Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

DECRETO DEL PRESIDENTE DELLA REPUBBLICA 15 gennaio 2018, n. 15

Regolamento a norma dell'articolo 57 del decreto legislativo 30 giugno 2003, n. 196, recante l'individuazione delle modalità di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalità di polizia, da organi, uffici e comandi di polizia

(GU n.61 del 14-3-2018) Vigente al: 29-3-2018
IL PRESIDENTE DELLA REPUBBLICA

Visto l'articolo 87, quinto comma, della Costituzione;
Visto l'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, recante «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri»;
Vista la legge 1° aprile 1981, n, 121, recante «Nuovo ordinamento dell'amministrazione della pubblica sicurezza»;
Vista la Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981, ratificata e resa esecutiva con la legge 21 febbraio 1989, n. 98;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali» e,in particolare, l'articolo 57, il quale prevede che, con decreto del Presidente della Repubblica, siano individuate le modalità di attuazione dei principi del codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalità di polizia di cui all'articolo 53, dal centro elaborazione dati e da organi, uffici o comandi di polizia, anche in attuazione della raccomandazione R (87) 15 del Consiglio d'Europa del 17 settembre 1987 e successive modificazioni;
Vista la legge 30 giugno 2009, n. 85, di adesione della Repubblica italiana al Trattato di Prüm, concluso il 27 maggio 2005, e di istituzione della banca dati nazionale del DNA e del laboratorio centrale per la banca dati nazionale del DNA;
Vista la decisione quadro 2006/960/GAI del Consiglio, del 18 dicembre 2006, relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorità degli Stati membri dell'Unione europea incaricate dell'applicazione della legge;
Visto il decreto legislativo 23 aprile 2015, n. 54, recante «Attuazione della decisione quadro 2006/960/GAI del Consiglio, del 18 dicembre 2006»;
Vista la raccomandazione del Consiglio d'Europa n. R (87) 15, adottata dal Comitato dei ministri il 17 settembre 1987, e successive modificazioni, che disciplina l'uso di dati personali nel settore della polizia;
Visto il protocollo n. 181 dell'8 novembre 2001, aggiuntivo alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale n. 108 del 1981, concernente le autorità di controllo e i flussi internazionali di dati;
Visto il regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II);
Vista la decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II);
Vista la decisione 2007/845/GAI del Consiglio, del 6 dicembre 2007, concernente la cooperazione tra gli uffici degli Stati membri per il recupero dei beni nel settore del reperimento e dell'identificazione dei proventi di reato o altri beni connessi;
Vista la decisione 2008/615/GAI del Consiglio, del 23 giugno 2008, sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera;
Vista la decisione 2008/616/GAI del Consiglio, del 23 giugno 2008, relativa all'attuazione della decisione2008/615/GAI sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera;
Vista la decisione 2008/633/GAI del Consiglio, del 23 giugno 2008, relativa all'accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorità designate degli Stati membri e di Europol ai fini della prevenzione,dell'individuazionee dell'investigazione di reati di terrorismo e altri reati gravi;
Vista la decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale;
Visto il regolamento (UE) n. 603/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, che istituisce l'«Eurodac» per il confronto delle impronte digitali per l'efficace applicazione del regolamento (UE) n. 604/2013 che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide e per le richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto, e che modifica il regolamento (UE) n. 1077/2011 che istituisce un'agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995;
Vista la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;
Vista la direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei gravi reati;
Visto il regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, istitutivo dell'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol), che sostituisce le decisioni ed abroga le decisioni del Consiglio 2009/371/GAI,2009/934/GAI,2009/935/GAI,2009/936/GAI e 2009/968/GAI;
Acquisito il parere del Garante per la protezione dei dati personali del 2 marzo 2017;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 28 luglio 2017;
Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'Adunanza del 31 agosto 2017;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 1° dicembre 2017;
Sulla proposta del Presidente del Consiglio dei ministri e del Ministro dell'interno, di concerto con il Ministro della giustizia;

Emana
il seguente regolamento:

Art. 1 Oggetto e ambito di applicazione

1. Il presente regolamento individua le modalità di attuazione dei principi del Codice in materia di protezione dei dati personali, adottato con il decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice», relativamente ai trattamenti effettuati, anche senza l'ausilio di strumenti elettronici, da organi, uffici e comandi di polizia, per le finalità di polizia di cui all'articolo 53 del Codice.
2. Il presente regolamento non si applica ai trattamenti di dati personali effettuati per finalità amministrative. In conformità a quanto previsto dall'articolo 54, comma 2, del Codice, tali dati sono conservati separatamente da quelli registrati per finalità di polizia, salvo che non siano necessari,incasispecifici, nell'ambito di un'attività informativa, di sicurezza o di indagine di polizia giudiziaria.
3. Il presente regolamento non si applica ai soggetti pubblici che, pur effettuando il trattamento dei dati personali per le finalità di polizia di cui all'articolo 3, non rientrano nella categoria degli organi, uffici e comandi di cui all'articolo 57 del Codice.

