LEGGE SULLA PRIVACY AZIENDALE

IL PRESIDENTE DELLA REPUBBLICA
VISTI gli articoli 76 e 87 della Costituzione;
VISTO l'articolo 1 della legge 24 marzo 2001, n. 127, recante
delega a Governo per l'emanazione di un testo unico in materia di
trattamento dei dati personali;
VISTO l'articolo 26 della legge 3 febbraio 2003, n 14, recante
disposizioni per l'adempimento di obblighi derivanti
dall'appartenenza dell'Italia alle Comunita' europee (legge
comunitaria 2002);
((Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo
per il recepimento delle direttive europee e l'attuazione di altri
atti dell'Unione europea - Legge di delegazione europea 2016-2017» e,
in particolare, l'articolo 13, che delega il Governo all'emanazione
di uno o piu' decreti legislativi di adeguamento del quadro normativo
nazionale alle disposizioni del Regolamento (UE) 2016/679 del
Parlamento europeo e del Consiglio, del 27 aprile 2016;
Vista la legge 24 dicembre 2012, n. 234, recante norme generali
sulla partecipazione dell'Italia alla formazione e all'attuazione
della normativa e delle politiche dell'Unione europea;
Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati);))
VISTA la legge 31 dicembre 1996, n. 675, e successive
modificazioni;
VISTA la legge 31 dicembre 1996, n. 676, recante delega al Governo
in materia di tutela delle persone e di altri soggetti rispetto al
trattamento dei dati personali;
VISTA la direttiva 95/46/CE del Parlamento europeo e del Consiglio,
del 24 ottobre 1995, relativa alla tutela delle persone fisiche con
riguardo al trattamento dei dati personali, nonche' alla libera
circolazione dei dati;
VISTA la direttiva 2002/58/CE del Parlamento europeo e del
Consiglio, del 12 luglio 2002, relativa al trattamento dei dati
personali e alla tutela della sita privata nel settore delle
comunicazioni elettroniche;
VISTA la preliminare deliberazione del Consiglio dei ministri,
adottata nella riunione del 9 maggio 2003;
SENTITO il Garante per la protezione dei dati personali;
ACQUISITO il parere delle competenti Commissioni parlamentari della
Camera dei deputati e del Senato della Repubblica;
VISTA la deliberazione del Consiglio dei Ministri, adottata nella
riunione del 27 giugno 2003;
SULLA PROPOSTA del Presidente del Consiglio dei Ministri, del

Ministro per la funzione pubblica e del Ministro per le politiche
comunitarie, di concerto con i Ministri della giustizia,
dell'economia e delle finanze, degli affari esteri e delle
comunicazioni;
EMANA il seguente decreto legislativo:
Art. 1
(( (Oggetto). ))
((Il trattamento dei dati personali avviene secondo le norme del
regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del
27 aprile 2016, di seguito «Regolamento», e del presente codice, nel
rispetto della dignita' umana, dei diritti e delle liberta'
fondamentali della persona.))
Art. 2
(( (Finalita'). ))
((1. Il presente codice reca disposizioni per l'adeguamento
dell'ordinamento nazionale alle disposizioni del regolamento.))
Art. 2-bis
(( (Autorita' di controllo). ))
((1. L'Autorita' di controllo di cui all'articolo 51 del
regolamento e' individuata nel Garante per la protezione dei dati
personali, di seguito «Garante», di cui all'articolo 153.))
Art. 2-ter
(Base giuridica per il trattamento di dati personali effettuato per
l'esecuzione di un compito di interesse pubblico o connesso
all'esercizio di pubblici poteri).
1. La base giuridica prevista dall'articolo 6, paragrafo 3, lettera
b), del regolamento e' costituita ((...)) da una norma di legge o
((...)) di regolamento ((o da atti amministrativi generali)). ((49))
((1-bis. Fermo restando ogni altro obbligo previsto dal Regolamento
e dal presente codice, il trattamento dei dati personali da parte di
un'amministrazione pubblica di cui all'articolo 1, comma 2, del
decreto legislativo 30 marzo 2001, n. 165, ivi comprese le autorita'
indipendenti e le amministrazioni inserite nell'elenco di cui
all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196,
nonche' da parte di una societa' a controllo pubblico statale o,
limitatamente ai gestori di servizi pubblici, locale, di cui
all'articolo 16 del testo unico in materia di societa' a
partecipazione pubblica, di cui al decreto legislativo 19 agosto

