Decreto Legislativo 28 maggio 2012 n.69 “Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita’ nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.”.

image_pdfimage_print

DECRETO LEGISLATIVO 28 maggio 2012 , n. 69

Modifiche al decreto legislativo 30  giugno  2003,  n.  196,  recante  codice in materia di protezione  dei  dati  personali  in  attuazione delle direttive 2009/136/CE,  in  materia  di  trattamento  dei  dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche,  e  2009/140/CE  in  materia  di  reti  e  servizi   di comunicazione elettronica e del regolamento (CE) n. 2006/2004  sulla cooperazione tra le autorita’ nazionali responsabili  dell’esecuzione della normativa a tutela dei consumatori.

 

(pubblicato in Gazzetta Ufficiale n.126 del 31 maggio 2012)

IL PRESIDENTE DELLA REPUBBLICA 

Visti gli articoli 76 e 87 della Costituzione;

Visti gli articoli 9 e 24 della legge 15 dicembre  2011,  n.  217, recante disposizioni per l’adempimento di obblighi   derivanti dall’appartenenza  dell’Italia alle Comunita’  europee   –   Legge comunitaria 2010;

Visto il Codice in materia di protezione dei dati personali di  cui al  decreto  legislativo 30  giugno  2003,  n.  196,  e   successive modificazioni;

Vista  la  direttiva  2002/58/CE  del  Parlamento  europeo  e   del Consiglio del 12  luglio  2002,  relativa  al trattamento  dei dati personali e alla tutela della vita privata nel settore  delle comunicazioni elettroniche;

Vista  la  direttiva  2009/136/CE  del  Parlamento  europeo  e  del Consiglio del 25 novembre  2009,  recante  modifica  della  direttiva 2002/22/CE relativa al servizio universale e ai diritti degli  utenti in materia di reti e di servizi di comunicazione  elettronica,  della direttiva 2002/58/CE relativa al trattamento  dei  dati  personali  e alla tutela  della  vita  privata  nel  settore  delle  comunicazioni elettroniche e del regolamento (CE) n. 2006/2004  sulla  cooperazione tra  le  autorita’  nazionali  responsabili   dell’esecuzione   della normativa a tutela dei consumatori;

Vista la direttiva 2009/140/CE del Parlamento e del  Consiglio  del 25 novembre 2009, recante modifica  delle  direttive  2002/21/CE  che istituisce un quadro normativo comune per le reti  ed  i  servizi  di comunicazione elettronica, 2002/19/CE relativa all’accesso alle  reti di  comunicazione   elettronica   e   alle   risorse   correlate,   e all’interconnessione  delle  medesime  e  2002/20/CE  relativa   alle autorizzazioni per le reti e i servizi di comunicazione elettronica;

Sentito il Garante per la protezione dei dati personali;

Vista la preliminare deliberazione del Consiglio  dei  Ministri, adottata nella riunione del 6 aprile 2012;

Acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica;

Vista la deliberazione del Consiglio dei Ministri,  adottata  nella riunione del 25 maggio 2012;

Sulla proposta del Ministro per gli affari europei e  del  Ministro dello sviluppo economico, di concerto con  i  Ministri  degli  affari esteri, dell’economia e delle finanze e della giustizia;

 

Emana

il seguente decreto legislativo:

Art. 1

 Modifiche al decreto legislativo 30 giugno 2003, n. 196

 

1. All’articolo 4, del decreto legislativo 30 giugno 2003, n.  196, sono apportate le seguenti modificazioni:

a) al comma 2 :

1) la lettera b) e’ sostituita dalla seguente: «b) chiamata, la connessione istituita da un  servizio  di  comunicazione  elettronica accessibile al pubblico che consente la    comunicazione bidirezionale;»;

2) la lettera c) e’ sostituita  dalla  seguente:  «c)  reti  di comunicazione elettronica, i sistemi di trasmissione e, se del  caso, le  apparecchiature  di  commutazione  o  di  instradamento  e  altre risorse, inclusi gli elementi di rete non attivi, che  consentono  di trasmettere segnali via cavo, via radio, a mezzo di fibre  ottiche  o con altri mezzi elettromagnetici, comprese le  reti  satellitari,  le reti terrestri  mobili  e  fisse  a  commutazione  di  circuito  e  a commutazione di pacchetto, compresa Internet, le reti utilizzate  per la diffusione circolare dei programmi sonori e televisivi, i  sistemi per il trasporto della corrente elettrica, nella misura in cui  siano utilizzati per trasmettere i segnali, le reti  televisive  via  cavo, indipendentemente dal tipo di informazione trasportato;»;