Art. 2 Definizioni

1. Ai fini del presente regolamento, ferme restando le definizioni di cui all'articolo 4 del Codice, con le parole:«autorità competente degli Stati membri dell'Unione europea o degli Stati terzi» si intende qualsiasi autorità pubblica di uno Stato membro dell'Unione europea o di uno Stato terzo che, in basealla legislazione interna, sia competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, ovvero qualsiasi altro organismo o entità incaricati dal diritto dello Stato membro dell'Unione europea o del Paese terzo di esercitare l'autorità pubblica e i poteri pubblici afinidiprevenzione,indagine,accertamentoe perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.

Art. 3 Finalità dei trattamenti

1. I trattamenti di dati personali si intendono effettuati per le finalità di polizia, ai sensi dell'articolo 53 del Codice, quando sono direttamente correlati all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonché di polizia giudiziaria, svolti, ai sensi del codice di procedura penale, per la prevenzione e repressione dei reati.
2. È compatibile con le finalità di polizia, di cui al comma 1, l'ulteriore trattamento, ai sensi dell'articolo 99 del Codice, per finalità storiche, scientifiche e, previa trasformazione in forma anonima, per finalità statistiche, anche per le esigenze di analisi dei fenomeni criminali e dei risultati dell'azione di contrasto al crimine, nonché dell'attività di tutela dell'ordine edella sicurezza pubblica.
3. Il trattamento dei dati personali per le finalità storiche e scientifiche di cui al comma 2 è consentito ai soli operatori a ciò abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti.

Art. 4 Qualità dei dati trattati

1. Ai sensi dell'articolo 11 del Codice, i dati personali oggetto di trattamento sono esatti e, se necessario, aggiornati, pertinenti, completi e non eccedenti rispetto alle finalità di cui all'articolo 3.
2. Gli organi, uffici e comandi di polizia, ai sensi dell'articolo 54, comma 4, del Codice, verificano i requisiti di cui al comma 1, per quanto possibile, in occasione dell'utilizzo dei dati personali effettuato nell'ambito di un'attività informativa, di sicurezza o di indagine di polizia giudiziaria.
3. Il titolare o il responsabile del trattamento informano il Garante delle direttive impartite in merito alle verifiche di cui al comma 2.

Art. 5 Configurazione dei sistemi informativi e dei programmi informatici

1. Ai sensi dell'articolo 3 del Codice, in relazione ai trattamenti automatizzati, i sistemi informativi e i programmi informatici sono configurati in modo da ridurre al minimo l'utilizzo di dati personali e identificativi, escludendone comunque il trattamento quando le finalità di cui all'articolo 3 possono essere perseguite mediante dati anonimi o modalità che consentono di identificare la persona interessata solo in caso di necessità.
2. I nuovi sistemi informativi e programmi informatici sono progettati in modo che i dati personali siano cancellati o resi anonimi, con modalità automatizzate, allo scadere dei termini di conservazione di cui all'articolo 10. Essi, inoltre, sono progettati in modo da consentire la registrazione in appositi registri degli accessi e delle operazioni, di seguito «file di log», effettuati dagli operatori abilitati.

Art. 6 Trattamenti che presentano rischi specifici

1. I trattamenti dei dati personali che implicano maggiori rischi di un danno alla persona interessata, con particolare riguardo alle banche di dati genetici o biometrici, alle tecniche basate su dati relativi all'ubicazione, alle banche dati e ai trattamenti di cui all'articolo 7 basati su particolari tecniche di elaborazione delle informazioni o su particolari tecnologie, sono effettuatinel rispetto delle misure e degli accorgimenti prescritti dal Garante ai sensi dell'articolo 17 del Codice, sulla basedipreventiva comunicazione inviata con le modalità indicate nell'articolo 39 del Codice.
2. Gli accessi e le operazioni effettuati dagli operatori abilitati relativamente ai dati di cui al comma 1, soggetti a trattamento automatizzato, sono registrati in appositi file dilog,non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti da speciali disposizioni.
3. Gli accessi ai file di log di cui al comma 2 sono consentiti ai soli fini della verifica della liceità del trattamento,del controllo interno, per garantire l'integrità e la sicurezza dei dati personali e nell'ambito del procedimento penale.

Art. 7 Uso di particolari tecniche di elaborazione delle informazioni

1. L'uso, anche per finalità di analisi, di particolari tecniche di elaborazione delle informazioni, ivi inclusi i sistemi di indice, è consentito ai soli operatori a ciò abilitati e designati, secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e nell'ambito di specifiche attività informative, di sicurezza o di indagine di polizia giudiziaria.
2. Gli accessi e le operazioni effettuati dagli operatori abilitati di cui al comma 1, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione.
3. Gli accessi ai file di log di cui al comma 2 sono consentiti ai soli fini della verifica della liceità del trattamento,del controllo interno, per garantire l'integrità e la sicurezza dei dati personali e nell'ambito del procedimento penale.

