Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, i

Il presente decreto attua nell'ordinamento interno le disposizioni della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati, e che abroga la decisione quadro 2008/977/GAI del Consiglio.

Il presente decreto si applica al trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche e al trattamento non automatizzato di dati personali delle persone fisiche contenuti in un archivio o ad esso destinati, svolti dalle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.

Il trattamento per una delle finalita' di cui all'articolo 1, comma 2, diversa da quella per cui i dati sono raccolti, e' consentito se il titolare del trattamento, anche se diverso da quello che ha raccolto i dati, e' autorizzato a trattarli per detta finalita', conformemente al diritto dell'Unione europea o dell'ordinamento interno e se il trattamento e' necessario e proporzionato a tale diversa finalita', conformemente al diritto dell'Unione europea o dell'ordinamento interno.

Il trattamento per le finalita' di cui all'articolo 1, comma 2, puo' comprendere l'archiviazione nel pubblico interesse, l'utilizzo scientifico, storico o statistico, fatte salve le garanzie adeguate per i diritti e le liberta' degli interessati.

Il titolare del trattamento e' responsabile del rispetto dei principi di cui ai commi 1, 2 e 3.

Conservazione e verifica della qualita' dei dati,
distinzione tra categorie di interessati e di dati

Il titolare del trattamento, tenuto conto della finalita' del trattamento e per quanto possibile, distingue i dati personali in relazione alle diverse categorie di interessati previste dalla legge e i dati fondati su fatti da quelli fondati su valutazioni. La distinzione in relazione alle diverse categorie di interessati si applica, in particolare, alle seguenti categorie di interessati: persone sottoposte a indagine; imputati; persone sottoposte a indagine o imputate in procedimento connesso o collegato; persone condannate con sentenza definitiva; persone offese dal reato; parti civili; persone informate sui fatti; testimoni.

Le autorita' competenti adottano misure adeguate a garantire che i dati personali inesatti, incompleti o non aggiornati non siano trasmessi o resi disponibili. A tal fine ciascuna autorita' competente, per quanto possibile, verifica la qualita' dei dati personali prima che questi siano trasmessi o resi disponibili e correda la loro trasmissione delle informazioni che consentono all'autorita' ricevente di valutarne il grado di esattezza, completezza, aggiornamento e affidabilita'.

Quando risulta che i dati personali sono stati trasmessi illecitamente o sono inesatti, il destinatario ne e' tempestivamente informato. In tal caso, i dati personali devono essere rettificati o cancellati o il trattamento deve essere limitato a norma dell'articolo 12.

Liceita' del trattamento

Il trattamento e' lecito se e' necessario per l'esecuzione di un compito di un'autorita' competente per le finalita' di cui all'articolo 1, comma 2, e si basa sul diritto dell'Unione europea o su disposizioni di legge o di regolamento o su atti amministrativi generali che individuano i dati personali e le finalita' del trattamento.

((COMMA ABROGATO DALLA L. 2 DICEMBRE 2025, N. 182)).
(2)


----------------

AGGIORNAMENTO (2)
Il D.L. 8 ottobre 2021, n. 139, convertito con modificazioni dalla L. 3 dicembre 2021, n. 205, ha disposto (con l'art. 9, comma 5) che "l'articolo 5 del decreto legislativo n. 51 del 2018, come modificati dal presente articolo, si applicano anche ai casi in cui disposizioni di legge gia' in vigore stabiliscono che i tipi di dati che possono essere trattati, le operazioni eseguibili, il motivo di interesse pubblico rilevante, la finalita' del trattamento nonche' le misure appropriate e specifiche per tutelare i diritti fondamentali dell'interessato e i suoi interessi sono previsti da uno o piu' regolamenti".

I dati personali raccolti per le finalita' di cui all'articolo 1, comma 2, non possono essere trattati per finalita' diverse, salvo che tale trattamento sia consentito dal diritto dell'Unione europea o dalla legge.

