D. Leg.vo 18/05/2018, n. 51

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;

Visto l’articolo 14 della legge 23 agosto 1988, n. 400; Vista la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relat

1. Il presente decreto attua nell’ordinamento interno le disposizioni della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indag

1. Ai fini del presente decreto, si applicano le seguenti definizioni:

a) dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»);

b) trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

c) limitazione di trattamento: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;

d) pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile;

1. I dati personali di cui all’articolo 1, comma 2, sono:

a) trattati in modo lecito e corretto;

b) raccolti per finalità determinate, espresse e legittime e trattati in modo compatibile con tali finalità;

1. Il titolare del trattamento, tenuto conto della finalità del trattamento e per quanto possibile, distingue i dati personali in relazione alle diverse categorie di interessati previste dalla legge e i dati fondati su fatti da quelli fondati su valutazioni. La distinzione i

^N8

1. Il trattamento è lecito se è necessario per l’esecuzione di un compito di un’autorità comp

1. I dati personali raccolti per le finalità di cui all’articolo 1, comma 2, non possono essere trattati per finalità diverse, salvo che tale trattamento sia consentito dal diritto dell’Unione europea o dalla legge.

1. Il trattamento di dati di cui all’articolo 9 del regolamento UE è autorizzato solo se strettamente necessario e assistito da garanzie adeguate pe

1. Sono vietate le decisioni basate unicamente su un trattamento automatizzato, compresa la profilazione, che producono effetti negativi nei confronti dell’interessato, salvo che siano autorizzate dal diritto del

1. Il titolare del trattamento adotta misure adeguate a fornire all’interessato tutte le informazioni di cui all’articolo 10 ed effettua le comunicazioni relative al trattamento di cui agli articoli 8, 11, 12, 13, 14 e 27, in forma concisa, intellegibile e facilmente accessibile, c

1. Il titolare del trattamento mette a disposizione dell’interessato, anche sul proprio sito internet, le seguenti informazioni:

a) l’identità e i dati di contatto del titolare del trattamento;

b) i dati di contatto del respon

1. L’interessato ha il diritto di ottenere dal titolare del trattamento conferma dell’esistenza di un trattamento in corso di dati personali che lo riguardano e, in tal caso, l’accesso ai dati e alle seguenti informazioni:

a) le finalità e il titolo giuridico del trattamento;

1. L’interessato ha il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che lo riguardano. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

1. Al di fuori dei casi di trattamento effettuato dall’autorità giudiziaria per le finalità di cui all’articolo 1, comma 2, i diritti dell’inte

1. I diritti di cui agli articoli 10, 11 e 12, relativamente ai dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, sono esercitati conformemente a quanto previsto dalle disposizioni di legge o di regolamento che disciplinano tali atti e pr

1. Il titolare del trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei r

1. Il titolare del trattamento, tenuto conto delle cognizioni tecniche disponibili e dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del tratt

1. Due o più titolari del trattamento che determinano congiuntamente le finalità e i mezzi del trattamento sono contitolari del trattamento.

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre a responsabili del trattamento che garantiscono misure tecniche e organizzative adeguate ad assicurare la protezione dei dati personali e la tutela dei diritti dell’interessato.

2. Il responsabile del trattamento non può ricorrere a un altro responsabile senza preventiva autorizzazione scritta del titolare del trattamento.

3. L’es

1. Il responsabile del trattamento o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento può trattare i dati personali

1. I titolari del trattamento tengono un registro di tutte le categorie di attività di trattamento sotto la propria responsabilità. Tale registro contiene le seguenti informazioni:

a) il nome e i dati di contatto del titolare del trattamento e, se previsti, di ogni contitolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) le ca

1. Le operazioni di raccolta, modifica, consultazione, comunicazione, trasferimento, interconnessione e cancellazione di dati, eseguite in sistemi di trattamento automatizzati, sono registrate in

1. Salvo quanto previsto dall’articolo 37, comma 3, il titolare del trattamento e il responsabile del trattamento cooperano, su richiesta, con il Gar

1. Se il trattamento, per l’uso di nuove tecnologie e per la sua natura, per l’ambito di applicazione, per il contesto e per le finalità, presenta

1. Salvo quanto previsto dall’articolo 37, comma 6, il titolare del trattamento o il responsabile del trattamento consultano il Garante prima del trattamento di dati personali che figureranno in un nuovo archivio di prossima creazione se:

a) una valutazione d’impatto sulla protezione dei dati di cui all’articolo 23 indica che il trattamento presenterebbe un rischio elevato in assen

1. Il titolare del trattamento e il responsabile del trattamento, tenuto conto delle cognizioni tecniche disponibili, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del grado di rischio per i diritti e le libertà delle persone fisiche, mettono in atto misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio di violazione dei dati.

