Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati person

Al titolo del decreto legislativo 30 giugno 2003, n. 196, dopo le parole «dati personali» sono aggiunte le seguenti: «, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE».

Alle premesse del decreto legislativo 30 giugno 2003, n. 196, dopo il terzo Visto sono inseriti i seguenti:
«Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2016-2017» e, in particolare, l'articolo 13, che delega il Governo all'emanazione di uno o piu' decreti legislativi di adeguamento del quadro normativo nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016;
Vista la legge 24 dicembre 2012, n. 234, recante norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea;
Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);».

La rubrica della parte II del decreto legislativo 30 giugno 2003, n. 196, e' sostituita dalla seguente: «Disposizioni specifiche per i trattamenti necessari per adempiere ad un obbligo legale o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri nonche' disposizioni per i trattamenti di cui al capo IX del regolamento».

Alla parte II, titolo III, del decreto legislativo 30 giugno 2003, n. 196, l'articolo 58 e' sostituito dal seguente:
«Art. 58 (Trattamenti di dati personali per fini di sicurezza nazionale o difesa). - 1. Ai trattamenti di dati personali effettuati dagli organismi di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, sulla base dell'articolo 26 della predetta legge o di altre disposizioni di legge o regolamento, ovvero relativi a dati coperti da segreto di Stato ai sensi degli articoli 39 e seguenti della medesima legge, si applicano le disposizioni di cui all'articolo 160, comma 4, nonche', in quanto compatibili, le disposizioni di cui agli articoli 2, 3, 8, 15, 16, 18, 25, 37, 41, 42 e 43 del decreto legislativo 18 maggio 2018, n. 51.
2. Fermo restando quanto previsto dal comma 1, ai trattamenti effettuati da soggetti pubblici per finalita' di difesa o di sicurezza dello Stato, in base ad espresse disposizioni di legge che prevedano specificamente il trattamento, si applicano le disposizioni di cui al comma 1 del presente articolo, nonche' quelle di cui agli articoli 23 e 24 del decreto legislativo 18 maggio 2018, n. 51.
3. Con uno o piu' regolamenti sono individuate le modalita' di applicazione delle disposizioni di cui ai commi 1 e 2, in riferimento alle tipologie di dati, di interessati, di operazioni di trattamento eseguibili e di persone autorizzate al trattamento dei dati personali sotto l'autorita' diretta del titolare o del responsabile ai sensi dell'articolo 2-quaterdecies, anche in relazione all'aggiornamento e alla conservazione. I regolamenti, negli ambiti di cui al comma 1, sono adottati ai sensi dell'articolo 43 della legge 3 agosto 2007, n. 124, e, negli ambiti di cui al comma 2, sono adottati con decreto del Presidente del Consiglio dei ministri, ai sensi dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, su proposta dei Ministri competenti.
4. Con uno o piu' regolamenti adottati con decreto del Presidente della Repubblica su proposta del Ministro della difesa, sono disciplinate le misure attuative del presente decreto in materia di esercizio delle funzioni di difesa e sicurezza nazionale da parte delle Forze armate.».

Alla parte II, titolo VI, del decreto legislativo 30 giugno 2003, n. 196, l'articolo 96 e' sostituito dal seguente:
«Art. 96 (Trattamento di dati relativi a studenti). - 1. Al fine di agevolare l'orientamento, la formazione e l'inserimento professionale, anche all'estero, le istituzioni del sistema nazionale di istruzione, i centri di formazione professionale regionale, le scuole private non paritarie nonche' le istituzioni di alta formazione artistica e coreutica e le universita' statali o non statali legalmente riconosciute su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti formativi, intermedi e finali, degli studenti e altri dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento, pertinenti in relazione alle predette finalita' e indicati nelle informazioni rese agli interessati ai sensi dell'articolo 13 del Regolamento. I dati possono essere successivamente trattati esclusivamente per le predette finalita'.
2. Resta ferma la disposizione di cui all'articolo 2, comma 2, del decreto del Presidente della Repubblica 24 giugno 1998, n. 249, sulla tutela del diritto dello studente alla riservatezza. Restano altresi' ferme le vigenti disposizioni in materia di pubblicazione dell'esito degli esami mediante affissione nell'albo dell'istituto e di rilascio di diplomi e certificati.».

