Gdpr, cdm approva decreto di adeguamento sulla privacy: introdotti nuovi reati e sanzioni

di Pierluigi Roesler Franz
Pubblicato il 11 agosto 2018 14:36 | Ultimo aggiornamento: 11 agosto 2018 14:36

Gdpr, cdm approva decreto di adeguamento sulla privacy: introdotti nuovi reati e sanzioni

ROMA – Il consiglio dei ministri ha approvato il decreto di adeguamento sulla privacy che introduce nuovi reati e sanzioni penali per il Gdpr. [App di Blitzquotidiano, gratis, clicca qui,- Ladyblitz clicca qui –Cronaca Oggi, App on Google Play] Il decreto legislativo, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Dopo l’esame di una commissione appositamente costituita si è deciso, al fine di semplificare l’applicazione della norma, di agire novellando il codice della privacy esistente, nonostante il regolamento abbia di fatto cambiato la prospettiva dell’approccio alla tutela della privacy rispetto al codice introducendo il principio di dell’accountability.

Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.

SCHEMA DI DECRETO LEGISLATIVO RECANTE DISPOSIZIONI PER L’ADEGUAMENTO DELLA NORMATIVA NAZIONALE ALLE DISPOSIZIONI DEL REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO, DEL 27 APRILE 2016, RELATIVO ALLA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI, NONCHÉ ALLA LIBERA CIRCOLAZIONE DI TALI DATI E CHE ABROGA LA DIRETTIVA 95/46/CE (REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI)

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;

Vista la legge 25 ottobre 2017, n. 163, recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017” e, in particolare, l’articolo 13, che delega il Governo all’emanazione di uno o più decreti legislativi di adeguamento del quadro normativo nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016;

Vista la legge 24 dicembre 2012, n. 234, recante “Norme generali sulla partecipazione dell’Italia alla formazione e all’attuazione della normativa e delle politiche dell’Unione europea”;

Visto il Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196;

Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);

Vista la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;

Vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

Vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, come modificata dalla direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006;

Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 21 marzo 2018;

Acquisito il parere del Garante per la protezione dei dati personali, adottato nell’adunanza del 22 maggio 2018;

Acquisiti i pareri delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica;

Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del…;

Sulla proposta del Presidente del Consiglio dei ministri, del Ministro della giustizia e del Ministro per gli affari europei, di concerto con i Ministri per la pubblica amministrazione, degli affari esteri e della cooperazione internazionale, dell’economia e delle finanze e dello sviluppo economico, del lavoro e delle politiche sociali;

EMANA

il seguente decreto legislativo:

CAPO I

Modifiche al titolo e alle premesse del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196

ART. 1

(Modifiche al titolo e alle premesse  del decreto legislativo 30 giugno 2003, n. 196)

Al titolo del decreto legislativo 30 giugno 2003, n. 196, dopo le parole “dati personali” sono aggiunte le seguenti: “, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”.
Alle premesse del decreto legislativo 30 giugno 2003, n. 196, dopo il terzo Visto sono inseriti i seguenti:
“Vista la legge 25 ottobre 2017, n. 163, recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017” e, in particolare, l’articolo 13, che delega il Governo all’emanazione di uno o più decreti legislativi di adeguamento del quadro normativo nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016;

Vista la legge 24 dicembre 2012, n. 234, recante “Norme generali sulla partecipazione dell’Italia alla formazione e all’attuazione della normativa e delle politiche dell’Unione europea;

Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);”.

CAPO II

Modifiche alla Parte I del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196

ART. 2

(Modifiche alla Parte I, Titolo I, del decreto legislativo 30 giugno 2003, n. 196)

Alla Parte I, Titolo I, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) la rubrica del Titolo I è sostituita dalla seguente: “Disposizioni generali”;
b) l’articolo 1 è sostituito dal seguente:
“Art. 1

(Oggetto)

Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito “Regolamento”, e del presente codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona.”;
c) l’articolo 2 è sostituito dal seguente:

“Art. 2

(Finalità)

Il presente codice reca disposizioni per l’adeguamento dell’ordinamento nazionale alle disposizioni del Regolamento.”;
d) dopo l’articolo 2 è inserito il seguente:
“Art.  2-bis

(Autorità di controllo)

L’Autorità di controllo di cui all’articolo 51 del Regolamento è individuata nel Garante per la protezione dei dati personali, di seguito “Garante”, di cui all’articolo 153.”;

e) dopo il Titolo I, sono inseriti i seguenti:
“TITOLO I-bis

Principi

Art. 2-ter

(Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri)

La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento.
La comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli ricompresi nelle particolari categorie di cui all’articolo 9 del Regolamento e di quelli relativi a condanne penali e reati di cui all’articolo 10 del Regolamento, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri è ammessa se prevista ai sensi del comma 1. In mancanza di tale norma, la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di compiti di interesse pubblico e lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di quarantacinque giorni dalla relativa comunicazione al Garante, senza che lo stesso abbia adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati.
La diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1.
Si intende per:
a) “comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile, dalle persone autorizzate, ai sensi dell’articolo 2-quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione;
b) “diffusione”, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Art. 2-quater

(Regole deontologiche)

Il Garante promuove, nell’osservanza del principio di rappresentatività e tenendo conto delle raccomandazioni del Consiglio d’Europa sul trattamento dei dati personali, l’adozione di regole deontologiche per i trattamenti previsti dalle disposizioni di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 4, e al Capo IX del Regolamento e ne verifica la conformità alle disposizioni vigenti, anche attraverso l’esame di osservazioni di soggetti interessati e contribuisce a garantirne la diffusione e il rispetto.
Lo schema di regole deontologiche è sottoposto a consultazione pubblica per almeno sessanta giorni.
Conclusa la fase delle consultazioni, le regole deontologiche sono approvate dal Garante ai sensi dell’articolo 154-bis, comma 1, lettera b), pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministro della giustizia, sono riportate nell’allegato A del presente codice.
Il rispetto delle disposizioni contenute nelle regole deontologiche di cui al comma 1 costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali.

Art. 2-quinquies

(Consenso del minore in relazione ai servizi della società dell’informazione)

In attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale.

