Regolamento a norma dell'articolo 57 del decreto legislativo 30 giugno 2003, n. 196, recante l'individuazione delle modalita' di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuat

Il presente regolamento individua le modalita' di attuazione dei principi del Codice in materia di protezione dei dati personali, adottato con il decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice», relativamente ai trattamenti effettuati, anche senza l'ausilio di strumenti elettronici, da organi, uffici e comandi di polizia, per le finalita' di polizia di cui all'articolo 53 del Codice.

Il presente regolamento non si applica ai trattamenti di dati personali effettuati per finalita' amministrative. In conformita' a quanto previsto dall'articolo 54, comma 2, del Codice, tali dati sono conservati separatamente da quelli registrati per finalita' di polizia, salvo che non siano necessari, in casi specifici, nell'ambito di un'attivita' informativa, di sicurezza o di indagine di polizia giudiziaria.

Il presente regolamento non si applica ai soggetti pubblici che, pur effettuando il trattamento dei dati personali per le finalita' di polizia di cui all'articolo 3, non rientrano nella categoria degli organi, uffici e comandi di cui all'articolo 57 del Codice.

Ai fini del presente regolamento, ferme restando le definizioni di cui all'articolo 4 del Codice, con le parole: «autorita' competente degli Stati membri dell'Unione europea o degli Stati terzi» si intende qualsiasi autorita' pubblica di uno Stato membro dell'Unione europea o di uno Stato terzo che, in base alla legislazione interna, sia competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, ovvero qualsiasi altro organismo o entita' incaricati dal diritto dello Stato membro dell'Unione europea o del Paese terzo di esercitare l'autorita' pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.

Finalita' dei trattamenti

I trattamenti di dati personali si intendono effettuati per le finalita' di polizia, ai sensi dell'articolo 53 del Codice, quando sono direttamente correlati all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonche' di polizia giudiziaria, svolti, ai sensi del codice di procedura penale, per la prevenzione e repressione dei reati.

E' compatibile con le finalita' di polizia, di cui al comma 1, l'ulteriore trattamento, ai sensi dell'articolo 99 del Codice, per finalita' storiche, scientifiche e, previa trasformazione in forma anonima, per finalita' statistiche, anche per le esigenze di analisi dei fenomeni criminali e dei risultati dell'azione di contrasto al crimine, nonche' dell'attivita' di tutela dell'ordine e della sicurezza pubblica.

Il trattamento dei dati personali per le finalita' storiche e scientifiche di cui al comma 2 e' consentito ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti.

Qualita' dei dati trattati

Ai sensi dell'articolo 11 del Codice, i dati personali oggetto di trattamento sono esatti e, se necessario, aggiornati, pertinenti, completi e non eccedenti rispetto alle finalita' di cui all'articolo 3.

Gli organi, uffici e comandi di polizia, ai sensi dell'articolo 54, comma 4, del Codice, verificano i requisiti di cui al comma 1, per quanto possibile, in occasione dell'utilizzo dei dati personali effettuato nell'ambito di un'attivita' informativa, di sicurezza o di indagine di polizia giudiziaria.

Il titolare o il responsabile del trattamento informano il Garante delle direttive impartite in merito alle verifiche di cui al comma 2.

Ai sensi dell'articolo 3 del Codice, in relazione ai trattamenti automatizzati, i sistemi informativi e i programmi informatici sono configurati in modo da ridurre al minimo l'utilizzo di dati personali e identificativi, escludendone comunque il trattamento quando le finalita' di cui all'articolo 3 possono essere perseguite mediante dati anonimi o modalita' che consentono di identificare la persona interessata solo in caso di necessita'.

I nuovi sistemi informativi e programmi informatici sono progettati in modo che i dati personali siano cancellati o resi anonimi, con modalita' automatizzate, allo scadere dei termini di conservazione di cui all'articolo 10. Essi, inoltre, sono progettati in modo da consentire la registrazione in appositi registri degli accessi e delle operazioni, di seguito «file di log», effettuati dagli operatori abilitati.

I trattamenti dei dati personali che implicano maggiori rischi di un danno alla persona interessata, con particolare riguardo alle banche di dati genetici o biometrici, alle tecniche basate su dati relativi all'ubicazione, alle banche dati e ai trattamenti di cui all'articolo 7 basati su particolari tecniche di elaborazione delle informazioni o su particolari tecnologie, sono effettuati nel rispetto delle misure e degli accorgimenti prescritti dal Garante ai sensi dell'articolo 17 del Codice, sulla base di preventiva comunicazione inviata con le modalita' indicate nell'articolo 39 del Codice.