Art. 8 Trattamento di dati per esigenze temporanee

1. È consentito il trattamento dei dati personali per esigenze temporanee o in relazione a situazioni particolarichesono direttamente correlate all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonché di polizia giudiziaria.
2. I dati personali di cui al comma 1 sono trattati nel rispetto dei principi richiamati dagli articoli 4, 5 e 6.
3. I dati personali di cui al comma 1 sono conservati separatamente da quelli registrati permanentemente, per un periodo di tempo non superiore a quello necessario agli scopi specifici per i quali sono stati raccolti e, comunque, non oltre 10 anni dalla cessazione dell'esigenza o della situazione particolare che ne hanno reso necessario il trattamento. Si applicano i termini di conservazione di cui all'articolo 10 se tali dati rientrano nelle categorie dallo stesso previste.
4. Cessata l'esigenza o la situazione particolare, l'accesso ai dati di cui al comma 1 è consentito ai soli operatori a ciò abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti in base alle indicazionidelcapo dell'ufficio o del comandante del reparto e nell'ambito di specifiche attività informative, di sicurezza o di indagine dipolizia giudiziaria.

Art. 9 Collegamenti con altre banche dati

1. Per l'acquisizione di dati, informazioni, atti e documenti, è consentita l'attivazione di collegamenti telematici con banche dati di pubbliche amministrazioni o di privati, in conformità alle disposizioni di legge o di regolamento e nel rispetto dei principi richiamati dagli articoli 4 e 5.
2. I dati e le informazioni sono acquisiti attraverso consultazione per mezzo di tecnologie dell'informazione e della comunicazione senza duplicazione di archivi e banche dati.
3. Il collegamento è attivato con modalità tali da consentire l'accesso selettivo ai soli dati e informazioni necessari per il conseguimento delle finalità di cui all'articolo 3.
4. Per l'attivazione dei collegamenti gli organi, uffici e comandi di polizia possono avvalersi, ai sensi dell'articolo 54 del Codice, di convenzioni sottoscritte sulla base di schemi adottati dal Ministero dell'interno, su conforme parere del Garante.

Capo II
Termini di conservazione dei dati

Art. 10 Termini di conservazione dei dati

1. I dati personali oggetto di trattamento sono conservati per un periodo di tempo non superiore a quello necessario per il conseguimento delle finalità di polizia di cui all'articolo 3.
2. I dati personali soggetti a trattamento automatizzato, trascorsa la metà del tempo massimo di conservazione di cui al comma 3, se uguale o superiore a quindici anni, sono accessibili ai soli operatori a ciò abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e in relazione a specifiche attività informative, di sicurezza o di indagine di polizia giudiziaria.
3. Fatto salvo quanto previsto dai commi 6 e 7, i dati personali non possono essere conservati oltre il termine massimo fissato come segue:
a) dati relativi a provvedimenti di natura interdittiva, di sicurezza e cautelare, nonché a misure restrittive della libertà personale conseguenti ad una sentenza di condanna - 20 anni dalla cessazione della loro efficacia;
b) dati relativi a misure di prevenzione di carattere personale e patrimoniale - 25 anni dalla cessazione della loro efficacia;
c) dati relativi a procedimenti, misure e provvedimenti su cui interviene una procedura di annullamento, invalidazione o revoca - 3 anni dalladatadiinoppugnabilitàdelprovvedimentodi annullamento, invalidazione o revoca;
d) dati relativi a provvedimenti che dichiarano l'estinzione della pena o del reato - 8 anni dall'inoppugnabilità del provvedimento;
e) dati derivanti da attività informativa e ispettiva svolta per le finalità di cui all'articolo 3 - 15 anni dall'ultimo trattamento;
f) dati relativi ad attività di polizia giudiziaria conclusa con provvedimento di archiviazione - 20annidall'emissionedel provvedimento;
g) dati relativi ad attività di polizia giudiziaria conclusa con sentenza di assoluzione o di non doversi procedere - 20 anni dal passaggio in giudicato della sentenza;
h) dati relativi ad attività di polizia giudiziaria conclusa con sentenza di condanna - 25 anni dal passaggio in giudicato della sentenza;
i) dati relativi ad attività di indagine o polizia giudiziaria che non hanno dato luogo a procedimento penale - 15 anni dall'ultimo trattamento;
l) dati relativi ad attività di prevenzione generale e soccorso pubblico - 5 anni dalla raccolta;
m) dati relativi a controlli di polizia - 20 anni dalla raccolta;
n) dati raccolti per l'analisi criminale e di prevenzione - 10 anni dall'elaborazione dell'analisi;
o) dati relativi a provvedimenti di espulsione e rimpatrio di stranieri - 30 anni dall'esecuzione;
p) dati relativi a nulla osta, licenze, autorizzazioni di polizia - 5 anni dalla scadenza o dalla revoca del titolo;
q) dati relativi alla detenzione delle armi o parti di esse, di munizioni finite e di materie esplodenti di qualsiasi genere - 5 anni dalla cessazione della detenzione;
r) dati relativi a persone detenute negli istituti penitenziari - 30 anni dalla scarcerazione a seguito di espiazione della pena in caso di condanna - 5 anni dalla scarcerazione a seguito di decreto di archiviazione o non luogo a procedere o di sentenza di assoluzione;
s) dati relativi a persone sottoposte a misure di sicurezza detentive - 25 anni dalla scadenza del termine di efficacia della misura;
t) dati relativi alla gestione delle attività operative - 10 anni dall'ultimo trattamento;
u) dati raccolti mediante sistemi di ripresa fotografica, audio e video nei servizi di ordine pubblico e di polizia giudiziaria - 3 anni dalla raccolta; dati raccolti mediante sistemi di videosorveglianza o di ripresa fotografica, audio e video di documentazione dell'attività operativa - 18 mesi dalla raccolta. Si applicano i diversi termini di conservazione di cui alla lettera b), quando i dati personali sono confluiti in un procedimento per l'applicazione di una misura di prevenzione, o quelli di cui alle lettere a), f), g), h) e i), quando i dati personali sono confluiti in un procedimento penale.
4. I termini di conservazione di cui al comma 3 sono aumentati di due terzi quando i dati personali sono trattati nell'ambito di attività preventiva o repressiva relativa ai delitti di cui all'articolo 51, commi 3-bis, 3-quater e 3-quinquies, del codice di procedura penale, nonché per le ulteriori ipotesi indicate dall'articolo 407, comma 2, lettera a), del codice di procedura penale.
5. Il capo dell'ufficio o il comandante del reparto, prima della scadenza dei termini di cui al comma 3, ove sia strettamente necessario per il conseguimento delle finalità di polizia di cui all'articolo 3, può decidere, sulla base dei criteri definiti dal Capo della polizia - direttore generale della pubblica sicurezza ovvero, su sua delega, dal vice direttore generale di cui all'articolo 4, comma 6, del decreto-legge 29 ottobre 1991, n. 345, convertito, con modificazioni, dalla legge 30 dicembre 1991, n. 410, di aumentare la durata di conservazione, indicandone i motivi in relazione al caso specifico e l'ulteriore periodo di trattamento, che non può comunque superare i due terzi di quelli fissati al comma 3.
6. I dati personali soggetti a trattamento non automatizzato, sono conservati per il periodo di tempo previsto dalle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni se superiore a quello di cui al comma 3.
7. Sono fatti salvi i diversi termini e modalità di conservazione dei dati personali previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale in relazione a specifici trattamenti effettuati per le finalità di cui all'articolo 3.
8. Decorsi i termini di cui ai commi 1, 3, 4, 5 e 7, i dati personali soggetti a trattamento automatizzato sono cancellati o resi anonimi, i dati personali non soggetti a trattamento automatizzato restano assoggettati alle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni.

