[Archivio]

DECRETO LEGISLATIVO 28 luglio 1997, n. 255.

Disposizioni integrative e correttive della legge 31 dicembre 1996, n. 675, in materia di notificazione dei trattamenti di dati personali, a norma dell'articolo 1, comma 1, lettera f), della legge 31 dicembre 1996, n. 676.

IL PRESIDENTE DELLA REPUBBLICA


Visti gli articoli 76 e 87 della Costituzione;
Vista la legge 31 dicembre 1996, n. 675, concernente tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali;
Vista la legge 31 dicembre 1996, n. 676, recante delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali;
Visto il decreto legislativo 9 maggio 1997, n. 123;
Sentito il Garante per la protezione dei dati personali;
Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 25 luglio 1997;
Sulla proposta del Ministro di grazia e giustizia;

Emana il seguente decreto legislativo:


Art. 1.

Semplificazioni ed esoneri

1. Nell'articolo 7 della legge 31 dicembre 1996, n. 675, sono aggiunti, in fine, i seguenti commi:
"5-bis. La notificazione in forma semplificata può non contenere taluno degli elementi di cui al comma 4, lettere b), c), e) e g), individuati dal Garante ai sensi del regolamento di cui all'articolo 33, comma 3, quando il trattamento è effettuato:
a) da soggetti pubblici, esclusi gli enti pubblici economici, sulla base di espressa disposizione di legge ai sensi degli articoli 22, comma 3, e 24, ovvero del provvedimento di cui al medesimo articolo 24;
b) nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalità, ovvero dai soggetti indicati nel comma 4-bis dell'articolo 25, nel rispetto del codice di deontologia di cui al medesimo articolo;
c) temporaneamente senza l'ausilio di mezzi elettronici o comunque automatizzati, ai soli fini e con le modalità strettamente collegate all'organizzazione interna dell'attività esercitata dal titolare, relativamente a dati non registrati in una banca di dati e diversi da quelli di cui agli articoli 22 e 24.
5-ter. Fuori dei casi di cui all'articolo 4, il trattamento non è soggetto a notificazione quando:
a) è necessario per l'assolvimento di un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria, relativamente a dati diversi da quelli indicati negli articoli 22 e 24;
b) riguarda dati contenuti o provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità di cui all'articolo 20, comma 1, lettera b);
c) è effettuato per esclusive finalità di gestione del protocollo, relativamente ai dati necessari per la classificazione della corrispondenza inviata per fini diversi da quelli di cui all'articolo 13, comma 1, lettera e), con particolare riferimento alle generalità e ai recapiti degli interessati, alla loro qualifica e all'organizzazione di appartenenza;
d) riguarda rubriche telefoniche o analoghe non destinate alla diffusione, utilizzate unicamente per ragioni d'ufficio e di lavoro e comunque per fini diversi da quelli di cui all'articolo 13, comma l, lettera e);
e) è finalizzato unicamente all'adempimento di specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, ed è effettuato con riferimento alle sole categorie di dati, di interessati e di destinatari della comunicazione e diffusione strettamente collegate a tale adempimento, conservando i dati non oltre il periodo necessario all'adempimento medesimo;
f) è effettuato, salvo quanto previsto dal comma 5-bis, lettera b), da liberi professionisti iscritti in albi o elenchi professionali, per le sole finalità strettamente collegate all'adempimento di specifiche prestazioni e fermo restando il segreto professionale;
g) è effettuato dai piccoli imprenditori di cui all'articolo 2083 del codice civile per le sole finalità strettamente collegate allo svolgimento dell'attività professionale esercitata e limitatamente alle categorie di dati, di interessati, di destinatari della comunicazione e diffusione e al periodo di conservazione dei dati necessari per il perseguimento delle finalità medesime;
h) è finalizzato alla tenuta di albi o elenchi professionali in conformità alle leggi e ai regolamenti;
i) è effettuato per esclusive finalità dell'ordinaria gestione di biblioteche, musei e mostre, in conformità alle leggi e ai regolamenti, ovvero per la organizzazione di iniziative culturali o sportive o per la formazione di cataloghi e bibliografie;
l) è effettuato da associazioni, fondazioni, comitati anche a carattere politico, filosofico, religioso o sindacale, ovvero da loro organismi rappresentativi, istituiti per scopi non di lucro e per il perseguimento di finalità lecite, relativamente a dati inerenti agli associati e ai soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, la fondazione, il comitato o l'organismo, fermi restando gli obblighi di informativa degli interessati e di acquisizione del consenso, ove necessario;
m) è effettuato dalle organizzazioni di volontariato di cui alla legge 11 agosto 1991, n. 266, nei limiti di cui alla lettera l) e nel rispetto delle autorizzazioni e delle prescrizioni di legge di cui agli articoli 22 e 23;
n) è effettuato temporaneamente ed è finalizzato esclusivamente alla pubblicazione o diffusione occasionale di articoli, saggi e altre manifistazioni del pensiero, nel rispetto del codice di deontologia di cui all'articolo 25;
o) è effettuato, anche con mezzi elettronici o comunque automatizzati, per la redazione di periodici o pubblicazioni aventi finalità di informazione giuridica, relativamente a dati desunti da provvedimenti dell'autorità giudiziaria o di altre autorità;
p) è effettuato temporaneamente per esclusive finalità di raccolta di adesioni a proposte di legge d'iniziativa popolare, a richieste di referendum, a petizioni o ad appelli;
q) è finalizzato unicamente all'amministrazione dei condomini di cui all'articolo 1117 e seguenti del codice civile, limitatamente alle categorie di dati, di interessati e di destinatari della comunicazione necessarie per l'amministrazione dei beni comuni, conservando i dati non oltre il periodo necessario per la tutela dei corrispondenti diritti.
5-quater. Il titolare si può avvalere della notificazione semplificata o dell'esonero di cui ai commi 5-bis e 5-ter, sempre che il trattamento riguardi unicamente le finalità, le categorie di dati, di interessati e di destinatari della comunicazione e diffusione, individuate, unitamente al periodo di conservazione dei dati, dai medesimi commi 5-bis e 5-ter, nonché:
a) nei casi di cui ai commi 5-bis, lettera a) e 5-ter, lettere a) e m), dalle disposizioni di legge o di regolamento o dalla normativa comunitaria ivi indicate;
b) nel caso di cui al comma 5-bis, lettera b), dal codice di deontologia ivi indicato;
c) nei casi residui, dal Garante con le autorizzazioni rilasciate con le modalità previste dall'articolo 41, comma 7, ovvero, per i dati diversi da quelli di cui agli articoli 22 e 24, con provvedimenti analoghi.
5-quinquies. Il titolare che si avvale dell'esonero di cui al comma 5-ter deve fornire gli elementi di cui al comma 4 a chiunque ne faccia richiesta.".