2. Per il trattamento automatizzato il titolare o il responsabile del trattamento, previa valutazione dei rischi, adottano misure volte a:

1. Salvo quanto previsto dall’articolo 37, comma 6, in caso di violazione di dati personali, il titolare del trattamento notifica la violazione al Ga

1. Quando la violazione di dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, si osserv

1. Il titolare del trattamento designa un responsabile della protezione dei dati.

2. Il respo

1. Il titolare del trattamento si assicura che il responsabile della protezione dei dati sia coinvolto adeguatamente e tempestivamente in tutte le ques

1. Il titolare del trattamento conferisce al responsabile della protezione dei dati almeno i seguenti compiti:

a) informare il titolare del trattamento e i dipendenti che effettuano il trattamento degli obbligh

1. Il trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un Paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi verso un altro Paese terzo o un’altra organizzazione internazionale è consentito se:

a) il trasferimento è necessario per le finalità di cui all’articolo 1, comma 2;

1. Il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale è consentito se la Commissione europea ha deciso che i

1. In mancanza o in caso di revoca, modifica o sospensione di una decisione di adeguatezza di cui all’articolo 32, il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazion

1. In mancanza o in caso di revoca, modifica o sospensione di una decisione di adeguatezza ai sensi dell’articolo 32 o di garanzie adeguate di cui all’articolo 33, il trasferimento o una categoria di trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale sono consentiti se necessari per una delle seguenti finalità:

1. In deroga a quanto previsto dall’articolo 31, comma 1, lettera b), e fatti salvi eventuali accordi internazionali di cui al comma 2, le autorità competenti di cui all’articolo 2, comma 1, lettera g), numero 1), possono, in singoli e specifici casi previsti da norme di legge o di regolamento o dal diritto dell’Unione europea, trasferire dati personali direttamente a destinatari stabiliti in Paesi terzi se:

1. In relazione ai Paesi terzi e alle organizzazioni internazionali, sono adottate misure appropriate per le finalità di cui all’articolo 50 del reg

1. Il Garante è l’autorità di controllo incaricata di vigilare sull’applicazione delle norme di cui al presente decreto, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento di dati personali e di agevolare la libera circolazione dei dati all’interno dell’Unione europea.

2. Ai fini di cui al comma 1 sono attribuite al Garante le funzioni di cui all’articolo 154 del Codice ^N1, nonché le seguenti:

a) promozione di una diffusa conoscenza e della consapevolezza circa i rischi, le norme, le garanzie e i diritti in relazione al trattamento;

b) promozione della consapevolezza in capo ai titolari e responsabili del trattamento dell’importanza degli obblighi previsti dal presente decreto;

c) espressione di pareri nei casi previsti dalla legge;

1. Il Garante coopera con la Commissione europea al fine di contribuire alla coerente applicazione del diritto dell’Unione in materia di protezione dei dati personali, scambia con le autorità di controllo degli altri Stati membri le in

1. Fermo quanto previsto dall’articolo 37, comma 6, l’interessato, se ritiene che il trattamento dei dati personali che lo riguardano violi le disp

1. L’interessato può dare mandato a un ente del terzo settore soggetto alla disciplina del

1. Il titolare o il responsabile del trattamento sono tenuti, a norma dell’articolo 82 del regolamento UE, al risarcimento del danno patrimoniale o n

1. Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario, la violazione delle disposizioni di cui all’articolo 3, comma 1, lettere a), b), d), e) ed f), all’articolo 4, commi 2 e 3, all’articolo 6, commi 3 e 4, all’articolo 7, all’articolo 8, è punita con la sanzione amministrativa del pagamento di

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al

1. Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante riguardante il trattamento dei dati di cui all’ar

1. Chiunque, non osservando il provvedimento adottato dal Garante ai sensi dell’articolo 143, comma 1, lettera c), del Codice

1. La condanna per uno dei delitti previsti dal presente decreto importa la pubblicazione della sentenza, ai sensi dell’articolo 36, secondo e terzo

1. Nei casi in cui le autorità di pubblica sicurezza o le Forze di polizia possono acquisire in conformità alle vigenti disposizioni di legge o di regolamento dati, informazioni, atti e documenti da altri soggetti, l’acquisizione può essere effettuata anche per via telematica. A tal fine gli organi o uffici interessati possono avvalersi di convenzioni volte ad agevolare la consultazione da parte dei medesimi organi o uffici, mediante reti di comuni

1. Restano ferme le disposizioni di cui dall’articolo 10, commi 3, 4 e 5, della

1. Gli articoli 53, 54, 55 e 56 del Codice sono abrogati.

2. L’articolo 57 del Codice è ab

1. Dall’attuazione delle disposizioni di cui al presente decreto non devono derivare nuovi o maggiori oneri per la finanza pubblica. Le amministrazioni interessate provvedono agli adempimenti previsti dal presente decr