Gli accessi e le operazioni effettuati dagli operatori abilitati relativamente ai dati di cui al comma 1, soggetti a trattamento automatizzato, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti da speciali disposizioni.

Gli accessi ai file di log di cui al comma 2 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.

L'uso, anche per finalita' di analisi, di particolari tecniche di elaborazione delle informazioni, ivi inclusi i sistemi di indice, e' consentito ai soli operatori a cio' abilitati e designati, secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e nell'ambito di specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria.

Gli accessi e le operazioni effettuati dagli operatori abilitati di cui al comma 1, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione.

Gli accessi ai file di log di cui al comma 2 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.

E' consentito il trattamento dei dati personali per esigenze temporanee o in relazione a situazioni particolari che sono direttamente correlate all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonche' di polizia giudiziaria.

I dati personali di cui al comma 1 sono trattati nel rispetto dei principi richiamati dagli articoli 4, 5 e 6.

I dati personali di cui al comma 1 sono conservati separatamente da quelli registrati permanentemente, per un periodo di tempo non superiore a quello necessario agli scopi specifici per i quali sono stati raccolti e, comunque, non oltre 10 anni dalla cessazione dell'esigenza o della situazione particolare che ne hanno reso necessario il trattamento. Si applicano i termini di conservazione di cui all'articolo 10 se tali dati rientrano nelle categorie dallo stesso previste.

Cessata l'esigenza o la situazione particolare, l'accesso ai dati di cui al comma 1 e' consentito ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e nell'ambito di specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria.

Per l'acquisizione di dati, informazioni, atti e documenti, e' consentita l'attivazione di collegamenti telematici con banche dati di pubbliche amministrazioni o di privati, in conformita' alle disposizioni di legge o di regolamento e nel rispetto dei principi richiamati dagli articoli 4 e 5.

I dati e le informazioni sono acquisiti attraverso consultazione per mezzo di tecnologie dell'informazione e della comunicazione senza duplicazione di archivi e banche dati.

Il collegamento e' attivato con modalita' tali da consentire l'accesso selettivo ai soli dati e informazioni necessari per il conseguimento delle finalita' di cui all'articolo 3.

Per l'attivazione dei collegamenti gli organi, uffici e comandi di polizia possono avvalersi, ai sensi dell'articolo 54 del Codice, di convenzioni sottoscritte sulla base di schemi adottati dal Ministero dell'interno, su conforme parere del Garante.

I dati personali oggetto di trattamento sono conservati per un periodo di tempo non superiore a quello necessario per il conseguimento delle finalita' di polizia di cui all'articolo 3.

I dati personali soggetti a trattamento automatizzato, trascorsa la meta' del tempo massimo di conservazione di cui al comma 3, se uguale o superiore a quindici anni, sono accessibili ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e in relazione a specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria.

I termini di conservazione di cui al comma 3 sono aumentati di due terzi quando i dati personali sono trattati nell'ambito di attivita' preventiva o repressiva relativa ai delitti di cui all'articolo 51, commi 3-bis, 3-quater e 3-quinquies, del codice di procedura penale, nonche' per le ulteriori ipotesi indicate dall'articolo 407, comma 2, lettera a), del codice di procedura penale.

Il capo dell'ufficio o il comandante del reparto, prima della scadenza dei termini di cui al comma 3, ove sia strettamente necessario per il conseguimento delle finalita' di polizia di cui all'articolo 3, puo' decidere, sulla base dei criteri definiti dal Capo della polizia - direttore generale della pubblica sicurezza ovvero, su sua delega, dal vice direttore generale di cui all'articolo 4, comma 6, del decreto-legge 29 ottobre 1991, n. 345, convertito, con modificazioni, dalla legge 30 dicembre 1991, n. 410, di aumentare la durata di conservazione, indicandone i motivi in relazione al caso specifico e l'ulteriore periodo di trattamento, che non puo' comunque superare i due terzi di quelli fissati al comma 3.

I dati personali soggetti a trattamento non automatizzato, sono conservati per il periodo di tempo previsto dalle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni se superiore a quello di cui al comma 3.

