Gazzetta n. 61 del 14 marzo 2018 (vai al sommario) PRESIDENZA DELLA REPUBBLICA DECRETO DEL PRESIDENTE DELLA REPUBBLICA 15 gennaio 2018, n. 15 Regolamento a norma dell'articolo 57 del decreto legislativo 30 giugno 2003, n. 196, recante l'individuazione delle modalita' di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalita' di polizia, da organi, uffici e comandi di polizia. IL PRESIDENTE DELLA REPUBBLICA Visto l'articolo 87, quinto comma, della Costituzione; Visto l'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, recante «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri»; Vista la legge 1° aprile 1981, n, 121, recante «Nuovo ordinamento dell'amministrazione della pubblica sicurezza»; Vista la Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981, ratificata e resa esecutiva con la legge 21 febbraio 1989, n. 98; Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali» e, in particolare, l'articolo 57, il quale prevede che, con decreto del Presidente della Repubblica, siano individuate le modalita' di attuazione dei principi del codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalita' di polizia di cui all'articolo 53, dal centro elaborazione dati e da organi, uffici o comandi di polizia, anche in attuazione della raccomandazione R (87) 15 del Consiglio d'Europa del 17 settembre 1987 e successive modificazioni; Vista la legge 30 giugno 2009, n. 85, di adesione della Repubblica italiana al Trattato di Prüm, concluso il 27 maggio 2005, e di istituzione della banca dati nazionale del DNA e del laboratorio centrale per la banca dati nazionale del DNA; Vista la decisione quadro 2006/960/GAI del Consiglio, del 18 dicembre 2006, relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorita' degli Stati membri dell'Unione europea incaricate dell'applicazione della legge; Visto il decreto legislativo 23 aprile 2015, n. 54, recante «Attuazione della decisione quadro 2006/960/GAI del Consiglio, del 18 dicembre 2006»; Vista la raccomandazione del Consiglio d'Europa n. R (87) 15, adottata dal Comitato dei ministri il 17 settembre 1987, e successive modificazioni, che disciplina l'uso di dati personali nel settore della polizia; Visto il protocollo n. 181 dell'8 novembre 2001, aggiuntivo alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale n. 108 del 1981, concernente le autorita' di controllo e i flussi internazionali di dati; Visto il regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II); Vista la decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II); Vista la decisione 2007/845/GAI del Consiglio, del 6 dicembre 2007, concernente la cooperazione tra gli uffici degli Stati membri per il recupero dei beni nel settore del reperimento e dell'identificazione dei proventi di reato o altri beni connessi; Vista la decisione 2008/615/GAI del Consiglio, del 23 giugno 2008, sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalita' transfrontaliera; Vista la decisione 2008/616/GAI del Consiglio, del 23 giugno 2008, relativa all'attuazione della decisione 2008/615/GAI sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalita' transfrontaliera; Vista la decisione 2008/633/GAI del Consiglio, del 23 giugno 2008, relativa all'accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorita' designate degli Stati membri e di Europol ai fini della prevenzione, dell'individuazione e dell'investigazione di reati di terrorismo e altri reati gravi; Vista la decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale; Visto il regolamento (UE) n. 603/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, che istituisce l'«Eurodac» per il confronto delle impronte digitali per l'efficace applicazione del regolamento (UE) n. 604/2013 che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide e per le richieste di confronto con i dati Eurodac presentate dalle autorita' di contrasto degli Stati membri e da Europol a fini di contrasto, e che modifica il regolamento (UE) n. 1077/2011 che istituisce un'agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di liberta', sicurezza e giustizia; Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995; Vista la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio; Vista la direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei gravi reati; Visto il regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, istitutivo dell'Agenzia dell'Unione europea per la cooperazione nell'attivita' di contrasto (Europol), che sostituisce le decisioni ed abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI; Acquisito il parere del Garante per la protezione dei dati personali del 2 marzo 2017; Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 28 luglio 2017; Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'Adunanza del 31 agosto 2017; Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 1° dicembre 2017; Sulla proposta del Presidente del Consiglio dei ministri e del Ministro dell'interno, di concerto con il Ministro della giustizia; Emana il seguente regolamento: Art. 1 Oggetto e ambito di applicazione 1. Il presente regolamento individua le modalita' di attuazione dei principi del Codice in materia di protezione dei dati personali, adottato con il decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice», relativamente ai trattamenti effettuati, anche senza l'ausilio di strumenti elettronici, da organi, uffici e comandi di polizia, per le finalita' di polizia di cui all'articolo 53 del Codice. 2. Il presente regolamento non si applica ai trattamenti di dati personali effettuati per finalita' amministrative. In conformita' a quanto previsto dall'articolo 54, comma 2, del Codice, tali dati sono conservati separatamente da quelli registrati per finalita' di polizia, salvo che non siano necessari, in casi specifici, nell'ambito di un'attivita' informativa, di sicurezza o di indagine di polizia giudiziaria. 3. Il presente regolamento non si applica ai soggetti pubblici che, pur effettuando il trattamento dei dati personali per le finalita' di polizia di cui all'articolo 3, non rientrano nella categoria degli organi, uffici e comandi di cui all'articolo 57 del Codice. NOTE Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con decreto del Presidente della Repubblica 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. - Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle Comunita' europee (GUCE). Nota al titolo: - Si riporta il testo dell'art. 57 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n. 174, S.O.: «Art. 57 (Disposizioni di attuazione). - 1. Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, su proposta del Ministro dell'interno, di concerto con il Ministro della giustizia, sono individuate le modalita' di attuazione dei principi del presente codice relativamente al trattamento dei dati effettuato per le finalita' di cui all'art. 53 dal Centro elaborazioni dati e da organi, uffici o comandi di polizia, anche ad integrazione e modifica del decreto del Presidente della Repubblica 3 maggio 1982, n. 378, e in attuazione della Raccomandazione R (87) 15 del Consiglio d'Europa del 17 settembre 1987, e successive modificazioni. Le modalita' sono individuate con particolare riguardo: a) al principio secondo cui la raccolta dei dati e' correlata alla specifica finalita' perseguita, in relazione alla prevenzione di un pericolo concreto o alla repressione di reati, in particolare per quanto riguarda i trattamenti effettuati per finalita' di analisi; b) all'aggiornamento periodico dei dati, anche relativi a valutazioni effettuate in base alla legge, alle diverse modalita' relative ai dati trattati senza l'ausilio di strumenti elettronici e alle modalita' per rendere conoscibili gli aggiornamenti da parte di altri organi e uffici cui i dati sono stati in precedenza comunicati; c) ai presupposti per effettuare trattamenti per esigenze temporanee o collegati a situazioni particolari, anche ai fini della verifica dei requisiti dei dati ai sensi dell'art. 11, dell'individuazione delle categorie di interessati e della conservazione separata da altri dati che non richiedono il loro utilizzo; d) all'individuazione di specifici termini di conservazione dei dati in relazione alla natura dei dati o agli strumenti utilizzati per il loro trattamento, nonche' alla tipologia dei procedimenti nell'ambito dei quali essi sono trattati o i provvedimenti sono adottati; e) alla comunicazione ad altri soggetti, anche all'estero o per l'esercizio di un diritto o di un interesse legittimo, e alla loro diffusione, ove necessaria in conformita' alla legge; f) all'uso di particolari tecniche di elaborazione e di ricerca delle informazioni, anche mediante il ricorso a sistemi di indice.». Note alle premesse: - L'art. 87 della Costituzione conferisce, tra l'altro, il potere di promulgare le leggi ed emanare i decreti aventi valore di legge ed i regolamenti. - Si riporta il testo dell'art. 17, comma 1, della legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri), pubblicata nella Gazzetta Ufficiale 12 settembre 1988, n. 214, S.O.: «Art. 17 (Regolamenti). - 1. Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, sentito il parere del Consiglio di Stato che deve pronunziarsi entro novanta giorni dalla richiesta, possono essere emanati regolamenti per disciplinare: a) l'esecuzione delle leggi e dei decreti legislativi, nonche' dei regolamenti comunitari; b) l'attuazione e l'integrazione delle leggi e dei decreti legislativi recanti norme di principio, esclusi quelli relativi a materie riservate alla competenza regionale; c) le materie in cui manchi la disciplina da parte di leggi o di atti aventi forza di legge, sempre che non si tratti di materie comunque riservate alla legge; d) l'organizzazione ed il funzionamento delle amministrazioni pubbliche secondo le disposizioni dettate dalla legge; e). (Omissis).». - La legge 1° aprile 1981, n. 121 (Nuovo ordinamento dell'amministrazione della pubblica sicurezza) e' pubblicata nella Gazzetta Ufficiale 10 aprile 1981, n. 100, S.O. - La legge 21 febbraio 1989, n. 98 (Ratifica ed esecuzione della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981) e' pubblicata nella Gazzetta Ufficiale 20 marzo 1989, n. 66, S.O. - Per l'art. 57 del citato decreto legislativo 30 giugno 2003, n. 196 si veda nella nota al titolo. - Si riporta il testo dell'art. 53 del citato decreto legislativo 30 giugno 2003, n. 196: «Art. 53 (Ambito applicativo e titolari dei trattamenti). - 1. Agli effetti del presente codice si intendono effettuati per finalita' di polizia i trattamenti di dati personali direttamente correlati all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonche' di polizia giudiziaria, svolti, ai sensi del codice di procedura penale, per la prevenzione e repressione dei reati. 2. Ai trattamenti di dati personali previsti da disposizioni di legge, di regolamento, nonche' individuati dal decreto di cui al comma 3, effettuati dal Centro elaborazione dati del Dipartimento della pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi, ovvero da organi di pubblica sicurezza o altri soggetti pubblici nell'esercizio delle attribuzioni conferite da disposizioni di legge o di regolamento non si applicano, se il trattamento e' effettuato per finalita' di polizia, le seguenti disposizioni del codice: a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45; b) articoli da 145 a 151. 3. Con decreto adottato dal Ministro dell'interno, previa comunicazione alle competenti Commissioni parlamentari, sono individuati, nell'allegato C) al presente codice, i trattamenti non occasionali di cui al comma 2 effettuati con strumenti elettronici e i relativi titolari.». - La raccomandazione R (87) 15 del Comitato dei Ministri agli Stati membri relativa alla disciplina dell'uso di dati personali nell'ambito della pubblica sicurezza e' stata adottata dal Comitato dei Ministri il 17 settembre 1987, nel corso della 410ª riunione dei Delegati dei Ministri. - La legge 30 giugno 2009, n. 85 (Adesione della Repubblica italiana al Trattato concluso il 27 maggio 2005 tra il Regno del Belgio, la Repubblica federale di Germania, il Regno di Spagna, la Repubblica francese, il Granducato di Lussemburgo, il Regno dei Paesi Bassi e la Repubblica d'Austria, relativo all'approfondimento della cooperazione transfrontaliera, in particolare allo scopo di contrastare il terrorismo, la criminalita' transfrontaliera e la migrazione illegale (Trattato di Prum). Istituzione della banca dati nazionale del DNA e del laboratorio centrale per la banca dati nazionale del DNA. Delega al Governo per l'istituzione dei ruoli tecnici del Corpo di polizia penitenziaria. Modifiche al codice di procedura penale in materia di accertamenti tecnici idonei ad incidere sulla liberta' personale) e' pubblicata nella Gazzetta Ufficiale 13 luglio 2009, n. 160, S.O. - La Decisione quadro n. 2006/960/GAI del Consiglio, del 18 dicembre 2006, relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorita' degli Stati membri dell'Unione europea incaricate dell'applicazione della legge, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 29 dicembre 2006, n. L 386. - Il decreto legislativo 23 aprile 2015, n. 54 (Attuazione della decisione quadro 2006/960/GAI del Consiglio del 18 dicembre 2006 relativa alla semplificazione dello scambio di informazioni e intelligence tra le Autorita' degli Stati membri dell'Unione europea incaricate dell'applicazione della legge) e' pubblicato nella Gazzetta Ufficiale 9 maggio 2015, n. 106. - Il protocollo addizionale n. 181 dell'8 novembre 2001, aggiuntivo alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato dei dati a carattere personale, concerne le autorita' di controllo ed i flussi transfrontalieri. - Il regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II) e' pubblicato nella Gazzetta Ufficiale dell'Unione europea 28 dicembre 2006, n. L 381/4. - La decisione n. 2007/533/GAI del Consiglio, del 12 giugno 2007, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II) e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 7 agosto 2007, n. L 205/63. - La decisione n. 2007/845/GAI del Consiglio, del 6 dicembre 2007, concernente la cooperazione tra gli uffici degli Stati membri per il recupero dei beni nel settore del reperimento e dell'identificazione dei proventi di reato o altri beni connessi, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 18 dicembre 2007, n. L 332/103. - La decisione n. 2008/615/GAI del Consiglio, del 23 giugno 2008, sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalita' transfrontaliera, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 6 agosto 2008, n. L 210/1. - La decisione n. 2008/616/GAI del Consiglio, del 23 giugno 2008, relativa all'attuazione della decisione 2008/615/GAI sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalita' transfrontaliera, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 6 agosto 2008, n. L 210/1. - La decisione n. 2008/633/GAI del Consiglio, del 23 giugno 2008, relativa all'accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorita' designate degli Stati membri e di Europol ai fini della prevenzione, dell'individuazione e dell'investigazione di reati di terrorismo e altri reati gravi, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 13 agosto 2008, n. L 218. - La decisione quadro n. 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 30 dicembre 2008, n. L 350. - Il regolamento (UE) n. 603/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, che istituisce l'«Eurodac» per il confronto delle impronte digitali per l'efficace applicazione del regolamento (UE) n. 604/2013 che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide e per le richieste di confronto con i dati Eurodac presentate dalle autorita' di contrasto degli Stati membri e da Europol a fini di contrasto, e che modifica il regolamento (UE) n. 1077/2011 che istituisce un'agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di liberta', sicurezza e giustizia (rifusione) e' pubblicato nella Gazzetta Ufficiale dell'Unione europea 29 giugno 2013, n. L 180/1. - Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), e' pubblicato nella Gazzetta Ufficiale dell'Unione europea 4 maggio 2016, n. L 119/1. - La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio; e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 4 maggio 2016, n. L 119/1. - La direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei gravi reati, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 4 maggio 2016 n. L 119/1. - Il regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, istitutivo dell'Agenzia dell'Unione europea per la cooperazione nell'attivita' di contrasto (Europol), che sostituisce ed abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI, e' pubblicato nella Gazzetta Ufficiale dell'Unione europea 24 maggio 2016, n. L 135. - La decisione 6 aprile 2009 n. 2009/371/GAI del Consiglio, che istituisce l'Ufficio europeo di polizia (Europol), e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 15 maggio 2009, n. L 121. - La decisione 30 novembre 2009, n. 2009/934/GAI del Consiglio, che adotta le norme di attuazione relative alle relazioni di Europol con i partner, incluso lo scambio di dati personali e informazioni classificate, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 11 dicembre 2009, n. L 325. - La decisione 30 novembre 2009, n. 2009/935/GAI del Consiglio, che stabilisce l'elenco dei paesi e delle organizzazioni terzi con cui Europol stipula accordi, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea, n. L 325. - La decisione 30 novembre 2009, n. 2009/936/GAI del Consiglio, che adotta le norme di attuazione degli archivi di lavoro per fini di analisi di Europol, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 11 dicembre 2009, n. L 325. - La decisione 30 novembre 2009, n. 2009/968/GAI del Consiglio, che adotta le norme sulla protezione del segreto delle informazioni di Europol, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 17 dicembre 2009, n. L 332. Note all'art. 1: - Per l'art. 53 del citato decreto legislativo 30 giugno 2003, n. 196 si veda nelle note alle premesse. - Si riporta il testo dell'art. 54 del citato decreto legislativo 30 giugno 2003, n. 196: «Art. 54 (Modalita' di trattamento e flussi di dati). - 1. Nei casi in cui le autorita' di pubblica sicurezza o le forze di polizia possono acquisire in conformita' alle vigenti disposizioni di legge o di regolamento dati, informazioni, atti e documenti da altri soggetti, l'acquisizione puo' essere effettuata anche per via telematica. A tal fine gli organi o uffici interessati possono avvalersi di convenzioni volte ad agevolare la consultazione da parte dei medesimi organi o uffici, mediante reti di comunicazione elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle pertinenti disposizioni e dei principi di cui agli articoli 3 e 11. Le convenzioni-tipo sono adottate dal Ministero dell'interno, su conforme parere del Garante, e stabiliscono le modalita' dei collegamenti e degli accessi anche al fine di assicurare l'accesso selettivo ai soli dati necessari al perseguimento delle finalita' di cui all' art. 53. 