Nota sulla legge "Tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali"

a cura del Prof. Vincenzo Ambriola
Università di Pisa
Dipartimento di Informatica

La Legge 31 dicembre 1996 n. 675, pubblicata l’8 gennaio 1997, è stata modificata dal Decreto Legislativo 9 maggio 1997 n.123 e dal Decreto Legislativo 28 luglio 1997 n. 255.

La legge è strutturata in 10 capi e 45 articoli.

Capo I: Principi Generali

Articolo 1: Finalità e definizioni

1. Il trattamento dei dati personali si deve svolgere nel rispetto dei diritti, delle libertà fondamentali, della dignità delle persone (fisiche) con particolare riferimento alla riservatezza e all’identità personale. Sono garantiti anche i diritti delle persone giuridiche, degli enti e delle associazioni.
2. La legge definisce i seguenti termini:

• banca di dati: complesso di dati
• trattamento: complesso di operazioni
• dato personale: informazione relativa a persona
• titolare: colui a cui competono decisioni su finalità e modalità di trattamento
• responsabile: colui che svolge il trattamento su indicazione del titolare
• interessato: persona a cui si riferiscono i dati personali
• comunicazione: dare conoscenza dei dati personali a persone specifiche
• diffusione: dare conoscenza dei dati personali a persone indeterminate
• dato anonimo: dato non più riconducibile alla persona
• blocco: conservazione con esclusione di trattamento
• Garante: autorità.

Articolo 2: Ambito di applicazione

1. La legge si applica al trattamento dei dati personali effettuato in Italia.

Articolo 3: Trattamento dei dati per fini esclusivamente personali

1. Il trattamento dei dati personali per fini esclusivamente personali non è soggetto alla legge.
2. Tuttavia, anche in questi casi si devono rispettare le norme di sicurezza previste dalla legge.

Articolo 4: Particolari trattamenti in ambito pubblico

1. In alcuni casi la legge non si applica (sicurezza dello stato, prevenzione dei reati, casellario giudiziario).
2. Ciononostante, anche in questi casi la legge pone dei vincoli molto precisi.

Articolo 5: Trattamento di dati svolto senza l’ausilio di mezzi elettronici

1. Il trattamento dei dati svolto senza l’ausilio di strumenti elettronici o automatizzati è ugualmente soggetto alla legge.

Capo II: Obblighi per il titolare del trattamento

Articolo 7: Notificazione

1. Prima di procedere a un trattamento il titolare deve darne notificazione al Garante.
2. Modalità della notificazione.
3. Altre modalità della notificazione.
4. Contenuto della notificazione, tra cui: finalità e modalità, misure tecniche e organizzative per la sicurezza dei dati.
5. Soggetti particolari.

5. Bis. Casi particolari: soggetti pubblici; giornalisti; trattamenti temporanei.

5. Ter. Esoneri: assolvimenti previsti da leggi, regolamenti, normative comunitarie; pubblici registri, elenchi, atti o documenti conoscibili da tutti; gestione del protocollo; rubriche telefoniche; obblighi contabili, retributivi, previdenziali, assistenziali, fiscali; liberi professionisti per specifiche prestazioni coperte da segreto professionale; piccoli imprenditori; albi o elenchi conformi a leggi o regolamenti; biblioteche, fondazioni, comitati politici, filosofici, religiosi o sindacali; volontariato; periodici o pubblicazioni di informazione giuridica; referendum, petizioni o appelli; condomini.

5. Quater. Altri casi particolari.

Articolo 8: Responsabile

1. Il responsabile esegue le istruzioni impartite dal titolare.
2. Ci possono essere più responsabili.
3. Le istruzioni devono essere espresse per iscritto.
4. Gli incaricati del trattamento seguono le istruzioni del titolare o del responsabile.

Capo III: Trattamento dei dati personali

Sezione I: Raccolta e requisiti dei dati

Articolo 9: Modalità di raccolta e requisiti dei dati personali

1. I dati oggetto di trattamento devono essere: trattati in modo lecito e corretto, per scopi espliciti e legittimi, esatti, aggiornati, pertinenti, completi, non eccedenti lo scopo della raccolta, ben conservati.

Articolo 10: Informazioni rese al momento della raccolta

1. L’informazione alla persona presso la quale si raccolgono i dati (detta informativa) deve essere data oralmente o per iscritto e deve specificare finalità, modalità, natura, conseguenze del rifiuto, ambito di comunicazione e diffusione, dati del titolare o del responsabile.
2. Dettagli sull’informativa.
3. Altri dettagli sull’informativa.
4. Esenzione dell’obbligo di informativa nei casi di eccessivo dispendio di risorse, impossibilità, obbligo superiore, investigazioni.