2016, n. 175, con esclusione, per le societa' a controllo pubblico,
dei trattamenti correlati ad attivita' svolte in regime di libero
mercato, e' anche consentito se necessario per l'adempimento di un
compito svolto nel pubblico interesse o per l'esercizio di pubblici
poteri ad esse attribuiti. In modo da assicurare che tale esercizio
non possa arrecare un pregiudizio effettivo e concreto alla tutela
dei diritti e delle liberta' degli interessati, le disposizioni di
cui al presente comma sono esercitate nel rispetto dell'articolo 6
del Regolamento)).
2. La comunicazione fra titolari che effettuano trattamenti di dati
personali, diversi da quelli ricompresi nelle particolari categorie
di cui all'articolo 9 del Regolamento e di quelli relativi a condanne
penali e reati di cui all'articolo 10 del Regolamento, per
l'esecuzione di un compito di interesse pubblico o connesso
all'esercizio di pubblici poteri e' ammessa se prevista ai sensi del
comma 1 ((o se necessaria ai sensi del comma 1-bis)). ((PERIODO
SOPPRESSO DAL D.L. 8 OTTOBRE 2021, N. 139, CONVERTITO CON
MODIFICAZIONI DALLA L. 3 DICEMBRE 2021, N. 205)).
3. La diffusione e la comunicazione di dati personali, trattati per
l'esecuzione di un compito di interesse pubblico o connesso
all'esercizio di pubblici poteri, a soggetti che intendono trattarli
per altre finalita' sono ammesse unicamente se previste ai sensi del
comma 1 ((o se necessarie ai sensi del comma 1-bis. In tale ultimo
caso, ne viene data notizia al Garante almeno dieci giorni prima
dell'inizio della comunicazione o diffusione)).
4. Si intende per:
a) "comunicazione", il dare conoscenza dei dati personali a uno o
piu' soggetti determinati diversi dall'interessato, dal
rappresentante del titolare nel territorio dell'Unione europea, dal
responsabile o dal suo rappresentante nel territorio dell'Unione
europea, dalle persone autorizzate, ai sensi dell'articolo
2-quaterdecies, al trattamento dei dati personali sotto l'autorita'
diretta del titolare o del responsabile, in qualunque forma, anche
mediante la loro messa a disposizione, consultazione o mediante
interconnessione;
b) "diffusione", il dare conoscenza dei dati personali a soggetti
indeterminati, in qualunque forma, anche mediante la loro messa a
disposizione o consultazione.
----------------
AGGIORNAMENTO (49)
Il D.L. 8 ottobre 2021, n. 139, convertito con modificazioni dalla
L. 3 dicembre 2021, n. 205, ha disposto (con l'art. 9, comma 5) che
"Gli articoli 2-ter, comma 1, 2-sexies, comma 1, e 58, commi 1 e 2,
del codice di cui al decreto legislativo n. 196 del 2003 [...], come
modificati dal presente articolo, si applicano anche ai casi in cui

Art. 2-quater
(( (Regole deontologiche). ))
((1. Il Garante promuove, nell'osservanza del principio di
rappresentativita' e tenendo conto delle raccomandazioni del
Consiglio d'Europa sul trattamento dei dati personali, l'adozione di
regole deontologiche per i trattamenti previsti dalle disposizioni di
cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 4, e
al capo IX del Regolamento, ne verifica la conformita' alle
disposizioni vigenti, anche attraverso l'esame di osservazioni di
soggetti interessati e contribuisce a garantirne la diffusione e il
rispetto.
2. Lo schema di regole deontologiche e' sottoposto a consultazione
pubblica per almeno sessanta giorni.
3. Conclusa la fase delle consultazioni, le regole deontologiche
sono approvate dal Garante ai sensi dell'articolo 154-bis, comma 1,
lettera b), pubblicate nella Gazzetta Ufficiale della Repubblica
italiana e, con decreto del Ministro della giustizia, sono riportate
nell'allegato A del presente codice.
4. Il rispetto delle disposizioni contenute nelle regole
deontologiche di cui al comma 1 costituisce condizione essenziale per
la liceita' e la correttezza del trattamento dei dati personali.))
Art. 2-quinquies
(( (Consenso del minore in relazione ai servizi della societa'
dell'informazione). ))
((1. In attuazione dell'articolo 8, paragrafo 1, del Regolamento,
il minore che ha compiuto i quattordici anni puo' esprimere il
consenso al trattamento dei propri dati personali in relazione
all'offerta diretta di servizi della societa' dell'informazione. Con
riguardo a tali servizi, il trattamento dei dati personali del minore
di eta' inferiore a quattordici anni, fondato sull'articolo 6,
paragrafo 1, lettera a), del Regolamento, e' lecito a condizione che
sia prestato da chi esercita la responsabilita' genitoriale.
2. In relazione all'offerta diretta ai minori dei servizi di cui al
comma 1, il titolare del trattamento redige con linguaggio
particolarmente chiaro e semplice, conciso ed esaustivo, facilmente
accessibile e comprensibile dal minore, al fine di rendere
significativo il consenso prestato da quest'ultimo, le informazioni e

