(disposizioni in materia di protezione dei dati personali)

Art. 9.(Disposizioni in materia di protezione dei dati personali)1.Al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a)all'articolo 2-ter:
1) al comma 1, le parole: "esclusivamente" e: ", nei casi previsti dalla legge," sono soppresse e dopo le parole: "di regolamento" sono aggiunte le seguenti: "o da atti amministrativi generali";
2) dopo il comma 1 e' inserito il seguente:
"1-bis. Fermo restando ogni altro obbligo previsto dal Regolamento e dal presente codice, il trattamento dei dati personali da parte di un'amministrazione pubblica di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ivi comprese le autorita' indipendenti e le amministrazioni inserite nell'elenco di cui all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonche' da parte di una societa' a controllo pubblico statale o, limitatamente ai gestori di servizi pubblici, locale, di cui all'articolo 16 del testo unico in materia di societa' a partecipazione pubblica, di cui al decreto legislativo 19 agosto 2016, n. 175, con esclusione, per le societa' a controllo pubblico, dei trattamenti correlati ad attivita' svolte in regime di libero mercato, e' anche consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri ad esse attribuiti. In modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle liberta' degli interessati, le disposizioni di cui al presente comma sono esercitate nel rispetto dell'articolo 6 del Regolamento";
3) al comma 2, al primo periodo, dopo le parole: "ai sensi del comma 1" sono aggiunte le seguenti: "o se necessaria ai sensi del comma 1-bis" e il secondo periodo e' soppresso;
4) al comma 3, dopo le parole: "ai sensi del comma 1" sono aggiunte le seguenti: "o se necessarie ai sensi del comma 1-bis. In tale ultimo caso, ne viene data notizia al Garante almeno dieci giorni prima dell'inizio della comunicazione o diffusione";
b)all'articolo 2-sexies:
1) al comma 1, le parole: ", nei casi previsti dalla legge," sono soppresse e dopo le parole: "di regolamento" sono inserite le seguenti: "o da atti amministrativi generali";
2) dopo il comma 1 e' inserito il seguente:
"1-bis. I dati personali relativi alla salute, privi di elementi identificativi diretti, sono trattati, nel rispetto delle finalita' istituzionali di ciascuno, dal Ministero della salute, dall'Istituto superiore di sanita', dall'Agenzia nazionale per i servizi sanitari regionali, dall'Agenzia italiana del farmaco, dall'Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della poverta' e, relativamente ai propri assistiti, dalle regioni anche mediante l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico (FSE), aventi finalita' compatibili con quelle sottese al trattamento, con le modalita' e per le finalita' fissate con decreto del Ministro della salute, ai sensi del comma 1, previo parere del Garante, nel rispetto di quanto previsto dal Regolamento, dal presente codice, dal codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e dalle linee guida dell'Agenzia per l'Italia digitale in materia di interoperabilita'";
c)l'articolo 2-quinquiesdecies e' abrogato;
d)all'articolo 58:
1) al comma 1, dopo le parole: "o regolamento" sono inserite le seguenti: "o previste da atti amministrativi generali";
2) al comma 2, le parole: "ad espresse" sono sostituite dalla seguente: "a" e dopo le parole: "di legge" sono inserite le seguenti: "o di regolamento o previste da atti amministrativi generali,";
e)all'articolo 132, comma 5, le parole: "secondo le modalita' di cui all'articolo 2-quinquiesdecies" sono sostituite dalle seguenti: "con provvedimento di carattere generale";
f)all'articolo 137, comma 2, lettera a), le parole: "e ai provvedimenti generali di cui all'articolo 2-quinquiesdecies" sono soppresse;
g)dopo l'articolo 144 e' inserito il seguente:
"Art. 144-bis (Revenge porn). - 1. Chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che registrazioni audio, immagini o video o altri documenti informatici a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione attraverso piattaforme digitali senza il suo consenso ha facolta' di segnalare il pericolo al Garante, il quale, nelle quarantotto ore dal ricevimento della segnalazione, decide ai sensi degli articoli 143 e 144 del presente codice.
2. Quando le registrazioni audio, le immagini o i video o gli altri documenti informatici riguardano minori, la segnalazione al Garante puo' essere effettuata anche dai genitori o dagli esercenti la responsabilita' genitoriale o la tutela.
3. Per le finalita' di cui al comma 1, l'invio al Garante di registrazioni audio, immagini o video o altri documenti informatici a contenuto sessualmente esplicito riguardanti soggetti terzi, effettuato dall'interessato, non integra il reato di cui all'articolo 612-ter del codice penale.
