DECRETO LEGISLATIVO 28 maggio 2012, n. 69 - Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi ...

 
ESTRATTO GRATUITO

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;

Visti gli articoli 9 e 24 della legge 15 dicembre 2011, n. 217, recante disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunita' europee - Legge comunitaria 2010;

Visto il Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni;

Vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;

Vista la direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori;

Vista la direttiva 2009/140/CE del Parlamento e del Consiglio del 25 novembre 2009, recante modifica delle direttive 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/CE relativa all'accesso alle reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime e 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica;

Sentito il Garante per la protezione dei dati personali;

Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione del 6 aprile 2012;

Acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica;

Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 25 maggio 2012;

Sulla proposta del Ministro per gli affari europei e del Ministro dello sviluppo economico, di concerto con i Ministri degli affari esteri, dell'economia e delle finanze e della giustizia;

Emana il seguente decreto legislativo:

Art. 1

Modifiche al decreto legislativo 30 giugno 2003, n. 196

1. All'articolo 4, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

  1. al comma 2 :

    1) la lettera b) e' sostituita dalla seguente: «b) chiamata, la connessione istituita da un servizio di comunicazione elettronica accessibile al pubblico che consente la comunicazione bidirezionale;»;

    2) la lettera c) e' sostituita dalla seguente: «c) reti di comunicazione elettronica, i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;»;

    3) la lettera d) e' sostituita dalla seguente: «d) rete pubblica di comunicazioni, una rete di comunicazione elettronica utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di reti;»;

    4) alla lettera i) dopo le parole: «rete di comunicazione elettronica» sono inserite le seguenti: «o da un servizio di comunicazione elettronica»;

  2. al comma 3, dopo la lettera g) e' aggiunta la seguente: «g-bis) violazione di dati personali: violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico.».

    2. All'articolo 32, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

  3. la rubrica e' sostituita dalla seguente: «Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico»;

  4. il comma 1 e' sostituito dal seguente: «1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 31, anche attraverso altri soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis»;

  5. dopo il comma 1, sono inseriti i seguenti:

    1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati.

    1-ter. Le misure di cui al commi 1 e 1-bis garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonche' assicurano l'attuazione di una politica di sicurezza.

    ;

  6. al comma 3, dopo le parole: «ai sensi dei commi 1» sono inserite le seguenti: «, 1-bis».

    3. Dopo l'articolo 32, del decreto legislativo 30 giugno 2003, n. 196, e' inserito il seguente:

    Art. 32-bis (Adempimenti conseguenti ad una violazione di dati personali). - 1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.

    2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza di contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione.

    3. La comunicazione di cui al comma 2 non e' dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione.

    4. Ove il fornitore non vi abbia gia' provveduto, il Garante puo', considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione.

    5. La comunicazione al contraente o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione al Garante descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio.

    6. Il Garante puo' emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonche' alle relative modalita' di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea ai sensi dell'articolo 4, paragrafo 5, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE.

    7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Garante di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario figurano unicamente le informazioni necessarie a tal fine.

    8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui al presente articolo.

    .

    4. All'articolo 121, comma 1, del decreto legislativo 30 giugno 2003, n. 196, dopo le parole: «reti pubbliche di comunicazioni» sono aggiunte, in fine, le seguenti: «, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione».

    5. All'articolo 122, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

  7. il comma 1, e' sostituito dal seguente: «1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni gia' archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalita' semplificate di cui all'articolo 13, comma 3. Cio' non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni gia' archiviate se finalizzati unicamente ad effettuare la trasmissione di...

Per continuare a leggere

RICHIEDI UNA PROVA