le comunicazioni relative al trattamento che lo riguardi.))
Art. 2-sexies
(Trattamento di categorie particolari di dati personali necessario
per motivi di interesse pubblico rilevante).
1. I trattamenti delle categorie particolari di dati personali di
cui all'articolo 9, paragrafo 1, del Regolamento, necessari per
motivi di interesse pubblico rilevante ai sensi del paragrafo 2,
lettera g), del medesimo articolo, sono ammessi qualora siano
previsti dal diritto dell'Unione europea ovvero, nell'ordinamento
interno, da disposizioni di legge o ((...)) di regolamento ((o da
atti amministrativi generali)) che specifichino i tipi di dati che
possono essere trattati, le operazioni eseguibili e il motivo di
interesse pubblico rilevante, nonche' le misure appropriate e
specifiche per tutelare i diritti fondamentali e gli interessi
dell'interessato. ((49))
((1-bis. I dati personali relativi alla salute, privi di elementi
identificativi diretti, sono trattati, nel rispetto delle finalita'
istituzionali di ciascuno, dal Ministero della salute, dall'Istituto
superiore di sanita', dall'Agenzia nazionale per i servizi sanitari
regionali, dall'Agenzia italiana del farmaco, dall'Istituto nazionale
per la promozione della salute delle popolazioni migranti e per il
contrasto delle malattie della poverta' e, relativamente ai propri
assistiti, dalle regioni anche mediante l'interconnessione a livello
nazionale dei sistemi informativi su base individuale del Servizio
sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico
(FSE), aventi finalita' compatibili con quelle sottese al
trattamento, con le modalita' e per le finalita' fissate con decreto
del Ministro della salute, ai sensi del comma 1, previo parere del
Garante, nel rispetto di quanto previsto dal Regolamento, dal
presente codice, dal codice dell'amministrazione digitale, di cui al
decreto legislativo 7 marzo 2005, n. 82, e dalle linee guida
dell'Agenzia per l'Italia digitale in materia di interoperabilita')).
2. Fermo quanto previsto dal comma 1, si considera rilevante
l'interesse pubblico relativo a trattamenti effettuati da soggetti
che svolgono compiti di interesse pubblico o connessi all'esercizio
di pubblici poteri nelle seguenti materie:
a) accesso a documenti amministrativi e accesso civico;
b) tenuta degli atti e dei registri dello stato civile, delle
anagrafi della popolazione residente in Italia e dei cittadini
italiani residenti all'estero, e delle liste elettorali, nonche'
rilascio di documenti di riconoscimento o di viaggio o cambiamento
delle generalita';
c) tenuta di registri pubblici relativi a beni immobili o mobili;
d) tenuta dell'anagrafe nazionale degli abilitati alla guida e
dell'archivio nazionale dei veicoli;

e) cittadinanza, immigrazione, asilo, condizione dello straniero e
del profugo, stato di rifugiato;
f) elettorato attivo e passivo ed esercizio di altri diritti
politici, protezione diplomatica e consolare, nonche' documentazione
delle attivita' istituzionali di organi pubblici, con particolare
riguardo alla redazione di verbali e resoconti dell'attivita' di
assemblee rappresentative, commissioni e di altri organi collegiali o
assembleari;
g) esercizio del mandato degli organi rappresentativi, ivi
compresa la loro sospensione o il loro scioglimento, nonche'
l'accertamento delle cause di ineleggibilita', incompatibilita' o di
decadenza, ovvero di rimozione o sospensione da cariche pubbliche;
h) svolgimento delle funzioni di controllo, indirizzo politico,
inchiesta parlamentare o sindacato ispettivo e l'accesso a documenti
riconosciuto dalla legge e dai regolamenti degli organi interessati
per esclusive finalita' direttamente connesse all'espletamento di un
mandato elettivo;
i) attivita' dei soggetti pubblici dirette all'applicazione, anche
tramite i loro concessionari, delle disposizioni in materia
tributaria e doganale, comprese quelle di prevenzione e contrasto
all'evasione fiscale;
l) attivita' di controllo e ispettive;
m) concessione, liquidazione, modifica e revoca di benefici
economici, agevolazioni, elargizioni, altri emolumenti e
abilitazioni;
n) conferimento di onorificenze e ricompense, riconoscimento della
personalita' giuridica di associazioni, fondazioni ed enti, anche di
culto, accertamento dei requisiti di onorabilita' e di
professionalita' per le nomine, per i profili di competenza del
soggetto pubblico, ad uffici anche di culto e a cariche direttive di
persone giuridiche, imprese e di istituzioni scolastiche non statali,
nonche' rilascio e revoca di autorizzazioni o abilitazioni,
concessione di patrocini, patronati e premi di rappresentanza,
adesione a comitati d'onore e ammissione a cerimonie ed incontri
istituzionali;
o) rapporti tra i soggetti pubblici e gli enti del terzo settore;
p) obiezione di coscienza;
q) attivita' sanzionatorie e di tutela in sede amministrativa o
giudiziaria;
r) rapporti istituzionali con enti di culto, confessioni religiose
e comunita' religiose;
s) attivita' socio-assistenziali a tutela dei minori e soggetti
bisognosi, non autosufficienti e incapaci;
t) attivita' amministrative e certificatorie correlate a quelle di
diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse
quelle correlate ai trapianti d'organo e di tessuti nonche' alle

