DECRETO LEGISLATIVO 28 maggio 2012, n. 69

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;

Visti gli articoli 9 e 24 della legge 15 dicembre 2011, n. 217, recante disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee - Legge comunitaria 2010;

Visto il Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni;

Vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;

Vista la direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori;

Vista la direttiva 2009/140/CE del Parlamento e del Consiglio del 25 novembre 2009, recante modifica delle direttive 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/CE relativa all'accesso alle reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime e 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica;

Sentito il Garante per la protezione dei dati personali;

Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione del 6 aprile 2012;

Acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica;

Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 25 maggio 2012;

Sulla proposta del Ministro per gli affari europei e del Ministro dello sviluppo economico, di concerto con i Ministri degli affari esteri, dell'economia e delle finanze e della giustizia;

Emana

il seguente decreto legislativo:

Art. 1

Modifiche al decreto legislativo 30 giugno 2003, n. 196

3.Dopo l'articolo 32, del decreto legislativo 30 giugno 2003, n. 196, è inserito il seguente: «Art. 32-bis (Adempimenti conseguenti ad una violazione di dati personali). - 1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante. 2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza di contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione. 3. La comunicazione di cui al comma 2 non è dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione. 4. Ove il fornitore non vi abbia già provveduto, il Garante può, considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione. 5. La comunicazione al contraente o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione al Garante descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio. 6. Il Garante può emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonchè alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea ai sensi dell'articolo 4, paragrafo 5, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE. 7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Garante di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario figurano unicamente le informazioni necessarie a tal fine. 8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui al presente articolo.».

4.All'articolo 121, comma 1, del decreto legislativo 30 giugno 2003, n. 196, dopo le parole: «reti pubbliche di comunicazioni» sono aggiunte, in fine, le seguenti: «, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione».

6.All'articolo 123, comma 3, del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: «manifestato» è inserita la seguente: «preliminarmente».

8.Dopo l'articolo 132, del decreto legislativo 30 giugno 2003, n. 196, è inserito il seguente: «Art. 132-bis (Procedure istituite dai fornitori). - 1. I fornitori istituiscono procedure interne per corrispondere alle richieste effettuate in conformità alle disposizioni che prevedono forme di accesso a dati personali degli utenti. 2. A richiesta, i fornitori forniscono al Garante, per i profili di competenza, informazioni sulle procedure di cui al comma 1, sul numero di richieste ricevute, sui motivi legali addotti e sulle risposte date.».

9.Dopo l'articolo 162-bis, del decreto legislativo 30 giugno 2003, n. 196, è inserito il seguente: «Art. 162-ter (Sanzioni nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico). - 1. La violazione delle disposizioni di cui all'articolo 32-bis, comma 1, è punita con la sanzione amministrativa del pagamento di una somma da venticinquemila euro a centocinquantamila euro. 2. La violazione delle disposizioni di cui all'articolo 32-bis, comma 2, è punita con la sanzione amministrativa del pagamento di una somma da centocinquanta euro a mille euro per ciascun contraente o altra persona nei cui confronti venga omessa o ritardata la comunicazione di cui al medesimo articolo 32-bis, comma 2. Non si applica l'articolo 8 della legge 24 novembre 1981, n. 689. 3. La sanzione amministrativa di cui al comma 2 non può essere applicata in misura superiore al 5 per cento del volume d'affari realizzato dal fornitore di servizi di comunicazione elettronica accessibili al pubblico nell'ultimo esercizio chiuso anteriormente alla notificazione della contestazione della violazione amministrativa, fermo restando quanto previsto dall'articolo 164-bis, comma 4. 4. La violazione delle disposizioni di cui all'articolo 32-bis, comma 7, è punita con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro. 5. Le medesime sanzioni di cui al presente articolo si applicano nei confronti dei soggetti a cui il fornitore di servizi di comunicazione elettronica accessibili al pubblico abbia affidato l'erogazione dei predetti servizi, qualora tali soggetti non abbiano comunicato senza indebito ritardo, al fornitore, ai sensi dell'articolo 32-bis, comma 8, le informazioni necessarie ai fini degli adempimenti di cui all'articolo 32-bis.».

10.Al comma 1 dell'articolo 164-bis del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: «162,» sono inserite le seguenti: «162-ter,».

11.Al comma 1 dell'articolo 168 del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: «Chiunque,» sono inserite le seguenti: «nelle comunicazioni di cui all'articolo 32-bis, commi 1 e 8,».

12.Nel decreto legislativo 30 giugno 2003, n. 196, la parola: «abbonato», ovunque ricorra, è sostituita dalla seguente: «contraente».