Decreto legislativo 28 dicembre 2001, n. 467
Disposizioni correttive ed integrative della normativa in materia di protezione dei dati personali, a norma dell'articolo 1 della legge 24 marzo 2001, n. 127

CAPO I (Modificazioni ed integrazioni alla legge n. 675/1996)

Art. 1 (Definizioni e diritto nazionale applicabile)
1. Agli effetti dell’applicazione del presente decreto si applicano le definizioni elencate nell’articolo 1, comma 2, della legge 31 dicembre 1996, n. 675. 2. Nell’articolo 2 della legge 31 dicembre 1996, n. 675, sono aggiunti i seguenti commi: "1-bis. La presente legge si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, mezzi situati nel territorio dello Stato anche diversi da quelli elettronici o comunque automatizzati, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. 1-ter. Nei casi di cui al comma 1-bis il titolare stabilito nel territorio di un Paese non appartenente all’Unione europea deve designare ai fini dell’applicazione della presente legge un proprio rappresentante stabilito nel territorio dello Stato.".

Art. 2 (Trattamenti per fini esclusivamente personali)
1. Nell’articolo 3, comma 2, della legge 31 dicembre 1996, n. 675, le parole: "le disposizioni di cui agli articoli 18 e 36" sono sostituite dalle seguenti: "l’articolo 18 ".

Art. 3 (Semplificazione dei casi e delle modalità di notificazione)
1. Nell’articolo 7, comma 1, della legge 31 dicembre 1996, n. 675, è aggiunto in fine il seguente periodo: "se il trattamento, in ragione delle relative modalità o della natura dei dati personali, sia suscettibile di recare pregiudizio ai diritti e alle libertà dell’interessato, e nei soli casi e con le modalità individuati con il regolamento di cui all’articolo 33, comma 3".
2. Nell’articolo 7, comma 2, della legge 31 dicembre 1996, n. 675, le parole: "indicati nel comma 4" sono sostituite dalle seguenti: "che devono essere indicati".
3. Nell’articolo 7, comma 4, lettera h), della legge 31 dicembre 1996, n. 675, le parole: "del responsabile;" sono sostituite dalle seguenti: "del rappresentante del titolare nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all’articolo 13; ".
4. Le disposizioni di cui all’articolo 7, commi 3, 4, 5, 5-bis, 5-ter, 5-quater e 5-quinquies, 13, comma 1, lett. b) e 28, comma 7, della legge 31 dicembre 1996, n. 675 sono abrogate a decorrere dalla data di entrata in vigore delle modifiche apportate al regolamento di cui all’articolo 33, comma 3, della medesima legge in applicazione del comma 1 del presente articolo. Art. 4 (Informativa all’interessato) 1. Nell’articolo 10, comma 1, lettera f), della legge 31 dicembre 1996, n. 675, le parole: "e, se designato, del responsabile" sono sostituite dalle seguenti: ", del suo rappresentante nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all’articolo 13, indicando il sito della rete di comunicazione o le modalità attraverso le quali è altrimenti conoscibile in modo agevole l’elenco aggiornato dei responsabili.".

Art. 5 (Misure precontrattuali e bilanciamento di interessi)
1. Nell’articolo 12, comma 1, lettera b), della legge 31 dicembre 1996, n. 675, le parole: "per l’acquisizione di informative precontrattuali attivate" sono sostituite dalle seguenti: "per l’esecuzione di misure precontrattuali adottate".
2. Nell’articolo 12, comma 1, della legge 31 dicembre 1996, n. 675, è inserita in fine la seguente lettera: "h-bis) è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato.".

Art. 6 (Limiti al diritto di accesso)
1. Nell’articolo 14, comma 1, della legge 31 dicembre 1996, n. 675, è aggiunta in fine la seguente lettera: "e-bis) da fornitori di servizi di telecomunicazioni accessibili al pubblico, limitatamente ai dati personali identificativi di chiamate telefoniche entranti, salvo che possa derivarne pregiudizio per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397.".

Art. 7 (Presupposti per la comunicazione e la diffusione dei dati)
1. Nell’articolo 20, comma 1, della legge 31 dicembre 1996, n. 675, dopo la lettera a) è inserita la seguente: "a-bis) qualora siano necessarie per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per l’esecuzione di misure precontrattuali adottate su richiesta di quest'ultimo,".
2. Nell’articolo 20, comma 1, della legge 31 dicembre 1996, n. 675, è inserita in fine la seguente lettera: "h-bis) limitatamente alla comunicazione, quando questa sia necessaria, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato.".