Capo III
Raccolta, comunicazione e diffusione dei dati

Art. 11 Limitazioni alla raccolta dei dati

1. È vietata la raccolta e il trattamento dei dati sulle persone, inclusi quelli genetici e biometrici, per il solo fatto della loro origine razziale o etnica, fede religiosa, opinione politica, orientamento sessuale, stato di salute e delle loro convinzioni filosofiche o di altro genere o della loro adesione ai principi di movimenti sindacali, nonché per la legittima attività che svolgono come appartenenti ad organizzazioni legalmente operanti nei settori sopraindicati.
2. La raccolta e il trattamento dei dati personali di cui al comma 1 sono consentiti quando è necessario per le esigenze di un'attività informativa, di sicurezza o di indagine di polizia giudiziaria o di tutela dell'ordine e della sicurezza ad integrazione di altri dati personali.
3. Resta fermo il divieto, di cui all'articolo 14 del Codice, di basare sul solo trattamento automatizzato di dati personali atti e decisioni che implicano una valutazione del comportamento umano.

Art. 12 Comunicazione dei dati tra Forze di polizia

1. La comunicazione dei dati tra organi, uffici e comandi delle Forze di polizia di cui all'articolo 16 della legge n. 121 del 1981, per le finalità di polizia di cui all'articolo 3, è consentita quando è necessaria per lo svolgimento dei compiti istituzionali, fermi restando gli obblighi di segretezza che incombono sugli ufficiali e agenti di polizia giudiziaria in relazione alle indagini svolte, come stabilito dal codice di procedura penale.

Art. 13 Comunicazione dei dati a pubbliche amministrazioni o enti pubblici e a privati

1. La comunicazione di dati personali a pubbliche amministrazioni o enti pubblici è consentita esclusivamente nei casi previsti da disposizioni di legge o di regolamento o, nel rispetto dei principi richiamati dall'articolo 4, quando è necessaria per l'adempimento di uno specifico compito istituzionale dell'organo, ufficio o comando e i dati personali sono necessari per lo svolgimento dei compiti istituzionali del ricevente.
2. La comunicazione di dati personali a privati è consentita quando è necessaria per l'adempimento di uno specifico compito istituzionale da parte dell'organo, ufficio o comando perle finalità di polizia di cui all'articolo 3.
3. La comunicazione dei dati personali a pubbliche amministrazioni o enti pubblici e a privati è, altresì, consentita quando risponde all'interesse della persona cui i dati si riferiscono e, comunque, nei singoli casi in cui è necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica, o per la salvaguardia della vita e dell'incolumità fisica di un terzo.
4. Sono fatti salvi, in ogni caso, l'obbligo del segreto di cui all'articolo 329 del codice di procedura penale e i divieti previsti da altre disposizioni di legge o di regolamento.