3) la  lettera  d)  e’ sostituita dalla seguente: «d)rete pubblica di comunicazioni, una rete di comunicazione  elettronica utilizzata interamente  o  prevalentemente  per fornire servizi  di comunicazione elettronica accessibili al pubblico, che  supporta  il trasferimento di informazioni tra i punti terminali di reti;»;

4) alla lettera i)  dopo  le  parole:  «rete  di  comunicazione elettronica»  sono  inserite  le  seguenti:  «o  da  un  servizio  di comunicazione elettronica»;

b) al comma 3, dopo  la  lettera  g)  e’  aggiunta  la  seguente: «g-bis) violazione di dati personali: violazione della sicurezza  che comporta  anche  accidentalmente  la  distruzione,  la  perdita, la modifica, la rivelazione non autorizzata o  l’accesso  ai   dati personali trasmessi, memorizzati o comunque  elaborati  nel  contesto della fornitura  di  un  servizio  di  comunicazione  accessibile  al pubblico.».

2. All’articolo 32, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) la rubrica e’ sostituita dalla seguente: «Obblighi  relativi  ai fornitori di servizi di comunicazione elettronica  accessibili  al pubblico»;

b) il comma 1 e’ sostituito dal seguente: «1. Il  fornitore  di  un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell’articolo 31, anche attraverso altri soggetti a cui  sia affidata  l’erogazione  del  predetto  servizio,  misure  tecniche  e organizzative adeguate al rischio  esistente,  per  salvaguardare  la sicurezza dei suoi servizi e per gli adempimenti di cui  all’articolo 32-bis»;

c) dopo il comma 1, sono inseriti i seguenti:

«1-bis. Ferma restando l’osservanza  degli  obblighi  di  cui  agli articoli 30 e 31, i soggetti che operano sulle reti di  comunicazione elettronica garantiscono  che  i  dati  personali  siano  accessibili soltanto al personale autorizzato per fini legalmente autorizzati.

1-ter. Le misure  di  cui  al  commi  1  e  1-bis  garantiscono  la protezione dei dati relativi al traffico ed  all’ubicazione  e  degli altri dati personali archiviati o trasmessi dalla  distruzione  anche accidentale,  da  perdita  o  alterazione  anche  accidentale  e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonche’ assicurano  l’attuazione  di  una politica di sicurezza.»;

d) al comma 3, dopo le  parole:  «ai  sensi  dei  commi  1»  sono inserite le seguenti: «, 1-bis».

3. Dopo l’articolo 32, del decreto legislativo 30 giugno  2003,  n. 196, e’ inserito il seguente:

«Art. 32-bis (Adempimenti conseguenti ad  una  violazione  di  dati personali). – 1. In caso di violazione  di  dati  personali,  il fornitore di servizi di comunicazione  elettronica  accessibili  al pubblico comunica senza indebiti ritardi detta violazione al Garante.

2. Quando la violazione  di  dati  personali  rischia  di  arrecare pregiudizio ai dati personali o alla riservatezza di contraente o  di altra persona, il fornitore comunica anche agli stessi senza  ritardo l’avvenuta violazione.

3. La comunicazione di cui al comma 2 non e’ dovuta se il fornitore ha dimostrato al Garante di aver utilizzato  misure  tecnologiche di protezione che rendono i dati  inintelligibili  a  chiunque  non  sia autorizzato ad accedervi e che tali misure erano state  applicate  ai dati oggetto della violazione.

4. Ove il fornitore non vi abbia gia’ provveduto, il Garante  puo’, considerate le presumibili ripercussioni negative della  violazione, obbligare lo stesso a comunicare al contraente o ad  altra  persona l’avvenuta violazione.

5. La comunicazione al  contraente o ad altra  persona  contiene almeno una descrizione della  natura  della  violazione di  dati personali e i punti  di  contatto  presso cui si possono  ottenere maggiori informazioni ed elenca le misure raccomandate per  attenuare i possibili effetti pregiudizievoli  della  violazione   di   dati personali. La  comunicazione  al  Garante  descrive,   inoltre,   le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio.

