Logo Governo Presidenza del Consiglio dei Ministri
Logo Normattiva

Normattiva - Il portale della legge vigente
Ricerca avanzata

stai visualizzando l'atto

vigente al
originario
multivigente

DECRETO LEGISLATIVO 10 agosto 2018, n. 101

Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129)

note: Entrata in vigore del provvedimento: 19/09/2018 (Ultimo aggiornamento all'atto pubblicato il 29/12/2021)
(GU n.205 del 04-09-2018) visualizza atto intero
nascondi
vigente al 27/04/2024
  • Articoli
  • Capo I
    Modifiche al titolo e alle premesse del codice in materia di
    protezione dei dati personali di cui al decreto legislativo 30 giugno
    2003, n. 196
  • 1
  • Capo II
    Modifiche alla parte I del codice in materia di protezione dei dati
    personali di cui al decreto legislativo 30 giugno 2003, n. 196
  • 2
  • Capo III
    Modifiche alla parte II del codice in materia di protezione dei dati
    personali di cui decreto legislativo 30 giugno 2003, n. 196
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • Capo IV
    Modifiche alla parte III e agli allegati del codice in materia di
    protezione dei dati personali di cui al decreto legislativo 30 giugno
    2003, n. 196
  • 13
  • 14
  • 15
  • 16
  • Capo V
    Disposizioni processuali
  • 17
  • Capo VI
    Disposizioni transitorie, finali e finanziarie
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
articolo precedente articolo successivo
Testo in vigore dal:  19-9-2018

