IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87 della Costituzione;
Visti gli articoli 9 e 24 della legge 15 dicembre 2011, n. 217, recante disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee;
Visto il Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni;
Vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;
Vista la direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori;
Vista la direttiva 2009/140/CE del Parlamento e del Consiglio del 25 novembre 2009, recante modifica delle direttive 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/CE relativa all'accesso alle reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime e 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica;
Sentito il Garante per la protezione dei dati personali;
Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione del 6 aprile 2012;
Acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 25 maggio 2012;
Sulla proposta del Ministro per gli affari europei e del Ministro dello sviluppo economico, di concerto con i Ministri degli affari esteri, dell'economia e delle finanze e della giustizia;
Emana
il seguente decreto legislativo:
Articolo 1.- Modifiche al decreto legislativo 30 giugno 2003, n. 196
1. All'articolo 4, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) al comma 2 :
1) la lettera b) é sostituita dalla seguente: “b) chiamata, la connessione istituita da un servizio di comunicazione elettronica accessibile al pubblico che consente la comunicazione bidirezionale;”;
2) la lettera c) é sostituita dalla seguente: “c) reti di comunicazione elettronica, i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;”;
3) la lettera d) é sostituita dalla seguente: “d) rete pubblica di comunicazioni, una rete di comunicazione elettronica utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di reti;”;
4) alla lettera i) dopo le parole: “rete di comunicazione elettronica” sono inserite le seguenti: “o da un servizio di comunicazione elettronica”;
b) al comma 3, dopo la lettera g) é aggiunta la seguente:
“g-bis) violazione di dati personali: violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico.”.
2. All'articolo 32, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) la rubrica é sostituita dalla seguente: “Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico”;
b) il comma 1 é sostituito dal seguente: “1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 31, anche attraverso altri soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis”;
c) dopo il comma 1, sono inseriti i seguenti:
“1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati.
1-ter. Le misure di cui al commi 1 e 1-bis garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché assicurano l'attuazione di una politica di sicurezza.”;
d) al comma 3, dopo le parole: “ai sensi dei commi 1” sono inserite le seguenti: “, 1-bis”.
3. Dopo l'articolo 32, del decreto legislativo 30 giugno 2003, n. 196, é inserito il seguente:
“Articolo 32-bis (Adempimenti conseguenti ad una violazione di dati personali).
1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.
2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza di contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione.
3. La comunicazione di cui al comma 2 non é dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione.
4. Ove il fornitore non vi abbia già provveduto, il Garante puó, considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione.
5. La comunicazione al contraente o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione al Garante descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio.
6. Il Garante puó emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonché alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea ai sensi dell'articolo 4, paragrafo 5, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE.
7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Garante di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario figurano unicamente le informazioni necessarie a tal fine.
8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui al presente articolo.”.
4. All'articolo 121, comma 1, del decreto legislativo 30 giugno 2003, n. 196, dopo le parole: “reti pubbliche di comunicazioni” sono aggiunte, in fine, le seguenti: “, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione”.
5. All'articolo 122, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) il comma 1, é sostituito dal seguente: “1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3. Ció non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente.”;
b) il comma 2, é sostituito dal seguente: “2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente.”;
c) dopo il comma 2, é aggiunto il seguente: “2-bis. Salvo quanto previsto dal comma 1, é vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente.”.
6. All'articolo 123, comma 3, del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: “manifestato” é inserita la seguente: “preliminarmente”.
7. All'articolo 130 del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) al comma 1:
1) le parole: “L'uso di sistemi automatizzati” sono sostituite dalle seguenti: “Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati”;
2) dopo la parola: “automatizzati” sono inserite le seguenti: “di chiamata o di comunicazione”;
3) le parole: “dell'interessato” sono sostituite dalle seguenti: “del contraente o utente”;
b) al comma 5:
1) dopo la parola: “mittente” sono inserite le seguenti: “o in violazione dell'articolo 8 del decreto legislativo 9 aprile 2003, n. 70,”;
2) dopo le parole: “di cui all'articolo 7” sono aggiunte, in fine, le seguenti: “, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003″.
8. Dopo l'articolo 132, del decreto legislativo 30 giugno 2003, n. 196, é inserito il seguente:
“Articolo 132-bis (Procedure istituite dai fornitori).
1. I fornitori istituiscono procedure interne per corrispondere alle richieste effettuate in conformità alle disposizioni che prevedono forme di accesso a dati personali degli utenti.
2. A richiesta, i fornitori forniscono al Garante, per i profili di competenza, informazioni sulle procedure di cui al comma 1, sul numero di richieste ricevute, sui motivi legali addotti e sulle risposte date.”.
9. Dopo l'articolo 162-bis, del decreto legislativo 30 giugno 2003, n. 196, é inserito il seguente:
“Articolo 162-ter (Sanzioni nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico).
1. La violazione delle disposizioni di cui all'articolo 32-bis, comma 1, é punita con la sanzione amministrativa del pagamento di una somma da venticinquemila euro a centocinquantamila euro.
2. La violazione delle disposizioni di cui all'articolo 32-bis, comma 2, é punita con la sanzione amministrativa del pagamento di una somma da centocinquanta euro a mille euro per ciascun contraente o altra persona nei cui confronti venga omessa o ritardata la comunicazione di cui al medesimo articolo 32-bis, comma 2. Non si applica l'articolo 8 della legge 24 novembre 1981, n. 689.
3. La sanzione amministrativa di cui al comma 2 non puó essere applicata in misura superiore al 5 per cento del volume d'affari realizzato dal fornitore di servizi di comunicazione elettronica accessibili al pubblico nell'ultimo esercizio chiuso anteriormente alla notificazione della contestazione della violazione amministrativa, fermo restando quanto previsto dall'articolo 164-bis, comma 4.
4. La violazione delle disposizioni di cui all'articolo 32-bis, comma 7, é punita con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro.
5. Le medesime sanzioni di cui al presente articolo si applicano nei confronti dei soggetti a cui il fornitore di servizi di comunicazione elettronica accessibili al pubblico abbia affidato l'erogazione dei predetti servizi, qualora tali soggetti non abbiano comunicato senza indebito ritardo, al fornitore, ai sensi dell'articolo 32-bis, comma 8, le informazioni necessarie ai fini degli adempimenti di cui all'articolo 32-bis.”.
10. Al comma 1 dell'articolo 164-bis del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: “162,” sono inserite le seguenti: “162-ter,”.
11. Al comma 1 dell'articolo 168 del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: “Chiunque,” sono inserite le seguenti: “nelle comunicazioni di cui all'articolo 32-bis, commi 1 e 8,”.
12. Nel decreto legislativo 30 giugno 2003, n. 196, n. 196, la parola: “abbonato”, ovunque ricorra, é sostituita dalla seguente: “contraente”.
Articolo 2.- Disposizione finanziaria
1. Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le Amministrazioni interessate provvedono agli adempimenti previsti con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
Articolo 3.- Entrata in vigore
1. Il presente decreto legislativo entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. É fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare.
Dato a Roma, addí 28 maggio 2012
NAPOLITANO
Monti, Presidente del Consiglio dei Ministri e Ministro dell'economia e delle finanze
Moavero Milanesi, Ministro per gli affari europei
Passera, Ministro dello sviluppo economico
Terzi di Sant'Agata, Ministro degli affari esteri
Severino, Ministro della giustizia
Visto, il Guardasigilli: Severino