Art. 14 Diffusione dei dati e delle immagini personali

1. La diffusione di dati personali è consentita quando è necessaria per le finalità di polizia di cui all'articolo 3, fermo restando l'obbligo del segreto di cui all'articolo 329 del codice di procedura penale e fatti salvi i divieti previstidaaltre disposizioni di legge o di regolamento; essa è comunque effettuata nel rispetto della dignità della persona.
2. La diffusione di immagini personali è consentita quando la persona interessata ha espresso il proprio consenso o è necessaria per la salvaguardia della vita o dell'incolumità fisica o è giustificata da necessità di giustizia o di polizia; essa è comunque effettuata con modalità tali da non recare pregiudizio alla dignità della persona.
3. Il Garante è informato delle direttive generali adottate in ambito nazionale sulla diffusione dei dati odelleimmagini personali.

Art. 15 Condizioni della comunicazione e della diffusione dei dati

1. La comunicazione e la diffusione dei dati personali nei casi previsti dagli articoli 12, 13 e 14 sono effettuate previa verifica della loro esattezza, aggiornamento e completezza.
2. Gli organi, uffici e comandi di polizia, nel caso in cui verificano che i dati personali oggetto di comunicazione ai sensi degli articoli 12 e 13 sono inesatti o non aggiornati o incompleti, provvedono a rettificarli e, ove possibile e necessario, ad aggiornarli e completarli. Le operazioni di cui al precedente periodo sono portate a conoscenza, anche per quanto riguarda il loro contenuto, dei destinatari della comunicazione.
3. Gli organi, uffici e comandi di polizia, nel caso in cui verificano che i dati personali oggetto di diffusione ai sensi dell'articolo 14 sono inesatti o non aggiornati o incompleti, provvedono a rettificarli e, ove possibile e necessario, ad aggiornarli e completarli. Le operazioni di cui al precedente periodo sono portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati diffusi, salvo che tale adempimento risulti impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. In ogni caso, il dato personale rettificato, aggiornato o completato è diffuso nella stessa forma con la quale è stato diffuso il dato inesatto, non aggiornato o incompleto.

Capo IV
Trattamento dei dati nell'ambito dell'attività di cooperazione internazionale di polizia

Art. 16 Scambio di dati con autorità competenti degli Stati membri dell'Unione europea e con organismi dell'Unione europea

1. Lo scambio di dati e informazioni personali con le autorità competenti degli Stati membri dell'Unione europea e con gli organismi dell'Unione europea è consentito, nell'ambito delle attività di cooperazione internazionale di polizia, esclusivamente nei casi, alle condizioni e con le modalità stabilite da disposizioni di legge o di regolamento o da atti normativi dell'Unione europea.
2. Sono fatti salvi gli accordi o le intese in materia di cooperazione internazionale di polizia sottoscritti e resi esecutivi con Stati membri dell'Unione europea o con organismi dell'Unione europea, qualora non in contrasto con gli atti normativi interni o dell'Unione europea.
3. L'elenco degli accordi e delle intese di cui al comma 2 è comunicato dal competente Dipartimento del Ministero dell'interno al Garante entro sessanta giorni dall'entrata in vigore del presente regolamento e successivamente aggiornato.

Art. 17 Comunicazione di dati alle autorità competenti degli Stati terzi o ad organismi internazionali

1. La comunicazione di dati personali alle autorità competenti degli Stati terzi o ad organismi ed organizzazioni internazionali è consentita, nell'ambito delle attività di cooperazione internazionale di polizia, in conformità agli accordi o alle intese sottoscritti e resi esecutivi con tali Stati o con organismi e organizzazioni internazionali, qualora non in contrasto con atti normativi interni o dell'Unione europea.
2. La comunicazione di dati personali alle autorità competenti degli Stati terzi o ad organismi e organizzazioni internazionali è comunque consentita quando è necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica di uno Stato membro o di un Paese terzo, o agli interessi essenziali di uno Stato membro, o per la salvaguardia della vita e dell'incolumità fisica di un terzo.
3. La comunicazione di dati personali può essere effettuata in modalità automatizzata, o secondo i canali di comunicazione codificati a livello internazionale, assicurando l'adozione di misure appropriate, compresa la cifratura, per garantire la riservatezza e l'integrità dei dati trasmessi.
4. Le comunicazioni di dati personali effettuate ai sensi del presente articolo dagli operatori abilitati sono registrate in appositi file di log, non modificabili che sono conservati per 5 anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti dagli accordi o dalle intese di cui al comma 1.
5. Gli accessi ai file di log di cui al comma 4 sono consentiti ai soli fini della verifica della liceità del trattamento, del controllo interno, per garantire l'integrità e la sicurezza dei dati personali e nell'ambito del procedimento penale.