Art. 8

Modifiche alla parte II, titolo VII,
del decreto legislativo 30 giugno 2003, n. 196
1. Alla parte II, titolo VII, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) la rubrica è sostituita dalla seguente: «(Trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici)»;
b) l'articolo 97 è sostituito dal seguente:
«Art. 97 (Ambito applicativo). - 1. Il presente titolo disciplina il trattamento dei dati personali effettuato a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ai sensi dell'articolo 89 del regolamento.»;
c) l'articolo 99 è sostituito dal seguente:
«Art. 99 (Durata del trattamento). - 1. Il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici può essere effettuato anche oltre il periodo di tempo necessario per conseguire i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati.
2. A fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici possono comunque essere conservati o ceduti ad altro titolare i dati personali dei quali, per qualsiasi causa, è cessato il trattamento nel rispetto di quanto previsto dall'articolo 89, paragrafo 1, del Regolamento.»;
d) all'articolo 100:
1) al comma 1, le parole «sensibili o giudiziari» sono sostituite dalle seguenti: «di cui agli articoli 9 e 10 del Regolamento»;
2) al comma 2, le parole da «opporsi» fino alla fine del comma, sono sostituite dalle seguenti: «rettifica, cancellazione, limitazione e opposizione ai sensi degli articoli 16, 17, 18 e 21 del Regolamento»;
3) dopo il comma 4, è aggiunto il seguente: «4-bis. I diritti di cui al comma 2 si esercitano con le modalità previste dalle regole deontologiche.»;
e) la rubrica del Capo II è sostituita dalla seguente: «Trattamento a fini di archiviazione nel pubblico interesse o di ricerca storica»;
f) all'articolo 101:
1) al comma 1, le parole «per scopi storici» sono sostituite dalle seguenti: «a fini di archiviazione nel pubblico interesse o di ricerca storica» e le parole «dell'articolo 11» sono sostituite dalle seguenti: «dell'articolo 5 del regolamento»;
2) al comma 2, le parole «per scopi storici» sono sostituite dalle seguenti: «a fini di archiviazione nel pubblico interesse o di ricerca storica»;
g) all'articolo 102:
1) la rubrica è sostituita dalla seguente: «(Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o di ricerca storica)»;
2) il comma 1 è sostituito dal seguente: «1. Il Garante promuove, ai sensi dell'articolo 2-quater, la sottoscrizione di regole deontologiche per i soggetti pubblici e privati, ivi comprese le società scientifiche e le associazioni professionali, interessati al trattamento dei dati a fini di archiviazione nel pubblico interesse o di ricerca storica.»;
3) al comma 2 sono apportate le seguenti modificazioni:
3.1 l'alinea è sostituito dal seguente: «2. Le regole deontologiche di cui al comma 1 individuano garanzie adeguate per i diritti e le libertà dell'interessato in particolare:»;
3.2 alla lettera a), dopo la parola «codice» sono inserite le seguenti: «e del Regolamento»;
3.3 alla lettera c) le parole «a scopi storici» sono sostituite dalle seguenti: «a fini di archiviazione nel pubblico interesse o di ricerca storica»;
h) l'articolo 103 è sostituito dal seguente:
«Art. 103 (Consultazione di documenti conservati in archivi). - 1.
La consultazione dei documenti conservati negli archivi di Stato, in quelli storici degli enti pubblici e in archivi privati dichiarati di interesse storico particolarmente importante è disciplinata dal decreto legislativo 22 gennaio 2004, n. 42 e dalle relative regole deontologiche.»;
i) la rubrica del Capo III è sostituita dalla seguente: «Trattamento a fini statistici o di ricerca scientifica»;
l) all'articolo 104:
1) alla rubrica, le parole «per scopi statistici o scientifici» sono sostituite dalle seguenti: «a fini statistici o di ricerca scientifica»;
2) al comma 1, le parole «scopi statistici» sono sostituite dalle seguenti: «fini statistici» e le parole «scopi scientifici» sono sostituite dalle seguenti: «per fini di ricerca scientifica»;
m) all'articolo 105:
1) al comma 1, le parole «per scopi statistici o scientifici» sono sostituite dalle seguenti: «a fini statistici o di ricerca scientifica»;