In relazione all’offerta diretta ai minori dei servizi di cui al comma 1, il titolare del trattamento redige con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.
Art. 2-sexies

(Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante)

I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi della lettera g), paragrafo 2, del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.Fermo quanto previsto dal comma 1, si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie:
a) accesso a documenti amministrativi e accesso civico;
b) tenuta degli atti e dei registri dello stato civile, delle anagrafi della popolazione residente in Italia e dei cittadini italiani residenti all’estero, e delle liste elettorali, nonché rilascio di documenti di riconoscimento o di viaggio o cambiamento delle generalità;
c) tenuta di registri pubblici relativi a beni immobili o mobili;
c) tenuta dell’anagrafe nazionale degli abilitati alla guida e dell’archivio nazionale dei veicoli;
d) cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato;
e) elettorato attivo e passivo ed esercizio di altri diritti politici, protezione diplomatica e consolare, nonché documentazione delle attività istituzionali di organi pubblici, con particolare riguardo alla redazione di verbali e resoconti dell’attività di assemblee rappresentative, commissioni e di altri organi collegiali o assembleari;
f) esercizio del mandato degli organi rappresentativi, ivi compresa la loro sospensione o il loro scioglimento, nonché l’accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche;
g) svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e l’accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all’espletamento di un mandato elettivo;
h) attività dei soggetti pubblici dirette all’applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale;
i) attività di controllo e ispettive;
l) concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;
m) conferimento di onorificenze e ricompense, riconoscimento della personalità giuridica di associazioni, fondazioni ed enti, anche di culto, accertamento dei requisiti di onorabilità e di professionalità per le nomine, per i profili di competenza del soggetto pubblico, ad uffici anche di culto e a cariche direttive di persone giuridiche, imprese e di istituzioni scolastiche non statali, nonché rilascio e revoca di autorizzazioni o abilitazioni, concessione di patrocini, patronati e premi di rappresentanza, adesione a comitati d’onore e ammissione a cerimonie ed incontri istituzionali;
n) rapporti tra i soggetti pubblici e gli enti del terzo settore;
o) obiezione di coscienza;
p) attività sanzionatorie e di tutela in sede amministrativa o giudiziaria;
q) rapporti istituzionali con enti di culto, confessioni religiose e comunità religiose;
r) attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci;
s) attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d’organo e di tessuti nonché alle trasfusioni di sangue umano;
t) compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;
u) programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale;
v) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria;
z) tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili;
aa) istruzione e formazione in ambito scolastico, professionale, superiore o universitario;
bb) trattamenti effettuati a fini di archiviazione nel pubblico interesse o di ricerca storica, concernenti la conservazione, l’ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli enti pubblici, o in archivi privati dichiarati diinteresse storico particolarmente importante rilevante interesse storico, per fini di ricerca scientifica, nonché per fini statistici da parte di soggetti che fanno parte del sistema statistico nazionale (Sistan);
c c) instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunità nell’ambito dei rapporti di lavoro, adempimento degli obblighi retributivi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento della responsabilità civile, disciplinare e contabile, attività ispettiva.

Per i dati genetici, biometrici e relativi alla salute il trattamento avviene comunque nel rispetto di quanto previsto dall’articolo 2-septies.
Art. 2-septies

(Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute)

In attuazione di quanto previsto dall’articolo 9, paragrafo 4, del Regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo.

Il provvedimento che stabilisce le misure di garanzia di cui al comma 1 è adottato con cadenza almeno biennale e tenendo conto:
a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali;
b) dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure;
c) dell’interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea.
Lo schema di provvedimento è sottoposto a consultazione pubblica per un periodo non inferiore a sessanta giorni.
Le misure di garanzia sono adottate nel rispetto di quanto previsto dall’articolo 9, paragrafo 2, del Regolamento, e riguardano anche le cautele da adottare relativamente a:
a) contrassegni sui veicoli e accessi a zone a traffico limitato;
b) profili organizzativi e gestionali in ambito sanitario;
c) modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute;
d) prescrizioni di medicinali.
Le misure di garanzia sono adottate in relazione a ciascuna categoria dei dati personali di cui al comma 1, avendo riguardo alle specifiche finalità del trattamento e possono individuare, in conformità a quanto previsto al comma 2, ulteriori condizioni sulla base delle quali il trattamento di tali dati è consentito. In particolare, le misure di garanzia individuano le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.
Le misure di garanzia relative ai dati genetici e quelle di cui al comma 4, lettere b), c) e d), sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità. Limitatamente ai dati genetici, le misure di garanzia possono individuare, in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato, a norma dell’articolo 9, paragrafo 4, del Regolamento, o altre cautele specifiche.
Ai fini del rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all’articolo 32 del Regolamento, è ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia di cui al presente articolo.
8. I dati personali di cui al comma 1 non possono essere diffusi.

Art. 2-octies

(Principi relativi al trattamento di dati relativi a condanne penali e reati)