Sono fatti salvi i diversi termini e modalita' di conservazione dei dati personali previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale in relazione a specifici trattamenti effettuati per le finalita' di cui all'articolo 3.

Decorsi i termini di cui ai commi 1, 3, 4, 5 e 7, i dati personali soggetti a trattamento automatizzato sono cancellati o resi anonimi, i dati personali non soggetti a trattamento automatizzato restano assoggettati alle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni.

E' vietata la raccolta e il trattamento dei dati sulle persone, inclusi quelli genetici e biometrici, per il solo fatto della loro origine razziale o etnica, fede religiosa, opinione politica, orientamento sessuale, stato di salute e delle loro convinzioni filosofiche o di altro genere o della loro adesione ai principi di movimenti sindacali, nonche' per la legittima attivita' che svolgono come appartenenti ad organizzazioni legalmente operanti nei settori sopraindicati.

La raccolta e il trattamento dei dati personali di cui al comma 1 sono consentiti quando e' necessario per le esigenze di un'attivita' informativa, di sicurezza o di indagine di polizia giudiziaria o di tutela dell'ordine e della sicurezza ad integrazione di altri dati personali.

Resta fermo il divieto, di cui all'articolo 14 del Codice, di basare sul solo trattamento automatizzato di dati personali atti e decisioni che implicano una valutazione del comportamento umano.

La comunicazione dei dati tra organi, uffici e comandi delle Forze di polizia di cui all'articolo 16 della legge n. 121 del 1981, per le finalita' di polizia di cui all'articolo 3, e' consentita quando e' necessaria per lo svolgimento dei compiti istituzionali, fermi restando gli obblighi di segretezza che incombono sugli ufficiali e agenti di polizia giudiziaria in relazione alle indagini svolte, come stabilito dal codice di procedura penale.

La comunicazione di dati personali a pubbliche amministrazioni o enti pubblici e' consentita esclusivamente nei casi previsti da disposizioni di legge o di regolamento o, nel rispetto dei principi richiamati dall'articolo 4, quando e' necessaria per l'adempimento di uno specifico compito istituzionale dell'organo, ufficio o comando e i dati personali sono necessari per lo svolgimento dei compiti istituzionali del ricevente.

La comunicazione di dati personali a privati e' consentita quando e' necessaria per l'adempimento di uno specifico compito istituzionale da parte dell'organo, ufficio o comando per le finalita' di polizia di cui all'articolo

3. La comunicazione dei dati personali a pubbliche amministrazioni o enti pubblici e a privati e', altresi', consentita quando risponde all'interesse della persona cui i dati si riferiscono e, comunque, nei singoli casi in cui e' necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica, o per la salvaguardia della vita e dell'incolumita' fisica di un terzo.

Sono fatti salvi, in ogni caso, l'obbligo del segreto di cui all'articolo 329 del codice di procedura penale e i divieti previsti da altre disposizioni di legge o di regolamento.

La diffusione di dati personali e' consentita quando e' necessaria per le finalita' di polizia di cui all'articolo 3, fermo restando l'obbligo del segreto di cui all'articolo 329 del codice di procedura penale e fatti salvi i divieti previsti da altre disposizioni di legge o di regolamento; essa e' comunque effettuata nel rispetto della dignita' della persona.

La diffusione di immagini personali e' consentita quando la persona interessata ha espresso il proprio consenso o e' necessaria per la salvaguardia della vita o dell'incolumita' fisica o e' giustificata da necessita' di giustizia o di polizia; essa e' comunque effettuata con modalita' tali da non recare pregiudizio alla dignita' della persona.

Il Garante e' informato delle direttive generali adottate in ambito nazionale sulla diffusione dei dati o delle immagini personali.

La comunicazione e la diffusione dei dati personali nei casi previsti dagli articoli 12, 13 e 14 sono effettuate previa verifica della loro esattezza, aggiornamento e completezza.

Gli organi, uffici e comandi di polizia, nel caso in cui verificano che i dati personali oggetto di comunicazione ai sensi degli articoli 12 e 13 sono inesatti o non aggiornati o incompleti, provvedono a rettificarli e, ove possibile e necessario, ad aggiornarli e completarli. Le operazioni di cui al precedente periodo sono portate a conoscenza, anche per quanto riguarda il loro contenuto, dei destinatari della comunicazione.