trasfusioni di sangue umano;
u) compiti del servizio sanitario nazionale e dei soggetti
operanti in ambito sanitario, nonche' compiti di igiene e sicurezza
sui luoghi di lavoro e sicurezza e salute della popolazione,
protezione civile, salvaguardia della vita e incolumita' fisica;
v) programmazione, gestione, controllo e valutazione
dell'assistenza sanitaria, ivi incluse l'instaurazione, la gestione,
la pianificazione e il controllo dei rapporti tra l'amministrazione
ed i soggetti accreditati o convenzionati con il servizio sanitario
nazionale;
z) vigilanza sulle sperimentazioni, farmacovigilanza,
autorizzazione all'immissione in commercio e all'importazione di
medicinali e di altri prodotti di rilevanza sanitaria;
aa) tutela sociale della maternita' ed interruzione volontaria
della gravidanza, dipendenze, assistenza, integrazione sociale e
diritti dei disabili;
bb) istruzione e formazione in ambito scolastico, professionale,
superiore o universitario;
cc) trattamenti effettuati a fini di archiviazione nel pubblico
interesse o di ricerca storica, concernenti la conservazione,
l'ordinamento e la comunicazione dei documenti detenuti negli archivi
di Stato negli archivi storici degli enti pubblici, o in archivi
privati dichiarati di interesse storico particolarmente importante,
per fini di ricerca scientifica, nonche' per fini statistici da parte
di soggetti che fanno parte del sistema statistico nazionale
(Sistan);
dd) instaurazione, gestione ed estinzione, di rapporti di lavoro
di qualunque tipo, anche non retribuito o onorario, e di altre forme
di impiego, materia sindacale, occupazione e collocamento
obbligatorio, previdenza e assistenza, tutela delle minoranze e pari
opportunita' nell'ambito dei rapporti di lavoro, adempimento degli
obblighi retributivi, fiscali e contabili, igiene e sicurezza del
lavoro o di sicurezza o salute della popolazione, accertamento della
responsabilita' civile, disciplinare e contabile, attivita'
ispettiva.
3. Per i dati genetici, biometrici e relativi alla salute il
trattamento avviene comunque nel rispetto di quanto previsto
dall'articolo 2-septies.
----------------
AGGIORNAMENTO (49)
Il D.L. 8 ottobre 2021, n. 139, convertito con modificazioni dalla
L. 3 dicembre 2021, n. 205, ha disposto (con l'art. 9, comma 5) che
"Gli articoli 2-ter, comma 1, 2-sexies, comma 1, e 58, commi 1 e 2,
del codice di cui al decreto legislativo n. 196 del 2003 [...], come
modificati dal presente articolo, si applicano anche ai casi in cui