Fatto salvo quanto previsto dal decreto legislativo adottato in attuazione dell’articolo 11 della legge 25 ottobre 2017, n. 163, il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, del Regolamento, che non avviene sotto il controllo dell’autorità pubblica, è consentito, ai sensi dell’articolo 10 del medesimo Regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.
In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati di cui al comma 1 nonché le garanzie di cui al medesimo comma sono individuate con decreto del Ministro della giustizia, da adottarsi, ai sensi dell’articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante.
Fermo quanto previsto dai commi 1 e 2, il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, riguardanti, in particolare:
a) l’adempimento di obblighi e l’esercizio di diritti da parte del titolare o dell’interessato in materia di diritto del lavoro o comunque nell’ambito dei rapporti di lavoro, nei limiti stabiliti da leggi, regolamenti e contratti collettivi, secondo quanto previsto dagli articoli 9, paragrafo 2, lettera b), e 88 del Regolamento;
b) l’adempimento degli obblighi previsti da disposizioni di legge o di regolamento in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali;
c) la verifica o l’accertamento dei requisiti di onorabilità, requisiti soggettivi e presupposti interdittivi nei casi previsti dalle leggi o dai regolamenti;
d) l’accertamento di responsabilità in relazione a sinistri o eventi attinenti alla vita umana, nonché la prevenzione, l’accertamento e il contrasto di frodi o situazioni di concreto rischio per il corretto esercizio dell’attività assicurativa, nei limiti di quanto previsto dalle leggi o dai regolamenti in materia;
e) l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
f) l’esercizio del diritto di accesso ai dati e ai documenti amministrativi, nei limiti di quanto previsto dalle leggi o dai regolamenti in materia;
g) l’esecuzione di investigazioni o le ricerche o la raccolta di informazioni per conto di terzi ai sensi dell’articolo 134 del Testo unico delle leggi di pubblica sicurezza;
h) l’adempimento di obblighi previsti da disposizioni di legge in materia di comunicazioni e informazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di pericolosità sociale, nei casi previsti da leggi o da regolamenti, o per la produzione della documentazione prescritta dalla legge per partecipare a gare d’appalto;
i) l’accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d’appalto, in adempimento di quanto previsto dalle vigenti normative in materia di appalti;
l) l’attuazione della disciplina in materia di attribuzione del rating di legalità delle imprese ai sensi dell’articolo 5-ter del decreto-legge 24 gennaio 2012, n.1, convertito, con modificazioni, dalla legge 24 marzo 2012, n. 27;
m) l’adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.
Nei casi in cui le disposizioni di cui al comma 3 non individuano le garanzie appropriate per i diritti e le libertà degli interessati, tali garanzie sono previste con il decreto di cui al comma 2.
Quando il trattamento dei dati di cui al presente articolo avviene sotto il controllo dell’autorità pubblica si applicano le disposizioni previste dall’articolo 2-sexies.
Con il decreto di cui al comma 2 è autorizzato il trattamento dei dati di cui all’articolo 10 del Regolamento, effettuato in attuazione di protocolli di intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell’interno o con le Prefetture-UTG. In relazione a tali protocolli, il decreto di cui al comma 2 individua, le tipologie dei dati trattati, gli interessati, le operazioni di trattamento eseguibili, anche in relazione all’aggiornamento e alla conservazione e prevede le garanzie appropriate per i diritti e le libertà degli interessati. Il decreto è adottato, limitatamente agli ambiti di cui al presente comma, di concerto con il Ministro dell’interno.

Art. 2-novies

(Trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato  della Repubblica e dalla Corte costituzionale)

Le disposizioni degli articoli 2-sexies, 2-septies e 2-octies del presente decreto legislativo recano principi applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti delle categorie di dati personali di cui agli articoli 9, paragrafo 1, e 10 del Regolamento, disciplinati dalla Presidenza della Repubblica, dal Senato della Repubblica, dalla Camera dei deputati e dalla Corte costituzionale.
Art. 2-decies

(Inutilizzabilità dei dati)

I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall’articolo 160-bis.

TITOLO I-ter

Disposizioni in materia di diritti dell’interessato

Art. 2-undecies

(Limitazioni ai diritti dell’interessato)

I diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto:

a) agli interessi tutelati in base alle disposizioni in materia di riciclaggio;
b) agli interessi tutelati in base alle disposizioni in materia di sostegno alle vittime di richieste estorsive;
c) all’attività di Commissioni parlamentari d’inchiesta istituite ai sensi dell’articolo 82 della Costituzione;
d) alle attività svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;
e) allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria;
f) alla riservatezza dell’identità del dipendente che segnala ai sensi della legge 30 novembre 2017, n. 179, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.
Nei casi di cui al comma 1, lettera c), si applica quanto previsto dai regolamenti parlamentari ovvero dalla legge o dalle norme istitutive della Commissione d’inchiesta.
Nei casi di cui al comma 1, lettere a), b), d) ed e), i diritti di cui al medesimo comma sono esercitati conformemente alle disposizioni di legge o di regolamento che regolano il settore, che devono almeno recare misure dirette a disciplinare gli ambiti di cui all’articolo 23, paragrafo 2, del Regolamento. L’esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare gli interessi di cui al comma 1, lettere a), b), d) ed e). In tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160. In tale ipotesi, il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale. Il titolare del trattamento informa l’interessato delle facoltà di cui al presente comma.
Art. 2-duodecies

(Limitazioni per ragioni di giustizia)

In applicazione dell’articolo 23, paragrafo 1, lettera f), del Regolamento, in relazione ai trattamenti di dati personali effettuati per ragioni di giustizia nell’ambito di procedimenti dinanzi agli uffici giudiziari di ogni ordine e grado nonché dinanzi al Consiglio superiore della magistratura e agli altri organi di autogoverno delle magistrature speciali o presso il Ministero della giustizia, i diritti e gli obblighi di cui agli articoli da 12 a 22 e 34 del Regolamento sono disciplinati nei limiti e con le modalità previste dalle disposizioni di legge o di regolamento che regolano tali procedimenti, nel rispetto di quanto previsto dal paragrafo 2 dell’articolo 23 del Regolamento.

Fermo quanto previsto dal comma 1, l’esercizio dei diritti e l’adempimento degli obblighi di cui agli articoli da 12 a 22 e 34 del Regolamento possono, in ogni caso, essere ritardati, limitati o esclusi, con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, per salvaguardare l’indipendenza della magistratura e dei procedimenti giudiziari.
Si applica l’articolo 2-undecies, comma 3, terzo, quarto e quinto periodo.
Ai fini del presente articolo si intendono effettuati per ragioni di giustizia i trattamenti di dati personali correlati alla trattazione giudiziaria di affari e di controversie, i trattamenti effettuati in materia di trattamento giuridico ed economico del personale di magistratura, nonché i trattamenti svolti nell’ambito delle attività ispettive su uffici giudiziari. Le ragioni di giustizia non ricorrono per l’ordinaria attività amministrativo-gestionale di personale, mezzi o strutture, quando non è pregiudicata la segretezza di atti direttamente connessi alla trattazione giudiziaria di procedimenti.