Gli organi, uffici e comandi di polizia, nel caso in cui verificano che i dati personali oggetto di diffusione ai sensi dell'articolo 14 sono inesatti o non aggiornati o incompleti, provvedono a rettificarli e, ove possibile e necessario, ad aggiornarli e completarli. Le operazioni di cui al precedente periodo sono portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati diffusi, salvo che tale adempimento risulti impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. In ogni caso, il dato personale rettificato, aggiornato o completato e' diffuso nella stessa forma con la quale e' stato diffuso il dato inesatto, non aggiornato o incompleto.

Scambio di dati con autorita' competenti degli Stati membri dell'Unione europea e con organismi dell'Unione europea

Lo scambio di dati e informazioni personali con le autorita' competenti degli Stati membri dell'Unione europea e con gli organismi dell'Unione europea e' consentito, nell'ambito delle attivita' di cooperazione internazionale di polizia, esclusivamente nei casi, alle condizioni e con le modalita' stabilite da disposizioni di legge o di regolamento o da atti normativi dell'Unione europea.

Sono fatti salvi gli accordi o le intese in materia di cooperazione internazionale di polizia sottoscritti e resi esecutivi con Stati membri dell'Unione europea o con organismi dell'Unione europea, qualora non in contrasto con gli atti normativi interni o dell'Unione europea.

L'elenco degli accordi e delle intese di cui al comma 2 e' comunicato dal competente Dipartimento del Ministero dell'interno al Garante entro sessanta giorni dall'entrata in vigore del presente regolamento e successivamente aggiornato.

Comunicazione di dati alle autorita' competenti
degli Stati terzi o ad organismi internazionali

La comunicazione di dati personali alle autorita' competenti degli Stati terzi o ad organismi ed organizzazioni internazionali e' consentita, nell'ambito delle attivita' di cooperazione internazionale di polizia, in conformita' agli accordi o alle intese sottoscritti e resi esecutivi con tali Stati o con organismi e organizzazioni internazionali, qualora non in contrasto con atti normativi interni o dell'Unione europea.

La comunicazione di dati personali alle autorita' competenti degli Stati terzi o ad organismi e organizzazioni internazionali e' comunque consentita quando e' necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica di uno Stato membro o di un Paese terzo, o agli interessi essenziali di uno Stato membro, o per la salvaguardia della vita e dell'incolumita' fisica di un terzo.

La comunicazione di dati personali puo' essere effettuata in modalita' automatizzata, o secondo i canali di comunicazione codificati a livello internazionale, assicurando l'adozione di misure appropriate, compresa la cifratura, per garantire la riservatezza e l'integrita' dei dati trasmessi.

Le comunicazioni di dati personali effettuate ai sensi del presente articolo dagli operatori abilitati sono registrate in appositi file di log, non modificabili che sono conservati per 5 anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti dagli accordi o dalle intese di cui al comma 1.

Gli accessi ai file di log di cui al comma 4 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.

Verifica della qualita' dei dati comunicati alle autorita' competenti degli Stati terzi o ad organismi internazionali e di quelli trasmessi dalle autorita' competenti degli Stati terzi o da organismi internazionali