Art. 18 Verifica della qualità dei dati comunicati alle autorità competenti degli Stati terzi o ad organismi internazionali e di quelli trasmessi dalle autorità competenti degli Stati terzi o da organismi internazionali

1. La comunicazione dei dati personali nei casi previsti dall'articolo 17 è effettuata previa verifica della loro esattezza, aggiornamento e completezza.
2. L'organo, ufficio o comando di polizia, nel caso in cui verifica che i dati personali trasmessi ad un'autorità competente di uno Stato terzo o ad un organismo o organizzazione internazionale sono inesatti o non aggiornati o incompleti, provvede ad informare senza ritardo il destinatario della comunicazione. I dati personali sono rettificati se inesatti e, ove possibile e necessario, aggiornati e completati.
3. L'organo, ufficio o comando di polizia, nel caso in cui ha motivo di ritenere che i dati personali ricevuti da un'autorità competente di uno Stato terzo o da un organismo o organizzazione internazionale sono inesatti, o non aggiornati o incompleti, provvede ad informare, con le modalità di cui all'articolo 17, comma 3, l'autorità competente dello Stato terzo o l'organismo o organizzazione internazionale che ha comunicato i medesimi dati personali. Se i dati personali sono stati trasmessi senza essere stati richiesti, l'organo, ufficio o comando di polizia ricevente valuta immediatamente se tali dati sono necessari per lo scopo per il quale sono stati trasmessi.
4. L'organo, ufficio o comando di polizia, cancella i dati personali che non avrebbero dovuto essere ricevuti.
5. L'organo, ufficio o comando di polizia, cancella o rende anonimi i dati personali lecitamente ricevuti:
a) nel caso in cui essi non sono o non sono più necessari per le finalità per cui sono stati trasmessi;
b) al termine del periodo massimo di conservazione indicato dall'autorità competente dello Stato terzo o dall'organismo o organizzazione internazionale. Non si fa luogo alla cancellazione nel caso in cui, alla scadenza del predetto periodo massimo di conservazione, i dati personali sono necessari per lo svolgimento di specifiche attività informative o di indagine finalizzate alla prevenzione e repressione di reati. In nessun caso i dati sono conservati oltre i termini di conservazione di cui all'articolo 10.
6. L'organo, ufficio o comando di polizia procede al blocco dei dati personali ricevuti quando vi sono motivi per ritenere che la cancellazione degli stessi pregiudicherebbe un legittimo interesse della persona interessata ai sensi delle vigenti disposizioni di legge. I dati bloccati possono essere utilizzati o trasmessi per le sole finalità che ne hanno impedito la cancellazione.

Art. 19 Trattamento dei dati personali trasmessi dalle autorità competenti degli Stati terzi o da organismi internazionali

1. I dati personali trasmessi dalle autorità competenti degli Stati terzi o da organismi o organizzazioni internazionali sono trattati esclusivamente per le finalità per le quali sono stati trasmessi ovvero, previa acquisizione del parere delle predette autorità, o organismi e organizzazioni internazionali, per le diverse finalità previste da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.
2. L'organo, ufficio o comando di polizia ricevente assicura il rispetto delle limitazioni al trattamento dei dati personali comunicate dall'autorità competente dello Stato terzo o dall'organismo o organizzazione internazionale che li ha trasmessi. Sono fatte salve le deroghe previste da disposizioni di legge, da atti normativi dell'Unione europea o dal diritto internazionale.

Art. 20 Trasferimento dei dati ad autorità competenti degli Stati membri dell'Unione europea o di altri Stati terzi o ad organismi dell'Unione europea o altri organismi internazionali

1. Il trasferimento dei dati personali trasmessi dalle autorità competenti degli Stati terzi o da organismi e organizzazioni internazionali ad autorità competenti degli Stati membri dell'Unione europea o di altri Stati terzi o ad organismi dell'Unione europea o ad altri organismi e organizzazioni internazionali è consentito esclusivamente nei casi previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.

Art. 21 Trasmissione dei dati ricevuti dalle autorità competenti degli Stati terzi o da organismi internazionali a privati

1. La trasmissione di dati personali ricevuti dalle autorità competenti degli Stati terzi o da organismi eorganizzazioni internazionali a privati è consentito esclusivamente nei casi previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.

Capo V
Trattamento dei dati attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video

Art. 22 Sistemi di videosorveglianza

1. L'utilizzo di sistemi di videosorveglianza è consentito ove necessario per le finalità di polizia di cui all'articolo 3 e a condizione che non comporti un'ingerenza ingiustificata nei diritti e nelle libertà fondamentali delle persone interessate.
2. Gli organi, uffici e comandi di polizia, nel rispetto dei principi richiamati dagli articoli 4, 5 e 6, raccolgono solo i dati strettamente necessari per il raggiungimento delle finalità di cui all'articolo3,registrando esclusivamente le immagini indispensabili.

Art. 23 Sistemi di ripresa fotografica, video e audio

1. L'utilizzo di sistemi di ripresa fotografica, video e audio per le finalità di polizia di cui all'articolo 3, è consentito ove necessario per documentare: una specifica attività preventiva o repressiva di fatti di reato, situazioni dalle quali possano derivare minacce per l'ordine e la sicurezza pubblica o un pericolo per la vita e l'incolumità dell'operatore, o specifiche attività poste in essere durante il servizio che siano espressione di poteri autoritativi degli organi, uffici e comandi di polizia.
2. Gli organi, uffici e comandi di polizia, nel rispetto dei principi richiamati dagli articoli 4, 5 e 6, raccolgono solo i dati strettamente necessari per il raggiungimento delle finalità di polizia di cui all'articolo 3, registrando quelli indispensabili.
3. Il trattamento di dati personali raccolti tramite aeromobili a pilotaggio remoto, in considerazione della loro potenziale invasività, è ricompreso tra quelli che presentano rischi specifici di cui all'articolo 6.
4. L'utilizzo di sistemi di ripresa fotografica, video e audio, installati su aeromobili a pilotaggio remoto, è autorizzato al livello gerarchico non inferiore a quello di capo ufficio o comandante di reparto.