Art. 2-terdecies

(Diritti riguardanti le persone decedute)

I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.
L’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata.
La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma.
L’interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3.
In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi.
TITOLO I-quater

Disposizioni relative al titolare del trattamento e responsabile del trattamento

Art. 2-quaterdecies

(Attribuzione di funzioni e compiti a soggetti designati)

Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

Art. 2-quinquiesdecies

(Trattamento che presenta rischi specifici per l’esecuzione di un compito di interesse pubblico)

Con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che può presentare rischi elevati ai sensi dell’articolo 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.
Art. 2-sexiesdecies

(Responsabile della protezione dati per i trattamenti effettuati dalle autorità giudiziarie nell’esercizio delle loro funzioni)

Il responsabile della protezione dati è designato, a norma delle disposizioni di cui alla sezione 4 del capo IV del Regolamento, anche in relazione ai trattamenti di dati personali effettuati dalle autorità giudiziarie nell’esercizio delle loro funzioni.
Art. 2-septiesdecies

(Organismo nazionale di accreditamento)

L’organismo nazionale di accreditamento di cui all’articolo 43, paragrafo 1, lettera b), del Regolamento è l’Ente unico nazionale di accreditamento, istituito ai sensi del regolamento (CE) n. 765/2008, del Parlamento europeo e del Consiglio, del 9 luglio 2008, fatto salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata nella Gazzetta Ufficiale della Repubblica italiana e in caso di grave inadempimento dei suoi compiti da parte dell’Ente unico nazionale di accreditamento, l’esercizio di tali funzioni, anche con riferimento a una o più categorie di trattamenti.

CAPO III

Modifiche alla Parte II del codice in materia di protezione dei dati personali di cui decreto legislativo 30 giugno 2003, n. 196

ART. 3

(Modifiche alla rubrica e al Titolo I della Parte II, del decreto legislativo 30 giugno 2003, n. 196)

La rubrica della Parte II del decreto legislativo 30 giugno 2003, n. 196, è sostituita dalla seguente: “Disposizioni specifiche per i trattamenti necessari per adempiere ad un obbligo legale o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri nonché disposizioni per i trattamenti di cui al capo IX del Regolamento”.

Al Titolo I della Parte II, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) prima del Titolo I, è inserito il seguente:

“TITOLO 0.I

Disposizioni sulla base giuridica

Art. 2-octiesdecies

(Base giuridica)

Le disposizioni contenute nella presente parte sono stabilite in attuazione dell’articolo 6, paragrafo 2, nonché dell’articolo 23, paragrafo 1, del Regolamento.”;
b) all’articolo 50, è aggiunto, in fine, il seguente periodo: “La violazione del divieto di cui al presente articolo è punita ai sensi dell’articolo 684 del codice penale.”;
c) all’articolo 52:
1) al comma 1, le parole: “per finalità di informazione giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica,” sono soppresse;

2) al comma 6, le parole “dell’articolo 32 della legge 11 febbraio 1994, n. 109,” sono sostituite dalle seguenti: “dell’articolo 209 del Codice dei contratti pubblici di cui al decreto legislativo 18 aprile 2016, n. 50,”.

ART. 4

(Modifiche alla Parte II, Titolo III, del decreto legislativo 30 giugno 2003, n. 196)

Alla Parte II, Titolo III, del decreto legislativo 30 giugno 2003, n. 196, l’articolo 58 è sostituito dal seguente:
“Art. 58

(Trattamenti di dati personali per fini di sicurezza nazionale o difesa)

Ai trattamenti di dati personali effettuati dagli organismi di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, sulla base dell’articolo 26 della predetta legge o di altre disposizioni di legge o regolamento, ovvero relativi a dati coperti da segreto di Stato ai sensi degli articoli 39 e seguenti della medesima legge, si applicano le disposizioni di cui all’articolo 160, comma 4, nonché, in quanto compatibili, le disposizioni di cui agli articoli 2, 3, 8, 15, 16, 18, 25, 37, 41, 42 e 43 del decreto legislativo adottato in attuazione dell’articolo 11 della legge 25 ottobre 2017, n. 163.
Fermo restando quanto previsto dal comma 1, ai trattamenti effettuati da soggetti pubblici per finalità di difesa o di sicurezza dello Stato, in base ad espresse disposizioni di legge che prevedano specificamente il trattamento, si applicano le disposizioni di cui al comma 1 del presente articolo, nonché quelle di cui agli articoli 23 e 24 del decreto legislativo adottato in attuazione dell’articolo 11 della legge 25 ottobre 2017, n. 163.
Con uno o più regolamenti sono individuate le modalità di applicazione delle disposizioni di cui ai commi 1 e 2, in riferimento alle tipologie di dati, di interessati, di operazioni di trattamento eseguibili e di persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile ai sensi dell’articolo 2-quaterdecies, anche in relazione all’aggiornamento e alla conservazione. I regolamenti, negli ambiti di cui al comma 1, sono adottati ai sensi dell’articolo 43 della legge 3 agosto 2007, n. 124, e, negli ambiti di cui al comma 2, sono adottati con decreto del Presidente del Consiglio dei ministri, ai sensi dell’articolo 17, comma 3, della legge 23 agosto 1988, n. 400, su proposta dei Ministri competenti.
Con uno o più regolamenti adottati con decreto del Presidente della Repubblica su proposta del Ministro della difesa, sono disciplinate le misure attuative del presente decreto in materia di esercizio delle funzioni di difesa e sicurezza nazionale da parte delle Forze armate.”.

ART. 5

(Modifiche alla Parte II, Titolo IV, del decreto legislativo 30 giugno 2003, n. 196)

Alla Parte II, Titolo IV, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) all’articolo 59:
1) alla rubrica sono aggiunte, in fine, le seguenti parole: “e accesso civico”;

2) al comma 1, le parole “sensibili e giudiziari” sono sostituite dalle seguenti: “di cui agli articoli 9 e 10 del Regolamento” e le parole “Le attività finalizzate all’applicazione di tale disciplina si considerano di rilevante interesse pubblico.” sono soppresse;

3) dopo il comma 1 è aggiunto il seguente: “1-bis. I presupposti, le modalità e i limiti per l’esercizio del diritto di accesso civico restano disciplinati dal decreto legislativo 14 marzo 2013, n. 33.”;

b) l’articolo 60 è sostituito dal seguente:
“Art. 60

(Dati relativi alla salute o alla vita sessuale o all’orientamento sessuale)

Quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale.”;
c) all’articolo 61:
1) alla rubrica sono aggiunte, in fine, le seguenti parole: “e regole deontologiche”;

2) i commi 1 e 2 sono sostituiti dai seguenti:

“1. Il Garante promuove, ai sensi dell’articolo 2-quater, l’adozione di regole deontologiche per il trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, anche individuando i casi in cui deve essere indicata la fonte di acquisizione dei dati e prevedendo garanzie appropriate per l’associazione di dati provenienti da più archivi, tenendo presenti le pertinenti Raccomandazioni del Consiglio d’Europa.