6. Il Garante puo’ emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in  cui  il  fornitore  ha l’obbligo di comunicare le violazioni di dati personali,  al  formato applicabile a tale comunicazione, nonche’ alle relative modalita’  di effettuazione,  tenuto  conto  delle  eventuali  misure  tecniche  di attuazione adottate dalla Commissione europea ai sensi  dell’articolo 4, paragrafo 5, della direttiva  2002/58/CE,  come  modificata  dalla direttiva 2009/136/CE.

7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio,  in modo da consentire al Garante di verificare  il  rispetto delle disposizioni del presente articolo.

Nell’inventario figurano unicamente le informazioni necessarie a tal fine.

8. Nel caso in cui il fornitore di  un  servizio  di  comunicazione elettronica accessibile al pubblico affidi l’erogazione del  predetto servizio ad altri soggetti, gli stessi sono tenuti  a  comunicare  al fornitore senza indebito ritardo tutti gli eventi e  le  informazioni necessarie a consentire a quest’ultimo di effettuare gli  adempimenti di cui al presente articolo.».

4. All’articolo 121, comma 1, del  decreto  legislativo  30  giugno 2003, n. 196, dopo le parole: «reti pubbliche di comunicazioni»  sono aggiunte, in fine, le seguenti: «, comprese quelle che  supportano  i dispositivi di raccolta dei dati e di identificazione».

5. All’articolo 122, del decreto legislativo  30  giugno  2003,  n. 196, sono apportate le seguenti modificazioni:

a) il comma 1, e’ sostituito dal seguente: «1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente  o  di un utente o l’accesso a informazioni gia’ archiviate sono  consentiti unicamente a condizione che il contraente o l’utente  abbia  espresso il proprio consenso dopo essere  stato  informato  con  le  modalita’ semplificate  di  cui  all’articolo  13,  comma  3.  Cio’  non  vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni  gia’ archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al  fornitore  di  un  servizio  della societa’ dell’informazione esplicitamente richiesto dal contraente  o dall’utente a erogare tale servizio.  Ai  fini  della  determinazione delle modalita’ semplificate di cui al primo periodo il Garante tiene  anche conto delle proposte formulate dalle associazioni  maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo  di  garantire  l’utilizzo  di metodologie che assicurino l’effettiva consapevolezza del  contraente o dell’utente.»;

b)  il  comma  2,  e’  sostituito  dal  seguente: «2.  Ai   fini dell’espressione del consenso di  cui  al  comma  1,  possono  essere utilizzate specifiche configurazioni di programmi  informatici  o  di dispositivi che siano di facile e chiara  utilizzabilita’  per  il contraente o l’utente.»;

c) dopo il comma 2, e’ aggiunto il seguente: «2-bis.  Salvo  quanto previsto dal comma 1, e’ vietato l’uso di una rete  di  comunicazione elettronica per accedere a informazioni  archiviate  nell’apparecchio terminale di un contraente o di un utente, per   archiviare informazioni o per monitorare le operazioni dell’utente.».

6. All’articolo 123, comma 3, del  decreto  legislativo  30  giugno 2003, n. 196, dopo la parola: «manifestato» e’ inserita la  seguente: «preliminarmente».

7. All’articolo 130 del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) al comma 1:

1) le parole:  «L’uso  di  sistemi  automatizzati»  sono sostituite dalle seguenti: «Fermo restando quanto stabilito dagli articoli  8  e 21 del decreto legislativo 9 aprile 2003, n.  70,  l’uso  di  sistemi automatizzati»;

2) dopo la parola: «automatizzati» sono inserite le  seguenti:  «di chiamata o di comunicazione»;

3) le parole: «dell’interessato» sono  sostituite  dalle  seguenti: «del contraente o utente»;

b) al comma 5:

1) dopo la parola: «mittente» sono  inserite  le  seguenti:  «o  in violazione dell’articolo 8 del decreto legislativo 9 aprile 2003,  n. 70,»;

2) dopo le parole: «di cui all’articolo 7» sono aggiunte, in  fine, le seguenti: «, oppure esortando i destinatari a  visitare  siti  web che violino il predetto articolo 8 del decreto legislativo n. 70  del 2003».

