stai visualizzando l'atto

DECRETO LEGISLATIVO 30 maggio 2008, n. 109

Attuazione della direttiva 2006/24/CE riguardante la conservazione dei dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE.

note: Entrata in vigore del provvedimento: 3/7/2008 (Ultimo aggiornamento all'atto pubblicato il 02/10/2008)
nascondi
vigente al 28/03/2024
Testo in vigore dal:  3-7-2008

IL PRESIDENTE DELLA REPUBBLICA

Vista la legge 6 febbraio 2007, n. 13, recante disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee - Legge comunitaria 2006, ed in particolare l'articolo 1 e l'allegato B;
Vista la direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE;
Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo internazionale;
Sentito il Garante per la protezione dei dati personali;
Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione del 27 febbraio 2008;
Acquisito il parere della competente Commissione della Camera dei deputati;
Considerato che la competente Commissione del Senato della Repubblica non si è espressa nel termine previsto;
Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 21 maggio 2008;
Sulla proposta del Ministro per le politiche europee e del Ministro per la pubblica amministrazione e l'innovazione, di concerto con i Ministri degli affari esteri, della giustizia, dell'economia e delle finanze, dello sviluppo economico, dell'interno e della difesa;

Emana

il seguente decreto legislativo:

Art. 1

Definizioni
1. Ai fini del presente decreto si intende:
a) per utente: qualsiasi persona fisica o giuridica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, senza esservi necessariamente abbonata;
b) per dati relativi al traffico: qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione, ivi compresi i dati necessari per identificare l'abbonato o l'utente;
c) per dati relativi all'ubicazione: ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico, ivi compresi quelli relativi alla cella da cui una chiamata di telefonia mobile ha origine o nella quale si conclude;
d) per traffico telefonico: le chiamate telefoniche, incluse le chiamate vocali, di messaggeria vocale, in conferenza e quelle basate sulla trasmissione dati, purché fornite da un gestore di telefonia, i servizi supplementari, inclusi l'inoltro e il trasferimento di chiamata, la messaggeria e i servizi multimediali, inclusi i servizi di messaggeria breve, servizi mediali avanzati e servizi multimediali;
e) per chiamata senza risposta: la connessione istituita da un servizio telefonico accessibile al pubblico, non seguita da un'effettiva comunicazione, in quanto il destinatario non ha risposto ovvero vi è stato un intervento del gestore della rete;
f) per identificativo dell'utente: l'identificativo unico assegnato a una persona al momento dell'abbonamento o dell'iscrizione presso un servizio di accesso internet o un servizio di comunicazione internet;
g) per indirizzo di protocollo internet (IP) univocamente assegnato: indirizzo di protocollo (IP) che consente l'identificazione diretta dell'abbonato o utente che effettua comunicazioni sulla rete pubblica.
2. Ai fini del presente decreto si applicano, altresì, le ulteriori definizioni, non ricomprese nel comma 1, elencate nell'articolo 4 del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, recante codice in materia di protezione dei dati personali, di seguito denominato: «Codice».
Avvertenza:
Il testo delle note qui pubblicato è stato redatto dall'amministrazione competente per materia ai sensi dell'art. 10, commi 2 e 3 del testo unico delle disposizioni, sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali è operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.
Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle Comunità europee (GUCE).

Note alle premesse:

- L'art. 76 della Costituzione stabilisce che l'esercizio della funzione legislativa non può essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti.
- L'art. 87 della Costituzione conferisce, tra l'altro, al Presidente della Repubblica il potere di promulgare le leggi e di emanare i decreti aventi valore di legge ed i regolamenti.
- L'art. 1 e l'allegato B della legge 6 febbraio 2007, n. 13, pubblicata nella Gazzetta Ufficiale del 17 febbraio 2007, n. 40, supplemento ordinario, così recitano:
«Art. 1 (Delega al Governo per l'attuazione di direttive comunitarie). - 1. Il Governo è delegato ad adottare, entro il termine di dodici mesi dalla data di entrata in vigore della presente legge, i decreti legislativi recanti le norme occorrenti per dare attuazione alle direttive comprese negli elenchi di cui agli allegati A e B. Per le direttive il cui termine di recepimento sia già scaduto ovvero scada nei sei mesi successivi alla data di entrata in vigore della presente legge, il termine per l'adozione dei decreti legislativi di cui al presente comma è ridotto a sei mesi.
2. I decreti legislativi sono adottati, nel rispetto dell'art. 14 della legge 23 agosto 1988, n. 400, su proposta del Presidente del Consiglio dei Ministri o del Ministro per le politiche europee e del Ministro con competenza istituzionale prevalente per la materia, di concerto con i Ministri degli affari esteri, della giustizia, dell'economia e delle finanze e con gli altri Ministri interessati in relazione all'oggetto della direttiva.
3. Gli schemi dei decreti legislativi recanti attuazione delle direttive comprese nell'elenco di cui all'allegato B, nonché, qualora sia previsto il ricorso a sanzioni penali, quelli relativi all'attuazione delle direttive comprese nell'elenco di cui all'allegato A sono trasmessi, dopo l'acquisizione degli altri pareri previsti dalla legge, alla Camera dei deputati e al Senato della Repubblica affinchè su di essi sia espresso il parere dei competenti organi parlamentari. Decorsi quaranta giorni dalla data di trasmissione, i decreti sono emanati anche in mancanza del parere. Qualora il termine per l'espressione del parere parlamentare di cui al presente comma, ovvero i diversi termini previsti dai commi 4 e 9, scadano nei trenta giorni che precedono la scadenza dei termini previsti ai commi 1 o 5 o successivamente, questi ultimi sono prorogati di novanta giorni.
4. Gli schemi dei decreti legislativi recanti attuazione delle direttive che comportano conseguenze finanziarie sono corredati dalla relazione tecnica di cui all'art. 11-ter, comma 2, della legge 5 agosto 1978, n. 468, e successive modificazioni. Su di essi è richiesto anche il parere delle Commissioni parlamentari competenti per i profili finanziari. Il Governo, ove non intenda conformarsi alle condizioni formulate con riferimento all'esigenza di garantire il rispetto dell'art. 81, quarto comma, della Costituzione, ritrasmette alle Camere i testi, corredati dei necessari elementi integrativi di informazione, per i pareri definitivi delle Commissioni competenti per i profili finanziari, che devono essere espressi entro venti giorni. La procedura di cui al presente comma si applica in ogni caso per gli schemi dei decreti legislativi recanti attuazione delle direttive: 2005/32/CE del Parlamento europeo e del Consiglio, del 6 luglio 2005; 2005/33/CE del Parlamento europeo e del Consiglio, del 6 luglio 2005; 2005/35/CE del Parlamento europeo e del Consiglio, del 7 settembre 2005; 2005/47/CE del Consiglio, del 18 luglio 2005; 2005/56/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005; 2005/61/CE della Commissione, del 30 settembre 2005; 2005/62/CE della Commissione, del 30 settembre 2005; 2005/65/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005; 2005/71/CE del Consiglio, del 12 ottobre 2005; 2005/81/CE della Commissione, del 28 novembre 2005; 2005/85/CE del Consiglio, del 1° dicembre 2005; 2005/94/CE del Consiglio, del 20 dicembre 2005; 2006/54/CE del Parlamento europeo e del Consiglio, del 5 luglio 2006.
5. Entro diciotto mesi dalla data di entrata in vigore di ciascuno dei decreti legislativi di cui al comma 1, nel rispetto dei principi e criteri direttivi fissati dalla presente legge, il Governo può emanare, con la procedura indicata nei commi 2, 3 e 4, disposizioni integrative e correttive dei decreti legislativi adottati ai sensi del comma 1, fatto salvo quanto previsto dal comma 6.
6. Entro tre anni dalla data di entrata in vigore dei decreti legislativi di cui al comma 1, adottati per il recepimento di direttive per le quali la Commissione europea si sia riservata di adottare disposizioni di attuazione, il Governo è autorizzato, qualora tali disposizioni siano state effettivamente adottate, a recepirle nell'ordinamento nazionale con regolamento emanato ai sensi dell'art. 17, comma 1, della legge 23 agosto 1988, n. 400, e successive modificazioni, secondo quanto disposto dagli articoli 9 e 11 della legge 4 febbraio 2005, n. 11, e con le procedure ivi previste.
7. In relazione a quanto disposto dall'art. 117, quinto comma, della Costituzione e dall'art. 16, comma 3 della legge 4 febbraio 2005, n. 11, si applicano le disposizioni di cui all'art. 11, comma 8, della medesima legge n. 11 del 2005.
8. Il Ministro per le politiche europee, nel caso in cui una o più deleghe di cui al comma 1 non risultino ancora esercitate decorsi quattro mesi dal termine previsto dalla direttiva per la sua attuazione, trasmette alla Camera dei deputati e al Senato della Repubblica una relazione che dà conto dei motivi addotti dai Ministri con competenza istituzionale prevalente per la materia a giustificazione del ritardo. Il Ministro per le politiche europee ogni sei mesi informa altresì la Camera dei deputati e il Senato della Repubblica sullo stato di attuazione delle direttive da parte delle regioni e delle province autonome nelle materie di loro competenza.
9. Il Governo, quando non intende conformarsi ai pareri parlamentari di cui al comma 3, relativi a sanzioni penali contenute negli schemi di decreti legislativi recanti attuazione delle direttive comprese negli elenchi di cui agli allegati A e B, ritrasmette con le sue osservazioni e con eventuali modificazioni i testi alla Camera dei deputati e al Senato della Repubblica. Decorsi trenta giorni dalla data di trasmissione, i decreti sono adottati anche in mancanza di nuovo parere.».