Art. 2.

Termine

1. L'articolo 41, comma 2, della legge 31 dicembre 1996, n. 675, è sostituito dal seguente:
"2. Per i trattamenti di dati personali iniziati prima del 1 gennaio 1998, le notificazioni prescritte dagli articoli 7 e 28 sono effettuate dal 1 gennaio 1998 al 31 marzo 1998 ovvero, per i trattamenti di cui all'articolo 5 riguardanti dati diversi da quelli di cui agli articoli 22 e 24, nonché per quelli di cui all'articolo 4, comma 1, lettere c), d) ed e), dal 1 aprile 1998 al 30 giugno 1998.".

Art. 3.

Entrata in vigore

1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Dato a Roma, addì 28 luglio 1997

SCALFARO

Prodi, Presidente del Consiglio dei Ministri
Flick, Ministro di grazia e giustizia
Visto, il Guardasigilli: Flick


NOTE

Nota al titolo:

- Il testo dell'art. 1, comma 1, lettera f), della legge n. 676/1996 (per il titolo si veda nelle premesse al presente decreto) è il seguente:
"1. Il Governo della Repubblica è delegato ad emanare entro diciotto mesi dalla data di entrata in vigore della presente legge, uno o più decreti legislativi recanti disposizioni integrative della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, con l'osservanza dei seguenti principi e criteri direttivi:
a) - e) (omissis);
f) prevedere forme sempliticate di notificazione del trattamento dei dati personali e del loro trasferimento all'estero, con particolare riguardo ai trattamenti non automatizzati di dati diversi da quelli sensibili e da quelli di cui all'art. 686 del codice di procedurapenale; ed ulteriori casi di esonero dal relativo obbligo per trattamenti da individuare preventivamente che, in ragione delle relative modalità o della natura dei dati personali non presentino rischi di un danno all'interessato, ferma restando l'applicabilità delle altre disposizioni di legge".

Note alle premesse:

- L'art. 76 della Costituzione regola la delega al Governo dell'esercizio della funzione legislativa e stabilisce che essa può avvenire se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti.

- L'art. 87, comma quinto, della Costituzione conferisce al Presidente della Repubblica il potere di promulgare le leggi e di emanare i decreti aventi valore di legge e i regolamenti.

- Il D.Lgs. n. 123/1997 reca: "Disposizioni correttive ed integrative della legge 31 dicembre 1996, n. 675, in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali".

Nota all'art. 1:

- Il testo dell'art. 7 della legge n. 675/1996, come modificato dal presente articolo, è il seguente:
"Art. 7 (Notificazione).
1. Il titolare che intenda procedere ad un trattamento di dati personali soggetto al campo di applicazione della presente legge è tenuto a darne notificazione al Garante.
2. La notificazione è effettuata preventivamente ed una sola volta, a mezzo di lettera raccomandata ovvero con altro mezzo idoneo a certificarne la ricezione, a prescindere dal numero delle operazioni da svolgere, nonché dalla durata del trattamento e può riguardare uno o più trattamenti con finalità correlate. Una nuova notificazione è richiesta solo se muta taluno degli elementi indicati nel comma 4 e deve precedere l'effettuazione della variazione.
3. La notificazione è sottoscritta dal notificante e dal responsabile del trattamento.
4. La notificazione contiene:
a) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare;
b) le finalità e modalità del trattamento;
c) la natura dei dati, il luogo ove sono custoditi e le categorie di interessi cui i dati si riferiscono;
d) l'ambito di comunicazione e di diffusione dei dati;
e) i trasferimenti di dati previsti verso Paesi non appartenenti all'Unione europea o, qualora, riguardino taluno dei dati di cui agli articoli 22 e 24, fuori del territorio nazionale;
f) una descrizione generale che permetta di valutare l'adeguatezza delle misure tecniche ed organizzative adottate per la sicurezza dei dati;
g) l'indicazione della banca di dati o delle banche di dati cui si riferisce il trattamento, nonché l'eventuale connessione con altri trattamenti fuori dal territorio nazionale;
h) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del responsabile; in mancanza di tale indicazione si considera resonsabile il notificante;
f) la qualità e la legittimazione del notificante.
5. I soggetti tenuti ad iscriversi o che devono essere annotati nel registro delle imprese di cui all'art. 2188 del codice civile, nonché coloro che devono fornire le informazioni di cui all'art. 8, comma 8, lettera d), della legge 29 dicembre 1993, n. 580, alle camere di commercio, industria, artigiano e agricoltura, possono effettuare la notificazione per il tramite di queste ultime, secondo le modalità stabilite con il regolamento di cui all'art. 3, comma 3. I piccoli imprenditori e gli artigiani possono effettuare la notificazione anche per il tramite delle rispettive rappresentanze di categoria; gli iscritti agli albi professionali anche per il tramite dei rispettivi ordini professionali. Resta in ogni caso ferma la disposizione di cui al comma 3.
5-bis. La notificazione in forma semplificata può non contenere taluno degli elementi di cui al comma 4, lettere b), c) e) e g), individuati dal Garante ai sensi del regolamento di cui all'art. 33, comma 3, quando il trattamento è effettuato:
a) da soggetti pubblici, esclusi gli enti pubblici economici, sulla base di espressa disposizione di legge ai sensi degli articoli 22, comma 3, e 24, ovvero del provvedimento di cui al medesimo art. 24;
b) nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalità ovvero dai soggetti indicati nel comma 4-bis dell'art. 25, nel rispetto del codice di deontologia di cui al medesimo articolo;
c) temporaneamente senza l'ausilio di mezzi elettronici o comunque automatizzati, ai soli fini e con le modalità strettamente collegate all'organizzazione interna dell'attività esercitata dal titolare, relativamente a dati non registrti in una banca di dati e diversi da quelli di cui agli articoli 22 e 24.
5-ter. Fuori dei casi di cui all'art. 4, il trattamento non e soggetto a notificazione quando:
a) è necessario per l'assolvimento di un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria, relativamente a dati diversi da quelli indicati negli articoli 22 e 24;
b) riguarda dati contenuti o provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità di cui all'art. 20, comma 1, lettera b);
c) è effettuato per esclusive finalità di gestione del protocollo, relativamente ai dati necessari per la classificazione della corrispondenza inviata per fini diversi da quelli di cui all'articolo 13, comma 1, lettera e), con particolare riferimento alle generalità e ai recapiti degli interessati, alla loro qualifica e all'organizzazione di appartenenza;