Sezione II: Diritti dell’interessato nel trattamento dei dati

Articolo 11: Consenso

1. Il consenso deve essere espresso dall’interessato.
2. Dettagli.
3. Forma del consenso.

Articolo 12: Casi di esclusione del consenso

1. Esclusione del consenso: obblighi della legge, dei regolamenti, della normativa comunitaria; obblighi contrattuali; dati pubblici conoscibili da tutti; ricerca scientifica e statistica, forma anonima; professione di giornalista; attività economiche; salvaguardia della vita o dell’incolumità dell’interessato o di un terzo; investigazioni.

Articolo 13: Diritti dell’interessato

1. I diritti dell’interessato sono: conoscere, gratuitamente, l’esistenza di dati che lo riguardano; essere informato sulla notificazione; ottenere la conferma dell’esistenza, cancellazione, aggiornamento, attestazione; opposizione al trattamento; opposizione di ricevere materiale pubblicitario.
2. Possibilità di richiedere un rimborso delle spese sostenute per rispondere alle richieste dell’interessato.
3. Diritti delle persone decedute.
4. Diritto a delegare.
5. I giornalisti possono invocare il segreto professionale sulle fonti delle notizie.

Articolo 14: Limiti all’esercizio dei diritti

1. In alcuni casi i diritti delle persone nei confronti del trattamento dei dati personali non possono essere esercitati.
2. Dettagli tecnici.

Sezione III: Sicurezza nel trattamento dei dati, limiti alla utilizzabilità dei dati e risarcimento del danno

Articolo 15: Sicurezza dei dati

1. I dati personali devono essere custoditi con l’adozione di idonee e preventive misure di sicurezza.
2. Le misure di sicurezza devono essere individuate in un regolamento, proposto dal Ministero di grazia e giustizia, sentiti l’AIPA e il Garante.
3. Adeguamento periodico delle misure di sicurezza.
4. Emanazione del regolamento.

Articolo 16: Cessazione del trattamento dei dati

1. La cessazione del trattamento dei dati richiede la notificazione preventiva al Garante della loro destinazione.
2. Alla cessazione del trattamento i dati possono essere distrutti, ceduti o conservati.
3. Dettagli tecnici.

Articolo 17: Limiti all’utilizzabilità di dati personali

1. In un atto o procedimento amministrativo o giudiziario la valutazione del comportamento umano non può fondarsi unicamente su un trattamento di dati personali volto a definire il profilo o la personalità dell’interessato.
2. L’interessato può opporsi a tale trattamento.

Articolo 18: Danni cagionati per effetto del trattamento dei dati personali

1. Chi cagiona un danno è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.

Sezione IV: Comunicazione e diffusione dei dati

Articolo 19: Incaricati del trattamento

1. La conoscenza dei dati personali da parte di chi è incaricato a svolgere il trattamento non è considerata comunicazione.

Articolo 20: Requisiti per la comunicazione e la diffusione dei dati

1. La comunicazione e la diffusione da parte di privati o enti pubblici economici sono ammesse con alcune limitazioni: consenso, pubblica conoscenza, adempimento di obblighi di legge, professione di giornalista, svolgimento di attività economiche, salvaguardia della vita e dell’incolumità fisica, investigazioni, comunicazione in ambito bancario.
2. Gli enti pubblici seguono il disposto dell’articolo 27.

Articolo 21: Divieto di comunicazione e diffusione

1. Divieto di comunicazione, di cui all’articolo 7.
2. Divieto in caso di ordine di cancellazione.
3. Divieto in caso di contrasto con rilevanti interessi della comunità.
4. Permesso in caso di ricerca o statistica; difesa o sicurezza; prevenzione, accertamento o repressione di reati.

Capo IV: Trattamento di dati particolari

Articolo 22: Dati sensibili

1. I dati sensibili sono una classe particolare dei dati personali. I dati sensibili sono quelli idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, e quelli idonei a rivelare lo stato di salute e la vita sessuale. I dati sensibili possono essere trattati solo con il consenso scritto dell’interessato e con la previa autorizzazione del Garante.
2. Termine per ottenere l’autorizzazione. In caso di silenzio si assume il divieto a effettuare il trattamento.
3. Gli enti pubblici non economici sono esentati dalla richiesta di autorizzazione purché esistano espresse disposizioni di legge.
4. È ammesso il trattamento dei dati sensibili, previa autorizzazione, nello svolgimento di investigazioni.

Articolo 23: Dati inerenti la salute

1. I medici e gli ospedali possono trattare i dati relativi allo stato di salute, anche senza l’autorizzazione del Garante, per la tutela dell’incolumità fisica e la salute dell’interessato.
2. I dati relativi allo stato di salute possono essere resi noti all’interessato solo tramite un medico designato dall’interessato o dal titolare.
3. Necessità del parere del Consiglio superiore di sanità.
4. La diffusione dei dati relativi allo stato di salute è vietata, salvo i casi di prevenzione, accertamento e prevenzione dei reati.