2) al comma 2, le parole «Gli scopi statistici o scientifici» sono sostituite dalle seguenti: «I fini statistici e di ricerca scientifica», le parole «all'articolo 13» sono sostituite dalle seguenti: «agli articoli 13 e 14 del regolamento» e le parole «, e successive modificazioni» sono soppresse;
3) al comma 3, le parole «dai codici» sono sostituite dalle seguenti: «dalle regole deontologiche» e le parole «l'informativa all'interessato può essere data» sono sostituite dalle seguenti: «le informazioni all'interessato possono essere date»;
4) al comma 4, le parole «per scopi statistici o scientifici» sono sostituite dalle seguenti: «a fini statistici o di ricerca scientifica», le parole «l'informativa all'interessato non è dovuta» sono sostituite dalle seguenti: «le informazioni all'interessato non sono dovute» e le parole «dai codici» sono sostituite dalle seguenti: «dalle regole deontologiche»;
n) l'articolo 106 è sostituito dal seguente:
«Art. 106 (Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica). - 1. Il Garante promuove, ai sensi dell'articolo 2-quater, regole deontologiche per i soggetti pubblici e privati, ivi comprese le società scientifiche e le associazioni professionali, interessati al trattamento dei dati per fini statistici o di ricerca scientifica, volte a individuare garanzie adeguate per i diritti e le libertà dell'interessato in conformità all'articolo 89 del Regolamento.
2. Con le regole deontologiche di cui al comma 1, tenendo conto, per i soggetti già compresi nell'ambito del Sistema statistico nazionale, di quanto già previsto dal decreto legislativo 6 settembre 1989, n. 322, e, per altri soggetti, sulla base di analoghe garanzie, sono individuati in particolare:
a) i presupposti e i procedimenti per documentare e verificare che i trattamenti, fuori dai casi previsti dal medesimo decreto legislativo n. 322 del 1989, siano effettuati per idonei ed effettivi fini statistici o di ricerca scientifica;
b) per quanto non previsto dal presente codice, gli ulteriori presupposti del trattamento e le connesse garanzie, anche in riferimento alla durata della conservazione dei dati, alle informazioni da rendere agli interessati relativamente ai dati raccolti anche presso terzi, alla comunicazione e diffusione, ai criteri selettivi da osservare per il trattamento di dati identificativi, alle specifiche misure di sicurezza e alle modalità per la modifica dei dati a seguito dell'esercizio dei diritti dell'interessato, tenendo conto dei principi contenuti nelle pertinenti raccomandazioni del Consiglio d'Europa;
c) l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da altri per identificare direttamente o indirettamente l'interessato, anche in relazione alle conoscenze acquisite in base al progresso tecnico;
d) le garanzie da osservare nei casi in cui si può prescindere dal consenso dell'interessato, tenendo conto dei principi contenuti nelle raccomandazioni di cui alla lettera b);
e) modalità semplificate per la prestazione del consenso degli interessati relativamente al trattamento dei dati di cui all'articolo 9 del regolamento;
f) i casi nei quali i diritti di cui agli articoli 15, 16, 18 e 21 del Regolamento possono essere limitati ai sensi dell'articolo 89, paragrafo 2, del medesimo Regolamento;
g) le regole di correttezza da osservare nella raccolta dei dati e le istruzioni da impartire alle persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile ai sensi dell'articolo 2-quaterdecies;
h) le misure da adottare per favorire il rispetto del principio di minimizzazione e delle misure tecniche e organizzative di cui all'articolo 32 del Regolamento, anche in riferimento alle cautele volte ad impedire l'accesso da parte di persone fisiche che non sono autorizzate o designate e l'identificazione non autorizzata degli interessati, all'interconnessione dei sistemi informativi anche nell'ambito del Sistema statistico nazionale e all'interscambio di dati per fini statistici o di ricerca scientifica da effettuarsi con enti ed uffici situati all'estero;