1. Alla parte II, titolo XII, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) la rubrica e' sostituita dalla seguente: «Giornalismo, liberta' di informazione e di espressione»;
b) all'articolo 136, comma 1:
1) all'alinea, dopo le parole «si applicano» sono inserite le seguenti: «, ai sensi dell'articolo 85 del Regolamento,»;
2) alla lettera c), la parola «temporaneo» e' soppressa, dopo la parola diffusione e' inserita la parola «anche» e le parole «nell'espressione artistica» sono sostituite dalle seguenti: «nell'espressione accademica, artistica e letteraria»;
c) l'articolo 137 e' sostituito dal seguente:
«Art. 137 (Disposizioni applicabili). - 1. Con riferimento a quanto previsto dall'articolo 136, possono essere trattati i dati di cui agli articoli 9 e 10 del Regolamento anche senza il consenso dell'interessato, purche' nel rispetto delle regole deontologiche di cui all'articolo 139.
2. Ai trattamenti indicati nell'articolo 136 non si applicano le disposizioni relative:
a) alle misure di garanzia di cui all'articolo 2-septies e ai provvedimenti generali di cui all'articolo 2-quinquiesdecies;
b) al trasferimento dei dati verso paesi terzi o organizzazioni internazionali, contenute nel Capo V del Regolamento.
3. In caso di diffusione o di comunicazione dei dati per le finalita' di cui all'articolo 136 restano fermi i limiti del diritto di cronaca a tutela dei diritti di cui all'articolo 1, paragrafo 2, del Regolamento e all'articolo 1 del presente codice e, in particolare, quello dell'essenzialita' dell'informazione riguardo a fatti di interesse pubblico. Possono essere trattati i dati personali relativi a circostanze o fatti resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico.»;
d) all'articolo 138, comma 1, le parole «dell'articolo 7, comma 2, lettera a)» sono sostituite dalle seguenti: «dell'articolo 15, paragrafo 1, lettera g), del Regolamento»;
e) la rubrica del Capo II e' sostituita dalla seguente: «Regole deontologiche relative ad attivita' giornalistiche e ad altre manifestazioni del pensiero»;
f) l'articolo 139 e' sostituito dal seguente:
«Art. 139 (Regole deontologiche relative ad attivita' giornalistiche). - 1. Il Garante promuove, ai sensi dell'articolo 2-quater, l'adozione da parte del Consiglio nazionale dell'ordine dei giornalisti di regole deontologiche relative al trattamento dei dati di cui all'articolo 136, che prevedono misure ed accorgimenti a garanzia degli interessati rapportate alla natura dei dati, in particolare per quanto riguarda quelli relativi alla salute e alla vita o all'orientamento sessuale. Le regole possono anche prevedere forme particolari per le informazioni di cui agli articoli 13 e 14 del Regolamento.
2. Le regole deontologiche o le modificazioni od integrazioni alle stesse che non sono adottate dal Consiglio entro sei mesi dalla proposta del Garante sono adottate in via sostitutiva dal Garante e sono efficaci sino a quando diviene efficace una diversa disciplina secondo la procedura di cooperazione.
3. Le regole deontologiche e le disposizioni di modificazione ed integrazione divengono efficaci quindici giorni dopo la loro pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'articolo 2-quater.
4. In caso di violazione delle prescrizioni contenute nelle regole deontologiche, il Garante puo' vietare il trattamento ai sensi dell'articolo 58 del Regolamento.
5. Il Garante, in cooperazione con il Consiglio nazionale dell'ordine dei giornalisti, prescrive eventuali misure e accorgimenti a garanzia degli interessati, che il Consiglio e' tenuto a recepire.

L'allegato A e' ridenominato: «Regole deontologiche».