«Allegato B (Articolo 1, commi 1 e 3)
2005/32/CE del Parlamento europeo e del Consiglio, del 6 luglio 2005, relativa all'istituzione di un quadro per l'elaborazione di specifiche per la progettazione eco-compatibile dei prodotti che consumano energia e recante modifica della direttiva 92/42/CEE del Consiglio e delle direttive 96/57/CE e 2000/55/CE del Parlamento europeo e del Consiglio.
2005/33/CE del Parlamento europeo e del Consiglio, del 6 luglio 2005, che modifica la direttiva 1999/32/CE in relazione al tenore di zolfo dei combustibili per uso marittimo.
2005/35/CE del Parlamento europeo e del Consiglio, del 7 settembre 2005, relativa all'inquinamento provocato dalle navi e all'introduzione di sanzioni per violazioni.
2005/47/CE del Consiglio, del 18 luglio 2005, concernente l'accordo tra la Comunità delle ferrovie europee (CER) e la Federazione europea dei lavoratori dei trasporti (ETF) su taluni aspetti delle condizioni di lavoro dei lavoratori mobili che effettuano servizi di interoperabilità transfrontaliera nel settore ferroviario. 2005/56/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005, relativa alle fusioni transfrontaliere delle società di capitali.
2005/61/CE della Commissione, del 30 settembre 2005, che applica la direttiva 2002/98/CE del Parlamento europeo e del Consiglio per quanto riguarda le prescrizioni in tema di rintracciabilità e la notifica di effetti indesiderati ed incidenti gravi.
2005/62/CE della Commissione, del 30 settembre 2005, recante applicazione della direttiva 2002/98/CE del Parlamento europeo e del Consiglio per quanto riguarda le norme e le specifiche comunitarie relative ad un sistema di qualità per i servizi trasfusionali.
2005/64/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005, sull'omologazione dei veicoli a motore per quanto riguarda la loro riutilizzabilità, riciclabilità e recuperabilità e che modifica la direttiva 70/156/CEE del Consiglio.
2005/65/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005, relativa al miglioramento della sicurezza dei porti.
2005/71/CE del Consiglio, del 12 ottobre 2005, relativa a una procedura specificamente concepita per l'ammissione di cittadini di paesi terzi a fini di ricerca scientifica. 2005/81/CE della Commissione, del 28 novembre 2005, che modifica la direttiva 80/723/CEE relativa alla trasparenza delle relazioni finanziarie fra gli Stati membri e le foro imprese pubbliche nonché fra determinate imprese.
2005/85/CE del Consiglio, del 1° dicembre 2005, recante norme minime per le procedure applicate negli Stati membri ai fini del riconoscimento e della revoca dello status di rifugiato.
2005/89/CE del Parlamento europeo e del Consiglio, del 18 gennaio 2006, concernente misure per la sicurezza dell'approvvigionamento di elettricità e per gli investimenti nelle infrastrutture. 2005/94/CE del Consiglio, del 20 dicembre 2005, relativa a misure comunitarie di lotta contro l'influenza aviaria e che abroga la direttiva 92/40/CEE.
2006/7/CE del Parlamento europeo e del Consiglio, del 5 febbraio 2006, relativa alla gestione della qualità delle acque di balneazione e che abroga la direttiva 76/160/CEE
2006/21/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, relativa alla gestione dei rifiuti delle industrie estrattive e che modifica la direttiva 2004/35/CE.
2006/23/CE del Parlamento europeo e del Consiglio, del 5 aprile 2006, concernente la licenza comunitaria dei controllori del traffico aereo.
2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva, 2002/58/CE.
2006/25/CE del Parlamento europeo e del Consiglio, del 5 aprile 2006, sulle prescrizioni minime di sicurezza e di salute relative all'esposizione dei lavoratori ai rischi derivanti dagli agenti fisici (radiazioni ottiche artificiali) (diciannovesima direttiva particolare ai sensi dell'art. 16, paragrafo 1, della direttiva 83/391/CEE).
2006/32/CE del Parlamento europeo e del Consiglio, del 5 aprile 2006, concernente l'efficienza degli usi finali dell'energia e i servizi energetici e recante abrogazione della direttiva 93/76/CEE del Consiglio.
2006/38/CE del Parlamento europeo e del Consiglio, del 17 maggio 2006, che modifica la direttiva 1999/62/CE relativa alla tassazione a carico di autoveicoli pesanti adibiti al trasporto di merci su strada per l'uso di alcune infrastrutture.
2006/42/CE del Parlamento europeo e del Consiglio, del 17 maggio 2006, relativa alle macchine e che modifica la direttiva 95/16/CE (rifusione).
2006/48/CE del Parlamento europeo e del Consiglio, del 14 giugno 2006, relativa all'accesso all'attività degli enti creditizi ed al suo esercizio (rifusione).