1. La comunicazione dei dati personali nei casi previsti dall'articolo 17 e' effettuata previa verifica della loro esattezza, aggiornamento e completezza.
2. L'organo, ufficio o comando di polizia, nel caso in cui verifica che i dati personali trasmessi ad un'autorita' competente di uno Stato terzo o ad un organismo o organizzazione internazionale sono inesatti o non aggiornati o incompleti, provvede ad informare senza ritardo il destinatario della comunicazione. I dati personali sono rettificati se inesatti e, ove possibile e necessario, aggiornati e completati.
3. L'organo, ufficio o comando di polizia, nel caso in cui ha motivo di ritenere che i dati personali ricevuti da un'autorita' competente di uno Stato terzo o da un organismo o organizzazione internazionale sono inesatti, o non aggiornati o incompleti, provvede ad informare, con le modalita' di cui all'articolo 17, comma 3, l'autorita' competente dello Stato terzo o l'organismo o organizzazione internazionale che ha comunicato i medesimi dati personali. Se i dati personali sono stati trasmessi senza essere stati richiesti, l'organo, ufficio o comando di polizia ricevente valuta immediatamente se tali dati sono necessari per lo scopo per il quale sono stati trasmessi.
4. L'organo, ufficio o comando di polizia, cancella i dati personali che non avrebbero dovuto essere ricevuti.
5. L'organo, ufficio o comando di polizia, cancella o rende anonimi i dati personali lecitamente ricevuti:
a) nel caso in cui essi non sono o non sono piu' necessari per le finalita' per cui sono stati trasmessi;
b) al termine del periodo massimo di conservazione indicato dall'autorita' competente dello Stato terzo o dall'organismo o organizzazione internazionale. Non si fa luogo alla cancellazione nel caso in cui, alla scadenza del predetto periodo massimo di conservazione, i dati personali sono necessari per lo svolgimento di specifiche attivita' informative o di indagine finalizzate alla prevenzione e repressione di reati. In nessun caso i dati sono conservati oltre i termini di conservazione di cui all'articolo 10.
6. L'organo, ufficio o comando di polizia procede al blocco dei dati personali ricevuti quando vi sono motivi per ritenere che la cancellazione degli stessi pregiudicherebbe un legittimo interesse della persona interessata ai sensi delle vigenti disposizioni di legge. I dati bloccati possono essere utilizzati o trasmessi per le sole finalita' che ne hanno impedito la cancellazione.

Trattamento dei dati personali trasmessi dalle autorita' competenti degli Stati terzi o da organismi internazionali

I dati personali trasmessi dalle autorita' competenti degli Stati terzi o da organismi o organizzazioni internazionali sono trattati esclusivamente per le finalita' per le quali sono stati trasmessi ovvero, previa acquisizione del parere delle predette autorita', o organismi e organizzazioni internazionali, per le diverse finalita' previste da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.

L'organo, ufficio o comando di polizia ricevente assicura il rispetto delle limitazioni al trattamento dei dati personali comunicate dall'autorita' competente dello Stato terzo o dall'organismo o organizzazione internazionale che li ha trasmessi.
Sono fatte salve le deroghe previste da disposizioni di legge, da atti normativi dell'Unione europea o dal diritto internazionale.

Trasferimento dei dati ad autorita' competenti degli Stati membri dell'Unione europea o di altri Stati terzi o ad organismi dell'Unione europea o altri organismi internazionali

Il trasferimento dei dati personali trasmessi dalle autorita' competenti degli Stati terzi o da organismi e organizzazioni internazionali ad autorita' competenti degli Stati membri dell'Unione europea o di altri Stati terzi o ad organismi dell'Unione europea o ad altri organismi e organizzazioni internazionali e' consentito esclusivamente nei casi previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.

Trasmissione dei dati ricevuti dalle autorita' competenti degli Stati terzi o da organismi internazionali a privati

La trasmissione di dati personali ricevuti dalle autorita' competenti degli Stati terzi o da organismi e organizzazioni internazionali a privati e' consentito esclusivamente nei casi previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.

L'utilizzo di sistemi di videosorveglianza e' consentito ove necessario per le finalita' di polizia di cui all'articolo 3 e a condizione che non comporti un'ingerenza ingiustificata nei diritti e nelle liberta' fondamentali delle persone interessate.

Gli organi, uffici e comandi di polizia, nel rispetto dei principi richiamati dagli articoli 4, 5 e 6, raccolgono solo i dati strettamente necessari per il raggiungimento delle finalita' di cui all'articolo 3, registrando esclusivamente le immagini indispensabili.

L'utilizzo di sistemi di ripresa fotografica, video e audio per le finalita' di polizia di cui all'articolo 3, e' consentito ove necessario per documentare: una specifica attivita' preventiva o repressiva di fatti di reato, situazioni dalle quali possano derivare minacce per l'ordine e la sicurezza pubblica o un pericolo per la vita e l'incolumita' dell'operatore, o specifiche attivita' poste in essere durante il servizio che siano espressione di poteri autoritativi degli organi, uffici e comandi di polizia.

Gli organi, uffici e comandi di polizia, nel rispetto dei principi richiamati dagli articoli 4, 5 e 6, raccolgono solo i dati strettamente necessari per il raggiungimento delle finalita' di polizia di cui all'articolo 3, registrando quelli indispensabili.

Il trattamento di dati personali raccolti tramite aeromobili a pilotaggio remoto, in considerazione della loro potenziale invasivita', e' ricompreso tra quelli che presentano rischi specifici di cui all'articolo 6.