Art. 8 (Dati sensibili)
1. Nell’articolo 22 della legge 31 dicembre 1996, n. 675, dopo il comma 1-bis è inserito il seguente: "1-ter. Il comma 1 non si applica, altresì, ai dati riguardanti l’adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria".
2. Nell’articolo 22 della legge 31 dicembre 1996, n. 675, il comma 4 è sostituito dal seguente: "4. I dati personali indicati al comma 1 possono essere oggetto di trattamento previa autorizzazione del Garante: a) qualora il trattamento sia effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, confessioni e comunità religiose, per il perseguimento di fnalità lecite, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati o diffusi fuori del relativo ambito e l’ente, l’associazione o l’organismo determinino idonee garanzie relativamente ai trattamenti effettuati; b) qualora il trattamento sia necessario per la salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo, nel caso in cui l’interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità d’intendere o di volere; c) qualora il trattamento sia necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397 o, comunque, per far valere o difendere in sede giudiziaria un diritto, di rango pari a quello dell’interessato quando i dati siano idonei a rivelare lo stato di salute e la vita sessuale, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Il Garante prescrive le misure e gli accorgimenti di cui al comma 2 e promuove la sottoscrizione di un apposito codice di deontologia e di buona condotta secondo le modalità di cui all'articolo 31, comma 1, lettera h). Resta fermo quanto previsto dall'articolo 43, comma 2. ".

Art. 9 (Verifiche preliminari)
1. Dopo l’articolo 24 della legge 31 dicembre 1996, n. 675, è inserito il seguente: "Articolo 24-bis (Altri dati particolari) 1. Il trattamento dei dati diversi da quelli di cui agli articoli 22 e 24 che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante sulla base dei principi sanciti dalla legge nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, sulla base di un eventuale interpello del titolare.".

Art. 10 (Semplificazione e garanzie per i trasferimenti di dati personali all’estero)
1. Nell’articolo 28, comma 1, della legge 31 dicembre 1996, n. 675, le parole: "o riguardi taluno dei dati di cui agli articoli 22 e 24" sono sostituite dalle seguenti: "e ricorra uno dei casi individuati ai sensi dell’articolo 7, comma 1".
2. Nell’articolo 28, comma 3, della legge 31 dicembre 1996, n. 675, le parole da: "ovvero," fino alla fine del periodo sono soppresse.
3. Nell’articolo 28, comma 4, lettera b), della legge 31 dicembre 1996, n. 675, le parole: "per l’acquisizione di informative precontrattuali attivate" sono sostituite dalle seguenti: "per l’esecuzione di misure precontrattuali adottate".
4. Nell’articolo 28, comma 4, lettera g), della legge 31 dicembre 1996, n. 675, sono inserite in fine le seguenti parole: ", ovvero individuate dalla Commissione europea con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995".

Art. 11 (Misure per il trattamento illecito o non corretto)
1. Nella lettera c) del comma 1 dell’articolo 31 della legge 31 dicembre 1996, n. 675, la parola: "opportune" è sostituita dalle seguenti: "necessarie o opportune".
2. Nella lettera l) del comma 1 dell’articolo 31 della legge 31 dicembre 1996, n. 675, dopo la parola: "blocco" sono inserite le seguenti: "se il trattamento risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera c), oppure".

Art. 12 (Sanzione in tema di notificazione)
1. L’articolo 34 della legge 31 dicembre 1996, n. 675 è sostituito dal seguente: "Art. 34 (Omessa o incompleta notificazione) 1. Chiunque, essendovi tenuto, non provvede tempestivamente alle notificazioni in conformità a quanto previsto dagli articoli 7, 16, comma 1, e 28, ovvero indica in esse notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da lire dieci milioni a lire sessanta milioni e con la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione.".
2. Alle violazioni dell’articolo 34 della legge 31 dicembre 1996, n. 675, commesse prima dell’entrata in vigore del presente decreto si applicano, in quanto compatibili, le disposizioni di cui agli articoli 100, 101 e 102 del decreto legislativo 30 dicembre 1999, n. 507.

Art. 13 (Trattamento illecito di dati personali)
1. Nell’articolo 35, comma 2, della legge 31 dicembre 1996, n. 675, le parole: "comunica o diffonde" sono sostituite dalle seguenti: "procede al trattamento di" e le parole: "e 24, ovvero" sono sostituite dalle parole: ", 24 e 24-bis, ovvero".

Art. 14 (Omessa adozione di misure minime di sicurezza)
1. L'articolo 36 della legge 31 dicembre 1996, n. 675, è sostituito dal seguente: "Art. 36 (Omessa adozione di misure necessarie alla sicurezza dei dati) 1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con l'arresto sino a due anni o con l'ammenda da lire dieci milioni a lire ottanta milioni. 2. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, in quanto applicabili.".
2. Per i procedimenti penali per il reato di cui all’articolo 36 della legge 31 dicembre 1996, n. 675 in corso, entro quaranta giorni dall’entrata in vigore del presente decreto l’autore del reato può fare richiesta all’autorità giudiziaria di essere ammesso alla procedura indicata all’articolo 36, comma 2, della medesima legge n. 675 del 1996, come sostituito dal presente decreto. L’Autorità giudiziaria dispone la sospensione del procedimento e trasmette gli atti al Garante per la protezione dei dati personali che provvede ai sensi del medesimo articolo 36, comma 2.