disposizioni di legge gia' in vigore stabiliscono che i tipi di dati
che possono essere trattati, le operazioni eseguibili, il motivo di
interesse pubblico rilevante, la finalita' del trattamento nonche' le
misure appropriate e specifiche per tutelare i diritti fondamentali
dell'interessato e i suoi interessi sono previsti da uno o piu'
regolamenti".
Art. 2-septies
(( (Misure di garanzia per il trattamento dei dati genetici,
biometrici e relativi alla salute). ))
((1. In attuazione di quanto previsto dall'articolo 9, paragrafo 4,
del regolamento, i dati genetici, biometrici e relativi alla salute,
possono essere oggetto di trattamento in presenza di una delle
condizioni di cui al paragrafo 2 del medesimo articolo ed in
conformita' alle misure di garanzia disposte dal Garante, nel
rispetto di quanto previsto dal presente articolo.
2. Il provvedimento che stabilisce le misure di garanzia di cui al
comma 1 e' adottato con cadenza almeno biennale e tenendo conto:
a) delle linee guida, delle raccomandazioni e delle migliori
prassi pubblicate dal Comitato europeo per la protezione dei dati e
delle migliori prassi in materia di trattamento dei dati personali;
b) dell'evoluzione scientifica e tecnologica nel settore oggetto
delle misure;
c) dell'interesse alla libera circolazione dei dati personali nel
territorio dell'Unione europea.
3. Lo schema di provvedimento e' sottoposto a consultazione
pubblica per un periodo non inferiore a sessanta giorni.
4. Le misure di garanzia sono adottate nel rispetto di quanto
previsto dall'articolo 9, paragrafo 2, del Regolamento, e riguardano
anche le cautele da adottare relativamente a:
a) contrassegni sui veicoli e accessi a zone a traffico limitato;
b) profili organizzativi e gestionali in ambito sanitario;
c) modalita' per la comunicazione diretta all'interessato delle
diagnosi e dei dati relativi alla propria salute;
d) prescrizioni di medicinali.
5. Le misure di garanzia sono adottate in relazione a ciascuna
categoria dei dati personali di cui al comma 1, avendo riguardo alle
specifiche finalita' del trattamento e possono individuare, in
conformita' a quanto previsto al comma 2, ulteriori condizioni sulla
base delle quali il trattamento di tali dati e' consentito. In
particolare, le misure di garanzia individuano le misure di
sicurezza, ivi comprese quelle tecniche di cifratura e di
pseudonomizzazione, le misure di minimizzazione, le specifiche
modalita' per l'accesso selettivo ai dati e per rendere le
informazioni agli interessati, nonche' le eventuali altre misure
necessarie a garantire i diritti degli interessati.

6. Le misure di garanzia che riguardano i dati genetici e il
trattamento dei dati relativi alla salute per finalita' di
prevenzione, diagnosi e cura nonche' quelle di cui al comma 4,
lettere b), c) e d), sono adottate sentito il Ministro della salute
che, a tal fine, acquisisce il parere del Consiglio superiore di
sanita'. Limitatamente ai dati genetici, le misure di garanzia
possono individuare, in caso di particolare ed elevato livello di
rischio, il consenso come ulteriore misura di protezione dei diritti
dell'interessato, a norma dell'articolo 9, paragrafo 4, del
regolamento, o altre cautele specifiche.
7. Nel rispetto dei principi in materia di protezione dei dati
personali, con riferimento agli obblighi di cui all'articolo 32 del
Regolamento, e' ammesso l'utilizzo dei dati biometrici con riguardo
alle procedure di accesso fisico e logico ai dati da parte dei
soggetti autorizzati, nel rispetto delle misure di garanzia di cui al
presente articolo.
8. I dati personali di cui al comma 1 non possono essere diffusi.))
Art. 2-octies
(( (Principi relativi al trattamento di dati relativi a condanne
penali e reati). ))
((1. Fatto salvo quanto previsto dal decreto legislativo 18 maggio
2018, n. 51, il trattamento di dati personali relativi a condanne
penali e a reati o a connesse misure di sicurezza sulla base
dell'articolo 6, paragrafo 1, del Regolamento, che non avviene sotto
il controllo dell'autorita' pubblica, e' consentito, ai sensi
dell'articolo 10 del medesimo regolamento, solo se autorizzato da una
norma di legge o, nei casi previsti dalla legge, di regolamento, che
prevedano garanzie appropriate per i diritti e le liberta' degli
interessati.
2. In mancanza delle predette disposizioni di legge o di
regolamento, i trattamenti dei dati di cui al comma 1 nonche' le
garanzie di cui al medesimo comma sono individuati con decreto del
Ministro della giustizia, da adottarsi, ai sensi dell'articolo 17,
comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante.
3. Fermo quanto previsto dai commi 1 e 2, il trattamento di dati
personali relativi a condanne penali e a reati o a connesse misure di
sicurezza e' consentito se autorizzato da una norma di legge o, nei
casi previsti dalla legge, di regolamento, riguardanti, in
particolare:
a) l'adempimento di obblighi e l'esercizio di diritti da parte
del titolare o dell'interessato in materia di diritto del lavoro o
comunque nell'ambito dei rapporti di lavoro, nei limiti stabiliti da
leggi, regolamenti e contratti collettivi, secondo quanto previsto
dagli articoli 9, paragrafo 2, lettera b), e 88 del regolamento;
b) l'adempimento degli obblighi previsti da disposizioni di legge

