Art
1.
IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87 della Costituzione;
Visto l'articolo 14 della legge 23 agosto 1988, n. 400;
Vista la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;
Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE concernente regolamento generale sulla protezione dei dati;
Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2016-2017, e in particolare l'articolo 11;
Visto il codice in materia di protezione dei dati personali adottato con decreto legislativo 30 giugno 2003, n. 196;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione dell'8 febbraio 2018;
Acquisito il parere del Garante per la protezione dei dati personali, espresso nell'adunanza del 22 febbraio 2018;
Acquisito il parere della 2ª Commissione del Senato della Repubblica;
Considerato che le competenti Commissioni della Camera dei deputati non hanno espresso il parere entro il termine di cui all'articolo 31, comma 3, della legge 24 dicembre 2012, n. 234;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 16 maggio 2018;
Sulla proposta del Presidente del Consiglio dei ministri e del Ministro della giustizia, di concerto con i Ministri degli affari esteri e della cooperazione internazionale, dell'interno e dell'economia e delle finanze; Emana il seguente decreto legislativo: Art. 1 Oggetto e ambito di applicazione
Il presente decreto attua nell'ordinamento interno le disposizioni della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati, e che abroga la decisione quadro 2008/977/GAI del Consiglio.
Il presente decreto si applica al trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche e al trattamento non automatizzato di dati personali delle persone fisiche contenuti in un archivio o ad esso destinati, svolti dalle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.
Il presente decreto non si applica ai trattamenti di dati personali:
effettuati nello svolgimento di attivita' concernenti la sicurezza nazionale o rientranti nell'ambito di applicazione del titolo V, capo 2, del trattato sull'Unione europea e per tutte le attivita' che non rientrano nell'ambito di applicazione del diritto dell'Unione europea;
effettuati da istituzioni, organi, uffici e agenzie dell'Unione europea.
Art
2.
Definizioni
Ai fini del presente decreto, si applicano le seguenti definizioni:
a) dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»);
b) trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati, applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
c) limitazione di trattamento: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;
d) pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano piu' essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile;
e) profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilita', il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;
f) archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
g) autorita' competente:
1) qualsiasi autorita' pubblica dello Stato, di uno Stato membro dell'Unione europea o di uno Stato terzo competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
2) qualsiasi altro organismo o entita' incaricato dagli ordinamenti interni di esercitare l'autorita' pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica;
h) titolare del trattamento: l'autorita' competente che, singolarmente o insieme ad altri, determina le finalita' e i mezzi del trattamento di dati personali; quando le finalita' e i mezzi di tale trattamento sono determinati dal diritto dell'Unione europea o dello Stato, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere previsti dal diritto dell'Unione europea o dello Stato;
i) responsabile del trattamento: la persona fisica o giuridica, l'autorita' pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
l) destinatario: la persona fisica o giuridica, l'autorita' pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorita' pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione europea o dello Stato non sono considerate destinatari; il trattamento di tali dati da parte di tali autorita' pubbliche e' conforme alle norme in materia di protezione dei dati applicabili secondo le finalita' del trattamento;
m) violazione dei dati personali: la violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;
n) dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;
o) dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;
p) dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
q) file di log: registro degli accessi e delle operazioni;
r) autorita' di controllo: l'autorita' pubblica indipendente istituita negli Stati membri ai sensi...