Ai trattamenti eseguiti per finalita' diverse da quelle di cui all'articolo 1, comma 2, comprese le attivita' di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per finalita' statistiche, si applica il regolamento UE, salve le disposizioni di cui all'articolo 58 del Codice.

Se il diritto dell'Unione europea o le disposizioni legislative o regolamentari prevedono condizioni specifiche per il trattamento dei dati personali, l'autorita' competente che trasmette tali dati informa il destinatario delle condizioni e dell'obbligo di rispettarle.

L'autorita' competente che trasmette i dati applica le stesse condizioni previste per le trasmissioni di dati all'interno dello Stato ai destinatari di altri Stati membri o ad agenzie, uffici e organi istituiti a norma del titolo V, capi 4 e 5, del Trattato sul funzionamento dell'Unione europea.

Il trattamento di dati di cui all'articolo 9 del regolamento UE e' autorizzato solo se strettamente necessario e assistito da garanzie adeguate per i diritti e le liberta' dell'interessato e specificamente previsto dal diritto dell'Unione europea o da legge o, nei casi previsti dalla legge, da regolamento, ovvero, ferme le garanzie dei diritti e delle liberta', se necessario per salvaguardare un interesse vitale dell'interessato o di un'altra persona fisica o se ha ad oggetto dati resi manifestamente pubblici dall'interessato.

Sono vietate le decisioni basate unicamente su un trattamento automatizzato, compresa la profilazione, che producono effetti negativi nei confronti dell'interessato, salvo che siano autorizzate dal diritto dell'Unione europea o da specifiche disposizioni di legge.

Le disposizioni di legge devono prevedere garanzie adeguate per i diritti e le liberta' dell'interessato. In ogni caso e' garantito il diritto di ottenere l'intervento umano da parte del titolare del trattamento.

Le decisioni di cui al comma 1 non possono basarsi sulle categorie particolari di dati personali di cui all'articolo 9 del regolamento UE, salvo che siano in vigore misure adeguate a salvaguardia dei diritti, delle liberta' e dei legittimi interessi dell'interessato.

Fermo il divieto di cui all'articolo 21 della Carta dei diritti fondamentali dell'Unione europea, e' vietata la profilazione finalizzata alla discriminazione di persone fisiche sulla base di categorie particolari di dati personali di cui all'articolo 9 del regolamento UE.

Comunicazioni e modalita'
per l'esercizio dei diritti dell'interessato

Il titolare del trattamento adotta misure adeguate a fornire all'interessato tutte le informazioni di cui all'articolo 10 ed effettua le comunicazioni relative al trattamento di cui agli articoli 8, 11, 12, 13, 14 e 27, in forma concisa, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite con qualsiasi mezzo adeguato, anche per via elettronica, se possibile con le stesse modalita' della richiesta.

Il titolare del trattamento facilita l'esercizio dei diritti di cui agli articoli 8, 11, 12, 13 e 14 da parte dell'interessato.

Il titolare del trattamento informa l'interessato senza ingiustificato ritardo e per iscritto dell'esito della sua richiesta.

E' assicurata la gratuita' del rilascio di informazioni ai sensi dell'articolo 10 e dell'esercizio dei diritti previsti dagli articoli 8, 11, 12, 13, 14 e 27. Si applicano le disposizioni di cui all'articolo 12, paragrafo 5, secondo periodo, del regolamento UE.

Fermo quanto previsto dall'articolo 5, comma 1, con decreto adottato dal Ministro competente sono individuati, ove necessario anche per categorie, i trattamenti non occasionali effettuati con strumenti elettronici per le finalita' di cui all'articolo 1, comma 2, previsti da disposizioni di legge o di regolamento, nonche' i relativi titolari.

Nei casi di cui all'articolo 14, comma 2, il titolare del trattamento informa l'interessato, senza ingiustificato ritardo e per iscritto, di ogni rifiuto o limitazione dell'accesso e dei relativi motivi, nonche' del diritto di proporre reclamo dinanzi al Garante o di proporre ricorso giurisdizionale.