4. I gestori delle piattaforme digitali destinatari dei provvedimenti di cui al comma 1 conservano il materiale oggetto della segnalazione, a soli fini probatori e con misure indicate dal Garante, anche nell'ambito dei medesimi provvedimenti, idonee a impedire la diretta identificabilita' degli interessati, per dodici mesi a decorrere dal ricevimento del provvedimento stesso.
5. Il Garante, con proprio provvedimento, puo' disciplinare specifiche modalita' di svolgimento dei procedimenti di cui al comma 1 e le misure per impedire la diretta identificabilita' degli interessati di cui al medesimo comma.
6. I fornitori di servizi di condivisione di contenuti audiovisivi, ovunque stabiliti, che erogano servizi accessibili in Italia, indicano senza ritardo al Garante o pubblicano nel proprio sito internet un recapito al quale possono essere comunicati i provvedimenti adottati ai sensi del comma 1. In caso di inadempimento dell'obbligo di cui al periodo precedente, il Garante diffida il fornitore del servizio ad adempiere entro trenta giorni. In caso di inottemperanza alla diffida si applica la sanzione amministrativa pecuniaria di cui all'articolo 83, paragrafo 4, del Regolamento.
7. Quando il Garante, a seguito della segnalazione di cui al comma 1, acquisisce notizia della consumazione del reato di cui all'articolo 612-ter del codice penale, anche in forma tentata, nel caso di procedibilita' d'ufficio trasmette al pubblico ministero la segnalazione ricevuta e la documentazione acquisita";
h)all'articolo 153, comma 6, al primo periodo, dopo le parole: "Al presidente" sono inserite le seguenti: "e ai componenti" e il secondo periodo e' sostituito dal seguente: "L'indennita' di funzione di cui al primo periodo e' da ritenere onnicomprensiva ad esclusione del rimborso delle spese effettivamente sostenute e documentate in occasione di attivita' istituzionali";
i)all'articolo 154, dopo il comma 5 sono inseriti i seguenti:
"5-bis. Il parere di cui all'articolo 36, paragrafo 4, del Regolamento e' reso dal Garante nei soli casi in cui la legge o il regolamento in corso di adozione disciplina espressamente le modalita' del trattamento descrivendo una o piu' operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione, nonche' nei casi in cui la norma di legge o di regolamento autorizza espressamente un trattamento di dati personali da parte di soggetti privati senza rinviare la disciplina delle modalita' del trattamento a fonti sottoordinate.
5-ter. Quando il Presidente del Consiglio dei ministri dichiara che ragioni di urgenza non consentono la consultazione preventiva e comunque nei casi di adozione di decreti-legge, il Garante esprime il parere di cui al comma 5-bis:
a) in sede di esame parlamentare dei disegni di legge o dei disegni di legge di conversione dei decreti-legge;
b) in sede di esame definitivo degli schemi di decreto legislativo sottoposti al parere delle Commissioni parlamentari";
l)all'articolo 156:
1) al comma 2, il primo periodo e' sostituito dal seguente: "A decorrere dal 1° gennaio 2022, il ruolo organico del personale dipendente e' stabilito nel limite di duecento unita'";
2) al comma 3, lettera d), le parole: "l'80 per cento del trattamento" sono sostituite dalle seguenti: "il trattamento";
3) al comma 4, le parole: "venti unita'" sono sostituite dalle seguenti: "trenta unita'";
4) al comma 5, le parole: "venti unita'" sono sostituite dalle seguenti: "trenta unita'";
m)all'articolo 166:
1) al comma 1, primo periodo, la parola: "2-quinquiesdecies" e' soppressa;
2) al comma 5 sono aggiunti, in fine, i seguenti periodi: "Nei confronti dei titolari del trattamento di cui agli articoli 2-ter, comma 1-bis, e 58 del presente codice e all'articolo 1, comma 1, del decreto legislativo 18 maggio 2018, n. 51, la predetta notifica puo' essere omessa esclusivamente nel caso in cui il Garante abbia accertato che le presunte violazioni hanno gia' arrecato e continuano ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati al trattamento, che il Garante ha l'obbligo di individuare e indicare nel provvedimento, motivando puntualmente le ragioni dell'omessa notifica. In assenza di tali presupposti, il giudice competente accerta l'inefficacia del provvedimento";
3) al comma 7, primo periodo, sono aggiunte, in fine, le seguenti parole: "o dell'ingiunzione a realizzare campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravita' della violazione. Nella determinazione della sanzione ai sensi dell'articolo 83, paragrafo 2, del Regolamento, il Garante tiene conto anche di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione";
n)all'articolo 167, comma 2, le parole: "ovvero operando in violazione delle misure adottate ai sensi dell'articolo 2-quinquiesdecies" sono soppresse;
o)all'articolo 170, comma 1, le parole: "essendovi tenuto, non osserva" sono sostituite dalle seguenti: "non osservando", dopo le parole: "legge 25 ottobre 2017, n. 163" sono inserite le seguenti: ", arreca un concreto nocumento a uno o piu' soggetti interessati al trattamento" e dopo le parole: "e' punito" sono inserite le seguenti: ", a querela della persona offesa,".