Agli effetti dell’applicazione del presente codice i dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento, che devono essere inseriti in un albo professionale in conformità alla legge o ad un regolamento, possono essere comunicati a soggetti pubblici e privati o diffusi, ai sensi dell’articolo 2-ter del presente codice, anche mediante reti di comunicazione elettronica. Può essere altresì menzionata l’esistenza di provvedimenti che a qualsiasi titolo incidono sull’esercizio della professione.”.

ART. 6

(Modifiche alla Parte II, Titolo V, del decreto legislativo 30 giugno 2003, n. 196)

Alla Parte II, Titolo V, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) l’articolo 75 è sostituito dal seguente:

“Art. 75

(Specifiche condizioni in ambito sanitario)

Il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività deve essere effettuato ai sensi dell’articolo 9, paragrafi 2, lettere h) ed i), e 3 del Regolamento, dell’articolo 2-septies del presente codice, nonché nel rispetto delle specifiche disposizioni di settore.”

b) la rubrica del Capo II è sostituita dalla seguente: “Modalità particolari per informare l’interessato e per il trattamento dei dati personali”;

c) l’articolo 77 è sostituito dal seguente:
“Art. 77

(Modalità particolari)

Le disposizioni del presente titolo individuano modalità particolari utilizzabili dai soggetti di cui al comma 2:
a) per informare l’interessato ai sensi degli articoli 13 e 14 del Regolamento;
b) per il trattamento dei dati personali.
Le modalità di cui al comma 1 sono applicabili:
a) dalle strutture pubbliche e private, che erogano prestazioni sanitarie e socio-sanitarie e dagli esercenti le professioni sanitarie;
b) dai soggetti pubblici indicati all’articolo 80.”;

d) all’articolo 78:
1) alla rubrica la parola “Informativa” è sostituita dalla seguente: “Informazioni”;

2) al comma 1, le parole “nell’articolo 13, comma 1” sono sostituite dalle seguenti: “negli articoli 13 e 14 del Regolamento”;

3) al comma 2, le parole “L’informativa può essere fornita” sono sostituite dalle seguenti: “Le informazioni possono essere fornite” e le parole “prevenzione, diagnosi, cura e riabilitazione” sono sostituite dalle seguenti: “diagnosi, assistenza e terapia sanitaria”;

4) il comma 3, è sostituito dal seguente: “3. Le informazioni possono riguardare, altresì, dati personali eventualmente raccolti presso terzi e sono fornite preferibilmente per iscritto.”;

5) al comma 4, le parole “L’informativa” sono sostituite dalle seguenti: “Le informazioni” e la parola “riguarda” è sostituita dalla seguente “riguardano”;

6) al comma 5:

6.1. le parole “L’informativa resa” sono sostituite dalle seguenti: “Le informazioni rese”;

6.2. la parola “evidenzia” è sostituita dalla seguente: “evidenziano”;

6.3. la lettera a) è sostituita dalla seguente: “a) per fini di ricerca scientifica anche nell’ambito di sperimentazioni cliniche, in conformità alle leggi e ai regolamenti, ponendo in particolare evidenza che il consenso, ove richiesto, è manifestato liberamente;”;

6.4. sono aggiunte, in fine, le seguenti lettere: “c-bis) ai fini dell’implementazione del fascicolo sanitario elettronico di cui all’articolo 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221; c-ter) ai fini dei sistemi di sorveglianza e dei registri di cui all’articolo 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221.”;

e) all’articolo 79:
1) la rubrica è sostituita dalla seguente: “(Informazioni da parte di strutture pubbliche e private che erogano prestazioni sanitarie e socio-sanitarie)”;

2) il comma 1 è sostituito dal seguente: “1. Le strutture pubbliche e private, che erogano prestazioni sanitarie e socio-sanitarie possono avvalersi delle modalità particolari di cui all’articolo 78 in riferimento ad una pluralità di prestazioni erogate anche da distinti reparti ed unità della stessa struttura o di sue articolazioni ospedaliere o territoriali specificamente identificate.”;

3) al comma 2, le parole “l’organismo e le strutture” sono sostituite dalle seguenti: “la struttura o le sue articolazioni” e le parole “informativa e il consenso” sono sostituite dalla seguente: “informazione”;

4) al comma 3, le parole “semplificate di cui agli articoli 78 e 81” sono sostituite dalle seguenti: “particolari di cui all’articolo 78”;

5) al comma 4, la parola “semplificate” è sostituita dalla seguente “particolari”;

f) l’articolo 80 è sostituito dal seguente:
“ART. 80

(Informazioni da parte di altri soggetti)

“1. Nel fornire le informazioni di cui agli articoli 13 e 14 del Regolamento, oltre a quanto previsto dall’articolo 79, possono avvalersi della facoltà di fornire un’unica informativa per una pluralità di trattamenti di dati effettuati, a fini amministrativi e in tempi diversi, rispetto a dati raccolti presso l’interessato e presso terzi, i competenti servizi o strutture di altri soggetti pubblici, diversi da quelli di cui al predetto articolo 79, operanti in ambito sanitario o della protezione e sicurezza sociale.