Il titolare del trattamento documenta i motivi di fatto o di diritto su cui si basa la decisione di cui al comma 2. Tali informazioni sono rese disponibili al Garante.

L'interessato ha il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che lo riguardano. Tenuto conto delle finalita' del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Fermo quanto previsto dall'articolo 14, comma 1 e 2, il titolare del trattamento cancella senza ingiustificato ritardo i dati personali, quando il trattamento si pone in contrasto con le disposizioni di cui agli articoli 3, 5 o 7 e in ogni altro caso previsto dalla legge.

In luogo della cancellazione, il titolare del trattamento limita il trattamento quando l'esattezza dei dati, contestata dall'interessato, non puo' essere accertata o se i dati devono essere conservati a fini probatori.

Quando il trattamento e' limitato per l'impossibilita' di accertare l'esattezza dei dati, il titolare del trattamento informa l'interessato prima di revocare la limitazione.

L'interessato ha diritto di essere informato per iscritto dal titolare del trattamento del rifiuto di rettifica, di cancellazione o di limitazione del trattamento e dei relativi motivi, nonche' del diritto di proporre reclamo dinanzi al Garante o di proporre ricorso giurisdizionale.
7. Il titolare del trattamento comunica le rettifiche dei dati personali inesatti all'autorita' competente da cui provengono.
8. Qualora i dati personali siano stati rettificati o cancellati o il trattamento sia stato limitato ai sensi dei commi 1, 2 e 3, il titolare del trattamento ne informa i destinatari e questi provvedono, sotto la propria responsabilita', alla rettifica o cancellazione dei dati personali ovvero alla limitazione del trattamento.

Al di fuori dei casi di trattamento effettuato dall'autorita' giudiziaria per le finalita' di cui all'articolo 1, comma 2, i diritti dell'interessato possono essere esercitati anche tramite il Garante con le modalita' di cui all'articolo 160 del codice.

Il titolare del trattamento informa l'interessato della facolta' di cui al comma 1.

Nei casi di cui al comma 1, il Garante informa l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonche' del diritto dell'interessato di proporre ricorso giurisdizionale.

I diritti di cui agli articoli 10, 11 e 12, relativamente ai dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, sono esercitati conformemente a quanto previsto dalle disposizioni di legge o di regolamento che disciplinano tali atti e procedimenti. Chiunque vi abbia interesse, durante il procedimento penale o dopo la sua definizione, puo' chiedere, con le modalita' di cui all'articolo 116 del codice di procedura penale, la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano. Il giudice provvede con le forme dell'articolo 130 del codice di procedura penale.

Il titolare del trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalita' del trattamento, nonche' dei rischi per i diritti e le liberta' delle persone fisiche, mette in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato in conformita' alle norme del presente decreto.

Le misure di cui al comma 1 sono riesaminate e aggiornate qualora necessario e, ove proporzionato rispetto all'attivita' di trattamento, includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

Il titolare del trattamento, tenuto conto delle cognizioni tecniche disponibili e dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalita' del trattamento, nonche' dei rischi per i diritti e le liberta' delle persone fisiche, mette in atto misure tecniche e organizzative adeguate, quale la pseudonimizzazione, per garantire la protezione dei dati e per tutelare i diritti degli interessati, in conformita' alle norme del presente decreto.

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalita' del trattamento. Tale obbligo vale per la quantita' dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilita'. In particolare, tali misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.

Due o piu' titolari del trattamento che determinano congiuntamente le finalita' e i mezzi del trattamento sono contitolari del trattamento.

I contitolari del trattamento determinano mediante accordo con modalita' trasparenti gli ambiti delle rispettive responsabilita' per l'osservanza delle norme di cui al presente decreto, salvo che detti ambiti siano determinati dal diritto dell'Unione europea o da disposizioni legislative o regolamentari.

Con l'accordo di cui al comma 2 e' designato il punto di contatto per gli interessati. Indipendentemente dalle disposizioni di tale accordo, l'interessato puo' esercitare i diritti nei confronti di e contro ciascun titolare del trattamento.

Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre a responsabili del trattamento che garantiscono misure tecniche e organizzative adeguate ad assicurare la protezione dei dati personali e la tutela dei diritti dell'interessato.

Il responsabile del trattamento non puo' ricorrere a un altro responsabile senza preventiva autorizzazione scritta del titolare del trattamento.

Il contratto o il diverso atto di cui al comma 3 e' stipulato per iscritto, anche in formato elettronico.

Se un responsabile del trattamento determina, in violazione del presente decreto, le finalita' e i mezzi del trattamento, e' considerato titolare del trattamento.

Trattamento sotto l'autorita' del titolare del trattamento
o del responsabile del trattamento

Il responsabile del trattamento o chiunque agisca sotto la sua autorita' o sotto quella del titolare del trattamento puo' trattare i dati personali cui ha accesso solo in conformita' alle istruzioni del titolare del trattamento, salvo che sia diversamente previsto dal diritto dell'Unione europea o da disposizioni di legge o, nei casi previsti dalla legge, di regolamento.

Registri delle attivita' di trattamento

I registri di cui ai commi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico. Su richiesta, il titolare del trattamento e il responsabile del trattamento mettono tali registri a disposizione del Garante.

Le operazioni di raccolta, modifica, consultazione, comunicazione, trasferimento, interconnessione e cancellazione di dati, eseguite in sistemi di trattamento automatizzati, sono registrate in appositi file di log ((...)).

Le registrazioni delle operazioni di cui al comma 1 debbono consentire di conoscere i motivi, la data e l'ora di tali operazioni e, se possibile, di identificare la persona che ha eseguito le operazioni e i destinatari.

Le registrazioni sono usate ai soli fini della verifica della liceita' del trattamento, per finalita' di controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito di procedimenti penali.

Su richiesta e fatto salvo quanto previsto dall'articolo 37, comma 3, il titolare del trattamento e il responsabile del trattamento mettono le registrazioni a disposizione del Garante.

Salvo quanto previsto dall'articolo 37, comma 3, il titolare del trattamento e il responsabile del trattamento cooperano, su richiesta, con il Garante.

Se il trattamento, per l'uso di nuove tecnologie e per la sua natura, per l'ambito di applicazione, per il contesto e per le finalita', presenta un rischio elevato per i diritti e le liberta' delle persone fisiche, il titolare del trattamento, prima di procedere al trattamento, effettua una valutazione del suo impatto sulla protezione dei dati personali.

La valutazione di cui al comma 1 contiene una descrizione generale dei trattamenti previsti, una valutazione dei rischi per i diritti e le liberta' degli interessati, le misure previste per affrontare tali rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e il rispetto delle norme del presente decreto.

Il Garante e' consultato nel corso dell'esame di un progetto di legge o di uno schema di decreto legislativo ovvero di uno schema di regolamento o decreto non avente carattere regolamentare, suscettibile di rilevare ai fini della garanzia del diritto alla protezione dei dati personali.

Il Garante puo' stabilire un elenco di trattamenti soggetti a consultazione preventiva ai sensi del comma 1.

Il titolare del trattamento trasmette al Garante la valutazione d'impatto sulla protezione dei dati di cui all'articolo 23 e, su richiesta, ogni altra informazione, al fine di consentire a detta autorita' di effettuare una valutazione della conformita' del trattamento, dei rischi per la protezione dei dati personali dell'interessato e delle relative garanzie.

Ove ritenga che il trattamento di cui al comma 1 violi le disposizioni del presente decreto, il Garante fornisce, entro un termine di sei settimane dal ricevimento della richiesta di consultazione, un parere per iscritto al titolare del trattamento e, se esistente, al responsabile del trattamento. Il Garante si avvale dei poteri di cui all'articolo 37, comma 3.

Il termine di cui al comma 5 puo' essere prorogato di un mese nel caso di trattamento complesso. Il Garante informa della proroga e dei motivi del ritardo il titolare del trattamento e, se esistente, il responsabile del trattamento, entro un mese dal ricevimento della richiesta di consultazione.

Il titolare del trattamento e il responsabile del trattamento, tenuto conto delle cognizioni tecniche disponibili, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalita' del trattamento, nonche' del grado di rischio per i diritti e le liberta' delle persone fisiche, mettono in atto misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio di violazione dei dati.

Salvo quanto previsto dall'articolo 37, comma 6, in caso di violazione di dati personali, il titolare del trattamento notifica la violazione al Garante con le modalita' di cui all'articolo 33 del regolamento UE.

Se la violazione dei dati personali riguarda dati personali che sono stati trasmessi dal o al titolare del trattamento di un altro Stato membro, le informazioni previste dal citato articolo 33 del regolamento UE sono comunicate, senza ingiustificato ritardo, al titolare del trattamento di tale Stato membro.

Quando la violazione di dati personali e' suscettibile di presentare un rischio elevato per i diritti e le liberta' delle persone fisiche, si osservano le disposizioni in tema di comunicazioni di cui all'articolo 34 del regolamento UE.

La comunicazione all'interessato di cui al comma 1 puo' essere ritardata, limitata od omessa alle condizioni e per i motivi di cui all'articolo 14, comma 2.

Il titolare del trattamento designa un responsabile della protezione dei dati.

Il responsabile della protezione dei dati e' designato in funzione delle qualita' professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacita' di assolvere i compiti di cui all'articolo 30.

Puo' essere designato un unico responsabile della protezione dei dati per piu' autorita' competenti, tenuto conto della loro struttura organizzativa e dimensione.

Il titolare del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e, salvo quanto previsto dall'articolo 37, comma 6, li comunica al Garante.

Il titolare del trattamento si assicura che il responsabile della protezione dei dati sia coinvolto adeguatamente e tempestivamente in tutte le questioni riguardanti la protezione dei dati personali.

Il titolare del trattamento coadiuva il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 30 fornendogli le risorse necessarie per assolvere tali compiti, per accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

In assenza dell'autorizzazione preliminare di un altro Stato membro di cui al comma 1, lettera c), il trasferimento di dati personali e' consentito solo se necessario per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un Paese terzo o agli interessi vitali di uno Stato membro e l'autorizzazione preliminare non puo' essere ottenuta tempestivamente. L'autorita' competente a rilasciare l'autorizzazione preliminare e' informata senza ritardo.

Il trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale e' consentito se la Commissione europea ha deciso che il Paese terzo, un territorio o uno o piu' settori specifici all'interno del Paese terzo, o l'organizzazione internazionale garantiscono un livello di protezione adeguato. In tal caso non sono necessarie autorizzazioni specifiche.

Il titolare del trattamento informa il Garante dei trasferimenti effettuati ai sensi del comma 1, lettera b), e ne conserva documentazione che, su richiesta, mette a disposizione del Garante, con l'indicazione della data e dell'ora del trasferimento, dell'autorita' competente ricevente, della motivazione del trasferimento e dei dati personali trasferiti.

Nei casi di cui al comma 1, lettere d) ed e), i dati personali non sono trasferiti se l'autorita' competente che effettua il trasferimento valuta i diritti e le liberta' fondamentali dell'interessato prevalenti rispetto all'interesse pubblico al trasferimento.

Il trasferimento effettuato ai sensi del comma 1 deve essere documentato e, su richiesta, la documentazione deve essere messa a disposizione del Garante con l'indicazione della data e dell'ora del trasferimento, dell'autorita' competente ricevente, della motivazione del trasferimento e dei dati personali trasferiti.

Per accordo internazionale di cui al comma 1 si intende qualsiasi accordo internazionale bilaterale o multilaterale in vigore tra gli Stati membri e Paesi terzi nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia.

L'autorita' competente informa il Garante dei trasferimenti previsti dal presente articolo.

Il trasferimento effettuato ai sensi del comma 1 e' documentato.