8. Dopo l’articolo 132, del decreto legislativo 30 giugno 2003,  n. 196, e’ inserito il seguente:

«Art. 132-bis (Procedure istituite dai fornitori). – 1. I fornitori istituiscono procedure interne  per  corrispondere  alle  richieste effettuate in conformita’ alle disposizioni che  prevedono  forme  di accesso a dati personali degli utenti.

2. A richiesta, i fornitori forniscono al Garante, per i profili di competenza, informazioni sulle procedure  di cui al comma  1,  sul numero di richieste ricevute,  sui  motivi  legali  addotti  e  sulle risposte date.».

9. Dopo l’articolo 162-bis, del decreto legislativo 30 giugno 2003,  n. 196, e’ inserito il seguente:

«Art. 162-ter (Sanzioni nei confronti di fornitori  di  servizi  di comunicazione  elettronica  accessibili  al  pubblico).  –    1.   La violazione delle disposizioni di cui all’articolo 32-bis, comma 1, e’ punita con la sanzione amministrativa del pagamento di una  somma  da venticinquemila euro a centocinquantamila euro.

2. La violazione delle disposizioni  di  cui  all’articolo  32-bis, comma 2, e’ punita con la sanzione amministrativa  del  pagamento  di una somma da centocinquanta euro a mille euro per ciascun  contraente o altra persona  nei  cui  confronti  venga  omessa  o  ritardata  la comunicazione di cui al medesimo articolo 32-bis,  comma  2.  Non  si applica l’articolo 8 della legge 24 novembre 1981, n. 689.

3. La sanzione amministrativa di cui al comma 2 non puo’  essere applicata in misura superiore al 5 per cento del volume  d’affari

realizzato dal fornitore di servizi di comunicazione  elettronica accessibili al pubblico nell’ultimo esercizio chiuso  anteriormente alla notificazione della contestazione della    violazione amministrativa, fermo restando quanto previsto dall’articolo 164-bis, comma 4.

4. La violazione delle disposizioni  di  cui  all’articolo  32-bis, comma 7, e’ punita con la sanzione amministrativa  del  pagamento  di una somma da ventimila euro a centoventimila euro.

5. Le medesime sanzioni di cui al presente  articolo  si  applicano nei  confronti  dei  soggetti  a  cui  il  fornitore  di  servizi  di comunicazione elettronica  accessibili  al  pubblico  abbia  affidato l’erogazione dei predetti servizi, qualora tali soggetti non  abbiano comunicato  senza  indebito   ritardo,   al   fornitore,   ai   sensi dell’articolo 32-bis, comma 8, le  informazioni  necessarie  ai  fini degli adempimenti di cui all’articolo 32-bis.».

10. Al comma 1 dell’articolo 164-bis  del  decreto  legislativo  30 giugno 2003,  n.  196,  dopo  la  parola:  «162,»  sono  inserite  le seguenti: «162-ter,».

11. Al comma 1 dell’articolo 168 del decreto legislativo 30  giugno 2003, n. 196, dopo la parola: «Chiunque,» sono inserite le  seguenti: «nelle comunicazioni di cui all’articolo 32-bis, commi 1 e 8,».

12. Nel decreto legislativo 30 giugno  2003,  n.  196,  la  parola: «abbonato»,  ovunque   ricorra,   e’   sostituita   dalla   seguente: «contraente».

 

Art. 2

Disposizione finanziaria

 

1. Dall’attuazione del presente decreto non devono derivare nuovi o  maggiori oneri a carico della finanza  pubblica.  Le  Amministrazioni  interessate provvedono  agli  adempimenti  previsti  con  le  risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

 

Art. 3

 Entrata in vigore

1. Il presente  decreto  legislativo  entra  in  vigore  il  giorno successivo a quello della sua pubblicazione nella Gazzetta  Ufficiale della Repubblica italiana.

Il presente decreto, munito del sigillo dello Stato, sara’ inserito nella  Raccolta  ufficiale  degli  atti  normativi  della  Repubblica italiana. E’ fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Dato a Roma, addi’ 28 maggio 2012

 

NAPOLITANO

 

Monti, Presidente del Consiglio dei Ministri

e Ministro dell’economia e delle finanze

Moavero Milanesi, Ministro per gli affari europei

Passera, Ministro dello sviluppo economico

Terzi di Sant’Agata,  Ministro  degli affari esteri

 

Severino, Ministro della giustizia

 

Visto, il Guardasigilli: Severino