2. I dati trattati per le finalita' di cui al medesimo art. 53 sono conservati separatamente da quelli registrati per finalita' amministrative che non richiedono il loro utilizzo. 3. Fermo restando quanto previsto dall' art. 11 , il Centro elaborazioni dati di cui all' art. 53 assicura l'aggiornamento periodico e la pertinenza e non eccedenza dei dati personali trattati anche attraverso interrogazioni autorizzate del casellario giudiziale e del casellario dei carichi pendenti del Ministero della giustizia di cui al decreto del Presidente della Repubblica 14 novembre 2002, n. 313 , o di altre banche di dati di forze di polizia, necessarie per le finalita' di cui all'art. 53. 4. Gli organi, uffici e comandi di polizia verificano periodicamente i requisiti di cui all'art. 11 in riferimento ai dati trattati anche senza l'ausilio di strumenti elettronici, e provvedono al loro aggiornamento anche sulla base delle procedure adottate dal Centro elaborazioni dati ai sensi del comma 3, o, per i trattamenti effettuati senza l'ausilio di strumenti elettronici, mediante annotazioni o integrazioni dei documenti che li contengono.». - Per l'art. 57 del citato decreto legislativo 30 giugno 2003, n. 196 si veda nella nota al titolo.   Art. 2 Definizioni 1. Ai fini del presente regolamento, ferme restando le definizioni di cui all'articolo 4 del Codice, con le parole: «autorita' competente degli Stati membri dell'Unione europea o degli Stati terzi» si intende qualsiasi autorita' pubblica di uno Stato membro dell'Unione europea o di uno Stato terzo che, in base alla legislazione interna, sia competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, ovvero qualsiasi altro organismo o entita' incaricati dal diritto dello Stato membro dell'Unione europea o del Paese terzo di esercitare l'autorita' pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.   Art. 3 Finalita' dei trattamenti 1. I trattamenti di dati personali si intendono effettuati per le finalita' di polizia, ai sensi dell'articolo 53 del Codice, quando sono direttamente correlati all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonche' di polizia giudiziaria, svolti, ai sensi del codice di procedura penale, per la prevenzione e repressione dei reati. 2. E' compatibile con le finalita' di polizia, di cui al comma 1, l'ulteriore trattamento, ai sensi dell'articolo 99 del Codice, per finalita' storiche, scientifiche e, previa trasformazione in forma anonima, per finalita' statistiche, anche per le esigenze di analisi dei fenomeni criminali e dei risultati dell'azione di contrasto al crimine, nonche' dell'attivita' di tutela dell'ordine e della sicurezza pubblica. 3. Il trattamento dei dati personali per le finalita' storiche e scientifiche di cui al comma 2 e' consentito ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti. Note all'art. 3: - Per l'art. 53 del citato decreto legislativo 30 giugno 2003, n. 196 si veda nelle note alle premesse. - Si riporta il testo dell'art. 99 del citato decreto legislativo 30 giugno 2003, n. 196: «Art. 99 (Compatibilita' tra scopi e durata del trattamento). - 1. Il trattamento di dati personali effettuato per scopi storici, statistici o scientifici e' considerato compatibile con i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati. 2. Il trattamento di dati personali per scopi storici, statistici o scientifici puo' essere effettuato anche oltre il periodo di tempo necessario per conseguire i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati. 3. Per scopi storici, statistici o scientifici possono comunque essere conservati o ceduti ad altro titolare i dati personali dei quali, per qualsiasi causa, e' cessato il trattamento.».   Art. 4 Qualita' dei dati trattati 1. Ai sensi dell'articolo 11 del Codice, i dati personali oggetto di trattamento sono esatti e, se necessario, aggiornati, pertinenti, completi e non eccedenti rispetto alle finalita' di cui all'articolo 3. 2. Gli organi, uffici e comandi di polizia, ai sensi dell'articolo 54, comma 4, del Codice, verificano i requisiti di cui al comma 1, per quanto possibile, in occasione dell'utilizzo dei dati personali effettuato nell'ambito di un'attivita' informativa, di sicurezza o di indagine di polizia giudiziaria. 3. Il titolare o il responsabile del trattamento informano il Garante delle direttive impartite in merito alle verifiche di cui al comma 2. Note all'art. 4: - Si riporta il testo dell'art. 11 del citato decreto legislativo 30 giugno 2003, n. 196: «Art. 11 (Modalita' del trattamento e requisiti dei dati). - 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.». - Per l'art. 54 del citato decreto legislativo 30 giugno 2003, n. 196 si veda nelle note all'art. 1.   Art. 5 Configurazione dei sistemi informativi e dei programmi informatici 1. Ai sensi dell'articolo 3 del Codice, in relazione ai trattamenti automatizzati, i sistemi informativi e i programmi informatici sono configurati in modo da ridurre al minimo l'utilizzo di dati personali e identificativi, escludendone comunque il trattamento quando le finalita' di cui all'articolo 3 possono essere perseguite mediante dati anonimi o modalita' che consentono di identificare la persona interessata solo in caso di necessita'. 2. I nuovi sistemi informativi e programmi informatici sono progettati in modo che i dati personali siano cancellati o resi anonimi, con modalita' automatizzate, allo scadere dei termini di conservazione di cui all'articolo 10. Essi, inoltre, sono progettati in modo da consentire la registrazione in appositi registri degli accessi e delle operazioni, di seguito «file di log», effettuati dagli operatori abilitati. Note all'art. 5: - Si riporta il testo dell'art. 3 del citato decreto legislativo 30 giugno 2003, n. 196: «Art. 3 (Principio di necessita' nel trattamento dei dati). - 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalita' perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalita' che permettano di identificare l'interessato solo in caso di necessita'.».   Art. 6 Trattamenti che presentano rischi specifici 1. I trattamenti dei dati personali che implicano maggiori rischi di un danno alla persona interessata, con particolare riguardo alle banche di dati genetici o biometrici, alle tecniche basate su dati relativi all'ubicazione, alle banche dati e ai trattamenti di cui all'articolo 7 basati su particolari tecniche di elaborazione delle informazioni o su particolari tecnologie, sono effettuati nel rispetto delle misure e degli accorgimenti prescritti dal Garante ai sensi dell'articolo 17 del Codice, sulla base di preventiva comunicazione inviata con le modalita' indicate nell'articolo 39 del Codice. 2. Gli accessi e le operazioni effettuati dagli operatori abilitati relativamente ai dati di cui al comma 1, soggetti a trattamento automatizzato, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti da speciali disposizioni. 3. Gli accessi ai file di log di cui al comma 2 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale. Note all'art. 6: - Si riporta il testo degli articoli 17 e 39 del citato decreto legislativo 30 giugno 2003, n. 196: «Art. 17 (Trattamento che presenta rischi specifici). - 1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le liberta' fondamentali, nonche' per la dignita' dell'interessato, in relazione alla natura dei dati o alle modalita' del trattamento o agli effetti che puo' determinare, e' ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.». «Art. 39 (Obblighi di comunicazione). - 1. Il titolare del trattamento e' tenuto a comunicare previamente al Garante le seguenti circostanze: a) comunicazione di dati personali da parte di un soggetto pubblico ad altro soggetto pubblico non prevista da una norma di legge o di regolamento, effettuata in qualunque forma anche mediante convenzione; b) trattamento di dati idonei a rivelare lo stato di salute previsto dal programma di ricerca biomedica o sanitaria di cui all'art. 110, comma 1, primo periodo. 2. I trattamenti oggetto di comunicazione ai sensi del comma 1 possono essere iniziati decorsi quarantacinque giorni dal ricevimento della comunicazione salvo diversa determinazione anche successiva del Garante. 3. La comunicazione di cui al comma 1 e' inviata utilizzando il modello predisposto e reso disponibile dal Garante, e trasmessa a quest'ultimo per via telematica osservando le modalita' di sottoscrizione con firma digitale e conferma del ricevimento di cui all'art. 38, comma 2, oppure mediante telefax o lettera raccomandata.».   Art. 7 Uso di particolari tecniche di elaborazione delle informazioni 1. L'uso, anche per finalita' di analisi, di particolari tecniche di elaborazione delle informazioni, ivi inclusi i sistemi di indice, e' consentito ai soli operatori a cio' abilitati e designati, secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e nell'ambito di specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria. 2. Gli accessi e le operazioni effettuati dagli operatori abilitati di cui al comma 1, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione. 3. Gli accessi ai file di log di cui al comma 2 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.   Art. 8 Trattamento di dati per esigenze temporanee 1. E' consentito il trattamento dei dati personali per esigenze temporanee o in relazione a situazioni particolari che sono direttamente correlate all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonche' di polizia giudiziaria. 2. I dati personali di cui al comma 1 sono trattati nel rispetto dei principi richiamati dagli articoli 4, 5 e 6. 3. I dati personali di cui al comma 1 sono conservati separatamente da quelli registrati permanentemente, per un periodo di tempo non superiore a quello necessario agli scopi specifici per i quali sono stati raccolti e, comunque, non oltre 10 anni dalla cessazione dell'esigenza o della situazione particolare che ne hanno reso necessario il trattamento. Si applicano i termini di conservazione di cui all'articolo 10 se tali dati rientrano nelle categorie dallo stesso previste. 4. Cessata l'esigenza o la situazione particolare, l'accesso ai dati di cui al comma 1 e' consentito ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e nell'ambito di specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria.   Art. 9 Collegamenti con altre banche dati 1. Per l'acquisizione di dati, informazioni, atti e documenti, e' consentita l'attivazione di collegamenti telematici con banche dati di pubbliche amministrazioni o di privati, in conformita' alle disposizioni di legge o di regolamento e nel rispetto dei principi richiamati dagli articoli 4 e 5. 2. I dati e le informazioni sono acquisiti attraverso consultazione per mezzo di tecnologie dell'informazione e della comunicazione senza duplicazione di archivi e banche dati. 3. Il collegamento e' attivato con modalita' tali da consentire l'accesso selettivo ai soli dati e informazioni necessari per il conseguimento delle finalita' di cui all'articolo 3. 4. Per l'attivazione dei collegamenti gli organi, uffici e comandi di polizia possono avvalersi, ai sensi dell'articolo 54 del Codice, di convenzioni sottoscritte sulla base di schemi adottati dal Ministero dell'interno, su conforme parere del Garante. Note all'art. 9: - Per l'art. 54 del citato decreto legislativo 30 giugno 2003, n. 196 si veda nelle note all'art. 1.   Art. 10 Termini di conservazione dei dati 1. I dati personali oggetto di trattamento sono conservati per un periodo di tempo non superiore a quello necessario per il conseguimento delle finalita' di polizia di cui all'articolo 3. 2. I dati personali soggetti a trattamento automatizzato, trascorsa la meta' del tempo massimo di conservazione di cui al comma 3, se uguale o superiore a quindici anni, sono accessibili ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e in relazione a specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria. 3. Fatto salvo quanto previsto dai commi 6 e 7, i dati personali non possono essere conservati oltre il termine massimo fissato come segue: a) dati relativi a provvedimenti di natura interdittiva, di sicurezza e cautelare, nonche' a misure restrittive della liberta' personale conseguenti ad una sentenza di condanna - 20 anni dalla cessazione della loro efficacia; b) dati relativi a misure di prevenzione di carattere personale e patrimoniale - 25 anni dalla cessazione della loro efficacia; c) dati relativi a procedimenti, misure e provvedimenti su cui interviene una procedura di annullamento, invalidazione o revoca - 3 anni dalla data di inoppugnabilita' del provvedimento di annullamento, invalidazione o revoca; d) dati relativi a provvedimenti che dichiarano l'estinzione della pena o del reato - 8 anni dall'inoppugnabilita' del provvedimento; e) dati derivanti da attivita' informativa e ispettiva svolta per le finalita' di cui all'articolo 3 - 15 anni dall'ultimo trattamento; f) dati relativi ad attivita' di polizia giudiziaria conclusa con provvedimento di archiviazione - 20 anni dall'emissione del provvedimento; g) dati relativi ad attivita' di polizia giudiziaria conclusa con sentenza di assoluzione o di non doversi procedere - 20 anni dal passaggio in giudicato della sentenza; h) dati relativi ad attivita' di polizia giudiziaria conclusa con sentenza di condanna - 25 anni dal passaggio in giudicato della sentenza; i) dati relativi ad attivita' di indagine o polizia giudiziaria che non hanno dato luogo a procedimento penale - 15 anni dall'ultimo trattamento; l) dati relativi ad attivita' di prevenzione generale e soccorso pubblico - 5 anni dalla raccolta; m) dati relativi a controlli di polizia - 20 anni dalla raccolta; n) dati raccolti per l'analisi criminale e di prevenzione - 10 anni dall'elaborazione dell'analisi; o) dati relativi a provvedimenti di espulsione e rimpatrio di stranieri - 30 anni dall'esecuzione; p) dati relativi a nulla osta, licenze, autorizzazioni di polizia - 5 anni dalla scadenza o dalla revoca del titolo; q) dati relativi alla detenzione delle armi o parti di esse, di munizioni finite e di materie esplodenti di qualsiasi genere - 5 anni dalla cessazione della detenzione; r) dati relativi a persone detenute negli istituti penitenziari - 30 anni dalla scarcerazione a seguito di espiazione della pena in caso di condanna - 5 anni dalla scarcerazione a seguito di decreto di archiviazione o non luogo a procedere o di sentenza di assoluzione; s) dati relativi a persone sottoposte a misure di sicurezza detentive - 25 anni dalla scadenza del termine di efficacia della misura; t) dati relativi alla gestione delle attivita' operative - 10 anni dall'ultimo trattamento; u) dati raccolti mediante sistemi di ripresa fotografica, audio e video nei servizi di ordine pubblico e di polizia giudiziaria - 3 anni dalla raccolta; dati raccolti mediante sistemi di videosorveglianza o di ripresa fotografica, audio e video di documentazione dell'attivita' operativa - 18 mesi dalla raccolta. Si applicano i diversi termini di conservazione di cui alla lettera b), quando i dati personali sono confluiti in un procedimento per l'applicazione di una misura di prevenzione, o quelli di cui alle lettere a), f), g), h) e i), quando i dati personali sono confluiti in un procedimento penale. 4. I termini di conservazione di cui al comma 3 sono aumentati di due terzi quando i dati personali sono trattati nell'ambito di attivita' preventiva o repressiva relativa ai delitti di cui all'articolo 51, commi 3-bis, 3-quater e 3-quinquies, del codice di procedura penale, nonche' per le ulteriori ipotesi indicate dall'articolo 407, comma 2, lettera a), del codice di procedura penale. 5. Il capo dell'ufficio o il comandante del reparto, prima della scadenza dei termini di cui al comma 3, ove sia strettamente necessario per il conseguimento delle finalita' di polizia di cui all'articolo 3, puo' decidere, sulla base dei criteri definiti dal Capo della polizia - direttore generale della pubblica sicurezza ovvero, su sua delega, dal vice direttore generale di cui all'articolo 4, comma 6, del decreto-legge 29 ottobre 1991, n. 345, convertito, con modificazioni, dalla legge 30 dicembre 1991, n. 410, di aumentare la durata di conservazione, indicandone i motivi in relazione al caso specifico e l'ulteriore periodo di trattamento, che non puo' comunque superare i due terzi di quelli fissati al comma 3. 6. I dati personali soggetti a trattamento non automatizzato, sono conservati per il periodo di tempo previsto dalle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni se superiore a quello di cui al comma 3. 7. Sono fatti salvi i diversi termini e modalita' di conservazione dei dati personali previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale in relazione a specifici trattamenti effettuati per le finalita' di cui all'articolo 3. 8. Decorsi i termini di cui ai commi 1, 3, 4, 5 e 7, i dati personali soggetti a trattamento automatizzato sono cancellati o resi anonimi, i dati personali non soggetti a trattamento automatizzato restano assoggettati alle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni. Note all'art. 10: - Si riporta il testo degli articoli 51, commi 3-bis, 3-quater e 3-quinquies, e 407, comma 2, lettera a), del codice di procedura penale: «Art. 51 (Uffici del pubblico ministero. Attribuzioni del procuratore della Repubblica distrettuale). - Omissis. 3-bis. Quando si tratta dei procedimenti per i delitti, consumati o tentati, di cui agli articoli 416, sesto e settimo comma, 416, realizzato allo scopo di commettere taluno dei delitti di cui all'art. 12, commi 3 e 3-ter, del testo unico delle disposizioni concernenti la disciplina dell'immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, 416, realizzato allo scopo di commettere delitti previsti dagli articoli 473 e 474, 600, 601, 602, 416-bis, 416-ter e 630 del codice penale, per i delitti commessi avvalendosi delle condizioni previste dal predetto art. 416-bis ovvero al fine di agevolare l'attivita' delle associazioni previste dallo stesso articolo, nonche' per i delitti previsti dall'art. 74 del testo unico approvato con decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, dall'art. 291-quater del testo unico approvato con decreto del Presidente della Repubblica 23 gennaio 1973, n. 43, e dall'art. 260 del decreto legislativo 3 aprile 2006, n. 152, le funzioni indicate nel comma 1 lettera a) sono attribuite all'ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente. (Omissis). 3-quater. Quando si tratta di procedimenti per i delitti consumati o tentati con finalita' di terrorismo le funzioni indicate nel comma 1, lettera a), sono attribuite all'ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente. 3-quinquies. Quando si tratta di procedimenti per i delitti, consumati o tentati, di cui agli articoli 414-bis, 600-bis, 600-ter, 600-quater, 600-quater.1, 600-quinquies, 609-undecies, 615-ter, 615-quater, 615-quinquies, 617-bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 640-ter e 640-quinquies del codice penale, le funzioni indicate nel comma 1, lettera a), del presente articolo sono attribuite all'ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente.» «Art. 407 (Termini di durata massima delle indagini preliminari). - Omissis. 2. La durata massima e' tuttavia di due anni se le indagini preliminari riguardano: a) i delitti appresso indicati: 1) delitti di cui agli articoli 285, 286, 416-bis e 422 del codice penale, 291-ter, limitatamente alle ipotesi aggravate previste dalle lettere a), d) ed e) del comma 2, e 291-quater, comma 4, del testo unico approvato con decreto del Presidente della Repubblica 23 gennaio 1973, n. 43; 2) delitti consumati o tentati di cui agli articoli 575, 628, terzo comma, 629, secondo comma, e 630 dello stesso codice penale; 3) delitti commessi avvalendosi delle condizioni previste dall'art. 416-bis del codice penale ovvero al fine di agevolare l'attivita' delle associazioni previste dallo stesso articolo; 4) delitti commessi per finalita' di terrorismo o di eversione dell'ordinamento costituzionale per i quali la legge stabilisce la pena della reclusione non inferiore nel minimo a cinque anni o nel massimo a dieci anni, nonche' delitti di cui agli articoli 270, terzo comma e 306, secondo comma, del codice penale; 5) delitti di illegale fabbricazione, introduzione nello Stato, messa in vendita, cessione, detenzione e porto in luogo pubblico o aperto al pubblico di armi da guerra o tipo guerra o parti di esse, di esplosivi, di armi clandestine nonche' di piu' armi comuni da sparo escluse quelle previste dall'art. 2, comma terzo, della legge 18 aprile 1975, n. 110; 6) delitti di cui agli articoli 73, limitatamente alle ipotesi aggravate ai sensi dell'art. 80, comma 2, e 74 del testo unico delle leggi in materia di disciplina degli stupefacenti e sostanze psicotrope, prevenzione, cura e riabilitazione dei relativi stati di tossicodipendenza, approvato con decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, e successive modificazioni; 7) delitto di cui all'art. 416 del codice penale nei casi in cui e' obbligatorio l'arresto in flagranza; 7-bis) dei delitti previsto dagli articoli 600, 600-bis, primo comma, 600-ter, primo e secondo comma, 601, 602, 609-bis nelle ipotesi aggravate previste dall'art. 609-ter, 609-quater, 609-octies del codice penale, nonche' dei delitti previsti dall'art. 12, comma 3, del testo unico di cui al decreto legislativo 25 luglio 1998, n. 286, e successive modificazioni; (Omissis).». - Si riporta il testo dell'art. 4, comma 6, del decreto-legge 29 ottobre 1991, n. 345, convertito, con modificazioni, dalla legge 30 dicembre 1991, n. 410 (Disposizioni urgenti per il coordinamento delle attivita' informative e investigative nella lotta contro la criminalita' organizzata): «Art. 4 (Disposizioni concernenti il personale). - (Omissis). 6. Al fine di assicurare i collegamenti tra la D.I.A. e gli altri uffici, reparti e strutture delle forze di polizia, ivi compresi i servizi di cui all'art. 12 del decreto-legge 13 maggio 1991, n. 152 , convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203, la dotazione organica dei prefetti di prima classe e' incrementata di un'unita' da assegnarsi al Dipartimento di pubblica sicurezza con funzioni di vice direttore generale, direttore centrale della polizia criminale.».   Art. 11 Limitazioni alla raccolta dei dati 1. E' vietata la raccolta e il trattamento dei dati sulle persone, inclusi quelli genetici e biometrici, per il solo fatto della loro origine razziale o etnica, fede religiosa, opinione politica, orientamento sessuale, stato di salute e delle loro convinzioni filosofiche o di altro genere o della loro adesione ai principi di movimenti sindacali, nonche' per la legittima attivita' che svolgono come appartenenti ad organizzazioni legalmente operanti nei settori sopraindicati. 2. La raccolta e il trattamento dei dati personali di cui al comma 1 sono consentiti quando e' necessario per le esigenze di un'attivita' informativa, di sicurezza o di indagine di polizia giudiziaria o di tutela dell'ordine e della sicurezza ad integrazione di altri dati personali. 3. Resta fermo il divieto, di cui all'articolo 14 del Codice, di basare sul solo trattamento automatizzato di dati personali atti e decisioni che implicano una valutazione del comportamento umano. Note all'art. 11: - Si riporta il testo dell'art. 14 del citato decreto legislativo 30 giugno 2003, n. 196: «Art. 14 (Definizione di profili e della personalita' dell'interessato). - 1. Nessun atto o provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento umano puo' essere fondato unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o la personalita' dell'interessato. 2. L'interessato puo' opporsi ad ogni altro tipo di determinazione adottata sulla base del trattamento di cui al comma 1, ai sensi dell'art. 7, comma 4, lettera a), salvo che la determinazione sia stata adottata in occasione della conclusione o dell'esecuzione di un contratto, in accoglimento di una proposta dell'interessato o sulla base di adeguate garanzie individuate dal presente codice o da un provvedimento del Garante ai sensi dell'art. 17.».   Art. 12 Comunicazione dei dati tra Forze di polizia 1. La comunicazione dei dati tra organi, uffici e comandi delle Forze di polizia di cui all'articolo 16 della legge n. 121 del 1981, per le finalita' di polizia di cui all'articolo 3, e' consentita quando e' necessaria per lo svolgimento dei compiti istituzionali, fermi restando gli obblighi di segretezza che incombono sugli ufficiali e agenti di polizia giudiziaria in relazione alle indagini svolte, come stabilito dal codice di procedura penale. Note all'art. 12: - Si riporta il testo dell'art. 16 della citata legge 1° aprile 1981, n. 121: «Art. 16 (Forze di polizia). - 1. Ai fini della tutela dell'ordine e della sicurezza pubblica, oltre alla polizia di Stato sono forze di polizia, fermi restando i rispettivi ordinamenti e dipendenze: a) l'Arma dei carabinieri, quale forza armata in servizio permanente di pubblica sicurezza; b) il Corpo della guardia di finanza, per il concorso al mantenimento dell'ordine e della sicurezza pubblica. Fatte salve le rispettive attribuzioni e le normative dei vigenti ordinamenti, sono altresi' forze di polizia e possono essere chiamati a concorrere nell'espletamento di servizi di ordine e sicurezza pubblica il Corpo degli agenti di custodia e il Corpo forestale dello Stato. Le forze di polizia possono essere utilizzate anche per il servizio di pubblico soccorso.».   Art. 13 Comunicazione dei dati a pubbliche amministrazioni o enti pubblici e a privati 1. La comunicazione di dati personali a pubbliche amministrazioni o enti pubblici e' consentita esclusivamente nei casi previsti da disposizioni di legge o di regolamento o, nel rispetto dei principi richiamati dall'articolo 4, quando e' necessaria per l'adempimento di uno specifico compito istituzionale dell'organo, ufficio o comando e i dati personali sono necessari per lo svolgimento dei compiti istituzionali del ricevente. 2. La comunicazione di dati personali a privati e' consentita quando e' necessaria per l'adempimento di uno specifico compito istituzionale da parte dell'organo, ufficio o comando per le finalita' di polizia di cui all'articolo 3. 3. La comunicazione dei dati personali a pubbliche amministrazioni o enti pubblici e a privati e', altresi', consentita quando risponde all'interesse della persona cui i dati si riferiscono e, comunque, nei singoli casi in cui e' necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica, o per la salvaguardia della vita e dell'incolumita' fisica di un terzo. 4. Sono fatti salvi, in ogni caso, l'obbligo del segreto di cui all'articolo 329 del codice di procedura penale e i divieti previsti da altre disposizioni di legge o di regolamento. Note all'art. 13: - Si riporta il testo dell'art. 329 del codice di procedura penale: «Art. 329 (Obbligo del segreto). - 1. Gli atti d'indagine compiuti dal pubblico ministero e dalla polizia giudiziaria sono coperti dal segreto fino a quando l'imputato non ne possa avere conoscenza e, comunque, non oltre la chiusura delle indagini preliminari. 2. Quando e' necessario per la prosecuzione delle indagini, il pubblico ministero puo', in deroga a quanto previsto dall'art. 114, consentire, con decreto motivato, la pubblicazione di singoli atti o di parti di essi. In tal caso, gli atti pubblicati sono depositati presso la segreteria del pubblico ministero. 3. Anche quando gli atti non sono piu' coperti dal segreto a norma del comma 1, il pubblico ministero, in caso di necessita' per la prosecuzione delle indagini, puo' disporre con decreto motivato: a) l'obbligo del segreto per singoli atti, quando l'imputato lo consente o quando la conoscenza dell'atto puo' ostacolare le indagini riguardanti altre persone; b) il divieto di pubblicare il contenuto di singoli atti o notizie specifiche relative a determinate operazioni.».   Art. 14 Diffusione dei dati e delle immagini personali 1. La diffusione di dati personali e' consentita quando e' necessaria per le finalita' di polizia di cui all'articolo 3, fermo restando l'obbligo del segreto di cui all'articolo 329 del codice di procedura penale e fatti salvi i divieti previsti da altre disposizioni di legge o di regolamento; essa e' comunque effettuata nel rispetto della dignita' della persona. 2. La diffusione di immagini personali e' consentita quando la persona interessata ha espresso il proprio consenso o e' necessaria per la salvaguardia della vita o dell'incolumita' fisica o e' giustificata da necessita' di giustizia o di polizia; essa e' comunque effettuata con modalita' tali da non recare pregiudizio alla dignita' della persona. 3. Il Garante e' informato delle direttive generali adottate in ambito nazionale sulla diffusione dei dati o delle immagini personali. Note all'art. 14: - Per il testo dell'art. 329 del codice di procedura penale si veda nella nota all'art. 13.   Art. 15 Condizioni della comunicazione e della diffusione dei dati 1. La comunicazione e la diffusione dei dati personali nei casi previsti dagli articoli 12, 13 e 14 sono effettuate previa verifica della loro esattezza, aggiornamento e completezza. 2. Gli organi, uffici e comandi di polizia, nel caso in cui verificano che i dati personali oggetto di comunicazione ai sensi degli articoli 12 e 13 sono inesatti o non aggiornati o incompleti, provvedono a rettificarli e, ove possibile e necessario, ad aggiornarli e completarli. Le operazioni di cui al precedente periodo sono portate a conoscenza, anche per quanto riguarda il loro contenuto, dei destinatari della comunicazione. 3. Gli organi, uffici e comandi di polizia, nel caso in cui verificano che i dati personali oggetto di diffusione ai sensi dell'articolo 14 sono inesatti o non aggiornati o incompleti, provvedono a rettificarli e, ove possibile e necessario, ad aggiornarli e completarli. Le operazioni di cui al precedente periodo sono portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati diffusi, salvo che tale adempimento risulti impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. In ogni caso, il dato personale rettificato, aggiornato o completato e' diffuso nella stessa forma con la quale e' stato diffuso il dato inesatto, non aggiornato o incompleto.   Art. 16 Scambio di dati con autorita' competenti degli Stati membri dell'Unione europea e con organismi dell'Unione europea 1. Lo scambio di dati e informazioni personali con le autorita' competenti degli Stati membri dell'Unione europea e con gli organismi dell'Unione europea e' consentito, nell'ambito delle attivita' di cooperazione internazionale di polizia, esclusivamente nei casi, alle condizioni e con le modalita' stabilite da disposizioni di legge o di regolamento o da atti normativi dell'Unione europea. 2. Sono fatti salvi gli accordi o le intese in materia di cooperazione internazionale di polizia sottoscritti e resi esecutivi con Stati membri dell'Unione europea o con organismi dell'Unione europea, qualora non in contrasto con gli atti normativi interni o dell'Unione europea. 3. L'elenco degli accordi e delle intese di cui al comma 2 e' comunicato dal competente Dipartimento del Ministero dell'interno al Garante entro sessanta giorni dall'entrata in vigore del presente regolamento e successivamente aggiornato.   Art. 17 Comunicazione di dati alle autorita' competenti degli Stati terzi o ad organismi internazionali 1. La comunicazione di dati personali alle autorita' competenti degli Stati terzi o ad organismi ed organizzazioni internazionali e' consentita, nell'ambito delle attivita' di cooperazione internazionale di polizia, in conformita' agli accordi o alle intese sottoscritti e resi esecutivi con tali Stati o con organismi e organizzazioni internazionali, qualora non in contrasto con atti normativi interni o dell'Unione europea. 2. La comunicazione di dati personali alle autorita' competenti degli Stati terzi o ad organismi e organizzazioni internazionali e' comunque consentita quando e' necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica di uno Stato membro o di un Paese terzo, o agli interessi essenziali di uno Stato membro, o per la salvaguardia della vita e dell'incolumita' fisica di un terzo. 3. La comunicazione di dati personali puo' essere effettuata in modalita' automatizzata, o secondo i canali di comunicazione codificati a livello internazionale, assicurando l'adozione di misure appropriate, compresa la cifratura, per garantire la riservatezza e l'integrita' dei dati trasmessi. 4. Le comunicazioni di dati personali effettuate ai sensi del presente articolo dagli operatori abilitati sono registrate in appositi file di log, non modificabili che sono conservati per 5 anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti dagli accordi o dalle intese di cui al comma 1. 5. Gli accessi ai file di log di cui al comma 4 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.   Art. 18 Verifica della qualita' dei dati comunicati alle autorita' competenti degli Stati terzi o ad organismi internazionali e di quelli trasmessi dalle autorita' competenti degli Stati terzi o da organismi internazionali 1. La comunicazione dei dati personali nei casi previsti dall'articolo 17 e' effettuata previa verifica della loro esattezza, aggiornamento e completezza. 2. L'organo, ufficio o comando di polizia, nel caso in cui verifica che i dati personali trasmessi ad un'autorita' competente di uno Stato terzo o ad un organismo o organizzazione internazionale sono inesatti o non aggiornati o incompleti, provvede ad informare senza ritardo il destinatario della comunicazione. I dati personali sono rettificati se inesatti e, ove possibile e necessario, aggiornati e completati. 3. L'organo, ufficio o comando di polizia, nel caso in cui ha motivo di ritenere che i dati personali ricevuti da un'autorita' competente di uno Stato terzo o da un organismo o organizzazione internazionale sono inesatti, o non aggiornati o incompleti, provvede ad informare, con le modalita' di cui all'articolo 17, comma 3, l'autorita' competente dello Stato terzo o l'organismo o organizzazione internazionale che ha comunicato i medesimi dati personali. Se i dati personali sono stati trasmessi senza essere stati richiesti, l'organo, ufficio o comando di polizia ricevente valuta immediatamente se tali dati sono necessari per lo scopo per il quale sono stati trasmessi. 