d) riguarda rubriche telefoniche o analoghe non destinate alla diffusione, utilizzate unicamente per ragioni d'ufficio e di lavoro e comunque per fini diversi da quelli all'art. 13, comma 1, lettera e);
e) è finalizzato unicamente all'adempimento di specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, ed è effettuato con riferimento alle sole categorie di dati, di interessati e di destinatari della comunicazione e diffusione strettamente collegate a tale adempimento, conservando i dati non oltre il periodo necessario all'adempimento medesimo;
f) è effettuato, salvo quanto previsto dal comma 5-bis, lettera b), da liberi professionisti iscritti in albi o elenchi professionali, per le sole finalità strettamente collegate all'adempimento di specifiche prestazioni e fermo restando il segreto professionale;
g) è effettuato dai piccoli imprenditori di cui all'art. 2083 del codice civile per le sole finalità strettamente collegate allo svolgimento dell'attività professionale esercitata e limitatamente alle categorie di dati, di interessati, di destinatari della comunicazione e diffusione e al periodo di conservazione dei dati necessari per il perseguimento delle finalità medesime;
h) è finalizzato alla tenuta di albi o elenchi professionali in conformità alle leggi e ai regolamenti;
i) è effettuato per esclusive finalità dell'ordinaria gestione di biblioteche, musei e mostre, in conformità alle leggi e ai regolamenti, ovvero per la organizzazione di iniziative culturali o sportive o per la formazione di cataloghi e bibliografie;
l) è effettuato da associazioni, fondazioni, comitati anche a carattere politico, filosofico, religioso o sindacale, ovvero da loro organismi rappresentativi, istituiti per scopi non di lucro e per il perseguimento di finalità lecite, relatiamente a dati inerenti agli associati e ai soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, la fondazione, il comitato o l'organismo, fermi restando gli obblighi di informativa degli interessati di acquisizione del consenso, ove necessario;
m) è effettuato dalle organizzazioni di volantariato di cui alla legge 11 agosto 1991, n. 266, nei limiti di cui alla lettera l) e nel rispetto delle autorizzazioni e delle prescrizioni di legge di cui agli articoli 22 e 23;
n) è effettuato temporaneamente ed è finalizzato esclusivamente alla pubblicazione o diffusione occasionale, di articoli, saggi e altre manifestazioni del pensiero, nel rispetto del codice di deontologia, di cui all'art. 25;
o) è effettuato, anche con mezzi elettronici o comunque automatizzati, per la redazione di periodici o pubblicazioni aventi finalità di informazione giuridica, relativamente a dati desunti da provvedimenti dell'autorità giudiziaria o di altre autorità;
p) è effettuato temporaneamente per esclusive finalità di raccolta di adesioni a proposte di legge d'iniziativa popolare, a richieste di referendum, a petizioni o ad appelli;
q) è finalizzato unicamente all'amministrazione dei condomini di cui all'art. 1117 e seguenti del codice civile, limitatamente alle categorie di dati, di interessati e di destinatari della comunicazione necessarie per l'amministrazione dei beni comuni, conservando i dati non oltre il periodo necessario per la tutela dei corrispondenti diritti.
5-quater. Il titolare si può avvalere della notificazione semplificata o dell'esonero di cui ai commi 5-bis e 5-ter, sempre che il trattamento riguardi unicamente le finalità, le categorie di dati, di interessati e di destinatari della comunicazione e diffusione, individuate, unitamente al periodo di conservazione dei dati, dai medesimi commi 5-bis e 5-ter, nonché:
a) nei casi di cui ai commi 5-bis, lettera a), e 5-ter, lettere a) e m), dalle disposizioni di legge o di regolamento o dalla normativa comunitaria ivi indicate;
b) nel caso di cui al comma 5-bis, lettera b), dal codice di deontologia ivi indicato;
c) nei casi residui, dal Garante con le autorizzazioni rilasciate con le modalità previste dall'art. 41, comma 7, ovvero, per i dati diversi da quelli di cui agli articoli 22 e 24, con provvedimenti analoghi.
5-quinquies. Il titolare che si avvale dell'esonero di cui al comma 5-ter deve fornire gli elementi di cui al comma 4 a chiunque ne faccia richiesta".

