Camera dei deputati - XVI Legislatura - Dossier di documentazione (Versione per stampa)
Autore: Servizio Studi - Dipartimento giustizia
Altri Autori: Servizio Studi - Dipartimento trasporti
Titolo: Schema di decreto legislativo recante attuazione della direttiva 2009/136/CE in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche - Schema di D.Lgs. n. 462 - (art. 9, commi 1, 2 e 4, e art. 24, comma 1, L. 217 del 15 dicembre 2011 Elementi per l'istruttoria normativa
Riferimenti:
L N. 217 DEL 15-DIC-11   L N. 217 DEL 15-DIC-11
SCH.DEC 462/XVI     
Serie: Atti del Governo    Numero: 412
Data: 14/05/2012
Descrittori:
DIRETTIVE DELL'UNIONE EUROPEA   INFORMAZIONI E INDAGINI PERSONALI
L 2011 0217   TELECOMUNICAZIONI
TUTELA DELLA RISERVATEZZA     
Organi della Camera: II-Giustizia
IX-Trasporti, poste e telecomunicazioni

 

14 maggio 2012

 

n. 412/0

 

 

Schema di decreto legislativo recante attuazione della direttiva 2009/136/CE in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche

Schema di D.Lgs. n. 462
(art. 9, commi 1, 2 e 4, e art. 24, comma 1, L. 217 del 15 dicembre 2011

Elementi per l’istruttoria normativa

 

Numero dello schema di decreto legislativo

462

Titolo

Schema di decreto legislativo recante attuazione della direttiva 2009/136/CE recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori

Norma di delega

Art. 9, co. 1, 2 e 4, e 24, L. n. 217 del 2011 (Legge Comunitaria 2010)

Numero di articoli

3

Date:

 

presentazione

13 aprile 2012

assegnazione

16 aprile 2012

termine per l’espressione del parere

26 maggio 2012

termine per l’esercizio della delega

17 luglio 2012

Commissione competente

II Giustizia e IX Trasporti

Rilievi di altre Commissioni

XIV Politiche unione europea e V Bilancio

 

 

Contenuto

L’articolo 9 della legge comunitaria 2010 (L. n. 217 del 2011) reca una delega al Governo per il recepimento nell’ordinamento interno di due direttive in materia di comunicazioni elettroniche: le direttive 2009/136/CE e 2009/140/CE del Parlamento Europeo e del Consiglio.

La direttiva 2009/136/CE, in particolare, modifica - all’art. 2 - il quadro normativo comunitario dettato dalla Dir. 2002/58/CE in materia di trattamento dei dati personali nel settore delle comunicazioni elettroniche, attuato nel nostro ordinamento con il cd. Codice della privacy, il D.Lgs n. 196/2003.

Lo schema di decreto legislativo in esame è, quindi, volto a dare attuazione all’art. 2 della citata Direttiva 2009/136/CE (il cui termine di recepimento era il 25 maggio 2011) allo scopo di adeguare il quadro normativo nazionale a quello comunitario che - sulla base della strategia (EU2020) e delle linee direttrici della cd. “Agenda digitale europea” - prevede una maggior tutela dei consumatori contro le violazioni dei dati personali e lo spam nel settore delle comunicazioni elettroniche.

 

Si ricorda che è stata istituita il 1° marzo 2012 un’apposita Cabina di Regia, con il compito di accelerare il percorso di attuazione dell'Agenda digitale italiana. La Cabina ha aperto una consultazione pubblica, dall'11 aprile all'11 maggio 2012, a cui possono partecipare tutti i soggetti interessati, compresi i singoli cittadini, per la definizione delle politiche di sviluppo del Paese basate sull'economia digitale. La consultazione è divisa per aree tematiche: infrastrutture e sicurezza, e-Commerce, alfabetizzazione digitale e competenze digitali, e-Government, ricerca & innovazione e smart cities & communities. Entro il 30 giugno 2012 la Cabina di Regia dovrà produrre la relazione “la strategia italiana per un’Agenda digitale” che si tradurrà concretamente in progetti operativi e in un pacchetto normativo – che si chiamerà “Decreto DigItalia”.