In relazione ai Paesi terzi e alle organizzazioni internazionali, sono adottate misure appropriate per le finalita' di cui all'articolo 50 del regolamento UE.

Restano in vigore, fino alla loro modifica, sostituzione o revoca, gli accordi internazionali relativi al trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali conclusi anteriormente al 6 maggio 2016 e che sono conformi al diritto dell'Unione europea applicabile a tale data.

Autorita' di controllo

Il Garante e' l'autorita' di controllo incaricata di vigilare sull'applicazione delle norme di cui al presente decreto, al fine di tutelare i diritti e le liberta' fondamentali delle persone fisiche con riguardo al trattamento di dati personali e di agevolare la libera circolazione dei dati all'interno dell'Unione europea.

I poteri di cui al comma 3 sono esercitati nei modi, nelle forme e con le garanzie previste dalla legge.

Le funzioni e i poteri di cui ai commi 2 e 3 sono esercitati senza spese per l'interessato o per il responsabile della protezione dati. Il Garante non provvede in ordine alle richieste manifestamente infondate o inammissibili in quanto ripropongono, senza nuovi elementi, richieste gia' rigettate.

Il Garante non e' competente in ordine al controllo del rispetto delle norme del presente decreto, limitatamente ai trattamenti effettuati dall'autorita' giudiziaria nell'esercizio delle funzioni giurisdizionali, nonche' di quelle giudiziarie del pubblico ministero.

---------------

AGGIORNAMENTO (1)

Il D.Lgs. 10 agosto 2018, n. 101 ha disposto (con l'art. 23, comma 1, lettera a)) che "A decorrere dalla data di entrata in vigore del presente decreto:
a) all'articolo 37, comma 2, alinea, del decreto legislativo 18 maggio 2018, n. 51, il riferimento all'articolo 154 del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, si intende effettuato agli articoli 154 e 154-bis del medesimo codice".

Il Garante coopera con la Commissione europea al fine di contribuire alla coerente applicazione del diritto dell'Unione in materia di protezione dei dati personali, scambia con le autorita' di controllo degli altri Stati membri le informazioni utili e presta assistenza reciproca al fine di attuare e applicare il presente decreto in maniera coerente, e di cooperare efficacemente con loro.
L'assistenza reciproca comprende le richieste di informazioni e le misure di controllo, quali le richieste di effettuare consultazioni, ispezioni e indagini.

Il Garante adotta, con proprio provvedimento, le misure di cui all'articolo 61, paragrafo 2, del regolamento UE.

Le richieste di assistenza sono conformi alle modalita' di cui all'articolo 61, paragrafo 3, del regolamento UE.

Il Garante non puo' rifiutare di dare seguito alla richiesta, salvo che sia incompetente o l'intervento richiesto violi il diritto interno o dell'Unione europea.

Il Garante osserva le disposizioni di cui all'articolo 61, paragrafi 5, 6 e 7, del regolamento UE.

Fermo quanto previsto dall'articolo 37, comma 6, l'interessato, se ritiene che il trattamento dei dati personali che lo riguardano violi le disposizioni del presente decreto, puo' proporre reclamo al Garante, con le modalita' di cui agli articoli 142 e 143 del Codice.((1))

Il Garante informa l'interessato dello stato o dell'esito del reclamo, compresa la possibilita' del ricorso giurisdizionale.

Per l'inosservanza delle disposizioni del presente decreto in violazione dei suoi diritti, l'interessato puo' proporre ricorso giurisdizionale secondo quanto previsto e regolato dalla disciplina contenuta nella parte III, titolo I, capo II del Codice.

---------------

AGGIORNAMENTO (1)

Il D.Lgs. 10 agosto 2018, n. 101 ha disposto (con l'art. 23, comma 1, lettera b)) che "A decorrere dalla data di entrata in vigore del presente decreto:
[...]
b) all'articolo 39, comma 1, del decreto legislativo 18 maggio 2018, n. 51, il riferimento agli articoli 142 e 143 del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003 si intende effettuato agli articoli 141, 142 e 143 del medesimo codice".