Art. 24 Speciali misure di sicurezza relative al trattamento di dati attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video

1. I sistemi informativi e i programmi informatici destinati alla registrazione e alla conservazione dei dati personali raccolti attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video, sono configurati, in conformità al criterio di necessità del trattamento dei dati personali di cui all'articolo 5, in modo da ridurre al minimo l'utilizzazione di dati relativi a persone identificabili.
2. Sono adottati diversificati livelli di visibilità edi trattamento delle immagini da parte degli incaricati del trattamento i quali sono autorizzati, attraverso il rilascio di credenziali di autenticazione, a compiere le sole operazioni di trattamento correlate ai compiti assegnati.
3. Sono adottate specifiche misure di sicurezza contro i rischi di accesso abusivo di cui all'articolo 615-ter del codice penale nei confronti degli apparati di ripresa digitale utilizzati ai fini della registrazione delle immagini qualora connessi a reti informatiche.
4. Gli accessi e le operazioni, effettuati dagli operatori abilitati in relazione ai sistemi informativi di cui al comma 1, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti da speciali disposizioni.
5. Gli accessi ai file di log di cui al comma 4 sono consentiti ai soli fini della verifica della liceità del trattamento, del controllo interno, per garantire l'integrità e la sicurezza dei dati personali e nell'ambito del procedimento penale.
6. Ai trattamenti di dati personali che implicano maggiori rischi di un danno alla persona interessata in ragione della natura dei dati, delle modalità del trattamento o degli effetti che esso può determinare, si applica la disposizione di cui all'articolo 6, comma 1.

Capo VI
Sicurezza dei dati e dei sistemi

Art. 25 Obblighi di sicurezza

1. Il titolare o il responsabile del trattamento dei dati personali assicurano l'adozione di misure di sicurezza preventive, individuate anche in relazione al progresso tecnologico, alla natura dei dati e alle caratteristiche del singolo trattamento, idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di cui all'articolo 3 ed a garantirne, nel contempo, un'agevole fruibilità.
2. Fermo restando quanto previsto dal comma 1, o da speciali disposizioni, il titolare o ilresponsabiledeltrattamento assicurano l'adozione delle misure minime di sicurezza previste dagli articoli 33, 34 e 35 del Codice e dal disciplinare tecnico di cui al relativo allegato B) con riferimento ai trattamenti automatizzati o non automatizzati di dati personali.

Capo VII
Diritti della persona interessata e controllo sui trattamenti

Art. 26 Accesso ai dati personali

1. La persona interessata può chiedere all'organo, ufficio o comando di polizia titolare del trattamento la conferma dell'esistenza di dati personali che la riguardano, la loro comunicazione in forma intelligibile e, se i dati sono trattati in violazione di vigenti disposizioni di legge o di regolamento, il loro aggiornamento, rettifica, cancellazione, blocco o trasformazione in forma anonima.
2. L'istanza è sottoscritta dalla persona interessata in presenza dell'operatore addetto dell'organo, ufficio o comando di polizia, ovvero sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di identità.
3. L'istanza può essere presentata anche per via telematica con le modalità di cui all'articolo 65, comma 1, del decreto legislativo 7 marzo 2005, n. 82.
4. Il soggetto che agisce per conto della persona interessata esibisce o allega copia della procura ovvero della delega conferita con le modalità di cui ai commi 2 e 3.
5. Esperiti i necessari accertamenti, l'organo, ufficio o comando di polizia, entro trenta giorni dalla ricezione della richiesta, comunica alla persona interessata le determinazioni assunte.
6. L'organo, ufficio o comando di polizia può omettere di provvedere in merito alla richiesta di cui al comma 1, dandone informazione al Garante, se ciò può pregiudicare azioni o operazioni a tutela dell'ordine o della sicurezza pubblica o di prevenzione e repressione dei reati o la sicurezza dello Stato, la persona interessata o i diritti e le libertà di terzi.

Art. 27 Accertamenti dell'autorità giudiziaria

1. Chiunque viene a conoscenza dell'esistenza di dati personali che lo riguardano, trattati da organi, uffici o comandi di polizia in violazione di disposizioni di legge o di regolamento, può chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare l'aggiornamento, la rettifica, l'integrazione, la cancellazione, il blocco o la trasformazione in forma anonima dei dati medesimi. Si applica la disposizione di cui all'articolo 152, comma 1-bis, del Codice.
2. L'organo, ufficio o comando di polizia, qualora abbia notizia della controversia instaurata innanzi all'autorità giudiziaria di cui al comma 1, dispone l'immediata verifica dei dati e delle informazioni di cui la persona interessata affermi l'erroneità, l'incompletezza e l'illegittima raccolta, ai fini dell'eventuale aggiornamento, rettifica, integrazione, cancellazione, blocco o trasformazione in forma anonima degli stessi. L'esito dell'accertamento è comunicato all'autorità giudiziaria.