Nota all'art. 2:

- Il testo dell'art. 41 della legge n. 675/1996, come modificato dal presente articolo, è il seguente:
"Art. 41 (Disposizioni transitorie).
1. Fermo restando l'esercizio dei diritti di cui agli articoli 13 e 29, le disposizioni della presente legge che prescrivono il consenso dell'interessato non si applicano in riferimento ai dati personali raccolti precedentemente alla data di entrata in vigore della legge stessa, o il cui trattamento sia iniziato prima di tale data. Resta salva l'applicazione delle disposizioni relative alla comunicazione e alla diffusione dei dati previste dalla presente legge.
2. Per i trattamenti di dati personali iniziati prima del 1 gennaio 1998, le notificazioni prescritte dagli articoli 7 e 28 sono effettuate dal 1 gennaio 1998 al 31 marzo 1998 ovvero, per i trattamenti di cui all'art. 5 riguardanti dati diversi da quelli di cui agli articoli 22 e 24, nonché per quelli di cui all'art. 4, comma 1, lettere c), d) ed e), dal 1 aprile 1998 al 30 giugno1998.
3. Le misure minime di sicurezza di cui all'art. 15, comma 2, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore del regolamento ivi previsto. Fino al decorso di tale termine, i dati personali devono essere custoditi in maniera tale da evitare un incremento dei rischi di cui all'art. 15, comma 1.
4. Le misure di cui all'art. 15, comma 3, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore dei regolamenti ivi previsti.
5. Nei dodici mesi successivi alla data di entrata in vigore della presente legge, i trattamenti dei dati di cui all'art. 22, comma 3, ad opera di soggetti pubblici, esclusi gli enti pubblici economici, e all'art. 24, possono essere proseguiti anche in assenza delle disposizioni di legge ivi indicate, previa comunicazione al garante.
6. In sede di prima applicazione della presente legge, fino alla elezione del Garante ai sensi dell'art. 30, le funzioni del Garante sono svolte dal presidente dell'autorita per l'informatica nella pubblica amministrazione, fatta eccezione per l'esame dei ricorsi di cui all'art. 29.
7. Le disposizioni della presente legge che prevedono un'autorizzazione del Garante si applicano, limitatamente alla medesima autorizzazione, a decorrere dal trentesimo giorno successivo alla data di entrata in vigore della presente legge".