L'utilizzo di sistemi di ripresa fotografica, video e audio, installati su aeromobili a pilotaggio remoto, e' autorizzato al livello gerarchico non inferiore a quello di capo ufficio o comandante di reparto.

I sistemi informativi e i programmi informatici destinati alla registrazione e alla conservazione dei dati personali raccolti attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video, sono configurati, in conformita' al criterio di necessita' del trattamento dei dati personali di cui all'articolo 5, in modo da ridurre al minimo l'utilizzazione di dati relativi a persone identificabili.

Sono adottati diversificati livelli di visibilita' e di trattamento delle immagini da parte degli incaricati del trattamento i quali sono autorizzati, attraverso il rilascio di credenziali di autenticazione, a compiere le sole operazioni di trattamento correlate ai compiti assegnati.

Sono adottate specifiche misure di sicurezza contro i rischi di accesso abusivo di cui all'articolo 615-ter del codice penale nei confronti degli apparati di ripresa digitale utilizzati ai fini della registrazione delle immagini qualora connessi a reti informatiche.

Gli accessi e le operazioni, effettuati dagli operatori abilitati in relazione ai sistemi informativi di cui al comma 1, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti da speciali disposizioni.

Gli accessi ai file di log di cui al comma 4 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.

Ai trattamenti di dati personali che implicano maggiori rischi di un danno alla persona interessata in ragione della natura dei dati, delle modalita' del trattamento o degli effetti che esso puo' determinare, si applica la disposizione di cui all'articolo 6, comma 1.

Il titolare o il responsabile del trattamento dei dati personali assicurano l'adozione di misure di sicurezza preventive, individuate anche in relazione al progresso tecnologico, alla natura dei dati e alle caratteristiche del singolo trattamento, idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' di cui all'articolo 3 ed a garantirne, nel contempo, un'agevole fruibilita'.

Fermo restando quanto previsto dal comma 1, o da speciali disposizioni, il titolare o il responsabile del trattamento assicurano l'adozione delle misure minime di sicurezza previste dagli articoli 33, 34 e 35 del Codice e dal disciplinare tecnico di cui al relativo allegato B) con riferimento ai trattamenti automatizzati o non automatizzati di dati personali.

La persona interessata puo' chiedere all'organo, ufficio o comando di polizia titolare del trattamento la conferma dell'esistenza di dati personali che la riguardano, la loro comunicazione in forma intelligibile e, se i dati sono trattati in violazione di vigenti disposizioni di legge o di regolamento, il loro aggiornamento, rettifica, cancellazione, blocco o trasformazione in forma anonima.

L'istanza e' sottoscritta dalla persona interessata in presenza dell'operatore addetto dell'organo, ufficio o comando di polizia, ovvero sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di identita'.

L'istanza puo' essere presentata anche per via telematica con le modalita' di cui all'articolo 65, comma 1, del decreto legislativo 7 marzo 2005, n. 82.

Il soggetto che agisce per conto della persona interessata esibisce o allega copia della procura ovvero della delega conferita con le modalita' di cui ai commi 2 e 3.

Esperiti i necessari accertamenti, l'organo, ufficio o comando di polizia, entro trenta giorni dalla ricezione della richiesta, comunica alla persona interessata le determinazioni assunte.

L'organo, ufficio o comando di polizia puo' omettere di provvedere in merito alla richiesta di cui al comma 1, dandone informazione al Garante, se cio' puo' pregiudicare azioni o operazioni a tutela dell'ordine o della sicurezza pubblica o di prevenzione e repressione dei reati o la sicurezza dello Stato, la persona interessata o i diritti e le liberta' di terzi.

Accertamenti dell'autorita' giudiziaria

Chiunque viene a conoscenza dell'esistenza di dati personali che lo riguardano, trattati da organi, uffici o comandi di polizia in violazione di disposizioni di legge o di regolamento, puo' chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare l'aggiornamento, la rettifica, l'integrazione, la cancellazione, il blocco o la trasformazione in forma anonima dei dati medesimi. Si applica la disposizione di cui all'articolo 152, comma 1-bis, del Codice.