L'interessato puo' dare mandato a un ente del terzo settore soggetto alla disciplina del decreto legislativo 3 luglio 2017, n. 117, che sia attivo nel settore della tutela dei diritti e delle liberta' degli interessati con riguardo alla protezione dei dati personali, al fine di esercitare per suo conto i diritti di cui all'articolo 39, ferme le disposizioni in materia di patrocinio previste dal codice di procedura civile.

Il titolare o il responsabile del trattamento sono tenuti, a norma dell'articolo 82 del regolamento UE, al risarcimento del danno patrimoniale o non patrimoniale cagionato da un trattamento o da qualsiasi altro atto compiuti in violazione delle disposizioni del presente decreto.

Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario, la violazione delle disposizioni di cui all'articolo 3, comma 1, lettere a), b), d), e) ed f), all'articolo 4, commi 2 e 3, all'articolo 6, commi 3 e 4, all'articolo 7, all'articolo 8, e' punita con la sanzione amministrativa del pagamento di una somma da 50.000 euro a 150.000 euro. La medesima sanzione amministrativa si applica al trasferimento dei dati personali verso un Paese terzo o un'organizzazione internazionale in assenza della decisione di adeguatezza della Commissione europea, salvo quanto previsto dagli articoli 33 e 34.

Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario, e' punita con la sanzione amministrativa del pagamento di una somma da 20.000 euro a 80.000 euro la violazione delle disposizioni di cui all'articolo 14, comma 2. Con la medesima sanzione e' punita la violazione delle disposizioni di cui all'articolo 17, comma 2, all'articolo 18, commi 1, 2, 3 e 4, all'articolo 19, all'articolo 20, all'articolo 21, all'articolo 22, all'articolo 23, all'articolo 24, commi 1 e 4, all'articolo 26, all'articolo 27, all'articolo 28, commi 1 e 4, all'articolo 29, comma 2.

Nella determinazione della sanzione amministrativa da applicare secondo quanto previsto dai commi 1 e 2 si tiene conto dei criteri di cui all'articolo 83, paragrafo 2, lettere a), b), c), d), e), f), g), h), i), k), del regolamento UE.

Il procedimento per l'applicazione delle sanzioni e' regolato dall'articolo 166 del Codice. Si applica altresi' l'articolo 165 del Codice.
((1))

---------------

AGGIORNAMENTO (1)

Il D.Lgs. 10 agosto 2018, n. 101 ha disposto (con l'art. 23, comma 1, lettera c)) che "A decorrere dalla data di entrata in vigore del presente decreto:
[...]
c) all'articolo 42 del decreto legislativo 18 maggio 2018, n. 51, il riferimento all'articolo 165 del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, si intende effettuato all'articolo 166, comma 7, del medesimo codice".

Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall'articolo 5, comma 1, e' punito, se dal fatto deriva nocumento, con la reclusione da sei mesi a un anno e sei mesi o, se la condotta comporta comunicazione o diffusione dei dati, con la reclusione da sei mesi a due anni.

Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall'articolo 7 o dall'articolo 8, comma 4, e' punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

Falsita' in atti e dichiarazioni al Garante

Salvo che il fatto costituisca piu' grave reato, chiunque, in un procedimento dinanzi al Garante riguardante il trattamento dei dati di cui all'articolo 1, comma 2, o nel corso di accertamenti riguardanti i medesimi dati, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, e' punito con la reclusione da sei mesi a tre anni.

Chiunque, ((non osservando)) il provvedimento adottato dal Garante ai sensi dell'articolo 143, comma 1, lettera c), del Codice, in un procedimento riguardante il trattamento dei dati di cui all'articolo 1, comma 2, ((arreca un concreto nocumento a uno o piu' interessati)) e' punito ((, a querela della persona offesa,)) con la reclusione da tre mesi a due anni.
(1)

---------------

AGGIORNAMENTO (1)

Il D.Lgs. 10 agosto 2018, n. 101 ha disposto (con l'art. 23, comma 1, lettera d)) che "A decorrere dalla data di entrata in vigore del presente decreto:
[...]
d) all'articolo 45 del decreto legislativo 18 maggio 2018, n. 51, il riferimento all'articolo 143, comma 1, lettera c), del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, si intende effettuato all'articolo 58, paragrafo 2, lettera f), del Regolamento (UE) 2016/679".