o di regolamento in materia di mediazione finalizzata alla
conciliazione delle controversie civili e commerciali;
c) la verifica o l'accertamento dei requisiti di onorabilita',
requisiti soggettivi e presupposti interdittivi nei casi previsti
dalle leggi o dai regolamenti;
d) l'accertamento di responsabilita' in relazione a sinistri o
eventi attinenti alla vita umana, nonche' la prevenzione,
l'accertamento e il contrasto di frodi o situazioni di concreto
rischio per il corretto esercizio dell'attivita' assicurativa, nei
limiti di quanto previsto dalle leggi o dai regolamenti in materia;
e) l'accertamento, l'esercizio o la difesa di un diritto in sede
giudiziaria;
f) l'esercizio del diritto di accesso ai dati e ai documenti
amministrativi, nei limiti di quanto previsto dalle leggi o dai
regolamenti in materia;
g) l'esecuzione di investigazioni o le ricerche o la raccolta di
informazioni per conto di terzi ai sensi dell'articolo 134 del testo
unico delle leggi di pubblica sicurezza;
h) l'adempimento di obblighi previsti da disposizioni di legge in
materia di comunicazioni e informazioni antimafia o in materia di
prevenzione della delinquenza di tipo mafioso e di altre gravi forme
di pericolosita' sociale, nei casi previsti da leggi o da
regolamenti, o per la produzione della documentazione prescritta
dalla legge per partecipare a gare d'appalto;
i) l'accertamento del requisito di idoneita' morale di coloro che
intendono partecipare a gare d'appalto, in adempimento di quanto
previsto dalle vigenti normative in materia di appalti;
l) l'attuazione della disciplina in materia di attribuzione del
rating di legalita' delle imprese ai sensi dell'articolo 5-ter del
decreto-legge 24 gennaio 2012, n. 1, convertito, con modificazioni,
dalla legge 24 marzo 2012, n. 27;
m) l'adempimento degli obblighi previsti dalle normative vigenti
in materia di prevenzione dell'uso del sistema finanziario a scopo di
riciclaggio dei proventi di attivita' criminose e di finanziamento
del terrorismo.
4. Nei casi in cui le disposizioni di cui al comma 3 non
individuano le garanzie appropriate per i diritti e le liberta' degli
interessati, tali garanzie sono previste con il decreto di cui al
comma 2.
5. Quando il trattamento dei dati di cui al presente articolo
avviene sotto il controllo dell'autorita' pubblica si applicano le
disposizioni previste dall'articolo 2-sexies.
6. Con il decreto di cui al comma 2 e' autorizzato il trattamento
dei dati di cui all'articolo 10 del Regolamento, effettuato in
attuazione di protocolli di intesa per la prevenzione e il contrasto
dei fenomeni di criminalita' organizzata, stipulati con il Ministero

dell'interno o con le prefetture-UTG. In relazione a tali protocolli,
il decreto di cui al comma 2 individua, le tipologie dei dati
trattati, gli interessati, le operazioni di trattamento eseguibili,
anche in relazione all'aggiornamento e alla conservazione e prevede
le garanzie appropriate per i diritti e le liberta' degli
interessati. Il decreto e' adottato, limitatamente agli ambiti di cui
al presente comma, di concerto con il Ministro dell'interno.))
Art. 2-novies
(( (Trattamenti disciplinati dalla Presidenza della Repubblica, dalla
Camera dei deputati, dal Senato della Repubblica e dalla Corte
costituzionale). ))
((1. Le disposizioni degli articoli 2-sexies, 2-septies e 2-octies
del presente decreto legislativo recano principi applicabili, in
conformita' ai rispettivi ordinamenti, ai trattamenti delle categorie
di dati personali di cui agli articoli 9, paragrafo 1, e 10 del
Regolamento, disciplinati dalla Presidenza della Repubblica, dal
Senato della Repubblica, dalla Camera dei deputati e dalla Corte
costituzionale.))
Art. 2-decies
(( (Inutilizzabilita' dei dati). ))
((1. I dati personali trattati in violazione della disciplina
rilevante in materia di trattamento dei dati personali non possono
essere utilizzati, salvo quanto previsto dall'articolo 160-bis.))
Art. 2-undecies
(Limitazioni ai diritti dell'interessato).
1. I diritti di cui agli articoli da 15 a 22 del Regolamento non
possono essere esercitati con richiesta al titolare del trattamento
ovvero con reclamo ai sensi dell'articolo 77 del Regolamento qualora
dall'esercizio di tali diritti possa derivare un pregiudizio
effettivo e concreto:
a) agli interessi tutelati in base alle disposizioni in materia
di riciclaggio;
b) agli interessi tutelati in base alle disposizioni in materia
di sostegno alle vittime di richieste estorsive;
c) all'attivita' di Commissioni parlamentari d'inchiesta
istituite ai sensi dell'articolo 82 della Costituzione;
d) alle attivita' svolte da un soggetto pubblico, diverso dagli
enti pubblici economici, in base ad espressa disposizione di legge,
per esclusive finalita' inerenti alla politica monetaria e valutaria,
al sistema dei pagamenti, al controllo degli intermediari e dei
mercati creditizi e finanziari, nonche' alla tutela della loro

