stai visualizzando l'atto

DECRETO LEGISLATIVO 28 maggio 2012, n. 69

Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori. (12G0090)

note: Entrata in vigore del provvedimento: 01/06/2012
nascondi
vigente al 14/04/2024
Testo in vigore dal:  1-6-2012

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 9 e 24 della legge 15 dicembre 2011, n. 217, recante disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee - Legge comunitaria 2010;
Vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;
Vista la direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori;
Vista la direttiva 2009/140/CE del Parlamento e del Consiglio del 25 novembre 2009, recante modifica delle direttive 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/CE relativa all'accesso alle reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime e 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica;
Sentito il Garante per la protezione dei dati personali;
Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione del 6 aprile 2012;
Acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 25 maggio 2012;
Sulla proposta del Ministro per gli affari europei e del Ministro dello sviluppo economico, di concerto con i Ministri degli affari esteri, dell'economia e delle finanze e della giustizia;

Emana

il seguente decreto legislativo:

Art. 1

Modifiche al decreto legislativo 30 giugno 2003, n. 196
1. All'articolo 4, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) al comma 2 :
1) la lettera b) è sostituita dalla seguente: «b) chiamata, la connessione istituita da un servizio di comunicazione elettronica accessibile al pubblico che consente la comunicazione bidirezionale;»;
2) la lettera c) è sostituita dalla seguente: «c) reti di comunicazione elettronica, i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;»;
3) la lettera d) è sostituita dalla seguente: «d) rete pubblica di comunicazioni, una rete di comunicazione elettronica utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di reti;»;
4) alla lettera i) dopo le parole: «rete di comunicazione elettronica» sono inserite le seguenti: «o da un servizio di comunicazione elettronica»;
b) al comma 3, dopo la lettera g) è aggiunta la seguente:
«g-bis) violazione di dati personali: violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico.».
2. All'articolo 32, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) la rubrica è sostituita dalla seguente: «Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico»;
b) il comma 1 è sostituito dal seguente: «1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 31, anche attraverso altri soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis»;
c) dopo il comma 1, sono inseriti i seguenti:
«1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati.
1-ter. Le misure di cui al commi 1 e 1-bis garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché assicurano l'attuazione di una politica di sicurezza.»;
d) al comma 3, dopo le parole: «ai sensi dei commi 1» sono inserite le seguenti: «, 1-bis».
3. Dopo l'articolo 32, del decreto legislativo 30 giugno 2003, n. 196, è inserito il seguente:
«Art. 32-bis (Adempimenti conseguenti ad una violazione di dati personali). - 1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.
2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza di contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione.
3. La comunicazione di cui al comma 2 non è dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione.
4. Ove il fornitore non vi abbia già provveduto, il Garante può, considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione.
5. La comunicazione al contraente o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione al Garante descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio.
6. Il Garante può emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonché alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea ai sensi dell'articolo 4, paragrafo 5, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE.
7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Garante di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario figurano unicamente le informazioni necessarie a tal fine.
8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui al presente articolo.».
4. All'articolo 121, comma 1, del decreto legislativo 30 giugno 2003, n. 196, dopo le parole: «reti pubbliche di comunicazioni» sono aggiunte, in fine, le seguenti: «, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione».
5. All'articolo 122, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) il comma 1, è sostituito dal seguente: «1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente.»;
b) il comma 2, è sostituito dal seguente: «2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente.»;
c) dopo il comma 2, è aggiunto il seguente: «2-bis. Salvo quanto previsto dal comma 1, è vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente.».
6. All'articolo 123, comma 3, del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: «manifestato» è inserita la seguente:
«preliminarmente».
7. All'articolo 130 del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) al comma 1:
1) le parole: «L'uso di sistemi automatizzati» sono sostituite dalle seguenti: «Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati»;
2) dopo la parola: «automatizzati» sono inserite le seguenti: «di chiamata o di comunicazione»;
3) le parole: «dell'interessato» sono sostituite dalle seguenti: «del contraente o utente»;
b) al comma 5:
1) dopo la parola: «mittente» sono inserite le seguenti: «o in violazione dell'articolo 8 del decreto legislativo 9 aprile 2003, n. 70,»;
2) dopo le parole: «di cui all'articolo 7» sono aggiunte, in fine, le seguenti: «, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003».