i) l'impegno al rispetto di regole deontologiche da parte delle persone che, ai sensi dell'articolo 2-quaterdecies, risultano autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile del trattamento, che non sono tenute in base alla legge al segreto d'ufficio o professionale, tali da assicurare analoghi livelli di sicurezza e di riservatezza.»;
o) l'articolo 107 è sostituito dal seguente:
«Art. 107 (Trattamento di categorie particolari di dati personali).
- 1. Fermo restando quanto previsto dall'articolo 2-sexies e fuori dei casi di particolari indagini a fini statistici o di ricerca scientifica previste dalla legge, il consenso dell'interessato al trattamento di dati di cui all'articolo 9 del Regolamento, quando è richiesto, può essere prestato con modalità semplificate, individuate dalle regole deontologiche di cui all'articolo 106 o dalle misure di cui all'articolo 2-septies.»;
p) l'articolo108 è sostituito dal seguente:
«Art. 108 (Sistema statistico nazionale). - 1. Il trattamento di dati personali da parte di soggetti che fanno parte del Sistema statistico nazionale, oltre a quanto previsto dalle regole deontologiche di cui all'articolo 106, comma 2, resta inoltre disciplinato dal decreto legislativo 6 settembre 1989, n. 322, in particolare per quanto riguarda il trattamento dei dati di cui all'articolo 9 del Regolamento indicati nel programma statistico nazionale, le informative all'interessato, l'esercizio dei relativi diritti e i dati non tutelati dal segreto statistico ai sensi dell'articolo 9, comma 4, del medesimo decreto legislativo n. 322 del 1989.»;
q) all'articolo 109, comma 1, le parole «della statistica, sentito il Ministro» sono sostituite dalle seguenti: «di statistica, sentiti i Ministri»;
r) l'articolo 110 è sostituito dal seguente:
«Art. 110 (Ricerca medica, biomedica ed epidemiologica). - 1. Il consenso dell'interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea in conformità all'articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d'impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento.
2. In caso di esercizio dei diritti dell'interessato ai sensi dell'articolo 16 del regolamento nei riguardi dei trattamenti di cui al comma 1, la rettificazione e l'integrazione dei dati sono annotati senza modificare questi ultimi, quando il risultato di tali operazioni non produce effetti significativi sul risultato della ricerca.»;
s) l'articolo 110-bis è sostituito dal seguente:
«Art. 110-bis (Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici). - 1. Il Garante può autorizzare il trattamento ulteriore di dati personali, compresi quelli dei trattamenti speciali di cui all'articolo 9 del Regolamento, a fini di ricerca scientifica o a fini statistici da parte di soggetti terzi che svolgano principalmente tali attività quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, a condizione che siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, in conformità all'articolo 89 del Regolamento, comprese forme preventive di minimizzazione e di anonimizzazione dei dati.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell'ambito del trattamento ulteriore dei dati personali da parte di terzi, anche sotto il profilo della loro sicurezza.
3. Il trattamento ulteriore di dati personali da parte di terzi per le finalità di cui al presente articolo può essere autorizzato dal Garante anche mediante provvedimenti generali, adottati d'ufficio e anche in relazione a determinate categorie di titolari e di trattamenti, con i quali sono stabilite le condizioni dell'ulteriore trattamento e prescritte le misure necessarie per assicurare adeguate garanzie a tutela degli interessati. I provvedimenti adottati a norma del presente comma sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana.
4. Non costituisce trattamento ulteriore da parte di terzi il trattamento dei dati personali raccolti per l'attività clinica, a fini di ricerca, da parte degli Istituti di ricovero e cura a carattere scientifico, pubblici e privati, in ragione del carattere strumentale dell'attività di assistenza sanitaria svolta dai predetti istituti rispetto alla ricerca, nell'osservanza di quanto previsto dall'articolo 89 del Regolamento.».
Note all'art. 8:

- L'art. 100 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, come modificato dal presente decreto, così recita:
«Art. 100 (Dati relativi ad attività di studio e ricerca). - 1. Al fine di promuovere e sostenere la ricerca e la collaborazione in campo scientifico e tecnologico i soggetti pubblici, ivi comprese le università e gli enti di ricerca, possono con autonome determinazioni comunicare e diffondere, anche a privati e per via telematica, dati relativi ad attività di studio e di ricerca, a laureati, dottori di ricerca, tecnici e tecnologi, ricercatori, docenti, esperti e studiosi, con esclusione di quelli di cui agli articoli 9 e 10 del Regolamento.
2. Resta fermo il diritto dell'interessato di rettifica, cancellazione, limitazione e opposizione ai sensi degli articoli 16, 17, 18 e 21 del Regolamento.
3. I dati di cui al presente articolo non costituiscono documenti amministrativi ai sensi della legge 7 agosto 1990, n. 241.
4. I dati di cui al presente articolo possono essere successivamente trattati per i soli scopi in base ai quali sono comunicati o diffusi.
4-bis. I diritti di cui al comma 2 si esercitano con le modalità previste dalle regole deontologiche.»
- L'art. 101 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, come modificato dal presente decreto, così recita:
«Art. 101 (Modalità di trattamento). - 1. I dati personali raccolti a fini di archiviazione nel pubblico interesse o di ricerca storica non possono essere utilizzati per adottare atti o provvedimenti amministrativi sfavorevoli all'interessato, salvo che siano utilizzati anche per altre finalità nel rispetto dell'art. 5 del Regolamento.
2. I documenti contenenti dati personali, trattati a fini di archiviazione nel pubblico interesse o di ricerca storica, possono essere utilizzati, tenendo conto della loro natura, solo se pertinenti e indispensabili per il perseguimento di tali scopi. I dati personali diffusi possono essere utilizzati solo per il perseguimento dei medesimi scopi.
3. I dati personali possono essere comunque diffusi quando sono relativi a circostanze o fatti resi noti direttamente dall'interessato o attraverso suoi comportamenti in pubblico.».
- L'art. 102 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, come modificato dal presente decreto, così recita:
Art. 102 (Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o di ricerca storica). - 1. Il Garante promuove, ai sensi dell'art. 2-quater, la sottoscrizione di regole deontologiche per i soggetti pubblici e privati, ivi comprese le società scientifiche e le associazioni professionali, interessati al trattamento dei dati a fini di archiviazione nel pubblico interesse o di ricerca storica.
2. Le regole deontologiche di cui al comma 1 individuano garanzie adeguate per i diritti e le libertà dell'interessato in particolare:
a) le regole di correttezza e di non discriminazione nei confronti degli utenti da osservare anche nella comunicazione e diffusione dei dati, in armonia con le disposizioni del presente codice e del Regolamento applicabili ai trattamenti di dati per finalità giornalistiche o di pubblicazione di articoli, saggi e altre manifestazioni del pensiero anche nell'espressione artistica;
b) le particolari cautele per la raccolta, la consultazione e la diffusione di documenti concernenti dati idonei a rivelare lo stato di salute, la vita sessuale o rapporti riservati di tipo familiare, identificando casi in cui l'interessato o chi vi abbia interesse è informato dall'utente della prevista diffusione di dati;
c) le modalità di applicazione agli archivi privati della disciplina dettata in materia di trattamento dei dati a fini di archiviazione nel pubblico interesse o di ricerca storica, anche in riferimento all'uniformità dei criteri da seguire per la consultazione e alle cautele da osservare nella comunicazione e nella diffusione.».
- L'art. 104 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, come modificato dal presente decreto, così recita:
«Art. 104 (Ambito applicativo e dati identificativi a fini statistici o di ricerca scientifica). - 1. Le disposizioni del presente capo si applicano ai trattamenti di dati per fini statistici o, in quanto compatibili, per fini di ricerca scientifica.
2. Agli effetti dell'applicazione del presente capo, in relazione ai dati identificativi si tiene conto dell'insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare o da altri per identificare l'interessato, anche in base alle conoscenze acquisite in relazione al progresso tecnico.».
- L'art. 105 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, come modificato dal presente decreto, così recita:
«Art. 105 (Modalità di trattamento). - 1. I dati personali trattati a fini statistici o di ricerca scientifica non possono essere utilizzati per prendere decisioni o provvedimenti relativamente all'interessato, né per trattamenti di dati per scopi di altra natura.
2. I fini statistici e di ricerca scientifica devono essere chiaramente determinati e resi noti all'interessato, nei modi di cui agli articoli 13 e 14 del Regolamento anche in relazione a quanto previsto dall'art. 106, comma 2, lettera b), del presente codice e dall'art. 6-bis del decreto legislativo 6 settembre 1989, n. 322.
3. Quando specifiche circostanze individuate dalle regole deontologiche di cui all'art. 106 sono tali da consentire ad un soggetto di rispondere in nome e per conto di un altro, in quanto familiare o convivente, le informazioni all'interessato possono essere date anche per il tramite del soggetto rispondente.
4. Per il trattamento effettuato a fini statistici o di ricerca scientifica rispetto a dati raccolti per altri scopi, le informazioni all'interessato non sono dovute quando richiede uno sforzo sproporzionato rispetto al diritto tutelato, se sono adottate le idonee forme di pubblicità individuate dalle regole deontologiche di cui all'art. 106.».
- L'art. 109 del decreto legislativo 30 giugno 2003, n. 196, citato nelle note alle premesse, come modificato dal presente decreto, così recita:
«Art. 109 (Dati statistici relativi all'evento della nascita). - 1. Per la rilevazione dei dati statistici relativi agli eventi di nascita, compresi quelli relativi ai nati affetti da malformazioni e ai nati morti, nonché per i flussi di dati anche da parte di direttori sanitari, si osservano, oltre alle disposizioni di cui al decreto del Ministro della sanità 16 luglio 2001, n. 349, le modalità tecniche determinate dall'Istituto nazionale di statistica, sentiti i Ministri della salute, dell'interno e il Garante.».
articolo precedente articolo successivo