L'articolo 10 del decreto legislativo 1° settembre 2011, n. 150, e' sostituito dal seguente:
«Art. 10 (Delle controversie in materia di applicazione delle disposizioni in materia di protezione dei dati personali). - 1. Le controversie previste dall'articolo 152 del decreto legislativo 30 giugno 2003, n. 196, sono regolate dal rito del lavoro, ove non diversamente disposto dal presente articolo.
2. Sono competenti, in via alternativa, il tribunale del luogo in cui il titolare del trattamento risiede o ha sede ovvero il tribunale del luogo di residenza dell'interessato.
3. Il ricorso avverso i provvedimenti del Garante per la protezione dei dati personali, ivi compresi quelli emessi a seguito di un reclamo dell'interessato, e' proposto, a pena di inammissibilita', entro trenta giorni dalla data di comunicazione del provvedimento ovvero entro sessanta giorni se il ricorrente risiede all'estero.
4. Decorso il termine previsto per la decisione del reclamo dall'articolo 143, comma 3, del decreto legislativo n. 196 del 2003, chi vi ha interesse puo', entro trenta giorni dalla scadenza del predetto termine, ricorrere al Tribunale competente ai sensi del presente articolo. La disposizione di cui al primo periodo si applica anche qualora sia scaduto il termine trimestrale di cui all'articolo 143, comma 3, del decreto legislativo n. 196 del 2003 senza che l'interessato sia stato informato dello stato del procedimento.
5. L'interessato puo' dare mandato a un ente del terzo settore soggetto alla disciplina del decreto legislativo 3 luglio 2017, n. 117, che sia attivo nel settore della tutela dei diritti e delle liberta' degli interessati con riguardo alla protezione dei dati personali, di esercitare per suo conto l'azione, ferme le disposizioni in materia di patrocinio previste dal codice di procedura civile.
6. Il giudice fissa l'udienza di comparizione delle parti con decreto con il quale assegna al ricorrente il termine perentorio entro cui notificarlo alle altre parti e al Garante. Tra il giorno della notificazione e l'udienza di comparizione intercorrono non meno di trenta giorni.
7. L'efficacia esecutiva del provvedimento impugnato puo' essere sospesa secondo quanto previsto dall'articolo 5.
8. Se alla prima udienza il ricorrente non compare senza addurre alcun legittimo impedimento, il giudice dispone la cancellazione della causa dal ruolo e dichiara l'estinzione del processo, ponendo a carico del ricorrente le spese di giudizio.
9. Nei casi in cui non sia parte in giudizio, il Garante puo' presentare osservazioni, da rendere per iscritto o in udienza, sulla controversia in corso con riferimento ai profili relativi alla protezione dei dati personali. Il giudice dispone che sia data comunicazione al Garante circa la pendenza della controversia, trasmettendo copia degli atti introduttivi, al fine di consentire l'eventuale presentazione delle osservazioni.
10. La sentenza che definisce il giudizio non e' appellabile e puo' prescrivere le misure necessarie anche in deroga al divieto di cui all'articolo 4 della legge 20 marzo 1865, n. 2248, allegato E), anche in relazione all'eventuale atto del soggetto pubblico titolare o responsabile dei dati, nonche' il risarcimento del danno.».

In deroga all'articolo 16 della legge 24 novembre 1981, n. 689, per i procedimenti sanzionatori riguardanti le violazioni di cui agli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e le violazioni delle misure di cui all'articolo 33 e 162, comma 2-bis, del medesimo Codice, che, alla data di applicazione del Regolamento, risultino non ancora definiti con l'adozione dell'ordinanza-ingiunzione, e' ammesso il pagamento in misura ridotta di un somma pari a due quinti del minimo edittale. Fatti salvi i restanti atti del procedimento eventualmente gia' adottati, il pagamento potra' essere effettuato entro novanta giorni dalla data di entrata in vigore del presente decreto.

Decorsi i termini previsti dal comma 1, l'atto con il quale sono stati notificati gli estremi della violazione o l'atto di contestazione immediata di cui all'articolo 14 della legge 24 novembre 1981, n. 689, assumono il valore dell'ordinanza-ingiunzione di cui all'articolo 18 della predetta legge, senza obbligo di ulteriore notificazione, sempre che il contravventore non produca memorie difensive ai sensi del comma 4.

Nei casi di cui al comma 2, il contravventore e' tenuto a corrispondere gli importi indicati negli atti di cui al primo periodo del predetto comma entro sessanta giorni dalla scadenza del termine previsto dal comma 1.

Entro il termine di cui al comma 3, il contravventore che non abbia provveduto al pagamento puo' produrre nuove memorie difensive.
Il Garante, esaminate tali memorie, dispone l'archiviazione degli atti comunicandola all'organo che ha redatto il rapporto o, in alternativa, adotta specifica ordinanza-ingiunzione con la quale determina la somma dovuta per la violazione e ne ingiunge il pagamento, insieme con le spese, all'autore della violazione ed alle persone che vi sono obbligate solidalmente.

L'entrata in vigore del presente decreto determina l'interruzione del termine di prescrizione del diritto a riscuotere le somme dovute a norma del presente articolo, di cui all'art. 28 della legge 24 novembre 1981, n. 689. ((5))

-----------------

AGGIORNAMENTO (5)

La Corte Costituzionale con sentenza 23 novembre - 28 dicembre 2021, n. 260 (in G.U. 1ª s.s. 29/12/2021, n. 52) ha dichiarato "l'illegittimita' costituzionale dell'art. 18, comma 5, del decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)»".

Entro il termine di sessanta giorni dalla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana dell'avviso di cui al comma 3, i soggetti che dichiarano il loro attuale interesse possono presentare al Garante per la protezione dei dati personali motivata richiesta di trattazione dei reclami, delle segnalazioni e delle richieste di verifica preliminare pervenuti entro la predetta data.

La richiesta di cui al comma 1 non riguarda i reclami e le segnalazioni di cui si e' gia' esaurito l'esame o di cui il Garante per la protezione dei dati personali ha gia' esaminato nel corso del 2018 un motivato sollecito o una richiesta di trattazione, o per i quali il Garante medesimo e' a conoscenza, anche a seguito di propria denuncia, che sui fatti oggetto di istanza e' in corso un procedimento penale.

Entro quindici giorni dalla data di entrata in vigore del presente decreto il Garante per la protezione dei dati personali provvede a dare notizia di quanto previsto dai commi 1 e 2 mediante avviso pubblicato nel proprio sito istituzionale e trasmesso, altresi', all'Ufficio pubblicazioni leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

In caso di mancata presentazione di una richiesta di trattazione ai sensi del comma 1, e salvo quanto previsto dal comma 2, i relativi procedimenti di cui al comma 1 sono improcedibili.

I ricorsi pervenuti al Garante per la protezione dei dati personali e non definiti, neppure nelle forme del rigetto tacito, alla data di applicazione del Regolamento (UE) 2016/679 sono trattati come reclami ai sensi dell'articolo 77 del medesimo Regolamento.

Il mancato rispetto di uno dei termini di cui al comma 1, lettere a) e b) comporta la cessazione di efficacia delle disposizioni del codice di deontologia di cui al primo periodo a decorrere dalla scadenza del termine violato.

Le disposizioni contenute nei codici riportati negli allegati A.1, A.2, A.3, A.4 e A.6 del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, continuano a produrre effetti fino alla pubblicazione delle disposizioni ai sensi del comma 4.

Entro novanta giorni dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali verifica la conformita' al Regolamento (UE) 2016/679 delle disposizioni di cui al comma 3. Le disposizioni ritenute compatibili, ridenominate regole deontologiche, sono pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministro della giustizia, sono successivamente riportate nell'allegato A del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003.

Il Garante per la protezione dei dati personali promuove la revisione delle disposizioni dei codici di cui al comma 3 con le modalita' di cui all'articolo 2-quater del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003.

Il Garante per la protezione dei dati personali, con provvedimento di carattere generale da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del presente decreto, individua le prescrizioni contenute nelle autorizzazioni generali gia' adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonche' al Capo IX del regolamento (UE) 2016/679, che risultano compatibili con le disposizioni del medesimo regolamento e del presente decreto e, ove occorra, provvede al loro aggiornamento. Il provvedimento di cui al presente comma e' adottato entro sessanta giorni dall'esito del procedimento di consultazione pubblica.

Le autorizzazioni generali sottoposte a verifica a norma del comma 1 che sono state ritenute incompatibili con le disposizioni del Regolamento (UE) 2016/679 cessano di produrre effetti dal momento della pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del provvedimento di cui al comma 1.

Le autorizzazioni generali del Garante per la protezione dei dati personali adottate prima della data di entrata in vigore del presente decreto e relative a trattamenti diversi da quelli indicati al comma 1 cessano di produrre effetti alla predetta data.

Sino all'adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 2-quater e 2-septies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 producono effetti, per la corrispondente categoria di dati e di trattamenti, le autorizzazioni generali di cui al comma 2 e le pertinenti prescrizioni individuate con il provvedimento di cui al comma 1.