L'organo, ufficio o comando di polizia, qualora abbia notizia della controversia instaurata innanzi all'autorita' giudiziaria di cui al comma 1, dispone l'immediata verifica dei dati e delle informazioni di cui la persona interessata affermi l'erroneita', l'incompletezza e l'illegittima raccolta, ai fini dell'eventuale aggiornamento, rettifica, integrazione, cancellazione, blocco o trasformazione in forma anonima degli stessi. L'esito dell'accertamento e' comunicato all'autorita' giudiziaria.

Le disposizioni di cui agli articoli 26 e 27 non si applicano ai dati personali comunicati all'autorita' giudiziaria per le esigenze del procedimento penale o per le finalita' di applicazione o esecuzione della pena, o comunicati all'autorita' amministrativa per le esigenze del procedimento sanzionatorio, ne' a quelli comunicati all'autorita' competente per le esigenze dei procedimenti di applicazione di misure di sicurezza o di prevenzione.

Nei procedimenti di cui al comma 1 la tutela della persona interessata rispetto al trattamento dei dati personali e' garantita nelle forme previste per ciascuno dei procedimenti stessi.

I controlli sui trattamenti di dati personali effettuati degli organi, uffici e comandi di polizia sono effettuati dal Garante con le modalita' di cui all'articolo 160 del Codice.

Il titolare o il responsabile del trattamento adottano le iniziative occorrenti a dare tempestiva attuazione alle indicazioni del Garante.

Fermo restando quanto previsto dall'articolo 5, comma 2, primo periodo, gli organi, uffici e comandi di polizia che alla data di entrata in vigore del presente regolamento dispongono di sistemi informativi e programmi informatici che, per obiettive ragioni tecniche, non consentono, in tutto o in parte, l'immediata applicazione, con modalita' automatizzate, della misura della cancellazione o dell'anonimizzazione dei dati personali oggetto di trattamento allo scadere dei termini di conservazione di cui all'articolo 10, commi 1, 3, 4, 5 e 7, o non consentono la segnalazione con modalita' automatizzate del decorso del termine di cui all'articolo 10, comma 2, adottano, in relazione ai sistemi e programmi detenuti, ogni possibile misura organizzativa, logistica o procedurale idonea a prevenire o limitare il rischio di utilizzo dei dati oltre i termini di conservazione di cui all'articolo 10, commi 1, 3 e 5, o di accesso ai dati in violazione della disposizione di cui all'articolo 10, comma 2. I predetti sistemi e programmi sono adeguati alle disposizioni del presente regolamento entro 5 anni dalla sua entrata in vigore, quando i medesimi siano stati istituiti anteriormente al 6 maggio 2016 e cio' comporti sforzi sproporzionati.
Il termine di adeguamento dei sistemi e dei programmi e' di 8 anni dalla entrata in vigore del presente regolamento, qualora cio' causi altrimenti gravi difficolta' per il loro funzionamento, previa comunicazione alla Commissione europea, da parte delle competenti strutture del Dipartimento della pubblica sicurezza, dei motivi di tali gravi difficolta'.

Fermo restando quanto previsto dall'articolo 5, comma 2, secondo periodo, gli organi, uffici e comandi di polizia che alla data di entrata in vigore del presente regolamento dispongono di sistemi informativi e programmi informatici che, per obiettive ragioni tecniche, non consentono, in tutto o in parte, l'immediata applicazione delle disposizioni concernenti la registrazione in appositi file di log effettuati dagli operatori abilitati, adeguano i medesimi sistemi e programmi entro 5 anni dall'entrata in vigore del presente regolamento, quando i medesimi siano stati istituiti anteriormente al 6 maggio 2016 e cio' comporti sforzi sproporzionati.
Il termine di adeguamento dei sistemi e dei programmi e' di 8 anni dall'entrata in vigore del presente regolamento, qualora cio' causi altrimenti gravi difficolta' per il loro funzionamento, previa comunicazione alla Commissione europea, da parte delle competenti strutture del Dipartimento della pubblica sicurezza, dei motivi di tali gravi difficolta'.

I titolari del trattamento, entro un anno dall'entrata in vigore del presente regolamento, informano il Garante sulla adozione delle misure di cui al comma 1. Al Garante e' data periodica informazione sull'adeguamento dei sistemi e programmi di cui ai commi 1 e 2.

Dall'attuazione delle disposizioni del presente regolamento non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le Amministrazioni provvedono agli adempimenti di cui al presente regolamento con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.