2.All'articolo 22 del decreto legislativo 10 agosto 2018, n. 101, il comma 3 e' abrogato.
3.Al decreto legislativo 18 maggio 2018, n. 51, sono apportate le seguenti modificazioni:
a)all'articolo 5:
1) al comma 1, le parole: ", nei casi previsti dalla legge," sono soppresse e dopo le parole: "di regolamento" sono inserite le seguenti: "o su atti amministrativi generali";
2) al comma 2, le parole: "del Presidente della Repubblica, adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400" sono sostituite dalle seguenti: ", rispettivamente, del Ministro della giustizia e del Ministro dell'interno";
b)all'articolo 45, comma 1, le parole: "essendovi tenuto, non osserva" sono sostituite dalle seguenti: "non osservando", dopo le parole: "articolo 1, comma 2," sono inserite le seguenti: "arreca un concreto nocumento a uno o piu' interessati" e dopo le parole: "e' punito" sono inserite le seguenti: ", a querela della persona offesa,".
4.All'articolo 7 del decreto-legge 19 maggio 2020, n. 34, convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77, sono apportate le seguenti modificazioni:
a)dopo il comma 1 e' inserito il seguente:
"1-bis. Con le modalita' e nei limiti stabiliti dal decreto di cui al comma 2 e fatto salvo quanto previsto dall'articolo 105 del codice di cui al decreto legislativo n. 196 del 2003, il Ministero della salute e' autorizzato a trattare anche i dati personali non relativi alla salute necessari a garantire l'effettivo perseguimento delle finalita' di cui al comma 1 e l'attuazione del corrispondente intervento di cui alla missione M6 del Piano nazionale di ripresa e resilienza approvato con la decisione di esecuzione del Consiglio dell'Unione europea del 13 luglio 2021. Ai fini di cui al primo periodo, e' autorizzata l'interconnessione dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico (FSE), con i sistemi informativi gestiti da altre amministrazioni pubbliche che raccolgono i dati non relativi alla salute specificamente individuati dal decreto di cui al comma 2, con modalita' tali da garantire che l'interessato non sia direttamente identificabile";
b)al comma 2, le parole: "Con regolamento adottato con decreto del Ministro della salute" sono sostituite dalle seguenti: "Con decreto del Ministro della salute, di natura non regolamentare,";
c)dopo il comma 2 e' aggiunto il seguente:
"2-bis. Nelle more dell'adozione del decreto di cui al comma 2, il Ministero della salute avvia le attivita' relative alla classificazione delle patologie croniche presenti nella popolazione italiana, limitatamente alla costruzione di modelli analitici prodromici alla realizzazione del modello predittivo del fabbisogno di salute della popolazione, garantendo che gli interessati non siano direttamente identificabili".
5.Gli articoli 2-ter, comma 1, 2-sexies, comma 1, e 58, commi 1 e 2, del codice di cui al decreto legislativo n. 196 del 2003 e l'articolo 5 del decreto legislativo n. 51 del 2018, come modificati dal presente articolo, si applicano anche ai casi in cui disposizioni di legge gia' in vigore stabiliscono che i tipi di dati che possono essere trattati, le operazioni eseguibili, il motivo di interesse pubblico rilevante, la finalita' del trattamento nonche' le misure appropriate e specifiche per tutelare i diritti fondamentali dell'interessato e i suoi interessi sono previsti da uno o piu' regolamenti.
6.In fase di prima attuazione, l'obbligo di indicazione o di pubblicazione del recapito previsto dall'articolo 144-bis, comma 6, del codice di cui al decreto legislativo n. 196 del 2003, introdotto dalla lettera g) del comma 1 del presente articolo, e' adempiuto nel termine di sei mesi dalla data di entrata in vigore della legge di conversione del presente decreto.