La condanna per uno dei delitti previsti dal presente decreto importa la pubblicazione della sentenza, ai sensi dell'articolo 36, secondo e terzo comma, del codice penale.

Modalita' di trattamento e flussi di dati
da parte delle Forze di polizia

Nei casi in cui le autorita' di pubblica sicurezza o le Forze di polizia possono acquisire in conformita' alle vigenti disposizioni di legge o di regolamento dati, informazioni, atti e documenti da altri soggetti, l'acquisizione puo' essere effettuata anche per via telematica. A tal fine gli organi o uffici interessati possono avvalersi di convenzioni volte ad agevolare la consultazione da parte dei medesimi organi o uffici, mediante reti di comunicazione elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle pertinenti disposizioni e dei principi di cui agli articoli da 3 a 8. Le convenzioni-tipo sono adottate dal Ministero dell'interno, su conforme parere del Garante, e stabiliscono le modalita' dei collegamenti e degli accessi anche al fine di assicurare l'accesso selettivo ai soli dati necessari al perseguimento delle finalita' di cui all'articolo 1, comma 2.

I dati trattati dalle Forze di polizia per le finalita' di cui all'articolo 1, comma 2, sono conservati separatamente da quelli registrati per finalita' amministrative che non richiedono il loro utilizzo.

Fermo restando quanto previsto dagli articoli da 2 a 7, il Centro elaborazione dati del Dipartimento della pubblica sicurezza assicura l'aggiornamento periodico, la proporzionalita', la pertinenza e la non eccedenza dei dati personali trattati anche attraverso interrogazioni autorizzate del casellario giudiziale e del casellario dei carichi pendenti del Ministero della giustizia di cui al decreto del Presidente della Repubblica 14 novembre 2002, n. 313, o di altre banche di dati delle Forze di polizia, necessarie per le finalita' di cui all'articolo 1, comma 1.

Gli organi, uffici e comandi di polizia verificano periodicamente i requisiti di cui agli articoli da 2 a 7 in riferimento ai dati trattati anche senza l'ausilio di strumenti elettronici, e provvedono al loro aggiornamento anche sulla base delle procedure adottate dal Centro elaborazione dati ai sensi del comma 3, o, per i trattamenti effettuati senza l'ausilio di strumenti elettronici, mediante annotazioni o integrazioni dei documenti che li contengono.

Restano ferme le disposizioni di cui dall'articolo 10, commi 3, 4 e 5, della legge 1° aprile 1981, n. 121, e successive modificazioni, concernenti i controlli sul Centro elaborazione dati del Dipartimento della pubblica sicurezza.

Le disposizioni di cui all'articolo 10, commi 3, 4 e 5, della legge n. 121 del 1981, si applicano, oltre ai dati destinati a confluire nel Centro elaborazione dati di cui al comma 1, ai dati trattati con l'ausilio di strumenti elettronici da organi, uffici o comandi delle Forze di polizia di cui all'articolo 16 della predetta legge n. 121 del 1981.

Gli articoli 53, 54, 55 e 56 del Codice sono abrogati.

L'articolo 57 del Codice e' abrogato decorso un anno dalla data di entrata in vigore del presente decreto.

I decreti adottati in attuazione degli articoli 53 e 57 del Codice continuano ad applicarsi fino all'adozione di diversa disciplina ai sensi ((dell'articolo)) 9, comma 5.

Dall'attuazione delle disposizioni di cui al presente decreto non devono derivare nuovi o maggiori oneri per la finanza pubblica.
Le amministrazioni interessate provvedono agli adempimenti previsti dal presente decreto con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.