Art. 15 (Inosservanza di provvedimenti di divieto o di blocco)
1. Nell’articolo 37, comma 1, della legge 31 dicembre 1996, n. 675, le parole: "o dell’articolo 29, commi 4 e 5," sono sostituite dalle seguenti: "o degli articoli 29, commi 4 e 5, e 31, comma 1, lettera l),".

Art. 16 (False comunicazioni e dichiarazioni)
1. Dopo l’articolo 37 della legge 31 dicembre 1996, n. 675, è inserito il seguente: "Art. 37-bis (Falsità nelle dichiarazioni e nelle notificazioni al Garante) 1. Chiunque, nelle notificazioni di cui agli articoli 7, 16, comma 1, e 28 o in atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.".

Art. 17 (Adeguamento di sanzioni amministrative)
1. Nell’articolo 39, comma 1, della legge 31 dicembre 1996, n. 675, le parole: "da lire un milione a lire sei milioni" sono sostituite dalle seguenti: "da lire cinquemilioni a lire trentamilioni".
2. L’articolo 39, comma 2, della legge 31 dicembre 1996, n. 675, è sostituito dal seguente: "2. La violazione delle disposizioni di cui all’articolo 10 è punita con la sanzione amministrativa del pagamento di una somma da lire tre milioni a lire diciotto milioni o, nei casi di cui agli articoli 22, 24 e 24-bis o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da lire cinque milioni a lire trenta milioni. La somma può essere aumentata sino al triplo quando essa risulti inefficace in ragione delle condizioni economiche del contravventore. La violazione della disposizione di cui all’articolo 23, comma 2, è punita con la sanzione amministrativa del pagamento di una somma da lire cinquecentomila a lire tre milioni.".
3. Nell’articolo 39, comma 3, della legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni, le parole: "presente articolo" sono sostituite dalle seguenti: "presente capo".

Art. 18 (Adeguamento dei trattamenti alla disciplina comunitaria)
1. Nell’articolo 41, comma 1, della legge 31 dicembre 1996, n. 675, è aggiunto in fine il seguente periodo: "Le disposizioni del presente comma restano in vigore sino alla data del 30 giugno 2003.".

Art. 19 (Investigazioni difensive)
1. Negli articoli 10, comma 4, 12, comma 1, lettera h), 20, comma 1, lettera g) e 28, comma 4, lettera d), le parole: "investigazioni di cui all'articolo 38 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271, e successive modificazioni," sono sostituite dalle parole: "investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397,".

CAPO II (Attuazione dei principi di protezione dei dati in determinati settori)