Tra le azioni annunciate dal Governo nel Documento di Economia e Finanza 2012, nell’ambito dell’agenda digitale vi sono in particolare:

-              le azioni per garantire la sicurezza nella gestione dell’identità digitale dei cittadini, la promozione della posta elettronica certificata e della firma digitale;

-              la definizione di progetti operativi per la sicurezza dei pagamenti elettronici al fine di contribuire allo sviluppo dell’e-commerce, ancora poco utilizzato nel nostro paese. Dai dati riportati nel DEF risulta che la percentuale di popolazione che ha fatto almeno un acquisto on-line negli ultimi 12 mesi è del 15% contro una media europea del 43%. E’ in particolare prevista l’attivazione di meccanismi di allerta e di notifica al cittadino di attacchi informatici e l’istituzione di un centro nazionale denominato CERT (Computer Emergency Response Team) che supporti la P.A., le imprese e i cittadini in caso di attacchi e lavori al miglioramento della protezione delle infrastrutture nazionali.

 

L’adeguamento alla Direttiva 2009/136/CE avviene, in base al provvedimento in esame, mediante modifiche ed integrazioni al citato D.Lgs n. 196 del 2003 (Codice in materia di protezione dei dati personali).

I prevalenti profili dell’intervento riguardano sia un rafforzamento della disciplina a tutela dei dati personali degli utenti che una maggiore responsabilizzazione in tal senso dei fornitori dei servizi di telecomunicazione ed accesso ad Internet. In particolare, come sottolineato dalla relazione di accompagnamento al provvedimento, per la prima volta in Europa si prevedono obblighi di notifica alle autorità e ai clienti delle eventuali violazioni di dati personali.

Specifiche disposizioni riguardano, poi, le informazioni da fornire agli utenti sui cd. cookies ovvero le stringhe di testo che memorizzano le scelte di navigazione sulla rete Internet.

 

Sullo schema in esame il Garante per la protezione dei dati personali ha espresso il proprio parere favorevole con alcune osservazioni e raccomandazioni[1] il 29 marzo 2012.

 

Nel parere del Garante, le osservazioni riguardavano - oltre ad una modifica formale dell’art. 1, comma 9, dello schema di decreto - la necessità, nell’art. 1, comma 5, di informare il contraente del suo diritto ad esprimere il preventivo consenso per l’archiviazione in un terminale delle informazioni che lo riguardano (o l’accesso a informazioni già archiviate) facendo pieno riferimento all’art. 13 del Codice.

Le raccomandazioni, invece, erano relative:

-  alla possibile sostituzione nel Codice del termine abbonato con quello di contraente;

- nella opportunità di delineare con chiarezza il quadro giuridico riferibile alla figura dell’abbonato-persona giuridica; ciò in quanto, sia la normativa europea (dir 2002/58CE) che quella nazionale non escludono le persone giuridiche dalla nozione di abbonato ad un servizio di comunicazione elettronica, con il conseguente diritto ad usufruire delle garanzie sul trattamento dei dati personali offerto dal Codice. In effetti, tale diritto non emerge con chiarezza dall’attuale formulazione del Codice in quanto la tutela amministrativa e giudiziaria è assicurata al solo interessato-persona fisica (art. 141); va, inoltre, ricordato come il DL 201/2011 (cd. salva-Italia) escludendo le imprese da una serie di adempimenti amministrativi in materia di privacy ha, nel contempo privato le persone giuridiche delle garanzie offerte dal Codice.

Tale ultima raccomandazione del Garante non risulta recepita nel testo dello schema di decreto in esame

 

Lo schema consta di 3 articoli. Essendo gli artt. 2 e 3 relativi, rispettivamente, all’invarianza finanziaria e all’entrata in vigore, l’intervento sostanziale si concentra nell’art. 1, interamente modificativo di disposizioni del più volte citato D.Lgs n. 196/2003, Codice della privacy (da ora in poi: Codice).

 

L’articolo 1 è composto da 13 commi.

Il comma 1 novella l’art. 4 del Codice che adegua le definizioni (chiamata telefonica, reti di comunicazione elettronica, rete pubblica di comunicazioni) a quelle attualmente adottate nell’ordinamento comunitario e contenute nella versione consolidata della direttiva 2002/58/CE, modificata dall'art. 2 della direttiva 2009/136; in particolare è aggiunta la definizione di “violazione di dati personali” (comma 3, lett. g-bis), funzionale al rafforzamento del diritto alla privacy degli utenti delle reti che il provvedimento intende perseguire (art. 2, par. 2, della direttiva).

Si segnala inoltre, ai sensi del successivo comma 12 (vedi ultra) la sostituzione, nell’intero Codice, della definizione di “abbonato” (comma 2, lett. f) con quello di “contraente”.