Salvo che il fatto costituisca reato, le violazioni delle prescrizioni contenute nelle autorizzazioni generali di cui al presente articolo e nel provvedimento generale di cui al comma 1 sono soggette alla sanzione amministrativa di cui all'articolo 83, paragrafo 5, del Regolamento (UE) 2016/679.

Il presente decreto e le disposizioni dell'ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell'Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra Stati membri ai sensi dell'articolo 1, paragrafo 3, del Regolamento (UE) 2016/679.

A decorrere dal 25 maggio 2018 le espressioni «dati sensibili» e «dati giudiziari» utilizzate ai sensi dell'articolo 4, comma 1, lettere d) ed e), del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, ovunque ricorrano, si intendono riferite, rispettivamente, alle categorie particolari di dati di cui all'articolo 9 del Regolamento (UE) 2016/679 e ai dati di cui all'articolo 10 del medesimo regolamento.

((COMMA ABROGATO DAL D.L. 8 OTTOBRE 2021, N. 139, CONVERTITO CON MODIFICAZIONI DALLA L. 3 DICEMBRE 2021, N. 205)).

A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto.

A decorrere dal 25 maggio 2018, le disposizioni di cui ai commi 1022 e 1023 dell'articolo 1 della legge 27 dicembre 2017, n. 205 si applicano esclusivamente ai trattamenti dei dati personali funzionali all'autorizzazione del cambiamento del nome o del cognome dei minorenni. Con riferimento a tali trattamenti, il Garante per la protezione dei dati personali puo', nei limiti e con le modalita' di cui all'articolo 36 del Regolamento (UE) 2016/679, adottare provvedimenti di carattere generale ai sensi dell'articolo 2-quinquiesdecies. Al fine di semplificare gli oneri amministrativi, i soggetti che rispettano le misure di sicurezza e gli accorgimenti prescritti con i provvedimenti di cui al secondo periodo sono esonerati dall'invio al Garante dell'informativa di cui al citato comma 1022. In sede di prima applicazione, le suddette informative, se dovute a norma del terzo periodo, sono inviate entro sessanta giorni dalla pubblicazione del provvedimento del Garante nella Gazzetta Ufficiale della Repubblica italiana.

Dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal presente decreto, in quanto compatibili.

All'articolo 1, comma 233, della legge 27 dicembre 2017, n. 205, dopo le parole «le modalita' di restituzione» sono inserite le seguenti: «in forma aggregata».

Il registro dei trattamenti di cui all'articolo 37, comma 4, del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, cessa di essere alimentato a far data dal 25 maggio 2018. Da tale data e fino al 31 dicembre 2019, il registro resta accessibile a chiunque secondo le modalita' stabilite nel suddetto articolo 37, comma 4, del decreto legislativo n. 196 del 2003.

Le disposizioni di legge o di regolamento che individuano il tipo di dati trattabili e le operazioni eseguibili al fine di autorizzare i trattamenti delle pubbliche amministrazioni per motivi di interesse pubblico rilevante trovano applicazione anche per i soggetti privati che trattano i dati per i medesimi motivi.

La disposizione di cui all'articolo 160, comma 4, del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, nella parte in cui ha riguardo ai dati coperti da segreto di Stato, si applica fino alla data di entrata in vigore della disciplina relativa alle modalita' di opposizione al Garante per la protezione dei dati personali del segreto di Stato.

Le disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, relative al trattamento di dati genetici, biometrici o relativi alla salute continuano a trovare applicazione, in quanto compatibili con il Regolamento (UE) 2016/679, sino all'adozione delle corrispondenti misure di garanzia di cui all'articolo 2-septies del citato codice, introdotto dall'articolo 2, comma 1, lett. e) del presente decreto.

Sino alla data di entrata in vigore del decreto del Ministro della giustizia di cui all'articolo 2-octies, commi 2 e 6, del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, da adottarsi entro diciotto mesi dalla data di entrata in vigore del presente decreto, il trattamento dei dati di cui all'articolo 10 del Regolamento (UE) 2016/679 e' consentito quando e' effettuato in attuazione di protocolli di intesa per la prevenzione e il contrasto dei fenomeni di criminalita' organizzata stipulati con il Ministero dell'interno o con le Prefetture - UTG, previo parere del Garante per la protezione dei dati personali, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.

Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.

All'articolo 5-ter, comma 1, lettera c), del decreto legislativo 14 marzo 2013, n. 33 le parole «di cui all'articolo 162, comma 2-bis» sono sostituite dalle seguenti: «di cui all'articolo 166, comma 2».

Applicabilita' delle sanzioni amministrative
alle violazioni anteriormente commesse

Le disposizioni del presente decreto che, mediante abrogazione, sostituiscono sanzioni penali con le sanzioni amministrative previste dal Regolamento (UE) 2016/679 si applicano anche alle violazioni commesse anteriormente alla data di entrata in vigore del decreto stesso, sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.

Se i procedimenti penali per i reati depenalizzati dal presente decreto sono stati definiti, prima della sua entrata in vigore, con sentenza di condanna o decreto irrevocabili, il giudice dell'esecuzione revoca la sentenza o il decreto, dichiarando che il fatto non e' previsto dalla legge come reato e adotta i provvedimenti conseguenti. Il giudice dell'esecuzione provvede con l'osservanza delle disposizioni dell'articolo 667, comma 4, del codice di procedura penale.

Ai fatti commessi prima della data di entrata in vigore del presente decreto non puo' essere applicata una sanzione amministrativa pecuniaria per un importo superiore al massimo della pena originariamente prevista o inflitta per il reato, tenuto conto del criterio di ragguaglio di cui all'articolo 135 del codice penale.
A tali fatti non si applicano le sanzioni amministrative accessorie introdotte dal presente decreto, salvo che le stesse sostituiscano corrispondenti pene accessorie.

Trasmissione degli atti all'autorita' amministrativa

Nei casi previsti dall'articolo 24, comma 1, l'autorita' giudiziaria, entro novanta giorni dalla data di entrata in vigore del presente decreto, dispone la trasmissione all'autorita' amministrativa competente degli atti dei procedimenti penali relativi ai reati trasformati in illeciti amministrativi, salvo che il reato risulti prescritto o estinto per altra causa alla medesima data.

Se l'azione penale non e' stata ancora esercitata, la trasmissione degli atti e' disposta direttamente dal pubblico ministero che, in caso di procedimento gia' iscritto, annota la trasmissione nel registro delle notizie di reato. Se il reato risulta estinto per qualsiasi causa, il pubblico ministero richiede l'archiviazione a norma del codice di procedura penale; la richiesta ed il decreto del giudice che la accoglie possono avere ad oggetto anche elenchi cumulativi di procedimenti.

Se l'azione penale e' stata esercitata, il giudice pronuncia, ai sensi dell'articolo 129 del codice di procedura penale, sentenza inappellabile perche' il fatto non e' previsto dalla legge come reato, disponendo la trasmissione degli atti a norma del comma 1.
Quando e' stata pronunciata sentenza di condanna, il giudice dell'impugnazione, nel dichiarare che il fatto non e' previsto dalla legge come reato, decide sull'impugnazione ai soli effetti delle disposizioni e dei capi della sentenza che concernono gli interessi civili.

L'autorita' amministrativa notifica gli estremi della violazione agli interessati residenti nel territorio della Repubblica entro il termine di novanta giorni e a quelli residenti all'estero entro il termine di trecentosettanta giorni dalla ricezione degli atti.

Entro sessanta giorni dalla notificazione degli estremi della violazione l'interessato e' ammesso al pagamento in misura ridotta, pari alla meta' della sanzione irrogata, oltre alle spese del procedimento. Si applicano, in quanto compatibili, le disposizioni di cui all'articolo 16 della legge 24 novembre 1981, n. 689.

Il pagamento determina l'estinzione del procedimento.

Agli oneri derivanti dall'articolo 18 del presente decreto, pari ad € 600.000 per ciascuno degli anni dal 2019 al 2021, si provvede mediante corrispondente riduzione dell'autorizzazione di spesa di cui all'articolo 1, comma 1025, della legge 27 dicembre 2017, n. 205.

Dall'attuazione del presente decreto, ad esclusione dell'articolo 18, non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate provvedono agli adempimenti previsti con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Il Ministro dell'economia e delle finanze e' autorizzato ad apportare le occorrenti variazioni di bilancio.