
deriva nocumento, con la reclusione da sei mesi a un anno e sei  mesi
o, se la condotta comporta comunicazione o diffusione dei  dati,  con
la reclusione da sei mesi a due anni. 
  2. Salvo che il fatto costituisca piu' grave  reato,  chiunque,  al
fine di trarne per se' o per altri profitto o di recare ad  altri  un
danno, procede al trattamento di  dati  personali  in  violazione  di
quanto disposto dall'articolo  7  o  dall'articolo  8,  comma  4,  e'
punito, se dal fatto deriva nocumento, con la reclusione da uno a tre
anni. 
                               Art. 44 
 
             Falsita' in atti e dichiarazioni al Garante 
 
  1. Salvo che il fatto costituisca piu' grave reato, chiunque, in un
procedimento dinanzi al Garante riguardante il trattamento  dei  dati
di  cui  all'articolo  1,  comma  2,  o  nel  corso  di  accertamenti
riguardanti i medesimi dati, dichiara o attesta falsamente notizie  o
circostanze o produce atti  o  documenti  falsi,  e'  punito  con  la
reclusione da sei mesi a tre anni. 
                               Art. 45 
 
              Inosservanza di provvedimenti del Garante 
 
  1.  Chiunque,  essendovi  tenuto,  non  osserva  il   provvedimento
adottato dal Garante ai sensi dell'articolo 143, comma 1, lettera c),
del Codice, in un procedimento riguardante il trattamento dei dati di
cui all'articolo 1, comma 2, e' punito con la reclusione da tre  mesi
a due anni. 
                               Art. 46 
 
                           Pene accessorie 
 
  1. La condanna per uno dei delitti previsti  dal  presente  decreto
importa la pubblicazione della sentenza, ai sensi  dell'articolo  36,
secondo e terzo comma, del codice penale. 

Capo VII
Disposizioni integrative sui trattamenti
delle Forze di polizia

                               Art. 47 
 
              Modalita' di trattamento e flussi di dati 
                   da parte delle Forze di polizia 
 
  1. Nei casi in cui le autorita' di pubblica sicurezza o le Forze di
polizia possono acquisire in conformita' alle vigenti disposizioni di
legge o di regolamento dati, informazioni, atti e documenti da  altri
soggetti,  l'acquisizione  puo'  essere  effettuata  anche  per   via
telematica. A tal  fine  gli  organi  o  uffici  interessati  possono
avvalersi di convenzioni volte ad agevolare la consultazione da parte
dei  medesimi  organi  o  uffici,  mediante  reti  di   comunicazione
elettronica, di pubblici registri,  elenchi,  schedari  e  banche  di
dati, nel rispetto delle pertinenti disposizioni e  dei  principi  di
cui agli articoli da 3 a 8. Le  convenzioni-tipo  sono  adottate  dal
Ministero  dell'interno,  su   conforme   parere   del   Garante,   e
stabiliscono le modalita' dei collegamenti e degli accessi  anche  al
fine di assicurare l'accesso selettivo  ai  soli  dati  necessari  al
perseguimento delle finalita' di cui all'articolo 1, comma 2. 
  2. I dati trattati dalle Forze di polizia per le finalita'  di  cui
all'articolo 1, comma 2,  sono  conservati  separatamente  da  quelli
registrati per finalita' amministrative che non  richiedono  il  loro
utilizzo. 
  3. Fermo restando quanto previsto dagli  articoli  da  2  a  7,  il
Centro elaborazione dati del Dipartimento  della  pubblica  sicurezza
assicura   l'aggiornamento   periodico,   la   proporzionalita',   la
pertinenza e la non  eccedenza  dei  dati  personali  trattati  anche
attraverso interrogazioni autorizzate del casellario giudiziale e del
casellario dei carichi pendenti del Ministero della giustizia di  cui
al decreto del Presidente della Repubblica 14 novembre 2002, n.  313,
o di altre banche di dati delle Forze di polizia, necessarie  per  le
finalita' di cui all'articolo 1, comma 1. 
  4.  Gli  organi,   uffici   e   comandi   di   polizia   verificano
periodicamente i  requisiti  di  cui  agli  articoli  da  2  a  7  in
riferimento ai dati  trattati  anche  senza  l'ausilio  di  strumenti
elettronici, e provvedono al  loro  aggiornamento  anche  sulla  base
delle procedure adottate dal Centro elaborazione dati  ai  sensi  del
comma 3, o, per i trattamenti effettuati senza l'ausilio di strumenti
elettronici, mediante annotazioni o integrazioni dei documenti che li
contengono. 
                               Art. 48 
 
                       Tutela dell'interessato 
 
  1. Restano ferme le disposizioni di cui dall'articolo 10, commi  3,
4  e  5,  della  legge  1°  aprile  1981,  n.   121,   e   successive
modificazioni, concernenti i controlli sul Centro  elaborazione  dati
del Dipartimento della pubblica sicurezza. 
  2. Le disposizioni di cui all'articolo 10, commi 3, 4  e  5,  della
legge n. 121 del 1981,  si  applicano,  oltre  ai  dati  destinati  a
confluire nel Centro elaborazione dati di cui al  comma  1,  ai  dati
trattati con l'ausilio di strumenti elettronici da organi,  uffici  o
comandi delle Forze di polizia di cui all'articolo 16 della  predetta
legge n. 121 del 1981. 

Capo VIII
Disposizioni di coordinamento e abrogazioni

                               Art. 49 
 
             Abrogazioni e disposizioni di coordinamento 
 
  1. Gli articoli 53, 54, 55 e 56 del Codice sono abrogati. 
  2. L'articolo 57 del Codice e' abrogato decorso un anno dalla  data
di entrata in vigore del presente decreto. 
  3. I decreti adottati in attuazione degli  articoli  53  e  57  del
Codice  continuano  ad  applicarsi  fino  all'adozione   di   diversa
disciplina ai sensi degli articoli 5, comma 2, e 9, comma 5. 
                               Art. 50 
 
                 Clausola di invarianza finanziaria 
 
  1. Dall'attuazione delle disposizioni di cui  al  presente  decreto
non devono derivare nuovi o maggiori oneri per la  finanza  pubblica.
Le amministrazioni interessate provvedono agli  adempimenti  previsti
dal presente decreto con le risorse umane, finanziarie e  strumentali
disponibili a legislazione vigente. 
  Il presente decreto, munito del sigillo dello Stato, sara' inserito
nella  Raccolta  ufficiale  degli  atti  normativi  della  Repubblica
italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare. 
    Dato a Roma, addi' 18 maggio 2018 
 
                             MATTARELLA 
 
                                Gentiloni  Silveri,  Presidente   del
                                Consiglio dei ministri 
 
                                Orlando, Ministro della giustizia 
 
                                Alfano, Ministro degli affari  esteri
                                e della cooperazione internazionale 
 
                                Minniti, Ministro dell'interno 
 
                                Padoan,  Ministro   dell'economia   e
                                delle finanze 
 
Visto, il Guardasigilli: Orlando 

 

Lascia un commento