stabilita';
e) allo svolgimento delle investigazioni difensive o
all'esercizio di un diritto in sede giudiziaria;
f) alla riservatezza dell'identita' del dipendente che segnala ai
sensi della legge 30 novembre 2017, n. 179, l'illecito di cui sia
venuto a conoscenza in ragione del proprio ufficio.
((f-bis) agli interessi tutelati in materia tributaria e allo
svolgimento delle attivita' di prevenzione e contrasto all'evasione
fiscale)).
2. Nei casi di cui al comma 1, lettera c), si applica quanto
previsto dai regolamenti parlamentari ovvero dalla legge o dalle
norme istitutive della Commissione d'inchiesta.
3. Nei casi di cui al comma 1, lettere a), b), d) (( e), f) e
f-bis) )) i diritti di cui al medesimo comma sono esercitati
conformemente alle disposizioni di legge o di regolamento che
regolano il settore, che devono almeno recare misure dirette a
disciplinare gli ambiti di cui all'articolo 23, paragrafo 2, del
Regolamento. L'esercizio dei medesimi diritti puo', in ogni caso,
essere ritardato, limitato o escluso con comunicazione motivata e
resa senza ritardo all'interessato, a meno che la comunicazione possa
compromettere la finalita' della limitazione, per il tempo e nei
limiti in cui cio' costituisca una misura necessaria e proporzionata,
tenuto conto dei diritti fondamentali e dei legittimi interessi
dell'interessato, al fine di salvaguardare gli interessi di cui al
comma 1, lettere a), b), d), (( e), f) e f-bis) )). In tali casi, i
diritti dell'interessato possono essere esercitati anche tramite il
Garante con le modalita' di cui all'articolo 160. In tale ipotesi, il
Garante informa l'interessato di aver eseguito tutte le verifiche
necessarie o di aver svolto un riesame, nonche' del diritto
dell'interessato di proporre ricorso giurisdizionale. Il titolare del
trattamento informa l'interessato delle facolta' di cui al presente
comma.
articolo precedentearticolo successivo
 APPROFONDIMENTI
 aggiornamenti all'atto
 atti aggiornati
 atti correlati
 note atto
 lavori preparatori
 relazioni
 aggiornamenti al titolo
 aggiornamenti alla struttura
 FUNZIONI
 esporta
 esporta in Akoma ntoso
 collegamento permanente

 Art. 2-duodecies
 (( (Limitazioni per ragioni di giustizia). ))

 ((1. In applicazione dell'articolo 23, paragrafo 1, lettera f),
del
 Regolamento, in relazione ai trattamenti di dati personali
effettuati
 per ragioni di giustizia nell'ambito di procedimenti dinanzi
agli
 uffici giudiziari di ogni ordine e grado nonche' dinanzi al
Consiglio
 superiore della magistratura e agli altri organi di autogoverno
delle
 magistrature speciali o presso il Ministero della giustizia,
i
 diritti e gli obblighi di cui agli articoli da 12 a 22 e 34
del
 Regolamento sono disciplinati nei limiti e con le modalita'
previste
 dalle disposizioni di legge o di Regolamento che regolano
tali
 procedimenti, nel rispetto di quanto previsto dall'articolo
23,
 paragrafo 2, del Regolamento.
 2. Fermo quanto previsto dal comma 1, l'esercizio dei diritti
e
 l'adempimento degli obblighi di cui agli articoli da 12 a 22 e 34
del
 Regolamento possono, in ogni caso, essere ritardati, limitati
o
 esclusi, con comunicazione motivata e resa senza
ritardo
 all'interessato, a meno che la comunicazione possa compromettere
la
 finalita' della limitazione, nella misura e per il tempo in cui
cio'
 costituisca una misura necessaria e proporzionata, tenuto conto
dei
 diritti fondamentali e dei legittimi interessi dell'interessato,
per
 salvaguardare l'indipendenza della magistratura e dei
procedimenti
 giudiziari.
 3. Si applica l'articolo 2-undecies, comma 3, terzo, quarto
e
 quinto periodo.