8. Dopo l'articolo 132, del decreto legislativo 30 giugno 2003, n. 196, è inserito il seguente:
«Art. 132-bis (Procedure istituite dai fornitori). - 1. I fornitori istituiscono procedure interne per corrispondere alle richieste effettuate in conformità alle disposizioni che prevedono forme di accesso a dati personali degli utenti.
2. A richiesta, i fornitori forniscono al Garante, per i profili di competenza, informazioni sulle procedure di cui al comma 1, sul numero di richieste ricevute, sui motivi legali addotti e sulle risposte date.».
9. Dopo l'articolo 162-bis, del decreto legislativo 30 giugno 2003, n. 196, è inserito il seguente:
«Art. 162-ter (Sanzioni nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico). - 1. La violazione delle disposizioni di cui all'articolo 32-bis, comma 1, è punita con la sanzione amministrativa del pagamento di una somma da venticinquemila euro a centocinquantamila euro.
2. La violazione delle disposizioni di cui all'articolo 32-bis, comma 2, è punita con la sanzione amministrativa del pagamento di una somma da centocinquanta euro a mille euro per ciascun contraente o altra persona nei cui confronti venga omessa o ritardata la comunicazione di cui al medesimo articolo 32-bis, comma 2. Non si applica l'articolo 8 della legge 24 novembre 1981, n. 689.
3. La sanzione amministrativa di cui al comma 2 non può essere applicata in misura superiore al 5 per cento del volume d'affari realizzato dal fornitore di servizi di comunicazione elettronica accessibili al pubblico nell'ultimo esercizio chiuso anteriormente alla notificazione della contestazione della violazione amministrativa, fermo restando quanto previsto dall'articolo 164-bis, comma 4.
4. La violazione delle disposizioni di cui all'articolo 32-bis, comma 7, è punita con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro.
5. Le medesime sanzioni di cui al presente articolo si applicano nei confronti dei soggetti a cui il fornitore di servizi di comunicazione elettronica accessibili al pubblico abbia affidato l'erogazione dei predetti servizi, qualora tali soggetti non abbiano comunicato senza indebito ritardo, al fornitore, ai sensi dell'articolo 32-bis, comma 8, le informazioni necessarie ai fini degli adempimenti di cui all'articolo 32-bis.».
10. Al comma 1 dell'articolo 164-bis del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: «162,» sono inserite le seguenti: «162-ter,».
11. Al comma 1 dell'articolo 168 del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: «Chiunque,» sono inserite le seguenti: «nelle comunicazioni di cui all'articolo 32-bis, commi 1 e 8,».
12. Nel decreto legislativo 30 giugno 2003, n. 196, la parola: «abbonato», ovunque ricorra, è sostituita dalla seguente:
«contraente».
Avvertenza:
Il testo delle note qui pubblicato è stato redatto dall'amministrazione competente per materia ai sensi dell'articolo 10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con decreto del Presidente della Repubblica 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali è operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.
Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle Comunità europee (GUCE).
Note alle premesse:
L'articolo 76 della Costituzione stabilisce che l'esercizio della funzione legislativa non può essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti.
L'articolo 87 della Costituzione conferisce, tra l'altro, al Presidente della Repubblica il potere di promulgare le leggi e di emanare i decreti aventi valore di legge ed i regolamenti.
