IL PRESIDENTE DELLA REPUBBLICA
Visto l'articolo 87, quinto comma, della Costituzione;
Visto l'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, recante
«Disciplina dell'attività di Governo e ordinamento della Presidenza del
Consiglio dei Ministri»;
Vista la legge 1° aprile 1981, n, 121, recante «Nuovo ordinamento
dell'amministrazione della pubblica sicurezza»;
Vista la Convenzione n. 108 sulla protezione delle persone rispetto al
trattamento automatizzato di dati di carattere personale, adottata a Strasburgo
il 28 gennaio 1981, ratificata e resa esecutiva con la legge 21 febbraio 1989,
n. 98;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia
di protezione dei dati personali» e,in particolare, l'articolo 57, il quale
prevede che, con decreto del Presidente della Repubblica, siano individuate le
modalità di attuazione dei principi del codice in materia di protezione dei
dati personali relativamente al trattamento dei dati effettuato, per le
finalità di polizia di cui all'articolo 53, dal centro elaborazione dati e da
organi, uffici o comandi di polizia, anche in attuazione della raccomandazione R
(87) 15 del Consiglio d'Europa del 17 settembre 1987 e successive modificazioni;
Vista la legge 30 giugno 2009, n. 85, di adesione della Repubblica italiana al
Trattato di Prüm, concluso il 27 maggio 2005, e di istituzione della banca dati
nazionale del DNA e del laboratorio centrale per la banca dati nazionale del
DNA;
Vista la decisione quadro 2006/960/GAI del Consiglio, del 18 dicembre 2006,
relativa alla semplificazione dello scambio di informazioni e intelligence tra
le autorità degli Stati membri dell'Unione europea incaricate dell'applicazione
della legge;
Visto il decreto legislativo 23 aprile 2015, n. 54, recante «Attuazione della
decisione quadro 2006/960/GAI del Consiglio, del 18 dicembre 2006»;
Vista la raccomandazione del Consiglio d'Europa n. R (87) 15, adottata dal
Comitato dei ministri il 17 settembre 1987, e successive modificazioni, che
disciplina l'uso di dati personali nel settore della polizia;
Visto il protocollo n. 181 dell'8 novembre 2001, aggiuntivo alla Convenzione
sulla protezione delle persone rispetto al trattamento automatizzato di dati di
carattere personale n. 108 del 1981, concernente le autorità di controllo e i
flussi internazionali di dati;
Visto il regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio,
del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema
d'informazione Schengen di seconda generazione (SIS II);
Vista la decisione 2007/533/GAI del Consiglio, del 12 giugno 2007,
sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di
seconda generazione (SIS II);
Vista la decisione 2007/845/GAI del Consiglio, del 6 dicembre 2007, concernente
la cooperazione tra gli uffici degli Stati membri per il recupero dei beni nel
settore del reperimento e dell'identificazione dei proventi di reato o altri
beni connessi;
Vista la decisione 2008/615/GAI del Consiglio, del 23 giugno 2008, sul
potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al
terrorismo e alla criminalità transfrontaliera;
Vista la decisione 2008/616/GAI del Consiglio, del 23 giugno 2008, relativa
all'attuazione della decisione2008/615/GAI sul potenziamento della cooperazione
transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità
transfrontaliera;
Vista la decisione 2008/633/GAI del Consiglio, del 23 giugno 2008, relativa
all'accesso per la consultazione al sistema di informazione visti (VIS) da parte
delle autorità designate degli Stati membri e di Europol ai fini della
prevenzione,dell'individuazionee dell'investigazione di reati di terrorismo e
altri reati gravi;
Vista la decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008,
sulla protezione dei dati personali trattati nell'ambito della cooperazione
giudiziaria e di polizia in materia penale;
Visto il regolamento (UE) n. 603/2013 del Parlamento europeo e del Consiglio,
del 26 giugno 2013, che istituisce l'«Eurodac» per il confronto delle impronte
digitali per l'efficace applicazione del regolamento (UE) n. 604/2013 che
stabilisce i criteri e i meccanismi di determinazione dello Stato membro
competente per l'esame di una domanda di protezione internazionale presentata in
uno degli Stati membri da un cittadino di un paese terzo o da un apolide e per
le richieste di confronto con i dati Eurodac presentate dalle autorità di
contrasto degli Stati membri e da Europol a fini di contrasto, e che modifica il
regolamento (UE) n. 1077/2011 che istituisce un'agenzia europea per la gestione
operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e
giustizia;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del
27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24
ottobre 1995;
Vista la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27
aprile 2016, relativa alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali da parte delle autorità competenti ai fini di
prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di
sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la
decisione quadro 2008/977/GAI del Consiglio;
Vista la direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27
aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di
prevenzione, accertamento, indagine e azione penale nei confronti dei reati di
terrorismo e dei gravi reati;
Visto il regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio,
dell'11 maggio 2016, istitutivo dell'Agenzia dell'Unione europea per la
cooperazione nell'attività di contrasto (Europol), che sostituisce le decisioni
ed abroga le decisioni del Consiglio
2009/371/GAI,2009/934/GAI,2009/935/GAI,2009/936/GAI e 2009/968/GAI;
Acquisito il parere del Garante per la protezione dei dati personali del 2 marzo
2017;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella
riunione del 28 luglio 2017;
Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per
gli atti normativi nell'Adunanza del 31 agosto 2017;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del
1° dicembre 2017;
Sulla proposta del Presidente del Consiglio dei ministri e del Ministro
dell'interno, di concerto con il Ministro della giustizia;
Emana
il seguente regolamento:
Art. 1 Oggetto e ambito di applicazione
1. Il presente regolamento individua le modalità di attuazione dei principi
del Codice in materia di protezione dei dati personali, adottato con il decreto
legislativo 30 giugno 2003, n. 196, di seguito «Codice», relativamente ai
trattamenti effettuati, anche senza l'ausilio di strumenti elettronici, da
organi, uffici e comandi di polizia, per le finalità di polizia di cui
all'articolo 53 del Codice.
2. Il presente regolamento non si applica ai trattamenti di dati personali
effettuati per finalità amministrative. In conformità a quanto previsto
dall'articolo 54, comma 2, del Codice, tali dati sono conservati separatamente
da quelli registrati per finalità di polizia, salvo che non siano necessari,incasispecifici,
nell'ambito di un'attività informativa, di sicurezza o di indagine di polizia
giudiziaria.
3. Il presente regolamento non si applica ai soggetti pubblici che, pur
effettuando il trattamento dei dati personali per le finalità di polizia di cui
all'articolo 3, non rientrano nella categoria degli organi, uffici e comandi di
cui all'articolo 57 del Codice.
Art. 2 Definizioni
1. Ai fini del presente regolamento, ferme restando le definizioni di cui
all'articolo 4 del Codice, con le parole:«autorità competente degli Stati
membri dell'Unione europea o degli Stati terzi» si intende qualsiasi autorità
pubblica di uno Stato membro dell'Unione europea o di uno Stato terzo che, in
basealla legislazione interna, sia competente in materia di prevenzione,
indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali,
incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza
pubblica, ovvero qualsiasi altro organismo o entità incaricati dal diritto
dello Stato membro dell'Unione europea o del Paese terzo di esercitare
l'autorità pubblica e i poteri pubblici afinidiprevenzione,indagine,accertamentoe
perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia
contro e la prevenzione di minacce alla sicurezza pubblica.
Art. 3 Finalità dei trattamenti
1. I trattamenti di dati personali si intendono effettuati per le finalità
di polizia, ai sensi dell'articolo 53 del Codice, quando sono direttamente
correlati all'esercizio dei compiti di polizia di prevenzione dei reati, di
tutela dell'ordine e della sicurezza pubblica, nonché di polizia giudiziaria,
svolti, ai sensi del codice di procedura penale, per la prevenzione e
repressione dei reati.
2. È compatibile con le finalità di polizia, di cui al comma 1, l'ulteriore
trattamento, ai sensi dell'articolo 99 del Codice, per finalità storiche,
scientifiche e, previa trasformazione in forma anonima, per finalità
statistiche, anche per le esigenze di analisi dei fenomeni criminali e dei
risultati dell'azione di contrasto al crimine, nonché dell'attività di tutela
dell'ordine edella sicurezza pubblica.
3. Il trattamento dei dati personali per le finalità storiche e scientifiche di
cui al comma 2 è consentito ai soli operatori a ciò abilitati e designati,
incaricati del trattamento secondo profili di autorizzazione predefiniti.
Art. 4 Qualità dei dati trattati
1. Ai sensi dell'articolo 11 del Codice, i dati personali oggetto di
trattamento sono esatti e, se necessario, aggiornati, pertinenti, completi e non
eccedenti rispetto alle finalità di cui all'articolo 3.
2. Gli organi, uffici e comandi di polizia, ai sensi dell'articolo 54, comma 4,
del Codice, verificano i requisiti di cui al comma 1, per quanto possibile, in
occasione dell'utilizzo dei dati personali effettuato nell'ambito di
un'attività informativa, di sicurezza o di indagine di polizia giudiziaria.
3. Il titolare o il responsabile del trattamento informano il Garante delle
direttive impartite in merito alle verifiche di cui al comma 2.
Art. 5 Configurazione dei sistemi informativi e dei programmi informatici
1. Ai sensi dell'articolo 3 del Codice, in relazione ai trattamenti
automatizzati, i sistemi informativi e i programmi informatici sono configurati
in modo da ridurre al minimo l'utilizzo di dati personali e identificativi,
escludendone comunque il trattamento quando le finalità di cui all'articolo 3
possono essere perseguite mediante dati anonimi o modalità che consentono di
identificare la persona interessata solo in caso di necessità.
2. I nuovi sistemi informativi e programmi informatici sono progettati in modo
che i dati personali siano cancellati o resi anonimi, con modalità
automatizzate, allo scadere dei termini di conservazione di cui all'articolo 10.
Essi, inoltre, sono progettati in modo da consentire la registrazione in
appositi registri degli accessi e delle operazioni, di seguito «file di log»,
effettuati dagli operatori abilitati.
Art. 6 Trattamenti che presentano rischi specifici
1. I trattamenti dei dati personali che implicano maggiori rischi di un danno
alla persona interessata, con particolare riguardo alle banche di dati genetici
o biometrici, alle tecniche basate su dati relativi all'ubicazione, alle banche
dati e ai trattamenti di cui all'articolo 7 basati su particolari tecniche di
elaborazione delle informazioni o su particolari tecnologie, sono effettuatinel
rispetto delle misure e degli accorgimenti prescritti dal Garante ai sensi
dell'articolo 17 del Codice, sulla basedipreventiva comunicazione inviata con le
modalità indicate nell'articolo 39 del Codice.
2. Gli accessi e le operazioni effettuati dagli operatori abilitati
relativamente ai dati di cui al comma 1, soggetti a trattamento automatizzato,
sono registrati in appositi file dilog,non modificabili, che sono conservati per
cinque anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini
di conservazione previsti da speciali disposizioni.
3. Gli accessi ai file di log di cui al comma 2 sono consentiti ai soli fini
della verifica della liceità del trattamento,del controllo interno, per
garantire l'integrità e la sicurezza dei dati personali e nell'ambito del
procedimento penale.
Art. 7 Uso di particolari tecniche di elaborazione delle informazioni
1. L'uso, anche per finalità di analisi, di particolari tecniche di
elaborazione delle informazioni, ivi inclusi i sistemi di indice, è consentito
ai soli operatori a ciò abilitati e designati, secondo profili di
autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del
comandante del reparto e nell'ambito di specifiche attività informative, di
sicurezza o di indagine di polizia giudiziaria.
2. Gli accessi e le operazioni effettuati dagli operatori abilitati di cui al
comma 1, sono registrati in appositi file di log, non modificabili, che sono
conservati per cinque anni dall'accesso o dall'operazione.
3. Gli accessi ai file di log di cui al comma 2 sono consentiti ai soli fini
della verifica della liceità del trattamento,del controllo interno, per
garantire l'integrità e la sicurezza dei dati personali e nell'ambito del
procedimento penale.
Art. 8 Trattamento di dati per esigenze temporanee
1. È consentito il trattamento dei dati personali per esigenze temporanee o
in relazione a situazioni particolarichesono direttamente correlate
all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela
dell'ordine e della sicurezza pubblica, nonché di polizia giudiziaria.
2. I dati personali di cui al comma 1 sono trattati nel rispetto dei principi
richiamati dagli articoli 4, 5 e 6.
3. I dati personali di cui al comma 1 sono conservati separatamente da quelli
registrati permanentemente, per un periodo di tempo non superiore a quello
necessario agli scopi specifici per i quali sono stati raccolti e, comunque, non
oltre 10 anni dalla cessazione dell'esigenza o della situazione particolare che
ne hanno reso necessario il trattamento. Si applicano i termini di conservazione
di cui all'articolo 10 se tali dati rientrano nelle categorie dallo stesso
previste.
4. Cessata l'esigenza o la situazione particolare, l'accesso ai dati di cui al
comma 1 è consentito ai soli operatori a ciò abilitati e designati, incaricati
del trattamento secondo profili di autorizzazione predefiniti in base alle
indicazionidelcapo dell'ufficio o del comandante del reparto e nell'ambito di
specifiche attività informative, di sicurezza o di indagine dipolizia
giudiziaria.
Art. 9 Collegamenti con altre banche dati
1. Per l'acquisizione di dati, informazioni, atti e documenti, è consentita
l'attivazione di collegamenti telematici con banche dati di pubbliche
amministrazioni o di privati, in conformità alle disposizioni di legge o di
regolamento e nel rispetto dei principi richiamati dagli articoli 4 e 5.
2. I dati e le informazioni sono acquisiti attraverso consultazione per mezzo di
tecnologie dell'informazione e della comunicazione senza duplicazione di archivi
e banche dati.
3. Il collegamento è attivato con modalità tali da consentire l'accesso
selettivo ai soli dati e informazioni necessari per il conseguimento delle
finalità di cui all'articolo 3.
4. Per l'attivazione dei collegamenti gli organi, uffici e comandi di polizia
possono avvalersi, ai sensi dell'articolo 54 del Codice, di convenzioni
sottoscritte sulla base di schemi adottati dal Ministero dell'interno, su
conforme parere del Garante.
Capo II
Termini di conservazione dei dati
Art. 10 Termini di conservazione dei dati
1. I dati personali oggetto di trattamento sono conservati per un periodo di
tempo non superiore a quello necessario per il conseguimento delle finalità di
polizia di cui all'articolo 3.
2. I dati personali soggetti a trattamento automatizzato, trascorsa la metà del
tempo massimo di conservazione di cui al comma 3, se uguale o superiore a
quindici anni, sono accessibili ai soli operatori a ciò abilitati e designati,
incaricati del trattamento secondo profili di autorizzazione predefiniti in base
alle indicazioni del capo dell'ufficio o del comandante del reparto e in
relazione a specifiche attività informative, di sicurezza o di indagine di
polizia giudiziaria.
3. Fatto salvo quanto previsto dai commi 6 e 7, i dati personali non possono
essere conservati oltre il termine massimo fissato come segue:
a) dati relativi a provvedimenti di natura interdittiva, di sicurezza e
cautelare, nonché a misure restrittive della libertà personale conseguenti ad
una sentenza di condanna - 20 anni dalla cessazione della loro efficacia;
b) dati relativi a misure di prevenzione di carattere personale e patrimoniale -
25 anni dalla cessazione della loro efficacia;
c) dati relativi a procedimenti, misure e provvedimenti su cui interviene una
procedura di annullamento, invalidazione o revoca - 3 anni
dalladatadiinoppugnabilitàdelprovvedimentodi annullamento, invalidazione o
revoca;
d) dati relativi a provvedimenti che dichiarano l'estinzione della pena o del
reato - 8 anni dall'inoppugnabilità del provvedimento;
e) dati derivanti da attività informativa e ispettiva svolta per le finalità
di cui all'articolo 3 - 15 anni dall'ultimo trattamento;
f) dati relativi ad attività di polizia giudiziaria conclusa con provvedimento
di archiviazione - 20annidall'emissionedel provvedimento;
g) dati relativi ad attività di polizia giudiziaria conclusa con sentenza di
assoluzione o di non doversi procedere - 20 anni dal passaggio in giudicato
della sentenza;
h) dati relativi ad attività di polizia giudiziaria conclusa con sentenza di
condanna - 25 anni dal passaggio in giudicato della sentenza;
i) dati relativi ad attività di indagine o polizia giudiziaria che non hanno
dato luogo a procedimento penale - 15 anni dall'ultimo trattamento;
l) dati relativi ad attività di prevenzione generale e soccorso pubblico - 5
anni dalla raccolta;
m) dati relativi a controlli di polizia - 20 anni dalla raccolta;
n) dati raccolti per l'analisi criminale e di prevenzione - 10 anni
dall'elaborazione dell'analisi;
o) dati relativi a provvedimenti di espulsione e rimpatrio di stranieri - 30
anni dall'esecuzione;
p) dati relativi a nulla osta, licenze, autorizzazioni di polizia - 5 anni dalla
scadenza o dalla revoca del titolo;
q) dati relativi alla detenzione delle armi o parti di esse, di munizioni finite
e di materie esplodenti di qualsiasi genere - 5 anni dalla cessazione della
detenzione;
r) dati relativi a persone detenute negli istituti penitenziari - 30 anni dalla
scarcerazione a seguito di espiazione della pena in caso di condanna - 5 anni
dalla scarcerazione a seguito di decreto di archiviazione o non luogo a
procedere o di sentenza di assoluzione;
s) dati relativi a persone sottoposte a misure di sicurezza detentive - 25 anni
dalla scadenza del termine di efficacia della misura;
t) dati relativi alla gestione delle attività operative - 10 anni dall'ultimo
trattamento;
u) dati raccolti mediante sistemi di ripresa fotografica, audio e video nei
servizi di ordine pubblico e di polizia giudiziaria - 3 anni dalla raccolta;
dati raccolti mediante sistemi di videosorveglianza o di ripresa fotografica,
audio e video di documentazione dell'attività operativa - 18 mesi dalla
raccolta. Si applicano i diversi termini di conservazione di cui alla lettera
b), quando i dati personali sono confluiti in un procedimento per l'applicazione
di una misura di prevenzione, o quelli di cui alle lettere a), f), g), h) e i),
quando i dati personali sono confluiti in un procedimento penale.
4. I termini di conservazione di cui al comma 3 sono aumentati di due terzi
quando i dati personali sono trattati nell'ambito di attività preventiva o
repressiva relativa ai delitti di cui all'articolo 51, commi 3-bis, 3-quater e
3-quinquies, del codice di procedura penale, nonché per le ulteriori ipotesi
indicate dall'articolo 407, comma 2, lettera a), del codice di procedura penale.
5. Il capo dell'ufficio o il comandante del reparto, prima della scadenza dei
termini di cui al comma 3, ove sia strettamente necessario per il conseguimento
delle finalità di polizia di cui all'articolo 3, può decidere, sulla base dei
criteri definiti dal Capo della polizia - direttore generale della pubblica
sicurezza ovvero, su sua delega, dal vice direttore generale di cui all'articolo
4, comma 6, del decreto-legge 29 ottobre 1991, n. 345, convertito, con
modificazioni, dalla legge 30 dicembre 1991, n. 410, di aumentare la durata di
conservazione, indicandone i motivi in relazione al caso specifico e l'ulteriore
periodo di trattamento, che non può comunque superare i due terzi di quelli
fissati al comma 3.
6. I dati personali soggetti a trattamento non automatizzato, sono conservati
per il periodo di tempo previsto dalle disposizioni sullo scarto dei documenti
d'archivio delle pubbliche amministrazioni se superiore a quello di cui al comma
3.
7. Sono fatti salvi i diversi termini e modalità di conservazione dei dati
personali previsti da disposizioni di legge o di regolamento, da atti normativi
dell'Unione europea o dal diritto internazionale in relazione a specifici
trattamenti effettuati per le finalità di cui all'articolo 3.
8. Decorsi i termini di cui ai commi 1, 3, 4, 5 e 7, i dati personali soggetti a
trattamento automatizzato sono cancellati o resi anonimi, i dati personali non
soggetti a trattamento automatizzato restano assoggettati alle disposizioni
sullo scarto dei documenti d'archivio delle pubbliche amministrazioni.
Capo III
Raccolta, comunicazione e diffusione dei dati
Art. 11 Limitazioni alla raccolta dei dati
1. È vietata la raccolta e il trattamento dei dati sulle persone, inclusi
quelli genetici e biometrici, per il solo fatto della loro origine razziale o
etnica, fede religiosa, opinione politica, orientamento sessuale, stato di
salute e delle loro convinzioni filosofiche o di altro genere o della loro
adesione ai principi di movimenti sindacali, nonché per la legittima attività
che svolgono come appartenenti ad organizzazioni legalmente operanti nei settori
sopraindicati.
2. La raccolta e il trattamento dei dati personali di cui al comma 1 sono
consentiti quando è necessario per le esigenze di un'attività informativa, di
sicurezza o di indagine di polizia giudiziaria o di tutela dell'ordine e della
sicurezza ad integrazione di altri dati personali.
3. Resta fermo il divieto, di cui all'articolo 14 del Codice, di basare sul solo
trattamento automatizzato di dati personali atti e decisioni che implicano una
valutazione del comportamento umano.
Art. 12 Comunicazione dei dati tra Forze di polizia
1. La comunicazione dei dati tra organi, uffici e comandi delle Forze di
polizia di cui all'articolo 16 della legge n. 121 del 1981, per le finalità di
polizia di cui all'articolo 3, è consentita quando è necessaria per lo
svolgimento dei compiti istituzionali, fermi restando gli obblighi di segretezza
che incombono sugli ufficiali e agenti di polizia giudiziaria in relazione alle
indagini svolte, come stabilito dal codice di procedura penale.
Art. 13 Comunicazione dei dati a pubbliche amministrazioni o enti pubblici
e a privati
1. La comunicazione di dati personali a pubbliche amministrazioni o enti
pubblici è consentita esclusivamente nei casi previsti da disposizioni di legge
o di regolamento o, nel rispetto dei principi richiamati dall'articolo 4, quando
è necessaria per l'adempimento di uno specifico compito istituzionale
dell'organo, ufficio o comando e i dati personali sono necessari per lo
svolgimento dei compiti istituzionali del ricevente.
2. La comunicazione di dati personali a privati è consentita quando è
necessaria per l'adempimento di uno specifico compito istituzionale da parte
dell'organo, ufficio o comando perle finalità di polizia di cui all'articolo 3.
3. La comunicazione dei dati personali a pubbliche amministrazioni o enti
pubblici e a privati è, altresì, consentita quando risponde all'interesse
della persona cui i dati si riferiscono e, comunque, nei singoli casi in cui è
necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica, o
per la salvaguardia della vita e dell'incolumità fisica di un terzo.
4. Sono fatti salvi, in ogni caso, l'obbligo del segreto di cui all'articolo 329
del codice di procedura penale e i divieti previsti da altre disposizioni di
legge o di regolamento.
Art. 14 Diffusione dei dati e delle immagini personali
1. La diffusione di dati personali è consentita quando è necessaria per le
finalità di polizia di cui all'articolo 3, fermo restando l'obbligo del segreto
di cui all'articolo 329 del codice di procedura penale e fatti salvi i divieti
previstidaaltre disposizioni di legge o di regolamento; essa è comunque
effettuata nel rispetto della dignità della persona.
2. La diffusione di immagini personali è consentita quando la persona
interessata ha espresso il proprio consenso o è necessaria per la salvaguardia
della vita o dell'incolumità fisica o è giustificata da necessità di
giustizia o di polizia; essa è comunque effettuata con modalità tali da non
recare pregiudizio alla dignità della persona.
3. Il Garante è informato delle direttive generali adottate in ambito nazionale
sulla diffusione dei dati odelleimmagini personali.
Art. 15 Condizioni della comunicazione e della diffusione dei dati
1. La comunicazione e la diffusione dei dati personali nei casi previsti
dagli articoli 12, 13 e 14 sono effettuate previa verifica della loro esattezza,
aggiornamento e completezza.
2. Gli organi, uffici e comandi di polizia, nel caso in cui verificano che i
dati personali oggetto di comunicazione ai sensi degli articoli 12 e 13 sono
inesatti o non aggiornati o incompleti, provvedono a rettificarli e, ove
possibile e necessario, ad aggiornarli e completarli. Le operazioni di cui al
precedente periodo sono portate a conoscenza, anche per quanto riguarda il loro
contenuto, dei destinatari della comunicazione.
3. Gli organi, uffici e comandi di polizia, nel caso in cui verificano che i
dati personali oggetto di diffusione ai sensi dell'articolo 14 sono inesatti o
non aggiornati o incompleti, provvedono a rettificarli e, ove possibile e
necessario, ad aggiornarli e completarli. Le operazioni di cui al precedente
periodo sono portate a conoscenza, anche per quanto riguarda il loro contenuto,
di coloro ai quali i dati sono stati diffusi, salvo che tale adempimento risulti
impossibile o comporti un impiego di mezzi manifestamente sproporzionato
rispetto al diritto tutelato. In ogni caso, il dato personale rettificato,
aggiornato o completato è diffuso nella stessa forma con la quale è stato
diffuso il dato inesatto, non aggiornato o incompleto.
Capo IV
Trattamento dei dati nell'ambito dell'attività di cooperazione internazionale
di polizia
Art. 16 Scambio di dati con autorità competenti degli Stati membri
dell'Unione europea e con organismi dell'Unione europea
1. Lo scambio di dati e informazioni personali con le autorità competenti
degli Stati membri dell'Unione europea e con gli organismi dell'Unione europea
è consentito, nell'ambito delle attività di cooperazione internazionale di
polizia, esclusivamente nei casi, alle condizioni e con le modalità stabilite
da disposizioni di legge o di regolamento o da atti normativi dell'Unione
europea.
2. Sono fatti salvi gli accordi o le intese in materia di cooperazione
internazionale di polizia sottoscritti e resi esecutivi con Stati membri
dell'Unione europea o con organismi dell'Unione europea, qualora non in
contrasto con gli atti normativi interni o dell'Unione europea.
3. L'elenco degli accordi e delle intese di cui al comma 2 è comunicato dal
competente Dipartimento del Ministero dell'interno al Garante entro sessanta
giorni dall'entrata in vigore del presente regolamento e successivamente
aggiornato.
Art. 17 Comunicazione di dati alle autorità competenti degli Stati terzi
o ad organismi internazionali
1. La comunicazione di dati personali alle autorità competenti degli Stati
terzi o ad organismi ed organizzazioni internazionali è consentita, nell'ambito
delle attività di cooperazione internazionale di polizia, in conformità agli
accordi o alle intese sottoscritti e resi esecutivi con tali Stati o con
organismi e organizzazioni internazionali, qualora non in contrasto con atti
normativi interni o dell'Unione europea.
2. La comunicazione di dati personali alle autorità competenti degli Stati
terzi o ad organismi e organizzazioni internazionali è comunque consentita
quando è necessaria per evitare un pericolo grave e imminente alla sicurezza
pubblica di uno Stato membro o di un Paese terzo, o agli interessi essenziali di
uno Stato membro, o per la salvaguardia della vita e dell'incolumità fisica di
un terzo.
3. La comunicazione di dati personali può essere effettuata in modalità
automatizzata, o secondo i canali di comunicazione codificati a livello
internazionale, assicurando l'adozione di misure appropriate, compresa la
cifratura, per garantire la riservatezza e l'integrità dei dati trasmessi.
4. Le comunicazioni di dati personali effettuate ai sensi del presente articolo
dagli operatori abilitati sono registrate in appositi file di log, non
modificabili che sono conservati per 5 anni dall'accesso o dall'operazione. Sono
fatti salvi i diversi termini di conservazione previsti dagli accordi o dalle
intese di cui al comma 1.
5. Gli accessi ai file di log di cui al comma 4 sono consentiti ai soli fini
della verifica della liceità del trattamento, del controllo interno, per
garantire l'integrità e la sicurezza dei dati personali e nell'ambito del
procedimento penale.
Art. 18 Verifica della qualità dei dati comunicati alle autorità competenti
degli Stati terzi o ad organismi internazionali e di quelli trasmessi dalle
autorità competenti degli Stati terzi o da organismi internazionali
1. La comunicazione dei dati personali nei casi previsti dall'articolo 17 è
effettuata previa verifica della loro esattezza, aggiornamento e completezza.
2. L'organo, ufficio o comando di polizia, nel caso in cui verifica che i dati
personali trasmessi ad un'autorità competente di uno Stato terzo o ad un
organismo o organizzazione internazionale sono inesatti o non aggiornati o
incompleti, provvede ad informare senza ritardo il destinatario della
comunicazione. I dati personali sono rettificati se inesatti e, ove possibile e
necessario, aggiornati e completati.
3. L'organo, ufficio o comando di polizia, nel caso in cui ha motivo di ritenere
che i dati personali ricevuti da un'autorità competente di uno Stato terzo o da
un organismo o organizzazione internazionale sono inesatti, o non aggiornati o
incompleti, provvede ad informare, con le modalità di cui all'articolo 17,
comma 3, l'autorità competente dello Stato terzo o l'organismo o organizzazione
internazionale che ha comunicato i medesimi dati personali. Se i dati personali
sono stati trasmessi senza essere stati richiesti, l'organo, ufficio o comando
di polizia ricevente valuta immediatamente se tali dati sono necessari per lo
scopo per il quale sono stati trasmessi.
4. L'organo, ufficio o comando di polizia, cancella i dati personali che non
avrebbero dovuto essere ricevuti.
5. L'organo, ufficio o comando di polizia, cancella o rende anonimi i dati
personali lecitamente ricevuti:
a) nel caso in cui essi non sono o non sono più necessari per le finalità per
cui sono stati trasmessi;
b) al termine del periodo massimo di conservazione indicato dall'autorità
competente dello Stato terzo o dall'organismo o organizzazione internazionale.
Non si fa luogo alla cancellazione nel caso in cui, alla scadenza del predetto
periodo massimo di conservazione, i dati personali sono necessari per lo
svolgimento di specifiche attività informative o di indagine finalizzate alla
prevenzione e repressione di reati. In nessun caso i dati sono conservati oltre
i termini di conservazione di cui all'articolo 10.
6. L'organo, ufficio o comando di polizia procede al blocco dei dati personali
ricevuti quando vi sono motivi per ritenere che la cancellazione degli stessi
pregiudicherebbe un legittimo interesse della persona interessata ai sensi delle
vigenti disposizioni di legge. I dati bloccati possono essere utilizzati o
trasmessi per le sole finalità che ne hanno impedito la cancellazione.
Art. 19 Trattamento dei dati personali trasmessi dalle autorità competenti
degli Stati terzi o da organismi internazionali
1. I dati personali trasmessi dalle autorità competenti degli Stati terzi o
da organismi o organizzazioni internazionali sono trattati esclusivamente per le
finalità per le quali sono stati trasmessi ovvero, previa acquisizione del
parere delle predette autorità, o organismi e organizzazioni internazionali,
per le diverse finalità previste da disposizioni di legge o di regolamento, da
atti normativi dell'Unione europea o dal diritto internazionale.
2. L'organo, ufficio o comando di polizia ricevente assicura il rispetto delle
limitazioni al trattamento dei dati personali comunicate dall'autorità
competente dello Stato terzo o dall'organismo o organizzazione internazionale
che li ha trasmessi. Sono fatte salve le deroghe previste da disposizioni di
legge, da atti normativi dell'Unione europea o dal diritto internazionale.
Art. 20 Trasferimento dei dati ad autorità competenti degli Stati membri
dell'Unione europea o di altri Stati terzi o ad organismi dell'Unione europea o
altri organismi internazionali
1. Il trasferimento dei dati personali trasmessi dalle autorità competenti
degli Stati terzi o da organismi e organizzazioni internazionali ad autorità
competenti degli Stati membri dell'Unione europea o di altri Stati terzi o ad
organismi dell'Unione europea o ad altri organismi e organizzazioni
internazionali è consentito esclusivamente nei casi previsti da disposizioni di
legge o di regolamento, da atti normativi dell'Unione europea o dal diritto
internazionale.
Art. 21 Trasmissione dei dati ricevuti dalle autorità competenti degli Stati
terzi o da organismi internazionali a privati
1. La trasmissione di dati personali ricevuti dalle autorità competenti
degli Stati terzi o da organismi eorganizzazioni internazionali a privati è
consentito esclusivamente nei casi previsti da disposizioni di legge o di
regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.
Capo V
Trattamento dei dati attraverso sistemi di videosorveglianza e di ripresa
fotografica, audio e video
Art. 22 Sistemi di videosorveglianza
1. L'utilizzo di sistemi di videosorveglianza è consentito ove necessario
per le finalità di polizia di cui all'articolo 3 e a condizione che non
comporti un'ingerenza ingiustificata nei diritti e nelle libertà fondamentali
delle persone interessate.
2. Gli organi, uffici e comandi di polizia, nel rispetto dei principi richiamati
dagli articoli 4, 5 e 6, raccolgono solo i dati strettamente necessari per il
raggiungimento delle finalità di cui all'articolo3,registrando esclusivamente
le immagini indispensabili.
Art. 23 Sistemi di ripresa fotografica, video e audio
1. L'utilizzo di sistemi di ripresa fotografica, video e audio per le
finalità di polizia di cui all'articolo 3, è consentito ove necessario per
documentare: una specifica attività preventiva o repressiva di fatti di reato,
situazioni dalle quali possano derivare minacce per l'ordine e la sicurezza
pubblica o un pericolo per la vita e l'incolumità dell'operatore, o specifiche
attività poste in essere durante il servizio che siano espressione di poteri
autoritativi degli organi, uffici e comandi di polizia.
2. Gli organi, uffici e comandi di polizia, nel rispetto dei principi richiamati
dagli articoli 4, 5 e 6, raccolgono solo i dati strettamente necessari per il
raggiungimento delle finalità di polizia di cui all'articolo 3, registrando
quelli indispensabili.
3. Il trattamento di dati personali raccolti tramite aeromobili a pilotaggio
remoto, in considerazione della loro potenziale invasività, è ricompreso tra
quelli che presentano rischi specifici di cui all'articolo 6.
4. L'utilizzo di sistemi di ripresa fotografica, video e audio, installati su
aeromobili a pilotaggio remoto, è autorizzato al livello gerarchico non
inferiore a quello di capo ufficio o comandante di reparto.
Art. 24 Speciali misure di sicurezza relative al trattamento di dati
attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video
1. I sistemi informativi e i programmi informatici destinati alla
registrazione e alla conservazione dei dati personali raccolti attraverso
sistemi di videosorveglianza e di ripresa fotografica, audio e video, sono
configurati, in conformità al criterio di necessità del trattamento dei dati
personali di cui all'articolo 5, in modo da ridurre al minimo l'utilizzazione di
dati relativi a persone identificabili.
2. Sono adottati diversificati livelli di visibilità edi trattamento delle
immagini da parte degli incaricati del trattamento i quali sono autorizzati,
attraverso il rilascio di credenziali di autenticazione, a compiere le sole
operazioni di trattamento correlate ai compiti assegnati.
3. Sono adottate specifiche misure di sicurezza contro i rischi di accesso
abusivo di cui all'articolo 615-ter del codice penale nei confronti degli
apparati di ripresa digitale utilizzati ai fini della registrazione delle
immagini qualora connessi a reti informatiche.
4. Gli accessi e le operazioni, effettuati dagli operatori abilitati in
relazione ai sistemi informativi di cui al comma 1, sono registrati in appositi
file di log, non modificabili, che sono conservati per cinque anni dall'accesso
o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti
da speciali disposizioni.
5. Gli accessi ai file di log di cui al comma 4 sono consentiti ai soli fini
della verifica della liceità del trattamento, del controllo interno, per
garantire l'integrità e la sicurezza dei dati personali e nell'ambito del
procedimento penale.
6. Ai trattamenti di dati personali che implicano maggiori rischi di un danno
alla persona interessata in ragione della natura dei dati, delle modalità del
trattamento o degli effetti che esso può determinare, si applica la
disposizione di cui all'articolo 6, comma 1.
Capo VI
Sicurezza dei dati e dei sistemi
Art. 25 Obblighi di sicurezza
1. Il titolare o il responsabile del trattamento dei dati personali
assicurano l'adozione di misure di sicurezza preventive, individuate anche in
relazione al progresso tecnologico, alla natura dei dati e alle caratteristiche
del singolo trattamento, idonee a ridurre al minimo i rischi di distruzione o
perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di
trattamento non consentito o non conforme alle finalità di cui all'articolo 3
ed a garantirne, nel contempo, un'agevole fruibilità.
2. Fermo restando quanto previsto dal comma 1, o da speciali disposizioni, il
titolare o ilresponsabiledeltrattamento assicurano l'adozione delle misure
minime di sicurezza previste dagli articoli 33, 34 e 35 del Codice e dal
disciplinare tecnico di cui al relativo allegato B) con riferimento ai
trattamenti automatizzati o non automatizzati di dati personali.
Capo VII
Diritti della persona interessata e controllo sui trattamenti
Art. 26 Accesso ai dati personali
1. La persona interessata può chiedere all'organo, ufficio o comando di
polizia titolare del trattamento la conferma dell'esistenza di dati personali
che la riguardano, la loro comunicazione in forma intelligibile e, se i dati
sono trattati in violazione di vigenti disposizioni di legge o di regolamento,
il loro aggiornamento, rettifica, cancellazione, blocco o trasformazione in
forma anonima.
2. L'istanza è sottoscritta dalla persona interessata in presenza
dell'operatore addetto dell'organo, ufficio o comando di polizia, ovvero
sottoscritta e presentata unitamente a copia fotostatica non autenticata di un
documento di identità.
3. L'istanza può essere presentata anche per via telematica con le modalità di
cui all'articolo 65, comma 1, del decreto legislativo 7 marzo 2005, n. 82.
4. Il soggetto che agisce per conto della persona interessata esibisce o allega
copia della procura ovvero della delega conferita con le modalità di cui ai
commi 2 e 3.
5. Esperiti i necessari accertamenti, l'organo, ufficio o comando di polizia,
entro trenta giorni dalla ricezione della richiesta, comunica alla persona
interessata le determinazioni assunte.
6. L'organo, ufficio o comando di polizia può omettere di provvedere in merito
alla richiesta di cui al comma 1, dandone informazione al Garante, se ciò può
pregiudicare azioni o operazioni a tutela dell'ordine o della sicurezza pubblica
o di prevenzione e repressione dei reati o la sicurezza dello Stato, la persona
interessata o i diritti e le libertà di terzi.
Art. 27 Accertamenti dell'autorità giudiziaria
1. Chiunque viene a conoscenza dell'esistenza di dati personali che lo
riguardano, trattati da organi, uffici o comandi di polizia in violazione di
disposizioni di legge o di regolamento, può chiedere al tribunale del luogo ove
risiede il titolare del trattamento di compiere gli accertamenti necessari e di
ordinare l'aggiornamento, la rettifica, l'integrazione, la cancellazione, il
blocco o la trasformazione in forma anonima dei dati medesimi. Si applica la
disposizione di cui all'articolo 152, comma 1-bis, del Codice.
2. L'organo, ufficio o comando di polizia, qualora abbia notizia della
controversia instaurata innanzi all'autorità giudiziaria di cui al comma 1,
dispone l'immediata verifica dei dati e delle informazioni di cui la persona
interessata affermi l'erroneità, l'incompletezza e l'illegittima raccolta, ai
fini dell'eventuale aggiornamento, rettifica, integrazione, cancellazione,
blocco o trasformazione in forma anonima degli stessi. L'esito dell'accertamento
è comunicato all'autorità giudiziaria.
Art. 28 Trattamento dei dati relativi a procedimenti penali, sanzionatori e
di prevenzione
1. Le disposizioni di cui agli articoli 26 e 27 non si applicano ai dati
personali comunicati all'autorità giudiziaria per le esigenze del procedimento
penale o per le finalità di applicazione o esecuzione della pena, o comunicati
all'autorità amministrativa per le esigenze del procedimento sanzionatorio, né
a quelli comunicati all'autorità competente per le esigenze dei procedimenti di
applicazione di misure di sicurezza o di prevenzione.
2. Nei procedimenti di cui al comma 1 la tutela della persona interessata
rispetto al trattamento dei dati personali è garantita nelle forme previste per
ciascuno dei procedimenti stessi.
Art. 29 Controlli
1. I controlli sui trattamenti di dati personali effettuati degli organi,
uffici e comandi di polizia sono effettuati dal Garante con le modalità di cui
all'articolo 160 del Codice.
2. Il titolare o il responsabile del trattamento adottano le iniziative
occorrenti a dare tempestiva attuazione alle indicazioni del Garante.
Capo VIII
Disposizioni transitorie e finali
Art. 30 Disposizioni transitorie
1. Fermo restando quanto previsto dall'articolo 5, comma 2, primo periodo,
gli organi, uffici e comandi di polizia che alla data di entrata in vigore del
presente regolamento dispongono di sistemi informativi e programmi informatici
che, per obiettive ragioni tecniche, non consentono, in tutto o in parte,
l'immediata applicazione, con modalità automatizzate, della misura della
cancellazione o dell'anonimizzazione dei dati personali oggetto di trattamento
allo scadere dei termini di conservazione di cui all'articolo 10, commi 1, 3, 4,
5 e 7, o non consentono la segnalazione con modalità automatizzate del decorso
del termine di cui all'articolo 10, comma 2, adottano, in relazione ai sistemi e
programmi detenuti, ogni possibile misura organizzativa, logistica o procedurale
idonea a prevenire o limitare il rischio di utilizzo dei dati oltre i termini di
conservazione di cui all'articolo 10, commi 1, 3 e 5, o di accesso ai dati in
violazione della disposizione di cui all'articolo 10, comma 2. I predetti
sistemi e programmi sono adeguati alle disposizioni del presente regolamento
entro 5 anni dalla sua entrata in vigore, quando i medesimi siano stati
istituiti anteriormente al 6 maggio 2016 e ciò comporti sforzi sproporzionati.
Il termine di adeguamento dei sistemi e dei programmi è di 8 anni dalla entrata
in vigore del presente regolamento, qualora ciò causi altrimenti gravi
difficoltà per il loro funzionamento, previa comunicazione alla Commissione
europea, da parte delle competenti strutture del Dipartimento della pubblica
sicurezza, dei motivi di tali gravi difficoltà.
2. Fermo restando quanto previsto dall'articolo 5, comma 2, secondo periodo, gli
organi, uffici e comandi di polizia che alla data di entrata in vigore del
presente regolamento dispongono di sistemi informativi e programmi informatici
che, per obiettive ragioni tecniche, non consentono, in tutto o in parte,
l'immediata applicazione delle disposizioni concernenti la registrazione in
appositi file di log effettuati dagli operatori abilitati, adeguano i medesimi
sistemi e programmi entro 5 anni dall'entrata in vigore del presente
regolamento, quando i medesimi siano stati istituiti anteriormente al 6 maggio
2016 e ciò comporti sforzi sproporzionati. Il termine di adeguamento dei
sistemi e dei programmi è di 8 anni dall'entrata in vigore del presente
regolamento, qualora ciò causi altrimenti gravi difficoltà per il loro
funzionamento, previa comunicazione alla Commissione europea, da parte delle
competenti strutture del Dipartimento della pubblica sicurezza, dei motivi di
tali gravi difficoltà.
3. I titolari del trattamento, entro un anno dall'entrata in vigore del presente
regolamento, informano il Garante sulla adozione delle misure di cui al comma 1.
Al Garante è data periodica informazione sull'adeguamento dei sistemi e
programmi di cui ai commi 1 e 2.
Art. 31 Clausola di invarianza finanziaria
1. Dall'attuazione delle disposizioni del presente regolamento non devono
derivare nuovi o maggiori oneri a carico della finanza pubblica. Le
Amministrazioni provvedono agli adempimenti di cui al presente regolamento con
le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.
Il presente decreto, munito del sigillo dello Stato, sarà inserito nella
Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto
obbligo a chiunque spetti di osservarlo e di farlo osservare.
Dato a Roma, addì 15 gennaio 2018
MATTARELLA
Gentiloni Silveri, Presidente del Consiglio dei ministri
Minniti, Ministro dell'interno
Orlando, Ministro della giustizia
Visto, il Guardasigilli: Orlando
Registrato alla Corte dei conti il 7 marzo 2018
Interno, foglio n. 586
|