4. L'organo, ufficio o comando di polizia, cancella i dati personali che non avrebbero dovuto essere ricevuti. 5. L'organo, ufficio o comando di polizia, cancella o rende anonimi i dati personali lecitamente ricevuti: a) nel caso in cui essi non sono o non sono piu' necessari per le finalita' per cui sono stati trasmessi; b) al termine del periodo massimo di conservazione indicato dall'autorita' competente dello Stato terzo o dall'organismo o organizzazione internazionale. Non si fa luogo alla cancellazione nel caso in cui, alla scadenza del predetto periodo massimo di conservazione, i dati personali sono necessari per lo svolgimento di specifiche attivita' informative o di indagine finalizzate alla prevenzione e repressione di reati. In nessun caso i dati sono conservati oltre i termini di conservazione di cui all'articolo 10. 6. L'organo, ufficio o comando di polizia procede al blocco dei dati personali ricevuti quando vi sono motivi per ritenere che la cancellazione degli stessi pregiudicherebbe un legittimo interesse della persona interessata ai sensi delle vigenti disposizioni di legge. I dati bloccati possono essere utilizzati o trasmessi per le sole finalita' che ne hanno impedito la cancellazione.   Art. 19 Trattamento dei dati personali trasmessi dalle autorita' competenti degli Stati terzi o da organismi internazionali 1. I dati personali trasmessi dalle autorita' competenti degli Stati terzi o da organismi o organizzazioni internazionali sono trattati esclusivamente per le finalita' per le quali sono stati trasmessi ovvero, previa acquisizione del parere delle predette autorita', o organismi e organizzazioni internazionali, per le diverse finalita' previste da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale. 2. L'organo, ufficio o comando di polizia ricevente assicura il rispetto delle limitazioni al trattamento dei dati personali comunicate dall'autorita' competente dello Stato terzo o dall'organismo o organizzazione internazionale che li ha trasmessi. Sono fatte salve le deroghe previste da disposizioni di legge, da atti normativi dell'Unione europea o dal diritto internazionale.   Art. 20 Trasferimento dei dati ad autorita' competenti degli Stati membri dell'Unione europea o di altri Stati terzi o ad organismi dell'Unione europea o altri organismi internazionali 1. Il trasferimento dei dati personali trasmessi dalle autorita' competenti degli Stati terzi o da organismi e organizzazioni internazionali ad autorita' competenti degli Stati membri dell'Unione europea o di altri Stati terzi o ad organismi dell'Unione europea o ad altri organismi e organizzazioni internazionali e' consentito esclusivamente nei casi previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.   Art. 21 Trasmissione dei dati ricevuti dalle autorita' competenti degli Stati terzi o da organismi internazionali a privati 1. La trasmissione di dati personali ricevuti dalle autorita' competenti degli Stati terzi o da organismi e organizzazioni internazionali a privati e' consentito esclusivamente nei casi previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.   Art. 22 Sistemi di videosorveglianza 1. L'utilizzo di sistemi di videosorveglianza e' consentito ove necessario per le finalita' di polizia di cui all'articolo 3 e a condizione che non comporti un'ingerenza ingiustificata nei diritti e nelle liberta' fondamentali delle persone interessate. 2. Gli organi, uffici e comandi di polizia, nel rispetto dei principi richiamati dagli articoli 4, 5 e 6, raccolgono solo i dati strettamente necessari per il raggiungimento delle finalita' di cui all'articolo 3, registrando esclusivamente le immagini indispensabili.   Art. 23 Sistemi di ripresa fotografica, video e audio 1. L'utilizzo di sistemi di ripresa fotografica, video e audio per le finalita' di polizia di cui all'articolo 3, e' consentito ove necessario per documentare: una specifica attivita' preventiva o repressiva di fatti di reato, situazioni dalle quali possano derivare minacce per l'ordine e la sicurezza pubblica o un pericolo per la vita e l'incolumita' dell'operatore, o specifiche attivita' poste in essere durante il servizio che siano espressione di poteri autoritativi degli organi, uffici e comandi di polizia. 2. Gli organi, uffici e comandi di polizia, nel rispetto dei principi richiamati dagli articoli 4, 5 e 6, raccolgono solo i dati strettamente necessari per il raggiungimento delle finalita' di polizia di cui all'articolo 3, registrando quelli indispensabili. 3. Il trattamento di dati personali raccolti tramite aeromobili a pilotaggio remoto, in considerazione della loro potenziale invasivita', e' ricompreso tra quelli che presentano rischi specifici di cui all'articolo 6. 4. L'utilizzo di sistemi di ripresa fotografica, video e audio, installati su aeromobili a pilotaggio remoto, e' autorizzato al livello gerarchico non inferiore a quello di capo ufficio o comandante di reparto.   Art. 24 Speciali misure di sicurezza relative al trattamento di dati attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video 1. I sistemi informativi e i programmi informatici destinati alla registrazione e alla conservazione dei dati personali raccolti attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video, sono configurati, in conformita' al criterio di necessita' del trattamento dei dati personali di cui all'articolo 5, in modo da ridurre al minimo l'utilizzazione di dati relativi a persone identificabili. 2. Sono adottati diversificati livelli di visibilita' e di trattamento delle immagini da parte degli incaricati del trattamento i quali sono autorizzati, attraverso il rilascio di credenziali di autenticazione, a compiere le sole operazioni di trattamento correlate ai compiti assegnati. 3. Sono adottate specifiche misure di sicurezza contro i rischi di accesso abusivo di cui all'articolo 615-ter del codice penale nei confronti degli apparati di ripresa digitale utilizzati ai fini della registrazione delle immagini qualora connessi a reti informatiche. 4. Gli accessi e le operazioni, effettuati dagli operatori abilitati in relazione ai sistemi informativi di cui al comma 1, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti da speciali disposizioni. 5. Gli accessi ai file di log di cui al comma 4 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale. 6. Ai trattamenti di dati personali che implicano maggiori rischi di un danno alla persona interessata in ragione della natura dei dati, delle modalita' del trattamento o degli effetti che esso puo' determinare, si applica la disposizione di cui all'articolo 6, comma 1. Note all'art. 24: - Si riporta il testo dell'art. 615-ter del codice penale: «Art. 615-ter (Accesso abusivo ad un sistema informatico o telematico). - Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volonta' espressa o tacita di chi ha il diritto di escluderlo, e' punito con la reclusione fino a tre anni. La pena e' della reclusione da uno a cinque anni: 1) se il fatto e' commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualita' di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se e' palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanita' o alla protezione civile o comunque di interesse pubblico, la pena e', rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto e' punibile a querela della persona offesa; negli altri casi si procede d'ufficio.».   Art. 25 Obblighi di sicurezza 1. Il titolare o il responsabile del trattamento dei dati personali assicurano l'adozione di misure di sicurezza preventive, individuate anche in relazione al progresso tecnologico, alla natura dei dati e alle caratteristiche del singolo trattamento, idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' di cui all'articolo 3 ed a garantirne, nel contempo, un'agevole fruibilita'. 2. Fermo restando quanto previsto dal comma 1, o da speciali disposizioni, il titolare o il responsabile del trattamento assicurano l'adozione delle misure minime di sicurezza previste dagli articoli 33, 34 e 35 del Codice e dal disciplinare tecnico di cui al relativo allegato B) con riferimento ai trattamenti automatizzati o non automatizzati di dati personali. Note all'art. 25: - Si riporta il testo degli articoli 33, 34 e 35, nonche' dell'Allegato B del citato decreto legislativo 30 giugno 2003, n. 196: «Art. 33 (Misure minime). - 1. Nel quadro dei piu' generali obblighi di sicurezza di cui all'art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'art. 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.». «Art. 34 (Trattamenti con strumenti elettronici). - 1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi; g). h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. 1-bis. 