Art. 28 Trattamento dei dati relativi a procedimenti penali, sanzionatori e di prevenzione

1. Le disposizioni di cui agli articoli 26 e 27 non si applicano ai dati personali comunicati all'autorità giudiziaria per le esigenze del procedimento penale o per le finalità di applicazione o esecuzione della pena, o comunicati all'autorità amministrativa per le esigenze del procedimento sanzionatorio, né a quelli comunicati all'autorità competente per le esigenze dei procedimenti di applicazione di misure di sicurezza o di prevenzione.
2. Nei procedimenti di cui al comma 1 la tutela della persona interessata rispetto al trattamento dei dati personali è garantita nelle forme previste per ciascuno dei procedimenti stessi.

Art. 29 Controlli

1. I controlli sui trattamenti di dati personali effettuati degli organi, uffici e comandi di polizia sono effettuati dal Garante con le modalità di cui all'articolo 160 del Codice.
2. Il titolare o il responsabile del trattamento adottano le iniziative occorrenti a dare tempestiva attuazione alle indicazioni del Garante.

Capo VIII
Disposizioni transitorie e finali

Art. 30 Disposizioni transitorie

1. Fermo restando quanto previsto dall'articolo 5, comma 2, primo periodo, gli organi, uffici e comandi di polizia che alla data di entrata in vigore del presente regolamento dispongono di sistemi informativi e programmi informatici che, per obiettive ragioni tecniche, non consentono, in tutto o in parte, l'immediata applicazione, con modalità automatizzate, della misura della cancellazione o dell'anonimizzazione dei dati personali oggetto di trattamento allo scadere dei termini di conservazione di cui all'articolo 10, commi 1, 3, 4, 5 e 7, o non consentono la segnalazione con modalità automatizzate del decorso del termine di cui all'articolo 10, comma 2, adottano, in relazione ai sistemi e programmi detenuti, ogni possibile misura organizzativa, logistica o procedurale idonea a prevenire o limitare il rischio di utilizzo dei dati oltre i termini di conservazione di cui all'articolo 10, commi 1, 3 e 5, o di accesso ai dati in violazione della disposizione di cui all'articolo 10, comma 2. I predetti sistemi e programmi sono adeguati alle disposizioni del presente regolamento entro 5 anni dalla sua entrata in vigore, quando i medesimi siano stati istituiti anteriormente al 6 maggio 2016 e ciò comporti sforzi sproporzionati. Il termine di adeguamento dei sistemi e dei programmi è di 8 anni dalla entrata in vigore del presente regolamento, qualora ciò causi altrimenti gravi difficoltà per il loro funzionamento, previa comunicazione alla Commissione europea, da parte delle competenti strutture del Dipartimento della pubblica sicurezza, dei motivi di tali gravi difficoltà.
2. Fermo restando quanto previsto dall'articolo 5, comma 2, secondo periodo, gli organi, uffici e comandi di polizia che alla data di entrata in vigore del presente regolamento dispongono di sistemi informativi e programmi informatici che, per obiettive ragioni tecniche, non consentono, in tutto o in parte, l'immediata applicazione delle disposizioni concernenti la registrazione in appositi file di log effettuati dagli operatori abilitati, adeguano i medesimi sistemi e programmi entro 5 anni dall'entrata in vigore del presente regolamento, quando i medesimi siano stati istituiti anteriormente al 6 maggio 2016 e ciò comporti sforzi sproporzionati. Il termine di adeguamento dei sistemi e dei programmi è di 8 anni dall'entrata in vigore del presente regolamento, qualora ciò causi altrimenti gravi difficoltà per il loro funzionamento, previa comunicazione alla Commissione europea, da parte delle competenti strutture del Dipartimento della pubblica sicurezza, dei motivi di tali gravi difficoltà.
3. I titolari del trattamento, entro un anno dall'entrata in vigore del presente regolamento, informano il Garante sulla adozione delle misure di cui al comma 1. Al Garante è data periodica informazione sull'adeguamento dei sistemi e programmi di cui ai commi 1 e 2.

Art. 31 Clausola di invarianza finanziaria

1. Dall'attuazione delle disposizioni del presente regolamento non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le Amministrazioni provvedono agli adempimenti di cui al presente regolamento con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.
Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Dato a Roma, addì 15 gennaio 2018

MATTARELLA

Gentiloni Silveri, Presidente del Consiglio dei ministri

Minniti, Ministro dell'interno

Orlando, Ministro della giustizia
Visto, il Guardasigilli: Orlando
Registrato alla Corte dei conti il 7 marzo 2018
Interno, foglio n. 586

Inizio pagina      Indice di questa sezione      Home
InterLex su Facebook
Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?
Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.
Per saperne di più
Leggi le prime pagine
Le recensioni
Stampato o ebook
Acquistalo su Amazon
Storie italiane di spionaggio
IL COLONNELLO REY
Il colonnello Rey su Facebook

 

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2017 -  Informazioni sul copyright