Le informazioni di cui al comma 1 sono integrate con appositi e idonei cartelli ed avvisi agevolmente visibili al pubblico, affissi e diffusi anche nell’ambito di pubblicazioni istituzionali e mediante reti di comunicazione elettronica, in particolare per quanto riguarda attività amministrative effettuate per motivi di interesse pubblico rilevante che non richiedono il consenso degli interessati.”;

g) all’articolo 82:
1) al comma 1, le parole da “L’informativa” fino a “intervenire” sono sostituite dalle seguenti: “Le informazioni di cui agli articoli 13 e 14 del Regolamento possono essere rese”;

2) al comma 2: le parole da “L’informativa” fino a “intervenire” sono sostituite dalle seguenti: “Tali informazioni possono altresì essere rese”, e la lettera a) è sostituita dalla seguente: “a) impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell’interessato, quando non è possibile rendere le informazioni, nei casi previsti, a chi esercita legalmente la rappresentanza, ovvero a un prossimo congiunto, a un familiare, a un convivente o unito civilmente ovvero a un fiduciario ai sensi dell’articolo 4 della legge 22 dicembre 2017, n. 219 o, in loro assenza, al responsabile della struttura presso cui dimora l’interessato;”;

3) al comma 3, le parole da “L’informativa” fino a “intervenire” sono sostituite dalle seguenti: “Le informazioni di cui al comma 1 possono essere rese” e le parole “dall’acquisizione preventiva del consenso” sono sostituite dalle seguenti: “dal loro preventivo rilascio”;

4) al comma 4, le parole “l’informativa è fornita” sono sostituite dalle seguenti: “le informazioni sono fornite” e le parole da “anche” fino a “necessario” sono sostituite dalle seguenti: “nel caso in cui non siano state fornite in precedenza”;

h) dopo l’articolo 89 è aggiunto il seguente:

“Art. 89-bis

(Prescrizioni di medicinali)

Per le prescrizioni di medicinali, laddove non è necessario inserire il nominativo dell’interessato, si adottano cautele particolari in relazione a quanto disposto dal Garante nelle misure di garanzia di cui all’articolo 2-septies, anche ai fini del controllo della correttezza della prescrizione ovvero per finalità amministrative o per fini di ricerca scientifica nel settore della sanità pubblica.”;

i) all’articolo 92:
1)  al comma 1, le parole “organismi sanitari pubblici e privati” sono sostituite dalle seguenti: “strutture, pubbliche e private, che erogano prestazioni sanitarie e socio-sanitarie”;

2)  al comma 2, lettera a), le parole “di far valere” sono sostituite dalle seguenti: “di esercitare”, le parole “ai sensi dell’articolo 26, comma 4, lettera c),” sono sostituite dalle seguenti: “, ai sensi dell’articolo 9, paragrafo 2, lettera f), del Regolamento,” e le parole “e inviolabile” sono soppresse;

3)  alla lettera b), le parole “e inviolabile” sono soppresse.

ART. 7

(Modifiche alla Parte II, Titolo VI, del decreto legislativo 30 giugno 2003, n. 196)

Alla Parte II, Titolo VI, del decreto legislativo 30 giugno 2003, n. 196, l’articolo 96 è sostituito dal seguente:
“Art. 96

(Trattamento di dati relativi a studenti)

Al fine di agevolare l’orientamento, la formazione e l’inserimento professionale, anche all’estero, le istituzioni del sistema nazionale di istruzione, i centri di formazione professionale regionale, le scuole private non paritarie nonché le istituzioni di alta formazione artistica e coreutica e le università statali o non statali legalmente riconosciute su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti formativi, intermedi e finali, degli studenti e altri dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento, pertinenti in relazione alle predette finalità e indicati nelle informazioni rese agli interessati ai sensi dell’articolo 13 del Regolamento. I dati possono essere successivamente trattati esclusivamente per le predette finalità.
Resta ferma la disposizione di cui all’articolo 2, comma 2, del decreto del Presidente della Repubblica 24 giugno 1998, n. 249, sulla tutela del diritto dello studente alla riservatezza. Restano altresì ferme le vigenti disposizioni in materia di pubblicazione dell’esito degli esami mediante affissione nell’albo dell’istituto e di rilascio di diplomi e certificati.”.

ART. 8

(Modifiche alla Parte II, Titolo VII, del decreto legislativo 30 giugno 2003, n. 196)

Alla Parte II, Titolo VII, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) la rubrica è sostituita dalla seguente: “(Trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici)”;

b) l’articolo 97 è sostituito dal seguente:

“Art. 97

(Ambito applicativo)

Il presente titolo disciplina il trattamento dei dati personali effettuato a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ai sensi dell’articolo 89 del Regolamento.”;
c) l’articolo 99 è sostituito dal seguente:
“Art. 99

(Durata del trattamento)

Il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici può essere effettuato anche oltre il periodo di tempo necessario per conseguire i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati.
A fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici possono comunque essere conservati o ceduti ad altro titolare i dati personali dei quali, per qualsiasi causa, è cessato il trattamento nel rispetto di quanto previsto dall’articolo 89, paragrafo 1, del Regolamento.”;

d) all’articolo 100:
1) al comma 1, le parole “sensibili o giudiziari” sono sostituite dalle seguenti: “di cui agli articoli 9 e 10 del Regolamento”;

2) al comma 2, le parole da “opporsi” fino alla fine del comma, sono sostituite dalle seguenti: “rettifica, cancellazione, limitazione e opposizione ai sensi degli articoli 16, 17, 18 e 21 del Regolamento”;

3) dopo il comma 4, è aggiunto il seguente: “4-bis. I diritti di cui al comma 2 si esercitano con le modalità previste dalle regole deontologiche.”;

e) la rubrica del Capo II è sostituita dalla seguente: “Trattamento a fini di archiviazione nel pubblico interesse o di ricerca storica”;

f) all’articolo 101:
1) al comma 1, le parole “per scopi storici” sono sostituite dalle seguenti: “a fini di archiviazione nel pubblico interesse o di ricerca storica” e le parole “dell’articolo 11” sono sostituite dalle seguenti: “dell’articolo 5 del Regolamento”;

2) al comma 2, le parole “per scopi storici” sono sostituite dalle seguenti: “a fini di archiviazione nel pubblico interesse o di ricerca storica”;

g) all’articolo 102:
1) la rubrica è sostituita dalla seguente: “(Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o di ricerca storica)”;

2) il comma 1 è sostituito dal seguente: “1. Il Garante promuove, ai sensi dell’articolo 2-quater, la sottoscrizione di regole deontologiche per i soggetti pubblici e privati, ivi comprese le società scientifiche e le associazioni professionali, interessati al trattamento dei dati a fini di archiviazione nel pubblico interesse o di ricerca storica.”;

3) al comma 2 sono apportate le seguenti modificazioni:

3.1 l’alinea è sostituito dal seguente: “2. Le regole deontologiche di cui al comma 1 individuano garanzie adeguate per i diritti e le libertà dell’interessato in particolare:”;

3.2 alla lettera a), dopo la parola “codice” sono inserite le seguenti: “e del Regolamento”;