Art. 20 (Codici di deontologia e di buona condotta)
1. Al fine di garantire la piena attuazione dei principi previsti dalla disciplina in materia di trattamento dei dati personali, ai sensi dell’articolo 31, comma 1, lett. h), della legge 31 dicembre 1996, n. 675, il Garante promuove entro il 30 giugno 2002 la sottoscrizione di codici di deontologia e di buona condotta per i soggetti pubblici e privati interessati al trattamento dei dati personali nei settori indicati al comma 2, tenendo conto della specificità dei trattamenti nei diversi ambiti, nonché dei criteri direttivi delle raccomandazioni del Consiglio d’Europa indicate nell’articolo 1, comma 1, lettera b), della legge 31 dicembre 1996, n. 676.
2. I codici di cui al comma 1 riguardano il trattamento di dati personali:
a) effettuati da fornitori di servizi di comunicazione e informazione offerti per via telematica, con particolare riguardo ai criteri per assicurare ed uniformare una più adeguata informazione e consapevolezza degli utenti delle reti di telecomunicazione gestite da soggetti pubblici e privati rispetto ai tipi di dati personali trattati e alle modalità del loro trattamento, in particolare attraverso informative fornite in linea in modo agevole ed interattivo, per favorire una più ampia trasparenza e correttezza nei confronti dei medesimi utenti e il pieno rispetto dei principi di cui all’articolo 9 della legge 31 dicembre 1996, n. 675, anche ai fini dell’eventuale rilascio di certificazioni attestanti la qualità delle modalità prescelte e il livello di sicurezza assicurato;
b) necessari per finalità previdenziali o per la gestione del rapporto di lavoro, prevedendo anche specifiche modalità per l’informativa all’interessato e per l’eventuale prestazione del consenso relativamente alla pubblicazione di annunci per finalità di occupazione e alla ricezione di curricula contenenti dati personali anche sensibili;
c) effettuato a fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva, prevedendo anche, per i casi in cui il trattamento non presuppone il consenso dell’interessato, forme semplificate per manifestare e rendere meglio conoscibile l’eventuale dichiarazione di non voler ricevere determinate comunicazioni;
d) svolto a fini di informazione commerciale, prevedendo anche, in correlazione con quanto previsto dall’articolo 10, comma 4, della legge 31 dicembre 1996, n. 675, modalità semplificate per l’informativa all’interessato e idonei meccanismi per favorire la qualità e l’esattezza dei dati raccolti e comunicati;
e) effettuato nell’ambito di sistemi informativi di cui sono titolari soggetti privati, utilizzati a fini di concessione di crediti al consumo o comunque riguardanti l’affidabilità e la puntualità nei pagamenti da parte degli interessati, individuando anche specifiche modalità per favorire la comunicazione di dati personali esatti e aggiornati nel rispetto dei diritti dell’interessato;
f) provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, anche individuando i casi in cui debba essere indicata la fonte di acquisizione dei dati e prevedendo garanzie appropriate per l’associazione di dati provenienti da più archivi, tenendo presente quanto previsto dalla Raccomandazione del Consiglio d’Europa N. R (91) 10 in relazione all’articolo 9 della legge 31 dicembre 1996, n. 675;
g) effettuato con strumenti automatizzati di rilevazione di immagini, prevedendo specifiche modalità di trattamento e forme semplificate di informativa all’interessato per garantirne la liceità e la correttezza anche in riferimento a quanto previsto dall’articolo 9 della legge 31 dicembre 1996, n. 675.
3. Il rispetto delle disposizioni in essi contenute costituisce condizione essenziale per la liceità del trattamento dei dati. 4. I codici sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante e riportati in allegato al testo unico delle disposizioni in materia previsto dall’articolo 1, comma 4, della legge 24 marzo 2001, n. 127.

CAPO III (Modificazioni ed integrazioni al d.lg. n. 171/1998)

Art. 21 (Modalità di pagamento alternative alla fatturazione)
1. All’articolo 5, comma 1, del decreto legislativo 13 maggio 1998, n. 171, le parole: "consentono che" è sostituita dalle seguenti: "sono tenuti a predisporre ogni misura idonea affinché ".
2. Dopo il comma 1 dell’articolo 5 del decreto legislativo 13 maggio 1998, n. 171, è inserito il seguente: "1-bis. I fornitori di cui al comma 1 sono tenuti a documentare al Garante, entro il 30 giugno 2002, le misure predisposte. In caso di mancata documentazione si applica la sanzione amministrativa prevista dall’articolo 39, comma 1, della legge 31 dicembre 1996, n. 675. In mancanza di idonee misure il Garante provvede altresì ai sensi dell’articolo 31, comma 1, lettere c) ed l), della medesima legge.".

Art. 22 (Informazione al pubblico sull’identificazione della linea chiamante e collegata)
1. All’articolo 6, comma 6, del decreto legislativo 13 maggio 1998, n. 171, le parole "di tale servizio" sono sostituite dalle seguenti: "di tale servizio e delle possibilità previste ai commi 1, 2, 3 e 4".

Art. 23 (Chiamate di emergenza) 1. L’articolo 7 del decreto legislativo 13 maggio 1998, n. 171, è così modificato: a) la rubrica è sostituita dalla seguente: "Chiamate di disturbo e di emergenza"; b) dopo il comma 2, è aggiunto il seguente: "2-bis. Il fornitore di una rete di telecomunicazioni pubblica o di un servizio di telecomunicazioni accessibili al pubblico deve predisporre procedure adeguate e trasparenti per garantire, linea per linea, l’annullamento della soppressione dell’identificazione della linea chiamante da parte dei servizi abilitati a ricevere chiamate d’emergenza.".

Art. 24 (Disposizioni transitorie)
1. Le disposizioni di cui agli articoli 3, comma 3, 4, 22 e 23 del presente decreto si applicano a decorrere dal 1 marzo 2002.
2. I provvedimenti attuativi delle disposizioni di cui agli articoli 5, comma 2, e 9 sono adottati, in sede di prima applicazione del presente decreto, entro centoventi giorni a decorrere dal 1 ottobre 2002.
3. In sede di prima applicazione della disposizione di cui alla lettera a) del comma 4 dell’articolo 22 della legge 31 dicembre 1996, n. 675, introdotta dall’articolo 8 del presente decreto, le garanzie previste nella medesima lettera a) sono determinate dall’associazione, dall’ente o dall’organismo entro il 30 giugno 2002.

Art. 25 (Entrata in vigore) 1. Le disposizioni di cui al presente decreto entrano in vigore il 1 febbraio 2002.