Shop Neldirittoeditore Carrello
| Catalogo libri | Rivista | Distribuzione | Formazione | MARTEDÌ   26  SETTEMBRE AGGIORNATO ALLE 7:39
Testo del provvedimento
Approfondimenti:


CORRETTIVO AL CODICE DELLA PRIVACY


D. Lgs. 28 maggio 2012, n.69




Sono stati pubblicati sulla Gazzetta Ufficiale del 31 maggio 2012 n. 126 il decreto legislativo 28 maggio 2012 n. 69 “Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori”. E il decreto legislativo 28 maggio 2012 n. 70 “Modifiche al decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche in attuazione delle direttive 2009/140/CE, in materia di reti e servizi di comunicazione elettronica, e 2009/136/CE in materia di trattamento dei dati personali e tutela della vita privata”. L’entrata in vigore per entrambi i provvedimenti è il 1 giugno 2012.

Il decreto legislativo 28 maggio 2012, n.69 si compone di 3 articoli.

L'articolo 1, recante: "Modifiche al decreto legislativo 30 giugno 2003, n. 196", novella alcuni articoli del Codice per la protezione dei dati personali, in attuazione delle disposizioni della nuova direttiva.

Il comma l, in particolare, interviene sull'art. 4 del Codice ("Definizioni"), sostituendo o integrando alcune definizioni (chiamata, reti di comunicazione elettronica, rete pubblica di comunicazioni), in conformità con le definizioni già presenti nell'ordinamento comunitario e nazionale, sebbene non riportate esplicitamente nella direttiva in recepimento. Viene aggiunta la nuova definizione di "violazione di dati personali".

Il comma 2 modifica l'articolo 32 del Codice. La lettera a) del comma 2 ridenomina l'articolo. La lettera b) estende anche agli altri soggetti a cui sia affidata l'erogazione del predetto servizio, l'obbligo di adottare misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo. La lettera c) inserisce i commi 1 bis e 1 ter che prevedono, rispettivamente, che, ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31 del Codice, i soggetti che operano sulle reti di comunicazione elettronica garantiscano che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati e che le misure di cui ai commi 1 e 1-bis garantiscano la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché assicurino l'attuazione di una politica di sicurezza. La lettera d) adegua formalmente il comma 3.

Il comma 3 inserisce il nuovo articolo 32 bis, in materia di: "Adempimenti conseguenti ad una violazione di dati personali". L'articolo prevede misure che includono un obbligo di comunicazione dell'avvenuta violazione di dati personali da parte del fornitore di servizi al Garante per la protezione dei dati personali e, nei casi di violazione che rischino di pregiudicare tali dati o la riservatezza di un contraente o di altra persona, la comunicazione deve essere rivolta anche a questi ultimi.

Il comma 4 interviene sull'articolo 121: "Servizi interessati" del Codice, estendendo il campo di applicazione del Titolo X del Codice (Comunicazioni elettroniche) ai servizi fomiti attraverso le reti di comunicazione elettronica accessibili al pubblico, includendo quelle che supportano i dispositivi di raccolta e di identificazione dei dati.

Il comma 5 modifica l'articolo 122: "Informazioni raccolte nei riguardi dell'abbonato o dell'utente", prevedendo che l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate siano consentite unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3, come indicato nel parere del Garante per la protezione dei dati personali (osservazione a)). Tale previsione non vieta, comunque, l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini dell' espressione del consenso detto, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente. Il comma riporta fedelmente quanto previsto dalla direttiva 20091136/CE all' articolo 5 (3) nella versione del testo in inglese.

Il comma 6 precisa che il trattamento per fini commerciali, o per la fornitura di servizi a valore aggiunto, dei dati sul traffico relativi ai contraenti ed agli utenti, di cui al comma 1 dell'articolo 123 del Codice, può avvenire solo dopo il consenso dell'utente.

Il comma 7 modifica l'articolo 130 del Codice, "Comunicazioni indesiderate", tra le altre cose, introducendo un richiamo, in più punti, a quanto previsto dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70 (commercio elettronico) ed il divieto di trasgredire tali articoli anche attraverso siti web che i destinatari delle comunicazioni vengano esortati a visitare.

Il comma 8 introduce l'articolo 132 bis "Procedure istituite dai fornitori", nel quale si prevede l'istituzione, da parte dei fornitori, di procedure interne per rispondere alle richieste di accesso ai dati personali degli utenti, effettuate in conformità alle disposizioni che le regolamentano, nonché l'obbligo di fornitura, su richiesta, al Garante per la protezione dei dati personali, di informazioni su dette procedure, sul numero di richieste ricevute, sui motivi legali addotti e sulle risposte date.