 4. Ai fini del presente articolo si intendono effettuati
per
 ragioni di giustizia i trattamenti di dati personali correlati
alla
 trattazione giudiziaria di affari e di controversie, i
trattamenti
 effettuati in materia di trattamento giuridico ed economico
del
 personale di magistratura, nonche' i trattamenti svolti
nell'ambito
 delle attivita' ispettive su uffici giudiziari. Le ragioni
di
 giustizia non ricorrono per l'ordinaria
attivita'
 amministrativo-gestionale di personale, mezzi o strutture, quando
non
 e' pregiudicata la segretezza di atti direttamente connessi
alla
 trattazione giudiziaria di procedimenti.))
Art. 2-terdecies
(( (Diritti riguardanti le persone decedute). ))
((1. I diritti di cui agli articoli da 15 a 22 del Regolamento
riferiti ai dati personali concernenti persone decedute possono
essere esercitati da chi ha un interesse proprio, o agisce a tutela
dell'interessato, in qualita' di suo mandatario, o per ragioni
familiari meritevoli di protezione.
2. L'esercizio dei diritti di cui al comma 1 non e' ammesso nei
casi previsti dalla legge o quando, limitatamente all'offerta diretta
di servizi della societa' dell'informazione, l'interessato lo ha
espressamente vietato con dichiarazione scritta presentata al
titolare del trattamento o a quest'ultimo comunicata.
3. La volonta' dell'interessato di vietare l'esercizio dei diritti
di cui al comma 1 deve risultare in modo non equivoco e deve essere
specifica, libera e informata; il divieto puo' riguardare l'esercizio
soltanto di alcuni dei diritti di cui al predetto comma.
4. L'interessato ha in ogni momento il diritto di revocare o
modificare il divieto di cui ai commi 2 e 3.
5. In ogni caso, il divieto non puo' produrre effetti
pregiudizievoli per l'esercizio da parte dei terzi dei diritti
patrimoniali che derivano dalla morte dell'interessato nonche' del
diritto di difendere in giudizio i propri interessi.))

Art. 2-quaterdecies
(( (Attribuzione di funzioni e compiti a soggetti designati). ))
((1. Il titolare o il responsabile del trattamento possono
prevedere, sotto la propria responsabilita' e nell'ambito del proprio
assetto organizzativo, che specifici compiti e funzioni connessi al
trattamento di dati personali siano attribuiti a persone fisiche,
espressamente designate, che operano sotto la loro autorita'.
2. Il titolare o il responsabile del trattamento individuano le
modalita' piu' opportune per autorizzare al trattamento dei dati
personali le persone che operano sotto la propria autorita'
diretta.))
Art. 2-quinquiesdecies
((ARTICOLO ABROGATO DAL D.L. 8 OTTOBRE 2021, N. 139, CONVERTITO CON
MODIFICAZIONI DALLA L. 3 DICEMBRE 2021, N. 205))
Art. 2-sexiesdecies
(( (Responsabile della protezione dei dati per i trattamenti
effettuati dalle autorita' giudiziarie nell'esercizio delle loro
funzioni). ))
((1. Il responsabile della protezione dati e' designato, a norma
delle disposizioni di cui alla sezione 4 del capo IV del Regolamento,
anche in relazione ai trattamenti di dati personali effettuati dalle
autorita' giudiziarie nell'esercizio delle loro funzioni.))
Art. 2-septiesdecies
(( (Organismo nazionale di accreditamento). ))
((1. L'organismo nazionale di accreditamento di cui all'articolo
43, paragrafo 1, lettera b), del Regolamento e' l'Ente unico
nazionale di accreditamento, istituito ai sensi del Regolamento (CE)
n. 765/2008, del Parlamento europeo e del Consiglio, del 9 luglio
2008, fatto salvo il potere del Garante di assumere direttamente, con
deliberazione pubblicata nella Gazzetta Ufficiale della Repubblica
italiana e in caso di grave inadempimento dei suoi compiti da parte
dell'Ente unico nazionale di accreditamento, l'esercizio di tali
funzioni, anche con riferimento a una o piu' categorie di
trattamenti.))