Il testo degli articoli 9 e 24 della legge 15 dicembre 2011, n. 217 (Disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee - Legge comunitaria 2010), pubblicata nella Gazzetta Ufficiale 2 gennaio 2012, n. 1, così recita:
"Art. 9. Delega al Governo per l'attuazione delle direttive 2009/127/CE, relativa alle macchine per l'applicazione di pesticidi, 2009/136/CE e 2009/140/CE, in materia di servizi di comunicazione elettronica, 2010/30/UE, concernente l'indicazione del consumo di energia e di risorse connesse, e 2011/17/UE, sulla metrologia
1. Il Governo è delegato ad adottare, entro tre mesi dalla data di entrata in vigore della presente legge, su proposta del Presidente del Consiglio dei ministri o del Ministro per le politiche europee e del Ministro dello sviluppo economico, di concerto con i Ministri degli affari esteri, dell'economia e delle finanze e della giustizia, uno o più decreti legislativi per dare attuazione alle direttive 2009/127/CE del Parlamento europeo e del Consiglio, del 21 ottobre 2009, che modifica la direttiva 2006/42/CE relativa alle macchine per l'applicazione di pesticidi, 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori, 2009/140/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, recante modifica delle direttive 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/CE relativa all'accesso alle reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime e 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica, 2010/30/UE del Parlamento europeo e del Consiglio, del 19 maggio 2010, concernente l'indicazione del consumo di energia e di altre risorse dei prodotti connessi all'energia, mediante l'etichettatura ed informazioni uniformi relative ai prodotti (rifusione), e 2011/17/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, che abroga le direttive 71/317/CEE, 71/347/CEE, 71/349/CEE, 74/148/CEE, 75/33/CEE, 76/765/CEE, 76/766/CEE e 86/217/CEE del Consiglio relative alla metrologia.
2. I decreti legislativi di cui al comma 1 recanti le norme di attuazione delle direttive 2009/136/CE e 2009/140/CE sono adottati attraverso l'adeguamento e l'integrazione delle disposizioni legislative in materia di comunicazioni elettroniche, di protezione dei dati personali e di tutela della vita privata nel settore delle comunicazioni elettroniche e di apparecchiature radio e apparecchiature terminali di telecomunicazione, anche mediante le opportune modifiche al codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259, al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e al decreto legislativo 9 maggio 2001, n. 269.
3. All'articolo 15 del testo unico dei servizi di media audiovisivi e radiofonici, di cui al decreto legislativo 31 luglio 2005, n. 177, e successive modificazioni, dopo il comma 6 è inserito il seguente:
«6-bis. Fermo restando quanto previsto dall'articolo 8, gli operatori di rete locale che d'intesa tra loro raggiungano una copertura non inferiore all'80 per cento della popolazione nazionale possono diffondere un solo programma di fornitori di servizi di media audiovisivi autorizzati in ambito nazionale ad eccezione di quelli integrati, anche con i soggetti di cui all'articolo 2, comma 1, lettera q). Un ulteriore programma di fornitori di servizi di media audiovisivi nazionali, così come definiti precedentemente, può essere trasmesso dagli stessi operatori locali a condizione che per la stessa capacità trasmissiva non vi sia richiesta da parte dei soggetti che hanno proceduto al volontario rilascio delle frequenze utilizzate in ambito locale, di cui al comma 8 dell'articolo 1 della legge 13 dicembre 2010, n. 220».
4. I decreti legislativi di cui al comma 2 sono adottati, altresì, nel rispetto dei seguenti principi e criteri direttivi specifici:
a) garanzia di accesso al mercato con criteri di obiettività, trasparenza, non discriminazione e proporzionalità;
b) rispetto dei diritti fondamentali garantiti dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 e ratificata ai sensi della legge 4 agosto 1955, n. 848, nell'ambito dei procedimenti restrittivi dell'accesso alle reti di comunicazione elettronica;
c) gestione efficiente, flessibile e coordinata dello spettro radio, senza distorsioni della concorrenza ed in linea con i principi di neutralità tecnologica e dei servizi, nel rispetto degli accordi internazionali pertinenti, nonché nel prioritario rispetto di obiettivi d'interesse generale o di ragioni di ordine pubblico, pubblica sicurezza e difesa;