Articolo 24: Dati relativi ai provvedimenti di cui all’articolo 686 del codice di procedura penale

1. I dati relativi agli avvisi di garanzia possono essere oggetto di trattamento solo su autorizzazione del Garante.

Articolo 25: Trattamento di dati particolari nell’esercizio della professione di giornalista

1. I giornalisti non devono chiedere il consenso dell’interessato, tranne che per i dati relativi allo stato di salute e la vita sessuale.
2. Il Garante promuove l’adozione di un codice deontologico per la professione di giornalista.
3. Se il Consiglio nazionale dell’ordine dei giornalisti non adotta un codice nei tempi previsti, il Garante provvede all’emanazione di un codice temporaneo.
4. Dettagli sul codice deontologico

4. Bis. Estensione della legge ai praticanti e ad altri trattamenti occasionali.

Articolo 26: Dati concernenti le persone giuridiche

1. La notificazione di cessato trattamento non è necessaria per i dati relativi alle persone giuridiche.
2. I dati relativi alle persone giuridiche possono essere trasferiti all’estero.

Capo V: Trattamenti soggetti a regime speciale

Articolo 27: Trattamento da parte dei soggetti pubblici

1. Gli enti pubblici non economici sono vincolati ai trattamenti relativi allo svolgimento delle funzioni istituzionali, secondo le leggi e i regolamenti.
2. La comunicazione e la diffuzione tra enti pubblici non economici è ammessa se prevista da leggi o regolamenti, purché necessarie per lo svolgimento delle funzioni istituzionali. In questi casi deve esserne data comunicazione al Garante.
3. Gli enti pubblici non economici possono comunicare o diffondere dati personali ai privati solo nei casi previsti da leggi o regolamenti.
4. Dettagli tecnici.

Articolo 28: Trasferimento di dati personali all’estero

1. Il trasferimento di dati personali verso un paese extracomunitario, di dati sensibili o giudiziari deve essere notificato preventivamente al Garante.
2. Il trasferimento non può avvenire prima di 15 giorni (20 giorni nel caso di dati sensibili o giudiziari).
3. Il trasferimento è vietato nei paesi che non sono affidabili giuridicamente dal punto di vista della tutela dei dati personali.
4. Il trasferimento è comunque consentito nei casi di: consenso, esecuzione di obblighi contrattuali, salvaguardia di interesse pubblico, investigazioni, salvaguardia della vita e dell’incolumità fisica, pubblicità dei dati, autorizzazione del Garante.
5. Possibilità di opposizione al divieto del Garante.
6. Esonero per i giornalisti.
7. Dettagli tecnici.

Capo VI: Tutela amministrativa e giurisdizionale

Articolo 29: Tutela

• Articolo tecnico.

Capo VII: Garante per la protezione dei dati personali

Articolo 30: Istituzione del garante

1. Si istituisce il Garante.
2. Il Garante opera in piena autonomia e con indipendenza di giudizio e valutazione.
3. Il Garante è un organo collegiale formato da quattro membri, di cui due sono eletti dal Senato e due dalla Camera. I membri eleggono un presidente (attualmente è il Prof. Stefano Rodotà). I membri devono essere scelti tra persone che garantiscono indipendenza e riconosciuta competenza in diritto e informatica.
4. La carica dura quattro anni ed è rinnovabile solo una volta.
5. Dettagli tecnici.
6. Dettagli tecnici.

Articolo 31: Compiti del Garante

• Articolo tecnico.

Articolo 32: Accertamenti e controlli

• Articolo tecnico.

Articolo 33: Ufficio del Garante

• Articolo tecnico.

Capo VIII: Sanzioni

Articolo 34: Omessa e infedele notificazione

• Articolo tecnico. Reclusione da tre mesi a due anni.

Articolo 35: Trattamento illecito di dati personali

• Articolo tecnico. Reclusione da tre mesi a due anni. In caso di nocumento, reclusione da uno a tre anni.

Articolo 36: Omessa adozione di misure necessarie alla sicurezza dei dati

• Articolo tecnico. Reclusione da due mesi a due anni.

Articolo 37: Inosservanza dei provvedimenti del Garante

• Articolo tecnico. Reclusione da tre mesi a due anni.

Articolo 38: Pena accessoria

• Articolo tecnico.

Articolo 39: Sanzioni amministrative

• Articolo tecnico. Sanzione da lire cinquecentomila a lire tre milioni.

Capo IX: Disposizioni transitorie e finali ed abrogazioni

Articolo 40: Comunicazioni al Garante

• Articolo tecnico.

Articolo 41: Disposizioni transitorie

• Articolo tecnico.

Articolo 42: Modifiche a disposizioni vigenti

• Articolo tecnico.

Articolo 43: Abrogazioni

• Articolo tecnico.

Capo X: Copertura finanziaria ed entrata in vigore

Articolo 44: Copertura finanziaria

• Articolo tecnico.

Articolo 45: Entrata in vigore

• Articolo tecnico.