7.I pareri del Garante per la protezione dei dati personali richiesti con riguardo a riforme, misure e progetti del Piano nazionale di ripresa e resilienza di cui al regolamento (UE) 2021/241 del Parlamento europeo e del Consiglio, del 12 febbraio 2021, del Piano nazionale per gli investimenti complementari di cui al decreto-legge 6 maggio 2021, n. 59, convertito, con modificazioni, dalla legge 1° luglio 2021, n. 101, nonche' del Piano nazionale integrato per l'energia e il clima 2030 di cui al regolamento (UE) 2018/1999 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018, sono resi nel termine non prorogabile di trenta giorni dalla richiesta, decorso il quale si puo' procedere indipendentemente dall'acquisizione del parere.
8.Alla legge 11 gennaio 2018, n. 5, sono apportate le seguenti modificazioni:
a)all'articolo 1, comma 2, dopo le parole: "mediante operatore con l'impiego del telefono" sono inserite le seguenti: "nonche', ai fini della revoca di cui al comma 5, anche mediante sistemi automatizzati di chiamata o chiamate senza l'intervento di un operatore,";
b)all'articolo 1, comma 5, le parole: "mediante operatore con l'impiego del telefono" sono soppresse;
c)all'articolo 1, comma 12, dopo le parole: "o che compiono ricerche di mercato o comunicazioni commerciali telefoniche" sono inserite le seguenti: "con o senza l'intervento di un operatore umano";
d)all'articolo 2, comma 1, primo periodo, dopo le parole: "attivita' di call center" sono inserite le seguenti: ", per chiamate con o senza operatore,".
9.In considerazione di quanto disposto dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, nonche' dalla direttiva(UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e dell'esigenza di disciplinare conformemente i requisiti di ammissibilita', le condizioni e le garanzie relativi all'impiego di sistemi di riconoscimento facciale, nel rispetto del principio di proporzionalita' previsto dall'articolo 52 della Carta dei diritti fondamentali dell'Unione europea, l'installazione e l'utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l'uso dei dati biometrici di cui all'articolo 4, numero 14), del citato regolamento (UE) 2016/679 in luoghi pubblici o aperti al pubblico, da parte delle autorita' pubbliche o di soggetti privati, sono sospese fino all'entrata in vigore di una disciplina legislativa della materia e comunque non oltre il ((31 dicembre 2025)).
10.La sospensione di cui al comma 9 non si applica agli impianti di videosorveglianza che non usano i sistemi di riconoscimento facciale di cui al medesimo comma 9 e che sono conformi alla normativa vigente.
11.In caso di installazione o di utilizzazione dei sistemi di cui al comma 9, dalla data di entrata in vigore della legge di conversione del presente decreto e fino al 31 dicembre 2023, salvo che il fatto costituisca reato, si applicano le sanzioni amministrative pecuniarie stabilite dall'articolo 166, comma 1, del codice di cui al decreto legislativo 30 giugno 2003, n. 196, e dall'articolo 42, comma 1, del decreto legislativo 18 maggio 2018, n. 51, in base al rispettivo ambito di applicazione.
12.I commi 9, 10 e 11 non si applicano ai trattamenti effettuati dalle autorita' competenti a fini di prevenzione e repressione dei reati o di esecuzione di sanzioni penali di cui al decreto legislativo 18 maggio 2018, n. 51, in presenza, salvo che si tratti di trattamenti effettuati dall'autorita' giudiziaria nell'esercizio delle funzioni giurisdizionali nonche' di quelle giudiziarie del pubblico ministero, di parere favorevole del Garante reso ai sensi dell'articolo 24, comma 1, lettera b), del medesimo decreto legislativo n. 51 del 2018.
13.Per l'attuazione delle disposizioni di cui al comma 1, lettere h) e l), e' autorizzata la spesa di euro 8.357.714 per l'anno 2022, euro 11.140.661 per l'anno 2023, euro 11.458.255 per l'anno 2024, euro 11.785.121 per l'anno 2025, euro 12.121.527 per l'anno 2026, euro 12.467.754 per l'anno 2027, euro 12.824.086 per l'anno 2028, euro 13.190.820 per l'anno 2029, euro 13.568.259 per l'anno 2030 ed euro 13.956.716 a decorrere dall'anno 2031, cui si provvede mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190.
14.Con decreto del Presidente del Consiglio dei ministri, da adottare entro centottanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono definiti meccanismi regolatori di armonizzazione della disciplina del trattamento economico nell'ambito delle autorita' amministrative indipendenti incluse nell'elenco delle amministrazioni pubbliche inserite nel conto economico consolidato della pubblica amministrazione, individuate annualmente dall'ISTAT ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196.
Entrata in vigore il 5 luglio 2023
Iscriviti per avere accesso a tutti i nostri contenuti, è gratuito!
Iscriviti gratuitamente
Hai già un account ? Accedi