2006/49/CE del Parlamento europeo e del Consiglio, del 14 giugno 2006, relativa all'adeguatezza patrimoniale delle imprese di investimento e degli enti creditizi (rifusione). 2006/54/CE del Parlamento europeo e del Consiglio, del 5 luglio 2006, riguardante l'attuazione del principio delle pari opportunità e della parità di trattamento fra uomini e donne in materia di occupazione e impiego (rifusione).».
- La direttiva 2006/24/CE è pubblicata nella G.U.U.E. del 13 aprile 2006, n. L 105.
- Il decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, recante Codice in materia di protezione dei dati personali è pubblicato nella Gazzetta Ufficiale del 29 luglio 2003, n. 174, supplemento ordinario.
- Il decreto-legge 27 luglio 2005, n. 144, è pubblicato nella Gazzetta Ufficiale 27 luglio 2005, n. 173 e convertito in legge, con modificazioni, dall'art. 1, legge 31 luglio 2005, n. 155, pubblicata nella Gazzetta Ufficiale 1° agosto 2005, n. 177.
Nota all'art. 1:
- Il testo dell'art. 4, del citato decreto legislativo 30 giugno 2003, n. 196, è il seguente:
«Art. 4 (Definizioni). - 1. Ai fini del presente codice si intende per:
a) «trattamento», qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b) «dato personale», qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c) «dati identificativi», i dati personali che permettono l'identificazione diretta dell'interessato;
d) «dati sensibili», i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
e) «dati giudiziari», i dati personali idonei a rivelare provvedimenti di cui all'art. 3, comma 1, lettere da a) a o) e da r) a u), del decreto del Presidente della Repubblica 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
f) «titolare», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
g) «responsabile», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
h) «incaricati», le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
i) «interessato», la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;
l) «comunicazione», il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
m) «diffusione», il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
n) «dato anonimo», il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
o) «blocco», la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
p) «banca di dati», qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti;
q) «Garante», l'autorità di cui all'art. 153, istituita dalla legge 31 dicembre 1996, n. 675.
2. Ai fini del presente codice si intende, inoltre, per:
a) «comunicazione elettronica», ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile;
b) «chiamata», la connessione istituita da un servizio telefonico accessibile al pubblico, che consente la comunicazione bidirezionale in tempo reale;
c) «reti di comunicazione elettronica», i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;
d) «rete pubblica di comunicazioni», una rete di comuni-cazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico;
e) «servizio di comunicazione elettronica», i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'art. 2, lettera c), della direttiva 2002/21/CE del 7 marzo 2002, del Parlamento europeo e del Consiglio;
f) «abbonato», qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate;
g) «utente», qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
h) «dati relativi al traffico», qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;
i) «dati relativi all'ubicazione», ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico;
l) «servizio a valore aggiunto», il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione;
m) «posta elettronica», messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si intende, altresì, per:
a) «misure minime», il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'art. 31;
b) «strumenti elettronici», gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;
c) «autenticazione informatica», l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità;
d) «credenziali di autenticazione», i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
e) «parola chiave», componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;
f) «profilo di autorizzazione», l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;
g) «sistema di autorizzazione», l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.
4. Ai fini del presente codice si intende per:
a) «scopi storici», le finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato;
b) «scopi statistici», le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici;
c) «scopi scientifici», le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore.