stai visualizzando l'atto

DECRETO DEL PRESIDENTE DELLA REPUBBLICA 31 marzo 1998, n. 501

Regolamento recante norme per l'organizzazione ed il funzionamento dell'Ufficio del Garante per la protezione dei dati personali, a norma dell'articolo 33, comma 3, della legge 31 dicembre 1996, n. 675.

note: Entrata in vigore del decreto: 16-2-1999 (Ultimo aggiornamento all'atto pubblicato il 29/07/2003)
nascondi
vigente al 28/03/2024
Testo in vigore dal:  16-2-1999

IL PRESIDENTE DELLA REPUBBLICA

Visto l'articolo 33 della legge 31 dicembre 1996, n. 675, recante tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali;
Ritenuto che, ai sensi del comma 3 del citato articolo 33 della legge n. 675 del 1996, con regolamento da adottare entro tre mesi dalla data di entrata in vigore della predetta legge, devono essere emanate norme concernenti l'organizzazione ed il funzionamento dell'Ufficio del Garante per la protezione dei dati personali, nonché la riscossione dei diritti di segreteria e la gestione delle spese, anche in deroga alle disposizioni sulla contabilità generale dello Stato;
Ritenuto che, ai sensi del citato comma 3 dell'articolo 33 della legge n. 675 del 1996, devono essere previste le norme concernenti il procedimento dinanzi al Garante di cui all'articolo 29, commi da 1 a 5, della medesima legge, secondo modalità tali da assicurare, nella speditezza del procedimento medesimo, il pieno rispetto del contraddittorio tra le parti interessate, nonché le norme volte a precisare le modalità per l'esercizio dei diritti di cui all'articolo 13 della legge stessa e per l'invio della notificazione dei trattamenti di dati personali per via telematica o mediante supporto magnetico o lettera raccomandata con avviso di ricevimento o con altro idoneo sistema;
Considerato che il regolamento deve disciplinare ulteriori aspetti riguardanti, tra l'altro, l'inoltro della notificazione per il tramite delle camere di commercio, industria, artigianato e agricoltura, la misura del contributo spese per l'accesso ai dati personali, la determinazione delle indennità di funzione del presidente e dei componenti del Garante, le modalità di svolgimento degli accessi alle banche di dati, delle ispezioni e delle verifiche, nonché la custodia di determinati atti e documenti, ai sensi, rispettivamente, degli articoli 7, comma 5, 13, comma 2, 30, comma 6, e 32, commi 3 e 7, della legge n. 675 del 1996;
Udito il parere del Garante per la protezione dei dati personali;
Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 17 novembre 1997;
Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 19 dicembre 1997;
Sulla proposta del Presidente del Consiglio dei Ministri, di concerto con i Ministri di grazia e giustizia, del tesoro, del bilancio e della programmazione economica e dell'interno;

Emana

il seguente regolamento:

Art. 1

Definizioni
1. Ai fini del presente regolamento si applicano le definizioni elencate nell'articolo 1 della legge 31 dicembre 1996, n. 675, di seguito denominata "legge". Ai medesimi fini, si intende, altresì:
a) per "presidente", il presidente del Garante per la protezione dei dati personali;
b) per "componenti", i componenti del Garante per la protezione dei dati personali;
c) per "Ufficio", l'Ufficio del Garante per la protezione dei dati personali.
Avvertenza:
Il testo delle note qui pubblicato è stato redatto ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge alle quali è operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.
Note alle premesse:
- Il comma 5 dell'art. 87 della Costituzione stabilisce che il Presidente della Repubblica promulghi le leggi ed emani i decreti aventi valore di legge e i regolamenti.
- Si trascrive il testo dell'art. 33 della legge 31 dicembre 1996, n. 675, e successive modificazioni e integrazioni, recante: "Tutela delle persone o di altri soggetti rispetto al trattamento dei dati personali":
"Art. 33 (Ufficio del Garante). - 1. Alle dipendenze del Garante è posto un ufficio composto da dipendenti dello Stato e di altre amministrazioni pubbliche, collocati fuori ruolo nelle forme previste dai rispettivi ordinamenti, il cui servizio presso il medesimo ufficio è equiparato ad ogni effetto di legge a quello prestato nelle rispettive amministrazioni di provenienza. Il relativo contingente è determinato, in misura non superiore a quarantacinque unità, su proposta del Garante medesimo, con decreto del Presidente del Consiglio dei Ministri, di concerto con i Ministri del tesoro e per la funzione pubblica, entro novanta giorni dalla data di elezione del Garante. Il segretario generale può essere scelto anche tra magistrati ordinari o amministrativi.
2. Le spese di funzionamento dell'Ufficio del Garante sono poste a carico di un fondo stanziato a tale scopo nel bilancio dello Stato e iscritto in apposito capitolo dello stato di previsione del Ministero del tesoro. Il rendiconto della gestione finanziaria è soggetto al controllo della Corte dei conti.
3. Le norme concernenti l'organizzazione ed il funzionamento dell'Ufficio del Garante, nonché quelle dirette a disciplinare la riscossione dei diritti di segreteria e la gestione delle spese, anche in deroga alle disposizioni sulla contabilità generale dello Stato, sono adottate con regolamento emanato con decreto del Presidente della Repubblica, entro tre mesi dalla data di entrata in vigore della presente legge, previa deliberazione del Consiglio dei Ministri, sentito il Consiglio di Stato, su proposta del Presidente del Consiglio dei Ministri, di concerto con i Ministri del tesoro, di grazia e giustizia e dell'interno, e su parere conforme del Garante stesso. Nel medesimo regolamento sono altresì previste le norme concernenti il procedimento dinanzi al Garante di cui all'art. 29, commi da 1 a 5, secondo modalità tali da assicurare, nella speditezza del procedimento medesimo, il pieno rispetto del contraddittorio tra le parti interessate, nonché le norme volte a precisare le modalità della notificazione di cui all'art. 7, per via telematica o mediante supporto magnetico o lettera raccomandata con avviso di ricevimento o altro idoneo sistema. Il parere del Consiglio di Stato sullo schema di regolamento è reso entro trenta giorni dalla ricezione della richiesta; decorso tale termine il regolamento può comunque essere emanato.
4. Nei casi in cui la natura tecnica o la delicatezza dei problemi lo richiedano, il Garante può avvalersi dell'opera di consulenti, i quali sono remunerati in base alle vigenti tariffe professionali.
5. Per l'espletamento dei propri compiti, l'Ufficio del Garante può avvalersi di sistemi automatizzati ad elaborazione informatica e di strumenti telematici propri ovvero, salvaguardando le garanzie previste dalla presente legge, appartenenti all'Autorità per l'informatica nella pubblica amministrazione o, in caso di indisponibilità, ad enti pubblici convenzionati.
6. Il personale addetto all'Ufficio del Garante ed i consulenti sono tenuti al segreto su tutto ciò di cui siano venuti a conoscenza, nell'esercizio delle proprie funzioni, in ordine a banche di dati e ad operazioni di trattamento".
- Il testo dell'art. 29 della citata legge n. 675/1996 è il seguente:
"Art. 29 (Tutela). - 1. I diritti di cui all'art. 13, comma 1, possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante. Il ricorso al Garante non può essere proposto qualora, per il medesimo oggetto e tra le stesse parti, sia stata già adita l'autorità giudiziaria.
2. Salvi i casi in cui il decorso del termine esporrebbe taluno a pregiudizio imminente ed irreparabile, il ricorso al Garante può essere proposto solo dopo che siano decorsi cinque giorni dalla richiesta avanzata sul medesimo oggetto al responsabile. La presentazione del ricorso rende improponibile un'ulteriore domanda dinanzi all'autorità giudiziaria tra le stesse parti e per il medesimo oggetto.
3. Nel procedimento dinanzi al Garante il titolare, il responsabile e l'interessato hanno diritto di essere sentiti, personalmente o a mezzo di procuratore speciale, e hanno facoltà di presentare memorie o documenti. Il Garante può disporre, anche d'ufficio, l'espletamento di perizie.
4. Assunte le necessarie informazioni il Garante, se ritiene fondato il ricorso, ordina al titolare e al responsabile, con decisione motivata, la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell'interessato e assegnando un termine per la loro adozione. Il provvedimento è comunicato senza ritardo alle parti interessate, a cura dell'Ufficio del Garante. La mancata pronuncia sul ricorso, decorsi venti giorni dalla data di presentazione, equivale a rigetto.
5. Se la particolarità del caso lo richiede, il Garante può disporre in via provvisoria il blocco in tutto o in parte di taluno dei dati ovvero l'immediata sospensione di una o più operazioni del trattamento. Il provvedimento cessa di avere ogni effetto se, entro i successivi venti giorni, non è adottata la decisione di cui al comma 4 ed è impugnabile unitamente a tale decisione.
6. Avverso il provvedimento espresso o il rigetto tacito di cui al comma 4, il titolare o l'interessato possono proporre opposizione al tribunale del luogo ove risiede il titolare, entro il termine di trenta giorni dalla data di comunicazione del provvedimento o dalla data del rigetto tacito. L'opposizione non sospende l'esecuzione del provvedimento.
7. Il tribunale provvede nei modi di cui agli articoli 737 e seguenti del codice di procedura civile, anche in deroga al divieto di cui all'articolo 4 della legge 20 marzo 1865, n. 2248, allegato E), e può sospendere, a richiesta, l'esecuzione del provvedimento.
Avverso il decreto del tribunale è ammesso unicamente il ricorso per cassazione.
8. Tutte le controversie, ivi comprese quelle inerenti il rilascio dell'autorizzazione di cui all'articolo 22, comma 1, o che riguardano, comunque, l'applicazione della presente legge, sono di competenza dell'autorità giudiziaria ordinaria.
9. Il danno non patrimoniale è risarcibile anche nei casi di violazione dell'articolo 9".
- Si riporta il testo dell'art. 13 della legge n. 675/1996:
"Art. 13 (Diritti dell'interessato). - 1. In relazione al trattamento di dati personali l'interessato ha diritto:
a) di conoscere, mediante accesso gratuito al registro di cui all'art. 31, comma 1, lettera a), l'esistenza di trattamenti di dati che possono riguardarlo;
b) di essere informato su quanto indicato all'art. 7, comma 4, lettere a), b) e h);
c) di ottenere, a cura del titolare o del responsabile, senza ritardo:
1) la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la comunicazione in forma intellegibile dei medesimi dati e della loro origine, nonché della logica e delle finalità su cui si basa il trattamento; la richiesta può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni;
2) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
3) l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l'integrazione dei dati;
4) l'attestazione che le operazioni di cui ai numeri 2) e 3) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
d) di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
e) di opporsi, in tutto o in parte, al trattamento di dati personali che lo rig uardano, previsto a fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva e di essere informato dal titolare, non oltre il momento in cui i dati sono comunicati o diffusi, della possibilità di esercitare gratuitamente tale diritto.
2. Per ciascuna richiesta di cui al comma 1, lettera c), n. 1), può essere chiesto all'interessato, ove non risulti confermata l'esistenza di dati che lo riguardano, un contributo spese, non superiore ai costi effettivamente sopportati, secondo le modalità ed entro i limiti stabiliti dal regolamento di cui all'articolo 33, comma 3.
3. I diritti di cui al comma 1 riferiti ai dati personali concernenti persone decedute possono essere esercitati da chiunque vi abbia interesse.
4. Nell'esercizio dei diritti di cui al comma 1 l'interessato può conferire, per iscritto, delega o procura a persone fisiche o ad associazioni.
5. Restano ferme le norme sul segreto professionale degli esercenti la professione di giornalista, limitatamente alla fonte della notizia".
- Si riporta il testo dell'art. 7, comma 5, della citata legge n. 675/1996:
"5. I soggetti tenuti ad iscriversi o che devono essere annotati nel registro delle imprese di cui all'articolo 2188 del codice civile, nonché coloro che devono fornire le informazioni di cui all'art. 8, comma 8, lettera d), della legge 29 dicembre 1993, n. 580, alle camere di commercio, industria, artigianato e agricoltura, possono effettuare la notificazione per il tramite di queste ultime, secondo le modalità stabilite con il regolamento di cui all'art. 33, comma 3. I piccoli imprenditori e gli artigiani possono effettuare la notificazione anche per il tramite delle rispettive rappresentanze di categoria; gli iscritti agli albi professionali anche per il tramite dei rispettivi ordini professionali. Resta in ogni caso ferma la disposizione di cui al comma 3".
- Il testo del comma 6 dell'art. 30 della legge n. 675/1996 è il seguente:
"6. Al presidente compete una indennità di funzione non eccedente, nel massimo, la retribuzione spettante al primo presidente della Corte di cassazione. Ai membri compete un'indennità di funzione non eccedente, nel massimo, i due terzi di quella spettante al presidente. Le predette indennità di funzione sono determinate, con il regolamento di cui all'art. 33, comma 3, in misura tale da poter essere corrisposte a carico degli ordinari stanziamenti".
- Si riporta il testo dei commi 2 e 7 dell'art. 32 della legge n. 675/1996 è il seguente:
"2. Il Garante, qualora ne ricorra la necessità ai fini del controllo del rispetto delle disposizioni in materia di trattamento dei dati personali, può disporre accessi alle banche di dati o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, avvalendosi, ove necessario, della collaborazione di altri organi dello Stato".
"7. Gli accertamenti di cui al comma 6 non sono delegabili. Qualora risulti necessario in ragione della specificità della verifica, il membro designato può farsi assistere da personale specializzato che è tenuto al segreto ai sensi dell'art. 33, comma 6. Gli atti e i documenti acquisiti sono custoditi secondo modalità tali da assicurarne la segretezza e sono conoscibili dal presidente e dai membri del Garante e, se necessario per lo svolgimento delle funzioni dell'organo, da un numero delimitato di addetti al relativo ufficio individuati dal Garante sulla base di criteri definiti dal regolamento di cui all'art. 33, comma 3.
Per gli accertamenti relativi agli organismi e ai dati di cui all'art. 4, comma 1, lettera b), il membro designato prende visione degli atti e dei documenti rilevanti e riferisce oralmente nelle riunioni del Garante".
- Il comma 1 dell'art. 17 della legge n. 400/1988 (Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri), come modificato dall'art. 74 del D.Lgs. 3 febbraio 1993, n. 29, prevede che con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei Ministri, sentito il parere del Consiglio di Stato che deve pronunziarsi entro novanta giorni dalla richiesta, possano essere emanati regolamenti per:
a) l'esecuzione delle leggi e dei decreti legislativi;
b) l'attuazione e l'integrazione delle leggi e dei decreti legislativi recanti norme di principio, esclusi quelli relativi a materie riservate alla competenza regionale;
c) le materie in cui manchi la disciplina da parte di leggi o di atti aventi forza di legge, semprechè non si tratti di materie comunque riservate alla competenza regionale;
d) l'organizzazione ed il funzionamento delle amministrazioni pubbliche secondo le disposizioni dettate dalla legge.
Nota all'art. 1:
- Si trascrive il testo dell'art. 1 della citata legge n. 675/1996:
"Art. 1 (Finalità e definizioni). - 1. La presente legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale; garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o associazione.
2. Ai fini della presente legge si intende:
a) per ''banca di datì', qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento;
b) per ''trattamentò', qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati;
c) per ''dato personalè', qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
d) per ''titolarè', la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza;
e) per ''responsabilè', la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
f) per ''interessatò', la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;
g) per ''comunicazioné', il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
h) per ''diffusioné', il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
i) per ''dato anonimò', il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
l) per ''bloccò', la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
m) per ''Garantè', l'autorità istituita ai sensi dell'art. 30".