Il comma 9 introduce nel Codice l'articolo 162 ter, "Sanzioni nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico" il quale stabilisce le sanzioni per la violazione delle disposizioni di cui ai commi 1, 2 e 7 dell'articolo 32 bis.

Il comma 10 aggiorna il comma 1 dell'articolo 164 bis del Codice, introducendo il riferimento al nuovo articolo 162 ter.

Il comma 11 aggiorna il comma 1 dell'articolo 168 del Codice, in relazione al nuovo articolo 32 bis, comma 1.

Il comma 12 specifica che il termine "abbonato" contenuto nel Codice di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003 n. 196, deve intendersi come "contraente" in coerenza con la definizione contenuta nell'articolo 1 comma 1 lettera a) del decreto legislativo 1 agosto 2003 n. 259, come modificato dal decreto legislativo Il. . .....recante attuazione della direttiva 20091140/CE.

Gli articoli 2 e 3 recano rispettivamente: "Disposizione finanziaria" ed "Entrata in vigore".

DECRETO LEGISLATIVO 28 maggio 2012, n. 69

Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori.

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;

Visti gli articoli 9 e 24 della legge 15 dicembre 2011, n. 217, recante disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunita' europee - Legge comunitaria 2010;

Visto il Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni;

Vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;

Vista la direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori;

Vista la direttiva 2009/140/CE del Parlamento e del Consiglio del 25 novembre 2009, recante modifica delle direttive 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/CE relativa all'accesso alle reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime e 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica;

Sentito il Garante per la protezione dei dati personali;

Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione del 6 aprile 2012;

Acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica;

Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 25 maggio 2012;

Sulla proposta del Ministro per gli affari europei e del Ministro dello sviluppo economico, di concerto con i Ministri degli affari esteri, dell'economia e delle finanze e della giustizia;


Emana
il seguente decreto legislativo:


Art. 1 - Modifiche al decreto legislativo 30 giugno 2003, n. 196

1. All'articolo 4, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) al comma 2 :

1) la lettera b) e' sostituita dalla seguente: «b) chiamata, la connessione istituita da un servizio di comunicazione elettronica accessibile al pubblico che consente la comunicazione bidirezionale;»;

2) la lettera c) e' sostituita dalla seguente: «c) reti di comunicazione elettronica, i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;»;

3) la lettera d) e' sostituita dalla seguente: «d) rete pubblica di comunicazioni, una rete di comunicazione elettronica utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di reti;»;

4) alla lettera i) dopo le parole: «rete di comunicazione elettronica» sono inserite le seguenti: «o da un servizio di comunicazione elettronica»;

b) al comma 3, dopo la lettera g) e' aggiunta la seguente: «g-bis) violazione di dati personali: violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico.».

2. All'articolo 32, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) la rubrica e' sostituita dalla seguente: «Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico»;

b) il comma 1 e' sostituito dal seguente: «1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 31, anche attraverso altri soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis»;

c) dopo il comma 1, sono inseriti i seguenti:

«1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati.

1-ter. Le misure di cui al commi 1 e 1-bis garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonche' assicurano l'attuazione di una politica di sicurezza.»;

d) al comma 3, dopo le parole: «ai sensi dei commi 1» sono inserite le seguenti: «, 1-bis».

3. Dopo l'articolo 32, del decreto legislativo 30 giugno 2003, n. 196, e' inserito il seguente:

«Art. 32-bis (Adempimenti conseguenti ad una violazione di dati personali). - 1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.

2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza di contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione.

3. La comunicazione di cui al comma 2 non e' dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione.

4. Ove il fornitore non vi abbia gia' provveduto, il Garante puo', considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione.

5. La comunicazione al contraente o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione al Garante descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio.

6. Il Garante puo' emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonche' alle relative modalita' di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea ai sensi dell'articolo 4, paragrafo 5, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE.

7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Garante di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario figurano unicamente le informazioni necessarie a tal fine.

8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui al presente articolo.».

4. All'articolo 121, comma 1, del decreto legislativo 30 giugno 2003, n. 196, dopo le parole: «reti pubbliche di comunicazioni» sono aggiunte, in fine, le seguenti: «, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione».

5. All'articolo 122, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) il comma 1, e' sostituito dal seguente: «1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni gia' archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalita' semplificate di cui all'articolo 13, comma 3. Cio' non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni gia' archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della societa' dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalita' semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente.»;

b) il comma 2, e' sostituito dal seguente: «2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilita' per il contraente o l'utente.»;

c) dopo il comma 2, e' aggiunto il seguente: «2-bis. Salvo quanto previsto dal comma 1, e' vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente.».

6. All'articolo 123, comma 3, del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: «manifestato» e' inserita la seguente: «preliminarmente».

7. All'articolo 130 del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) al comma 1:

1) le parole: «L'uso di sistemi automatizzati» sono sostituite dalle seguenti: «Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati»;

2) dopo la parola: «automatizzati» sono inserite le seguenti: «di chiamata o di comunicazione»;

3) le parole: «dell'interessato» sono sostituite dalle seguenti: «del contraente o utente»;

b) al comma 5:

1) dopo la parola: «mittente» sono inserite le seguenti: «o in violazione dell'articolo 8 del decreto legislativo 9 aprile 2003, n. 70,»;

2) dopo le parole: «di cui all'articolo 7» sono aggiunte, in fine, le seguenti: «, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003».

8. Dopo l'articolo 132, del decreto legislativo 30 giugno 2003, n. 196, e' inserito il seguente:

«Art. 132-bis (Procedure istituite dai fornitori). - 1. I fornitori istituiscono procedure interne per corrispondere alle richieste effettuate in conformita' alle disposizioni che prevedono forme di accesso a dati personali degli utenti.

2. A richiesta, i fornitori forniscono al Garante, per i profili di competenza, informazioni sulle procedure di cui al comma 1, sul numero di richieste ricevute, sui motivi legali addotti e sulle risposte date.».

9. Dopo l'articolo 162-bis, del decreto legislativo 30 giugno 2003, n. 196, e' inserito il seguente:

«Art. 162-ter (Sanzioni nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico). - 1. La violazione delle disposizioni di cui all'articolo 32-bis, comma 1, e' punita con la sanzione amministrativa del pagamento di una somma da venticinquemila euro a centocinquantamila euro.

2. La violazione delle disposizioni di cui all'articolo 32-bis, comma 2, e' punita con la sanzione amministrativa del pagamento di una somma da centocinquanta euro a mille euro per ciascun contraente o altra persona nei cui confronti venga omessa o ritardata la comunicazione di cui al medesimo articolo 32-bis, comma 2. Non si applica l'articolo 8 della legge 24 novembre 1981, n. 689.

3. La sanzione amministrativa di cui al comma 2 non puo' essere applicata in misura superiore al 5 per cento del volume d'affari realizzato dal fornitore di servizi di comunicazione elettronica accessibili al pubblico nell'ultimo esercizio chiuso anteriormente alla notificazione della contestazione della violazione amministrativa, fermo restando quanto previsto dall'articolo 164-bis, comma 4.

4. La violazione delle disposizioni di cui all'articolo 32-bis, comma 7, e' punita con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro.

5. Le medesime sanzioni di cui al presente articolo si applicano nei confronti dei soggetti a cui il fornitore di servizi di comunicazione elettronica accessibili al pubblico abbia affidato l'erogazione dei predetti servizi, qualora tali soggetti non abbiano comunicato senza indebito ritardo, al fornitore, ai sensi dell'articolo 32-bis, comma 8, le informazioni necessarie ai fini degli adempimenti di cui all'articolo 32-bis.».

10. Al comma 1 dell'articolo 164-bis del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: «162,» sono inserite le seguenti: «162-ter,».

11. Al comma 1 dell'articolo 168 del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: «Chiunque,» sono inserite le seguenti: «nelle comunicazioni di cui all'articolo 32-bis, commi 1 e 8,».

12. Nel decreto legislativo 30 giugno 2003, n. 196, la parola: «abbonato», ovunque ricorra, e' sostituita dalla seguente: «contraente».

Art. 2 - Disposizione finanziaria
1. Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le Amministrazioni interessate provvedono agli adempimenti previsti con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.


Art. 3 - Entrata in vigore
1. Il presente decreto legislativo entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Dato a Roma, addi' 28 maggio 2012

NAPOLITANO

Monti, Presidente del Consiglio dei Ministri e Ministro dell'economia e

delle finanze

Moavero Milanesi, Ministro per gli affari europei

Passera, Ministro dello sviluppo economico

Terzi di Sant'Agata, Ministro degli affari esteri

Severino, Ministro della giustizia

Visto, il Guardasigilli: Severino