3.3 alla lettera c) le parole “a scopi storici” sono sostituite dalle seguenti: “a fini di archiviazione nel pubblico interesse o di ricerca storica”;

h) l’articolo 103 è sostituito dal seguente:
“Art. 103

(Consultazione di documenti conservati in archivi)

La consultazione dei documenti conservati negli archivi di Stato, in quelli storici degli enti pubblici e in archivi privati dichiarati di interesse storico particolarmente importante notevole interesse storico è disciplinata dal decreto legislativo 22 gennaio 2004, n. 42 e dalle relative regole deontologiche.”;

La consultazione dei documenti conservati negli archivi di Stato, in quelli storici degli enti pubblici e in archivi privati dichiarati di interesse storico particolarmente importante è disciplinata dal decreto legislativo 22 gennaio 2004, n. 42 e dalle relative regole deontologiche.”;

i) la rubrica del Capo III è sostituita dalla seguente: “Trattamento a fini statistici o di ricerca scientifica”;

l) all’articolo 104:
1) alla rubrica, le parole “per scopi statistici o scientifici” sono sostituite dalle seguenti: “a fini statistici o di ricerca scientifica”;

2)  al comma 1, le parole “scopi statistici” sono sostituite dalle seguenti: “fini statistici” e le parole “scopi scientifici” sono sostituite dalle seguenti: “per fini di ricerca scientifica”;

m) all’articolo 105:
1)  al comma 1, le parole “per scopi statistici o scientifici” sono sostituite dalle seguenti: “a fini statistici o di ricerca scientifica”;

2) al comma 2, le parole “Gli scopi statistici o scientifici” sono sostituite dalle seguenti: “I fini statistici e di ricerca scientifica”, le parole “all’articolo 13” sono sostituite dalle seguenti: “agli articoli 13 e 14 del Regolamento” e le parole “, e successive modificazioni” sono soppresse;

3) al comma 3, le parole “dai codici” sono sostituite dalle seguenti: “dalle regole deontologiche” e le parole “l’informativa all’interessato può essere data” sono sostituite dalle seguenti: “le informazioni all’interessato possono essere date”;

4) al comma 4, le parole “per scopi statistici o scientifici” sono sostituite dalle seguenti: “a fini statistici o di ricerca scientifica”, le parole “l’informativa all’interessato non è dovuta” sono sostituite dalle seguenti: “le informazioni all’interessato non sono dovute” e le parole “dai codici” sono sostituite dalle seguenti: “dalle regole deontologiche”;

n) l’articolo 106 è sostituito dal seguente:
“Art. 106

(Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica)

Il Garante promuove, ai sensi dell’articolo 2-quater, regole deontologiche per i soggetti pubblici e privati, ivi comprese le società scientifiche e le associazioni professionali, interessati al trattamento dei dati per fini statistici o di ricerca scientifica, volte a individuare garanzie adeguate per i diritti e le libertà dell’interessato in conformità all’articolo 89 del Regolamento.
Con le regole deontologiche di cui al comma 1, tenendo conto, per i soggetti già compresi nell’ambito del Sistema statistico nazionale, di quanto già previsto dal decreto legislativo 6 settembre 1989, n. 322, e, per altri soggetti, sulla base di analoghe garanzie, sono individuati in particolare:
a) i presupposti e i procedimenti per documentare e verificare che i trattamenti, fuori dai casi previsti dal medesimo decreto legislativo n. 322 del 1989, siano effettuati per idonei ed effettivi fini statistici o di ricerca scientifica;
b) per quanto non previsto dal presente codice, gli ulteriori presupposti del trattamento e le connesse garanzie, anche in riferimento alla durata della conservazione dei dati, alle informazioni da rendere agli interessati relativamente ai dati raccolti anche presso terzi, alla comunicazione e diffusione, ai criteri selettivi da osservare per il trattamento di dati identificativi, alle specifiche misure di sicurezza e alle modalità per la modifica dei dati a seguito dell’esercizio dei diritti dell’interessato, tenendo conto dei principi contenuti nelle pertinenti raccomandazioni del Consiglio d’Europa;
c) l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da altri per identificare direttamente o indirettamente l’interessato, anche in relazione alle conoscenze acquisite in base al progresso tecnico;
d) le garanzie da osservare nei casi in cui si può prescindere dal consenso dell’interessato, tenendo conto dei principi contenuti nelle raccomandazioni di cui alla lettera b);
e) modalità semplificate per la prestazione del consenso degli interessati relativamente al trattamento dei dati di cui all’articolo 9 del Regolamento;
f) i casi nei quali i diritti di cui agli articoli 15, 16, 18 e 21 del Regolamento possono essere limitati ai sensi dell’articolo 89, paragrafo 2, del medesimo Regolamento;
g) le regole di correttezza da osservare nella raccolta dei dati e le istruzioni da impartire alle persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile ai sensi dell’articolo 2-quaterdecies;
h) le misure da adottare per favorire il rispetto del principio di minimizzazione e delle misure tecniche e organizzative di cui all’articolo 32 del Regolamento, anche in riferimento alle cautele volte ad impedire l’accesso da parte di persone fisiche che non sono autorizzate o designate e l’identificazione non autorizzata degli interessati, all’interconnessione dei sistemi informativi anche nell’ambito del Sistema statistico nazionale e all’interscambio di dati per fini statistici o di ricerca scientifica da effettuarsi con enti ed uffici situati all’estero;
i) l’impegno al rispetto di regole deontologiche da parte delle persone che, ai sensi dell’articolo 2-quaterdecies, risultano autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile del trattamento, che non sono tenute in base alla legge al segreto d’ufficio o professionale, tali da assicurare analoghi livelli di sicurezza e di riservatezza.”;

o) l’articolo 107 è sostituito dal seguente:
“Art. 107

(Trattamento di categorie particolari di dati personali)

Fermo restando quanto previsto dall’articolo 2-sexies e fuori dei casi di particolari indagini a fini statistici o di ricerca scientifica previste dalla legge, il consenso dell’interessato al trattamento di dati di cui all’articolo 9 del Regolamento, quando è richiesto, può essere prestato con modalità semplificate, individuate dalle regole deontologiche di cui all’articolo 106 o dalle misure di cui all’articolo 2-septies.”;

p) l’articolo108 è sostituito dal seguente:
“Art. 108
(Sistema statistico nazionale)

Il trattamento di dati personali da parte di soggetti che fanno parte del Sistema statistico nazionale, oltre a quanto previsto dalle regole deontologiche di cui all’articolo 106, comma 2, resta inoltre disciplinato dal decreto legislativo 6 settembre 1989, n. 322, in particolare per quanto riguarda il trattamento dei dati di cui all’articolo 9 del Regolamento indicati nel programma statistico nazionale, le informative all’interessato, l’esercizio dei relativi diritti e i dati non tutelati dal segreto statistico ai sensi dell’articolo 9, comma 4, del medesimo decreto legislativo n. 322 del 1989.”;

q) all’articolo 109, comma 1, le parole “della statistica, sentito il Ministro” sono sostituite dalle seguenti: “di statistica, sentiti i Ministri”;

r) l’articolo 110 è sostituito dal seguente:

“Art. 110

(Ricerca medica, biomedica ed epidemiologica)

Il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento.
In caso di esercizio dei diritti dell’interessato ai sensi dell’articolo 16 del Regolamento nei riguardi dei trattamenti di cui al comma 1, la rettificazione e l’integrazione dei dati sono annotati senza modificare questi ultimi, quando il risultato di tali operazioni non produce effetti significativi sul risultato della ricerca.”;
s) l’articolo 110-bis è sostituito dal seguente:
“Art. 110-bis
Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici)
Il Garante può autorizzare il trattamento ulteriore da parte di terzi di dati personali, compresi quelli dei trattamenti speciali di cui all’articolo 9 del Regolamento, a fini di ricerca scientifica o a fini statistici da parte di soggetti che svolgano principalmente tali attività quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, a condizione che siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, in conformità all’articolo 89 del Regolamento, comprese forme preventive di minimizzazione e di anonimizzazione dei dati.
Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del trattamento ulteriore dei dati personali da parte di terzi, anche sotto il profilo della loro sicurezza.
Il trattamento ulteriore di dati personali da parte di terzi per le finalità di cui al presente articolo può essere autorizzato dal Garante anche mediante provvedimenti generali, adottati d’ufficio e anche in relazione a determinate categorie di titolari e di trattamenti, con i quali sono stabilite le condizioni dell’ulteriore trattamento e prescritte le misure necessarie per assicurare adeguate garanzie a tutela degli interessati. I provvedimenti adottati a norma del presente comma sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana.
4. Non costituisce trattamento ulteri ore da parte di terzi il trattamento dei dati personali raccolti per l’attività clinica, a fini di ricerca, da parte degli Istituti di ricovero e cura a carattere scientifico, pubblici e privati, in ragione del carattere strumentale dell’attività di assistenza sanitaria svolta dai predetti istituti rispetto alla ricerca, nell’osservanza di quanto previsto dall’articolo 89 del Regolamento.

ART. 9

(Modifiche alla Parte II, Titolo VIII, del decreto legislativo 30 giugno 2003, n. 196)

Alla Parte II, Titolo VIII, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) la rubrica è sostituita dalla seguente: “Trattamenti nell’ambito del rapporto di lavoro”;
b) l’articolo 111 è sostituito dal seguente:
“Art. 111

(Regole deontologiche  per trattamenti nell’ambito del rapporto di lavoro)

Il Garante promuove, ai sensi dell’articolo 2-quater, l’adozione di regole deontologiche per i soggetti pubblici e privati interessati al trattamento dei dati personali effettuato nell’ambito del rapporto di lavoro per le finalità di cui all’articolo 88 del Regolamento, prevedendo anche specifiche modalità per le informazioni da rendere all’interessato.”;

c) dopo l’articolo 111 è aggiunto il seguente:
“Art. 111-bis

(Informazioni in caso di ricezione di curriculum)

Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo. Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.
d) la rubrica del Capo II è sostituita dalla seguente: “Trattamento di dati riguardanti i prestatori di lavoro”;

e) la rubrica del Capo III è sostituita dalla seguente: “Controllo a distanza, lavoro agile e telelavoro”

f) all’articolo 113, sono aggiunte, in fine, le seguenti parole: “, nonché dall’articolo 10 del decreto legislativo 10 settembre 2003, n. 276.”

g) la rubrica dell’articolo 114 è sostituita dalla seguente: “Garanzie in materia di controllo a distanza”);

h) all’articolo 115:

1) la rubrica è sostituita dalla seguente: “(Telelavoro, lavoro agile e lavoro domestico)”;

2)  al comma 1, le parole “e del telelavoro” sono sostituite dalle seguenti: “del telelavoro e del lavoro agile”;

i) all’articolo 116, comma 1, le parole “ai sensi dell’articolo 23” sono sostituite dalle seguenti: “dall’interessato medesimo”.

ART. 10

(Modifiche alla Parte II, Titolo IX, del decreto legislativo 30 giugno 2003, n. 196)

Alla Parte II, Titolo IX, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) la rubrica è sostituita dalla seguente: “Altri trattamenti in ambito pubblico o di interesse pubblico”;

b) la rubrica del Capo I è sostituita dalla seguente: “Assicurazioni”;

c) all’articolo 120:
1) al comma 1, le parole “private e di interesse collettivo (ISVAP)” sono soppresse;

2) al comma 3, sono aggiunte, in fine, le seguenti parole: “di cui al decreto legislativo 7 settembre 2005, n. 209”.

ART. 11

(Modifiche alla Parte II, Titolo X, del decreto legislativo 30 giugno 2003, n. 196)

Alla Parte II, Titolo X, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) all’articolo 121:
1) la rubrica è sostituita dalla seguente: “(Servizi interessati e definizioni)”;

2) dopo il comma 1, è aggiunto il seguente:

“1-bis. Ai fini dell’applicazione delle disposizioni del presente titolo si intende per:

a) “comunicazione elettronica”, ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un contraente o utente ricevente, identificato o identificabile;
b) “chiamata”, la connessione istituita da un servizio di comunicazione elettronica accessibile al pubblico che consente la comunicazione bidirezionale;
c) “reti di comunicazione elettronica”, i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;
d) “rete pubblica di comunicazioni”, una rete di comunicazione elettronica utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di reti;
e) “servizio di comunicazione elettronica”, i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall’articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002;