 

Il comma 2 dell’art. 1 modifica l’art. 32 del Codice in materia di titolarità ed obblighi in tema di sicurezza dei dati.

Oltre ad una modifica della rubrica (lett. a) che esplicitamente viene riferita ai fornitori di un servizio di comunicazione elettronica accessibile al pubblico, il riformulato comma 1 estende anche agli altri soggetti cui sia affidata l’erogazione del servizio, gli obblighi di adozione di adeguate misure di sicurezza dei dati personali (di cui all’art. 31)[2] oltre a quelli di comunicazione previsti dal nuovo art. 32-bis del Codice, introdotto dal comma 3 dell’art. 1 (lett. b).

Lo stesso comma 2 aggiunge, dopo il primo, due commi all’art. 32 con cui si prevede (lett. c), in attuazione dell’art. 2, par. 4, lett. b) della direttiva:

-          che, dai fornitori dei servizi di comunicazione elettronica - fermi restando gli altri obblighi di sicurezza - sia garantito l’accesso ai dati del solo personale autorizzato per fini legalmente autorizzati (comma 1-bis); la disposizione integra le previsioni dell’art. 30 del Codice[3];

-          che le misure di sicurezza garantiscano che i dati relativi al traffico e all’ubicazione nonché gli altri dati archiviati o trasmessi siano protetti da distruzione e perdita, anche accidentali, da archiviazione, trattamento accesso o divulgazione non autorizzati o illeciti nonché che sia assicurata una politica di sicurezza (comma 1-ter).

Come accennato, il comma 3 dell’art. 1 dello schema di decreto aggiunge al Codice un art. 32-bis, che detta una serie di adempimenti cui i fornitori dei servizi di comunicazione elettronica sono obbligatoriamente tenuti in caso di violazione di dati personali (art. 2, par. 4, lett. c) della direttiva).

Si tratta sostanzialmente dell’obbligo di comunicazione, senza indebito ritardo, dell’avvenuta violazione:

§         al Garante della privacy;

§         e all’interessato, contraente del servizio.

La comunicazione del fornitore al contraente non è obbligatoria nel caso di dati protetti dallo stesso fornitore e quindi inintelligibili a un eventuale soggetto che vi abbia indebitamente accesso. Nonostante la citata protezione, la comunicazione rimane invece obbligatoria quando la violazione dei dati possa arrecare pregiudizio anche ad una terza persona (cui sarà estesa la comunicazione) ovvero quando il Garante ritenga comunque che la violazione possa avere “presumibili ripercussioni negative”.

L’art. 32-bis precisa, altresì, Il contenuto della comunicazione al contraente o ad altra persona (ovvero la natura della violazione dei dati personali, le misure raccomandate per minimizzare le conseguenze della violazione nonché l’indicazione dei punti di contatto del fornitore presso cui ottenere maggiori informazioni). La comunicazione al Garante della privacy contiene, invece, le conseguenze della violazione nonché le misure apprestate dal fornitore per porvi rimedio

Il nuovo art. 32-bis prevede, poi, che lo stesso Garante possa emanare istruzioni sugli obblighi di comunicazione delle violazioni da parte del fornitore e che quest’ultimo debba tenere un aggiornato inventario delle violazioni dei dati personali, per finalità di controllo da parte dello stesso Garante.

 

Il successivo comma 4 dell’art. 1 integra la formulazione dell’art. 121 del Codice estendendo l’ambito di applicazione della disciplina del titolo IX (Comunicazioni elettroniche) ai servizi di comunicazione elettronica accessibili al pubblico che supportano i dispositivi di raccolta e di identificazione dei dati (art. 2, par. 3, della direttiva).

 

Il comma 5 novella l’art. 122 del Codice, relativo all’utilizzo delle informazioni raccolte nei riguardi dell'abbonato (recte: del contraente, cfr. comma 12) o dell'utente (si tratta della citata modifica relativa all’uso indesiderato dei cookies).

Attualmente, il comma 1 dell’art. 122 vieta l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente. La disposizione è modificata prevedendo - secondo le previsioni dell’art. 2, par. 5, della direttiva - che l’accesso alle suddette informazioni è condizionato al preventivo consenso dell’interessato (da esprimere oralmente o per iscritto, ex art. 13 del Codice); In tal modo, in conformità alla direttiva 2009/136/CE viene introdotto il principio dell’opt-in (consenso al trattamento) in luogo di quello dell’opt-out (rifiuto o opposizione al trattamento); fanno eccezione a tale regola le semplici archiviazioni tecniche di dati e le trasmissioni effettuate a seguito di un servizio richiesto dallo stesso interessato al fornitore. Il nuovo comma 2-bis introduce, infatti, il generale divieto dell’uso di una rete di comunicazione elettronica per accedere ad informazioni archiviate nel terminale di un utente o contraente a fini di archiviazione delle informazioni stesse o di monitorare le operazioni compiute (ad es.. l’elenco dei siti visitati). Ad integrazione del contenuto del nuovo comma 1, il comma 2 dell’art. 122 (che ora individua i limitati casi in cui i Codici deontologici degli Internet providers permettono temporaneamente l’accesso e il trattamento delle informazioni memorizzate nei terminali degli utenti da parte degli stessi fornitori sulla base del consenso dello stesso utente) è modificato prevedendosi che, per l’espressione del consenso, possano utilizzarsi specifiche configurazioni di programmi o dispositivi di facile utilizzabilità da parte dell’utente e del contraente.

 

Il comma 6 dell’art. 1 novella il comma 3 dell’art. 123 del Codice precisando che il consenso del contraente o utente al trattamento temporaneo dei suoi dati da parte del fornitore del servizio di comunicazione elettronica a fini commerciali o per la fornitura di servizi a valore aggiunto, deve essere manifestato preliminarmente; il trattamento, quindi, potrà avvenire solo dopo il consenso dell’avente diritto (art. 2, par. 6, della direttiva).

 

Il comma 7 modifica i commi 1 e 5 dell’art. 130 del Codice in materia di comunicazioni indesiderate ((art. 2, par. 7, della direttiva).

Il citato comma 1 consente solo con il consenso dell’interessato l’uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. In particolare, è premesso a tale comma un periodo che fa salva la disciplina degli artt. 8 e 21 del D.Lgs n. 70/2003 ovvero l’adempimento degli obblighi di specifica informativa[4] per le informazioni commerciali e l’applicazione delle relative sanzioni (sanzione amministrativa pecuniaria da 103 euro a 10.000 euro, limiti raddoppiabili in caso di particolare gravità o di recidiva).

Una ulteriore modifica riguarda il comma 5 che, nell’attuale formulazione, vieta in ogni caso l'invio di comunicazioni per le finalità commerciali o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di accesso (cancellazione, rettifica, ecc.) ai propri dati personali.

Nel comma 5 è inserito il richiamo al citato art. 8 del D.Lgs n. 70/2003 (quindi agli obblighi di informativa specifica) nonché il divieto delle comunicazioni commerciali con cui si invita l’utente o il contraente a visitare siti web che non rispettano i predetti obblighi di informativa.

 

Il comma 8 dell’art. 1 aggiunge al Codice della privacy l’art. 132-bis, rubricato “Procedure istituite dai fornitori” con cui si prevede l’obbligo per questi ultimi di regolamentare la prassi interna per adempiere alle richieste degli utenti di accesso ai propri dati personali. La norma stabilisce, altresì, obblighi informativi nei confronti del Garante della privacy, che può richiedere ai fornitori notizie sulle procedure istituite, sul numero di richieste ricevute, sulle risposte fornite (art. 2, par. 9, della direttiva)

 

Una ulteriore disposizione (art. 162-ter) è aggiunta al Codice dal comma 9.

La norma detta il quadro sanzionatorio per le violazioni dell’art. 32-bis del Codice (aggiunto dal comma 3 dell’art. 1) ovvero per le infrazioni degli obblighi dei fornitori di servizi di comunicazione elettronica a seguito di una violazione di dati personali (art. 2, par. 10, della direttiva). Si prevedono le seguenti sanzioni amministrative pecuniarie a carico dei fornitori:

§         da 25.000 a 150.000 euro per la mancata tempestiva comunicazione al Garante della violazione di dati personali (comma 1);

§         da 150 a 1.000 euro per ogni omissione o ritardata comunicazione della violazione agli interessati (contraente a altra persona); dal riferimento alla non applicazione dell’art. 8 della legge n. 689/1981 consegue l’impossibilità di triplicare la sanzione in caso di pluralità di violazioni. Un ulteriore limite quantitativo della sanzione deriva dall’impossibilità per  quest’ultima di superare il 5% del volume d’affari del fornitore (riferito all’ultimo esercizio chiuso prima della notifica della contestazione della violazione). All’applicabilità della disciplina dell’art. 164-bis del Codice consegue, di converso, il possibile aumento fino al quadruplo delle sanzioni quando queste possono risultare inefficaci in ragione delle condizioni economiche del contravventore (commi 2 e 3);

§         da 20.000 a 120.000 euro per la mancata tenuta dell’inventario delle violazioni di dati personali.

 

Le sanzioni indicate sono irrogabili anche ai soggetti cui il fornitore abbia affidato l’erogazione dei servizi ove questi non abbiano tempestivamente comunicato al fornitore le informazioni necessarie per adempiere agli obblighi di comunicazione all’interessato previsti dal nuovo art. 32-bis (v. art. 1, comma 3) a seguito dell’avvenuta violazione dei suoi dati personali.

 

Il comma 10 integra il contenuto del comma 1 dell’art. 164-bis del Codice prevedendo ipotesi di minore gravità anche per gli illeciti puniti dal nuovo art. 162-ter (ovvero le violazioni di dati personali compiute dai fornitori dei servizi di comunicazione).

Nelle ipotesi meno gravi, avuto anche riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi delle sanzioni amministrative pecuniarie stabilite dall’art. 162-ter sono, quindi, applicati in misura pari a due quinti.

 

Il comma 11 aggiorna l’art. 168 del Codice (Falsità nelle dichiarazioni e notificazioni al Garante) in relazione al nuovo art. 32-bis prevedendo come reato le false dichiarazioni o attestazioni di notizie o circostanze (o produzione di atti o documenti falsi):

§         nella comunicazione al Garante della privacy dell’avvenuta violazione di dati personali (art. 32-bis, comma 1) da parte del fornitore dei servizi di comunicazione elettronica;

§         nella comunicazione al fornitore, ai fini degli adempimenti conseguenti alla violazione di dati personali, da parte del soggetto cui il fornitore stesso abbia affidato l’erogazione del servizio (art. 32-bis, comma 8).

Entrambi gli illeciti sono puniti con la reclusione da sei mesi a tre anni.

 

Ai sensi del successivo comma 12, alla definizione di “abbonato” è sostituita quella di “contraente”, ritenuta maggiormente aderente alla natura contrattuale del rapporto col fornitore del servizio di comunicazione elettronica.

Attualmente, l’art. 4, comma 2, lett. f) del Codice definisce «abbonato», qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate

 

Infine, gli articoli 2 e 3 dello schema di decreto sono relativi, rispettivamente, alla disposizione finanziaria e all’entrata in vigore del provvedimento

 

 

Relazioni e pareri allegati

Allo schema sono allegate la relazione illustrativa, quella tecnico-finanziaria, l’AIR (analisi d’impatto della regolamentazione) l’ATN (Analisi tecnico-normativa) ed il Parere del garante sullo schema di decreto. L’AIR da conto anche dei risultati di una consultazione sul testo dello schema offerta da una numerosa serie di imprese ed associazioni operanti nel settore delle comunicazioni elettroniche

 

Conformità con la norma di delega

Il provvedimento appare conforme alla norma di delega.

 

Rispetto delle competenze legislative costituzionalmente definite

La materia rientra nella competenza legislativa esclusiva dello Stato, ai sensi della lettera l) (ordinamento civile e penale), secondo comma, dell’articolo 117 Cost.

 

Compatibilità comunitaria

Procedure di contenzioso
(a cura dell'Ufficio Rapporti con l'Unione europea)

Il 24 novembre 2011 la Commissione europea ha inviato all’Italia un parere motivato in quanto sei mesi dopo il termine previsto (25 maggio 2011), non ha ancora recepito nel diritto interno la direttiva 2009/136/UE (procedura 2011/847), recante modifica delle direttive: 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica; 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche; e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori relativa ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica.

 

Documenti all’esame delle istituzioni dell’Unione europea
(a cura dell'Ufficio Rapporti con l'Unione europea)

Il 25 gennaio 2012 la Commissione europea ha presentato un pacchetto di proposte volte all’istituzione di un nuovo quadro giuridico europeo per la protezione dei dati personali nell’Unione europea, comprendente:

           la  proposta di regolamento (COM(2012)11) concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) che abroga la direttiva 95/46/CE;

           la proposta di direttiva (COM(2012)10) concernente la tutela della persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini della prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati, che abroga la decisione quadro 2008/977/GAI.

Tra le disposizioni della proposta di regolamento generale sulla protezione dei dati riguardanti aspetti di particolare rilievo  sul piano delle comunicazioni elettroniche si segnala che:

           l’articolo 17 introduce il diritto all’oblio in aggiunta a quello della cancellazione dei dati. In particolare l’interessato avrà il diritto di ottenere dal responsabile del trattamento la cancellazione di dati personali che lo riguardano e la rinuncia a un’ulteriore diffusione di tali dati.  Qualora abbia reso pubblici dati personali, il responsabile del trattamento è tenuto ad informare i terzi che stanno trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

           l’articolo 20 sancisce il diritto di non essere sottoposto a misure basate sulla profilazione, ampliando il contenuto della direttiva 95/46/CE,  sulla base  della raccomandazione del Consiglio d’Europa sulla profilazione. In particolare, si stabilisce che chiunque ha il diritto di non essere sottoposto a una misura che produca effetti giuridici o significativamente incida sulla sua persona, basata unicamente su un trattamento automatizzato destinato a valutare taluni aspetti della sua personalità o ad analizzarne o prevederne in particolare il rendimento professionale, la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento. La profilazione è consentita  soltanto se il trattamento:

a) è effettuato nel contesto della conclusione o dell’esecuzione di un contratto, oppure

b) è espressamente autorizzato da disposizioni del diritto dell’Unione o di uno Stato membro che precisi altresì misure adeguate a salvaguardia dei legittimi interessi dell’interessato, oppure

c) si basa sul consenso dell’interessato.

           gli articoli 31 e 32 introducono l’obbligo di notificazione e comunicazione delle violazioni di dati personali, sviluppando la notificazione prevista all’articolo 4, paragrafo 3, della direttiva 2002/58/CE (Direttiva relativa alla vita privata e alle comunicazioni elettroniche). In particolare l’articolo  31 stabilisce che in caso di violazione dei dati personali, il responsabile del trattamento notifichi  la violazione all’autorità di controllo senza ritardo, ove possibile entro 24 ore dal momento in cui ne è venuto a conoscenza. L’articolo 32 (Comunicazione di una violazione dei dati personali all’interessato) stabilisce che, quando la violazione dei dati personali rischia di pregiudicare i dati personali o di attentare alla vita privata dell’interessato, il responsabile del trattamento, dopo aver provveduto alla notificazione, comunichi  la violazione all’interessato senza ingiustificato ritardo.

           l’articolo 79 specifica i livelli massimi (da 250.000 a un milione di euro, e per le imprese, dallo 0,5% al 2% del fatturato mondiale annuo) per le sanzioni pecuniarie amministrative, che le autorità di controllo nazionali saranno abilitate a comminare a seconda del tipo di violazione

 

Formulazione del testo

Con riguardo all’art. 1, comma 12, che sostituisce la parola “abbonato” con la parola “contraente” nel decreto legislativo n. 196/2003, sembra opportuno specificare che ciò debba avvenire “ovunque ricorra” tale espressione.

Inoltre, pare necessario precisare che analoga modifica dovrebbe riguardare le parole “abbonati” e “contraenti”.

 

 

 

 

 

Servizio Studi – Dipartimento Giustizia

( 066760- 9559 – * st_giustizia@camera.it

I dossier dei servizi e degli uffici della Camera sono destinati alle esigenze di documentazione interna per l'attività degli organi parlamentari e dei parlamentari. La Camera dei deputati declina ogni responsabilità per la loro eventuale utilizzazione o riproduzione per fini non consentiti dalla legge.

File: GI0755_0.DOC

 


[1] Le osservazioni del Garante – riferisce la relazione del Governo - sono state in gran parte recepite dallo schema di decreto in esame.

[2] Si tratta degli obblighi di trattamento dei dati in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

[3] L’art. 30 prevede che le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. La designazione è effettuata per iscritto e individua puntualmente l'àmbito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima

[4] L’art. 8 del D.Lgs 70/2003 (Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell'informazione nel mercato interno, con particolare riferimento al commercio elettronico) stabilisce che, in aggiunta agli obblighi informativi previsti per specifici beni e servizi, le comunicazioni commerciali che costituiscono un servizio della società dell'informazione o ne sono parte integrante, devono contenere, sin dal primo invio, in modo chiaro ed inequivocabile, una specifica informativa, diretta ad evidenziare: a) che si tratta di comunicazione commerciale; b) la persona fisica o giuridica per conto della quale è effettuata la comunicazione commerciale; c) che si tratta di un'offerta promozionale come sconti, premi, o omaggi e le relative condizioni di accesso; d) che si tratta di concorsi o giochi promozionali, se consentiti, e le relative condizioni di partecipazione (art. 8, D.Lgs 70/2003).