d) possibilità di introdurre, in relazione alle ipotesi di cui alla lettera c), limitazioni proporzionate e non discriminatorie in linea con quanto previsto nelle direttive in recepimento e, in particolare, dei tipi di reti radio e di tecnologie di accesso senza filo utilizzate per servizi di comunicazione elettronica, ove ciò sia necessario, al fine di evitare interferenze dannose; proteggere la salute pubblica dai campi elettromagnetici riesaminando periodicamente la necessità e la proporzionalità delle misure adottate; assicurare la qualità tecnica del servizio; assicurare la massima condivisione delle radiofrequenze; salvaguardare l'uso efficiente dello spettro; conseguire obiettivi di interesse generale;
e) rafforzamento delle prescrizioni in materia di sicurezza ed integrità delle reti;
f) rafforzamento delle prescrizioni a garanzia degli utenti finali, in particolare dei disabili, degli anziani, dei minori e dei portatori di esigenze sociali particolari, anche per ciò che concerne le apparecchiature terminali;
g) rafforzamento delle prescrizioni sulla trasparenza dei contratti per la fornitura di servizi di comunicazione elettronica, in tema di prezzi, qualità, tempi e condizioni di offerta dei servizi, anche con l'obiettivo di facilitare la loro confrontabilità da parte dell'utente e l'eventuale cambio di fornitore;
h) ridefinizione del ruolo dell'Autorità per le garanzie nelle comunicazioni anche attraverso le opportune modificazioni della legge 14 novembre 1995, n. 481, con riferimento alla disciplina dell'incompatibilità sopravvenuta ovvero della durata dell'incompatibilità successiva alla cessazione dell'incarico di componente e di Presidente dell'Autorità medesima, allineandolo alle previsioni delle altre Autorità europee di regolamentazione;
i) rafforzamento delle prescrizioni in tema di sicurezza e riservatezza delle comunicazioni, nonché di protezione dei dati personali e delle informazioni già archiviate nell'apparecchiatura terminale, fornendo all'utente indicazioni chiare e comprensibili circa le modalità di espressione del proprio consenso, in particolare mediante le opzioni dei programmi per la navigazione nella rete internet o altre applicazioni;
l) individuazione, per i rispettivi profili di competenza, del Garante per la protezione dei dati personali e della Direzione nazionale antimafia quali autorità nazionali ai fini dell'articolo 15, paragrafo 1-ter, della citata direttiva 2002/58/CE;
m) adozione di misure volte a promuovere investimenti efficienti e innovazione nelle infrastrutture di comunicazione elettronica, anche attraverso disposizioni che attribuiscano all'autorità di regolazione la facoltà di disporre la condivisione o la coubicazione delle infrastrutture civili, e previsione che, a tale fine, siano adeguatamente remunerati i rischi degli investimenti sostenuti dalle imprese;
n) previsione di procedure tempestive, non discriminatorie e trasparenti relative alla concessione del diritto di installazione di infrastrutture al fine di promuovere un efficiente livello di concorrenza;
o) revisione delle procedure di analisi dei mercati per i servizi di comunicazione elettronica, nel perseguimento dell'obiettivo di coerenza del quadro regolamentare di settore dell'Unione europea e nel rispetto delle specificità delle condizioni di tali mercati;
p) promozione di un efficiente livello di concorrenza infrastrutturale, al fine di conseguire un'effettiva concorrenza nei servizi al dettaglio;
q) definizione del riparto di attribuzioni tra Autorità per le garanzie nelle comunicazioni e Garante per la protezione dei dati personali, nell'adempimento delle funzioni previste dalle direttive di cui al comma 2, nel rispetto del quadro istituzionale e delle funzioni e dei compiti del Ministero dello sviluppo economico, fatta salva la competenza generale della Presidenza del Consiglio dei ministri in materia di diritto d'autore sulle reti di comunicazione elettronica e quella del Ministero per i beni e le attività culturali;
r) revisione delle sanzioni e degli illeciti già previsti nelle materie di cui al comma 2 del presente articolo, con particolare riguardo alle previsioni di cui al codice delle comunicazioni elettroniche, di cui al citato decreto legislativo n. 259 del 2003, e alla legge 28 marzo 1991, n. 109. Alla revisione si provvede nel rispetto dei principi e criteri generali di cui alla lettera c) del comma 1 dell'articolo 2 della legge 4 giugno 2010, n. 96, prevedendo sanzioni amministrative in caso di violazione delle norme introdotte dall'articolo 2 della citata direttiva 2009/136/CE, con il conseguente riassetto del sistema sanzionatorio previsto, in particolare, dal codice in materia di protezione dei dati personali, di cui al citato decreto legislativo n. 196 del 2003, anche mediante depenalizzazione;
s) abrogazione espressa di tutte le disposizioni incompatibili con quelle adottate in sede di recepimento.
5. All'articolo 33, comma 1, lettera d-ter), quarto periodo, della legge 7 luglio 2009, n. 88, le parole: «in favore dell'ente gestore» sono sostituite dalle seguenti: «in favore del titolare dell'archivio».
6. Dall'esercizio della presente delega non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate provvedono all'adempimento dei compiti derivanti dall'esercizio della presente delega con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente."
"Art. 24. (Disposizioni finali)
1. Nell'esercizio delle deleghe di cui alla presente legge si applicano, in quanto compatibili, gli articoli 1 e 2 della legge 4 giugno 2010, n. 96. Gli schemi dei decreti legislativi sono sempre trasmessi alla Camera dei deputati e al Senato della Repubblica ai fini dell'acquisizione del parere da parte delle competenti Commissioni parlamentari, secondo le procedure di cui all'articolo 1 della medesima legge.
2. Il decreto legislativo di cui all'articolo 7 è adottato entro sei mesi dalla data di entrata in vigore della presente legge.".
Il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) è pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n. 174, S.O.
La direttiva 2002/58/CE è pubblicata nella G.U.C.E. 31 luglio 2002, n. L 201.
La direttiva 2009/136/CE è pubblicata nella G.U.U.E. 18 dicembre 2009, n. L 337.
La direttiva 2009/140/CE è pubblicata nella G.U.U.E. 18 dicembre 2009, n. L 337.

Note all'art. 1:
Il testo dell'articolo 4, del citato decreto legislativo n. 196 del 2003 , come modificato dal presente decreto, così recita:
"Art. 4. (Definizioni).
1. Ai fini del presente codice si intende per:
a) «trattamento», qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b) «dato personale», qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c) «dati identificativi», i dati personali che permettono l'identificazione diretta dell'interessato;
d) «dati sensibili», i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
e) «dati giudiziari», i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
f) «titolare», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
g) «responsabile», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
h) «incaricati», le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
i) «interessato», la persona fisica, cui si riferiscono i dati personali;
l) «comunicazione», il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
m) «diffusione», il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
n) «dato anonimo», il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
o) «blocco», la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
p) «banca di dati», qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti;
q) «Garante», l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675.
2. Ai fini del presente codice si intende, inoltre, per:
a) «comunicazione elettronica», ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile;
b) chiamata, la connessione istituita da un servizio di comunicazione elettronica accessibile al pubblico che consente la comunicazione bidirezionale;
c) reti di comunicazione elettronica, i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;
d) rete pubblica di comunicazioni, una rete di comunicazione elettronica utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di reti;
e) «servizio di comunicazione elettronica», i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del 7 marzo 2002, del Parlamento europeo e del Consiglio;
f) «abbonato», qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate;
g) «utente», qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
h) «dati relativi al traffico», qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;
i) «dati relativi all'ubicazione», ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico;
l) «servizio a valore aggiunto», il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione;
m) «posta elettronica», messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si intende, altresì, per:
a) «misure minime», il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31;
b) «strumenti elettronici», gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;
c) «autenticazione informatica», l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità;
d) «credenziali di autenticazione», i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
e) «parola chiave», componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;
f) «profilo di autorizzazione», l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;
g) «sistema di autorizzazione», l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.
g-bis) violazione di dati personali: violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico.
4. Ai fini del presente codice si intende per:
a) «scopi storici», le finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato;
b) «scopi statistici», le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici;
c) «scopi scientifici», le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore.".
Il testo dell'articolo 32 del citato decreto legislativo n. 196 del 2003, come modificato dal presente decreto, così recita:
"Art. 32. (Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico)
1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 31, anche attraverso altri soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis.
1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati.
1-ter. Le misure di cui al commi 1 e 1-bis garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché assicurano l'attuazione di una politica di sicurezza.
2. Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia è definita dall'Autorità per le garanzie nelle comunicazioni secondo le modalità previste dalla normativa vigente.
3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell'ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1, 1-bis e 2, tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa è resa al Garante e all'Autorità per le garanzie nelle comunicazioni.".
Il testo dell'articolo 121 del citato decreto legislativo n. 196 del 2003, come modificato dal presente decreto, così recita:
"Art. 121. (Servizi interessati).
1. Le disposizioni del presente titolo si applicano al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione.".
Il testo dell'articolo 122 del citato decreto legislativo n. 196 del 2003, come modificato dal presente decreto, così recita:
"Art. 122. (Informazioni raccolte nei riguardi dell'abbonato o dell'utente).
1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3.
Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente.
2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente.
2-bis. Salvo quanto previsto dal comma 1, è vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente.".
Il testo dell'articolo 123, comma 3, del citato decreto legislativo n. 196 del 2003 , citato nelle note alle premesse, come modificato dal presente decreto, così recita:
"Art. 123. (Dati relativi al traffico)
(Omissis).
3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico può trattare i dati di cui al comma 2 nella misura e per la durata necessarie a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, solo se l'abbonato o l'utente cui i dati si riferiscono hanno manifestato preliminarmente il proprio consenso, che è revocabile in ogni momento.
(Omissis).".
Il testo dell'articolo 130 del citato decreto legislativo n. 196 del 2003 , come modificato dal presente decreto, così recita:
"Art. 130. (Comunicazioni indesiderate).
1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente.
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.
3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24 nonché ai sensi di quanto previsto dal comma 3-bis del presente articolo.
3-bis. In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo 129, comma 1, mediante l'impiego del telefono e della pasta cartacea per le finalità di cui all'articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l'iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all'articolo 129, comma 1, in un registro pubblico delle opposizioni.
3-ter. Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da adottare ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, nonché, per i relativi profili di competenza, il parere dell'Autorità per le garanzie nelle comunicazioni, che si esprime entro il medesimo termine, secondo i seguenti criteri e principi generali:
a) attribuzione dell'istituzione e della gestione del registro ad un ente o organismo pubblico titolare di competenze inerenti alla materia;
b) previsione che l'ente o organismo deputato all'istituzione e alla gestione del registro vi provveda con le risorse umane e strumentali di cui dispone o affidandone la realizzazione e la gestione a terzi, che se ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio, nel rispetto del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163. I soggetti che si avvalgono del registro per effettuare le comunicazioni corrispondono tariffe di accesso basate sugli effettivi costi di funzionamento e di manutenzione. Il Ministro dello sviluppo economico, con proprio provvedimento, determina tali tariffe;
c) previsione che le modalità tecniche di funzionamento del registro consentano ad ogni utente di chiedere che sia iscritta la numerazione della quale è intestatario secondo modalità semplificate ed anche in via telematica o telefonica;
d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non consentano il trasferimento dei dati presenti nel registro stesso, prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi;
e) disciplina delle tempistiche e delle modalità dell'iscrizione al registro, senza distinzione di settore di attività o di categoria merceologica, e del relativo aggiornamento, nonché del correlativo periodo massimo di utilizzabilità dei dati verificati nel registro medesimo, prevedendosi che l'iscrizione abbia durata indefinita e sia revocabile in qualunque momento, mediante strumenti di facile utilizzo e gratuitamente;
f) obbligo per i soggetti che effettuano trattamenti di dati per le finalità di cui all'articolo 7, comma 4, lettera b), di garantire la presentazione dell'identificazione della linea chiamante e di fornire all'utente idonee informative, in particolare sulla possibilità e sulle modalità di iscrizione nel registro per opporsi a futuri contatti;
g) previsione che l'iscrizione nel registro non precluda i trattamenti dei dati altrimenti acquisiti e trattati nel rispetto degli articoli 23 e 24.
3-quater. La vigilanza e il controllo sull'organizzazione e il funzionamento del registro di cui al comma 3-bis e sul trattamento dei dati sono attribuiti al Garante.
4. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.
5. È vietato in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o in violazione dell'articolo 8 del decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003.
6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante può, provvedendo ai sensi dell'articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni."
Il testo dell'articolo 164-bis, comma 1, del citato decreto legislativo n. 196 del 2003, come modificato dal presente decreto, così recita:
"Art. 164-bis. (Casi di minore gravità e ipotesi aggravate)
1. Se taluna delle violazioni di cui agli articoli 161, 162, 162-ter, 163 e 164 è di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti.
(Omissis).".
Il testo dell'articolo 168 del citato decreto legislativo n. 196 del 2003, come modificato dal presente decreto, così recita:
"Art. 168. (Falsità nelle dichiarazioni e notificazioni al Garante).
1. Chiunque, nelle comunicazioni di cui all'articolo 32-bis, commi 1 e 8, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.".
Il decreto legislativo n. 196 del 2003 è citato nelle note alle premesse.