|
Legge 31 dicembre 1996, n. 675
Capo I
- Principi generali
Art. 1
- (Finalità e definizioni)
1. La presente legge
garantisce che il trattamento dei dati personali si svolga
nel rispetto dei diritti, delle libertà fondamentali, nonché
della dignità delle persone fisiche, con particolare
riferimento alla riservatezza e all'identità personale;
garantisce altresì i diritti delle persone giuridiche e di
ogni altro ente o associazione.
2. Ai fini della presente
legge si intende:
a) per "banca di dati", qualsiasi complesso di
dati personali, ripartito in una o più unità dislocate in
uno o più siti, organizzato secondo una pluralità di
criteri determinati tali da facilitarne il trattamento;
b) per "trattamento", qualunque operazione o
complesso di operazioni, svolti con o senza l'ausilio di
mezzi elettronici o comunque automatizzati, concernenti la
raccolta, la registrazione, l'organizzazione, la
conservazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati;
c) per "dato personale", qualunque informazione
relativa a persona fisica, persona giuridica, ente od
associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione
personale;
d) per "titolare", la persona fisica, la persona
giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo cui competono le decisioni
in ordine alle finalità ed alle modalità del trattamento
di dati personali, ivi compreso il profilo della sicurezza;
e) per "responsabile", la persona fisica, la
persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo preposti dal titolare
al trattamento di dati personali;
f) per "interessato", la persona fisica, la
persona giuridica, l'ente o l'associazione cui si
riferiscono i dati personali;
g) per "comunicazione", il dare conoscenza dei
dati personali a uno o più soggetti determinati diversi
dall'interessato, in qualunque forma, anche mediante 1a loro
messa a disposizione o consultazione;
h) per "diffusione", il dare conoscenza dei dati
personali a soggetti indeterminati, in qualunque forma,
anche mediante la loro messa a disposizione o consultazione;
i) per "dato anonimo", il dato che in origine, o a
seguito di trattamento, non può essere associato ad un
interessato identificato o identificabile;
l) per "blocco", la conservazione di dati
personali con sospensione temporanea di ogni altra
operazione del trattamento;
m) per "Garante", l'autorità istituita ai sensi
dell'articolo 30.
Art. 2
- (Ambito di applicazione)
1. La presente legge si
applica al trattamento di dati personali da chiunque
effettuato nel territorio dello Stato.
Art. 3
- (Trattamento di dati per fini esclusivamente personali)
1. Il trattamento di dati personali effettuato da persone
fisiche per fini esclusivamente personali non è soggetto
all'applicazione della presente legge, sempreché i dati non
siano destinati ad una comunicazione sistematica o alla
diffusione. 2. Al trattamento di cui al comma 1 si applicano
in ogni caso le disposizioni in tema di sicurezza dei dati
di cui all'articolo 15, nonché le
disposizioni di cui agli articoli 18 e 36.
Art. 4
- (Particolari trattamenti in ambito pubblico)
1. La
presente legge non si applica al trattamento di dati
personali effettuato:
a) dal Centro elaborazione dati di cui all'articolo
8 della legge 1 aprile 1981, n. 121, come modificato
dall'articolo 43, comma 1, della presente
legge, ovvero sui dati destinati a confluirvi in base
alla legge, nonché in virtù dell'accordo di adesione alla
Convenzione di applicazione dell'Accordo di Schengen, reso
esecutivo con legge 30 settembre 1993, n.
388;
b) dagli organismi di cui agli articoli 3, 4
e 6 della legge 24 ottobre 1977, n. 801, ovvero sui dati
coperti da segreto di Stato ai sensi dell'articolo
12 della medesima legge;
c) nell'ambito del servizio del casellario giudiziale di cui
al titolo IV del libro decimo del codice di
procedura penale e al regio decreto 18
giugno 1931, n. 778, e successive modificazioni, o, in
base alla legge, nell'ambito del servizio dei carichi
pendenti nella materia penale;
d) in attuazione dell'articolo
371-bis, comma 3, del codice di procedura penale o, per
ragioni di giustizia, nell'ambito di uffici giudiziari, del
Consiglio superiore della magistratura e del Ministero di
grazia e giustizia;
e) da altri soggetti pubblici per finalità di difesa o di
sicurezza dello Stato o di prevenzione, accertamento o
repressione dei reati, in base ad espresse disposizioni di
legge che prevedano specificamente il trattamento.
2. Ai
trattamenti di cui al comma 1 si applicano in ogni caso le
disposizioni di cui agli articoli 9, 15,
17, 18, 31, 32, commi 6 e 7, e 36,
nonché, fatta eccezione per i trattamenti di cui alla
lettera b) del comma 1, le disposizioni di cui agli articoli
7 e 34 (Note all'art.
4).
Art. 5
- (Trattamento di dati svolto senza l'ausilio di mezzi
elettronici)
1. Il trattamento di dati personali svolto
senza l'ausilio di mezzi elettronici o comunque
automatizzati è soggetto alla medesima disciplina prevista
per il trattamento effettuato con l'ausilio di tali mezzi.
Art. 6
- (Trattamento di dati detenuti all'estero)
1. Il
trattamento nel territorio dello Stato di dati personali
detenuti all'estero è soggetto alle disposizioni della
presente legge. 2. Se il trattamento di cui al comma 1
consiste in un trasferimento di dati personali fuori dal
territorio nazionale si applicano in ogni caso le
disposizioni dell'articolo 28.
Capo II
- Obblighi per il titolare del trattamento
Art. 7
- (Notificazione)
1. Il titolare che intenda procedere ad
un trattamento di dati personali soggetto al campo di
applicazione della presente legge è tenuto a darne
notificazione al Garante.
2. La notificazione è effettuata
preventivamente ed una sola volta, a mezzo di lettera
raccomandata ovvero con altro mezzo idoneo a
certificarne la ricezione, a prescindere dal numero
delle operazioni da svolgere, nonché dalla durata del
trattamento e può riguardare uno o più trattamenti con
finalità correlate. Una nuova notificazione è
richiesta solo se muta taluno degli elementi indicati
nel comma 4 e deve precedere l'effettuazione della
variazione.
3. La notificazione è sottoscritta dal
notificante e dal responsabile del trattamento.
4. La notificazione contiene:
a) il nome, la denominazione o la ragione sociale e il
domicilio, la residenza o la sede del titolare;
b) le finalità e modalità del trattamento; c) la natura dei dati, il luogo ove sono custoditi e le
categorie di interessati cui i dati si riferiscono; d) l'ambito di comunicazione e di diffusione dei dati; e) i trasferimenti di dati previsti verso Paesi non
appartenenti all'Unione europea o, qualora riguardino
taluno dei dati di cui agli articoli 22
e 24, fuori del territorio nazionale; f) una descrizione generale che permetta di valutare
l'adeguatezza delle misure tecniche ed organizzative
adottate per la sicurezza dei dati; g) l'indicazione della banca di dati o delle banche di
dati cui si riferisce il trattamento, nonché
l'eventuale connessione con altri trattamenti o banche
di dati, anche fuori dal territorio nazionale; h) il nome, la denominazione o la ragione sociale e il
domicilio, la residenza o la sede del responsabile; in
mancanza di tale indicazione si considera responsabile
il notificante; i) la qualità e la legittimazione del notificante.
5. I soggetti tenuti ad iscriversi o che
devono essere annotati nel registro delle imprese di cui
all'articolo 2188 del codice civile,
nonché coloro che devono fornire le informazioni di cui
all'articolo 8, comma 8, lettera d),
della legge 29 dicembre 1993, n. 580, alle camere di
commercio, industria, artigianato e agricoltura, possono
effettuare la notificazione per il tramite di queste
ultime, secondo le modalità stabilite con il
regolamento di cui all'articolo 33,
comma 3. I piccoli imprenditori e gli artigiani
possono effettuare la notificazione anche per il tramite
delle rispettive rappresentanze di categoria; gli
iscritti agli albi professionali anche per il tramite
dei rispettivi ordini professionali. Resta in ogni caso
ferma la disposizione di cui al comma 3.
5-bis. La notificazione in forma
semplificata può non contenere taluno degli elementi
di cui al comma 4, lettere b), c), e)
e g), individuati dal Garante ai sensi del
regolamento di cui all'articolo 33,
comma 3, quando il trattamento è effettuato:
a) da soggetti pubblici, esclusi gli enti pubblici
economici, sulla base di espressa disposizione di
legge ai sensi degli articoli 22, comma
3, e 24, ovvero del
provvedimento di cui al medesimo articolo 24;
b) nell'esercizio della professione di giornalista e
per l'esclusivo perseguimento delle relative finalità,
ovvero dai soggetti indicati nel comma
4-bis dell'articolo 25, nel rispetto del codice di
deontologia di cui al medesimo articolo;
c) temporaneamente senza l'ausilio di mezzi
elettronici o comunque automatizzati, ai soli fini e
con le modalità strettamente collegate
all'organizzazione interna dell'attività esercitata
dal titolare, relativamente a dati non registrati in
una banca di dati e diversi da quelli di cui agli
articoli 22 e 24.
5-ter. Fuori dei casi di cui all'articolo
4, il trattamento non è soggetto a
notificazione quando:
a) è necessario per l'assolvimento di un compito
previsto dalla legge, da un regolamento o dalla
normativa comunitaria, relativamente a dati diversi
da quelli indicati negli articoli 22 e 24;
b) riguarda dati contenuti o provenienti da pubblici
registri, elenchi, atti o documenti conoscibili da
chiunque, fermi restando i limiti e le modalità di
cui all'articolo 20, comma 1, lettera
b);
c) è effettuato per esclusive finalità di gestione
del protocollo, relativamente ai dati necessari per
la classificazione della corrispondenza inviata per
fini diversi da quelli di cui all'articolo
13, comma 1, lettera e), con particolare
riferimento alle generalità e ai recapiti degli
interessati, alla loro qualifica e
all'organizzazione di appartenenza;
d) riguarda rubriche telefoniche o analoghe non
destinate alla diffusione, utilizzate unicamente per
ragioni d'ufficio e di lavoro e comunque per fini
diversi da quelli di cui all'articolo
13, comma l, lettera e);
e) è finalizzato unicamente all'adempimento di
specifici obblighi contabili, retributivi,
previdenziali, assistenziali e fiscali, ed è
effettuato con riferimento alle sole categorie di
dati, di interessati e di destinatari della
comunicazione e diffusione strettamente collegate a
tale adempimento, conservando i dati non oltre il
periodo necessario all'adempimento medesimo;
f) è effettuato, salvo quanto previsto dal comma
5-bis, lettera b), da liberi professionisti
iscritti in albi o elenchi professionali, per le
sole finalità strettamente collegate
all'adempimento di specifiche prestazioni e fermo
restando il segreto professionale;
g) è effettuato dai piccoli imprenditori di cui
all'articolo 2083 del codice civile per le sole
finalità strettamente collegate allo svolgimento
dell'attività professionale esercitata e
limitatamente alle categorie di dati, di
interessati, di destinatari della comunicazione e
diffusione e al periodo di conservazione dei dati
necessari per il perseguimento delle finalità
medesime;
h) è finalizzato alla tenuta di albi o elenchi
professionali in conformità alle leggi e ai
regolamenti;
i) è effettuato per esclusive finalità
dell'ordinaria gestione di biblioteche, musei e
mostre, in conformità alle leggi e ai regolamenti,
ovvero per la organizzazione di iniziative culturali
o sportive o per la formazione di cataloghi e
bibliografie;
l) è effettuato da associazioni, fondazioni,
comitati anche a carattere politico, filosofico,
religioso o sindacale, ovvero da loro organismi
rappresentativi, istituiti per scopi non di lucro e
per il perseguimento di finalità lecite,
relativamente a dati inerenti agli associati e ai
soggetti che in relazione a tali finalità hanno
contatti regolari con l'associazione, la fondazione,
il comitato o l'organismo, fermi restando gli
obblighi di informativa degli interessati e di
acquisizione del consenso, ove necessario;
m) è effettuato dalle organizzazioni di
volontariato di cui alla legge 11 agosto 1991, n.
266, nei limiti di cui alla lettera l) e nel
rispetto delle autorizzazioni e delle prescrizioni
di legge di cui agli articoli 22 e 23;
n) è effettuato temporaneamente ed è finalizzato
esclusivamente alla pubblicazione o diffusione
occasionale di articoli, saggi e altre
manifestazioni del pensiero, nel rispetto del codice
di deontologia di cui all'articolo 25;
o) è effettuato, anche con mezzi elettronici o
comunque automatizzati, per la redazione di
periodici o pubblicazioni aventi finalità di
informazione giuridica , relativamente a dati
desunti da provvedimenti dell'autorità giudiziaria
o di altre autorità;
p) è effettuato temporaneamente per esclusive
finalità di raccolta di adesioni a proposte di
legge d'iniziativa popolare, a richieste di
referendum, a petizioni o ad appelli;
q) è finalizzato unicamente all'amministrazione dei
condomini di cui all'articolo 1117 e seguenti del
codice civile, limitatamente alle categorie di dati,
di interessati e di destinatari della comunicazione
necessarie per l'amministrazione dei beni comuni,
conservando i dati non oltre il periodo necessario
per la tutela dei corrispondenti diritti.
5-quater. Il titolare si può avvalere
della notificazione semplificata o dell'esonero di cui
ai commi 5-bis e 5-ter,
sempre che il trattamento riguardi unicamente le
finalità, le categorie di dati, di interessati e di
destinatari della comunicazione e diffusione,
individuate, unitamente al periodo di conservazione
dei dati, dai medesimi commi 5-bis
e 5-ter, nonché:
a) nei casi di cui ai commi 5-bis,
lettera a) e 5-ter, lettere a)
e m) , dalle disposizioni di legge o di
regolamento o dalla normativa comunitaria ivi
indicate;
b) nel caso di cui al comma 5-bis,
lettera b), dal codice di deontologia ivi
indicato;
c) nei casi residui, dal Garante con le autorizzazioni
rilasciate con le modalità previste dall'articolo
41, comma 7, ovvero, per i dati diversi da quelli
di cui agli articoli 22 e 24,
con provvedimenti analoghi.
5-quinquies. Il titolare che si avvale
dell'esonero di cui al comma 5-ter
deve fornire gli elementi di cui al comma
4 a chiunque ne faccia richiesta (Note all'art.
7).
Art. 8
- (Responsabile)
1. Il responsabile, se designato, deve
essere nominato tra soggetti che per esperienza, capacità
ed affidabilità, forniscano idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di
trattamento, ivi compreso il profilo relativo alla
sicurezza.
2. Il responsabile procede al
trattamento attenendosi alle istruzioni impartite dal
titolare il quale, anche tramite verifiche periodiche,
vigila sulla puntuale osservanza delle disposizioni di
cui al comma 1 e delle proprie istruzioni.
3. Ove necessario per esigenze
organizzative, possono essere designati responsabili più
soggetti, anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile
devono essere analiticamente specificati per iscritto.
5. Gli incaricati del trattamento devono
elaborare i dati personali ai quali hanno accesso
attenendosi alle istruzioni del titolare o del
responsabile.
|