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalita' amministrativo-contabili sono quelli connessi allo svolgimento delle attivita' di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalita' le attivita' organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilita' e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.». «Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici). - 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unita' organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalita' di accesso finalizzata all'identificazione degli incaricati.». «Allegato B Disciplinare tecnico in materia di misure minime di sicurezza (articoli da 33 a 36 del codice) Trattamenti con strumenti elettronici Modalita' tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi. 6. Il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualita' che consente all'incaricato l'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Altre misure di sicurezza 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita' di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalita' di cui all'art. 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identita' genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico e' cifrato. Misure di tutela e garanzia 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformita' alle disposizioni del presente disciplinare tecnico. Trattamenti senza l'ausilio di strumenti elettronici Modalita' tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. L'accesso agli archivi contenenti dati sensibili o giudiziari e' controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.».   Art. 26 Accesso ai dati personali 1. La persona interessata puo' chiedere all'organo, ufficio o comando di polizia titolare del trattamento la conferma dell'esistenza di dati personali che la riguardano, la loro comunicazione in forma intelligibile e, se i dati sono trattati in violazione di vigenti disposizioni di legge o di regolamento, il loro aggiornamento, rettifica, cancellazione, blocco o trasformazione in forma anonima. 2. L'istanza e' sottoscritta dalla persona interessata in presenza dell'operatore addetto dell'organo, ufficio o comando di polizia, ovvero sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di identita'. 3. L'istanza puo' essere presentata anche per via telematica con le modalita' di cui all'articolo 65, comma 1, del decreto legislativo 7 marzo 2005, n. 82. 4. Il soggetto che agisce per conto della persona interessata esibisce o allega copia della procura ovvero della delega conferita con le modalita' di cui ai commi 2 e 3. 5. Esperiti i necessari accertamenti, l'organo, ufficio o comando di polizia, entro trenta giorni dalla ricezione della richiesta, comunica alla persona interessata le determinazioni assunte. 6. L'organo, ufficio o comando di polizia puo' omettere di provvedere in merito alla richiesta di cui al comma 1, dandone informazione al Garante, se cio' puo' pregiudicare azioni o operazioni a tutela dell'ordine o della sicurezza pubblica o di prevenzione e repressione dei reati o la sicurezza dello Stato, la persona interessata o i diritti e le liberta' di terzi. Note all'art. 26: - Si riporta il testo dell'art. 65, comma 1, del decreto legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale): «Art. 65 (Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica). - 1. Le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici ai sensi dell'art. 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide: a) se sottoscritte mediante la firma digitale o la firma elettronica qualificata, il cui certificato e' rilasciato da un certificatore qualificato; b) ovvero, quando l'istante o il dichiarante e' identificato attraverso il sistema pubblico di identita' digitale (SPID), nonche' attraverso uno degli altri strumenti di cui all'art. 64, comma 2-novies, nei limiti ivi previsti; c) ovvero sono sottoscritte e presentate unitamente alla copia del documento d'identita'; c-bis) ovvero se trasmesse dall'istante o dal dichiarante mediante la propria casella di posta elettronica certificata purche' le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalita' definite con regole tecniche adottate ai sensi dell'art. 71, e cio' sia attestato dal gestore del sistema nel messaggio o in un suo allegato. In tal caso, la trasmissione costituisce dichiarazione vincolante ai sensi dell'art. 6, comma 1, secondo periodo. Sono fatte salve le disposizioni normative che prevedono l'uso di specifici sistemi di trasmissione telematica nel settore tributario. (Omissis).».   Art. 27 Accertamenti dell'autorita' giudiziaria 1. Chiunque viene a conoscenza dell'esistenza di dati personali che lo riguardano, trattati da organi, uffici o comandi di polizia in violazione di disposizioni di legge o di regolamento, puo' chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare l'aggiornamento, la rettifica, l'integrazione, la cancellazione, il blocco o la trasformazione in forma anonima dei dati medesimi. Si applica la disposizione di cui all'articolo 152, comma 1-bis, del Codice. 2. L'organo, ufficio o comando di polizia, qualora abbia notizia della controversia instaurata innanzi all'autorita' giudiziaria di cui al comma 1, dispone l'immediata verifica dei dati e delle informazioni di cui la persona interessata affermi l'erroneita', l'incompletezza e l'illegittima raccolta, ai fini dell'eventuale aggiornamento, rettifica, integrazione, cancellazione, blocco o trasformazione in forma anonima degli stessi. L'esito dell'accertamento e' comunicato all'autorita' giudiziaria. Note all'art. 27: - Si riporta il testo vigente dell'art. 152 del citato decreto legislativo 30 giugno 2003, n. 196: «Art. 152 (Autorita' giudiziaria ordinaria). - 1. Tutte le controversie che riguardano, comunque, l'applicazione delle disposizioni del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, nonche' le controversie previste dall'art. 10, comma 5, della legge 1° aprile 1981, n. 121, e successive modificazioni, sono attribuite all'autorita' giudiziaria ordinaria. 1-bis. Le controversie di cui al comma 1 sono disciplinate dall'art. 10 del decreto legislativo 1° settembre 2011, n. 150.».   Art. 28 Trattamento dei dati relativi a procedimenti penali, sanzionatori e di prevenzione 1. Le disposizioni di cui agli articoli 26 e 27 non si applicano ai dati personali comunicati all'autorita' giudiziaria per le esigenze del procedimento penale o per le finalita' di applicazione o esecuzione della pena, o comunicati all'autorita' amministrativa per le esigenze del procedimento sanzionatorio, ne' a quelli comunicati all'autorita' competente per le esigenze dei procedimenti di applicazione di misure di sicurezza o di prevenzione. 2. Nei procedimenti di cui al comma 1 la tutela della persona interessata rispetto al trattamento dei dati personali e' garantita nelle forme previste per ciascuno dei procedimenti stessi.   Art. 29 Controlli 1. I controlli sui trattamenti di dati personali effettuati degli organi, uffici e comandi di polizia sono effettuati dal Garante con le modalita' di cui all'articolo 160 del Codice. 2. Il titolare o il responsabile del trattamento adottano le iniziative occorrenti a dare tempestiva attuazione alle indicazioni del Garante. Note all'art. 29: - Si riporta il testo dell'art. 160 del citato decreto legislativo 30 giugno 2003, n. 196: «Art. 160 (Particolari accertamenti). - 1. Per i trattamenti di dati personali indicati nei titoli I, II e III della Parte II gli accertamenti sono effettuati per il tramite di un componente designato dal Garante. 2. Se il trattamento non risulta conforme alle disposizioni di legge o di regolamento, il Garante indica al titolare o al responsabile le necessarie modificazioni ed integrazioni e ne verifica l'attuazione. Se l'accertamento e' stato richiesto dall'interessato, a quest'ultimo e' fornito in ogni caso un riscontro circa il relativo esito, se cio' non pregiudica azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione di reati o ricorrono motivi di difesa o di sicurezza dello Stato. 3. Gli accertamenti non sono delegabili. Quando risulta necessario in ragione della specificita' della verifica, il componente designato puo' farsi assistere da personale specializzato tenuto al segreto ai sensi dell'art. 156, comma 8. Gli atti e i documenti acquisiti sono custoditi secondo modalita' tali da assicurarne la segretezza e sono conoscibili dal presidente e dai componenti del Garante e, se necessario per lo svolgimento delle funzioni dell'organo, da un numero delimitato di addetti all'Ufficio individuati dal Garante sulla base di criteri definiti dal regolamento di cui all'art. 156, comma 3, lettera a). 4. Per gli accertamenti relativi agli organismi di informazione e di sicurezza e ai dati coperti da segreto di Stato il componente designato prende visione degli atti e dei documenti rilevanti e riferisce oralmente nelle riunioni del Garante. 5. Nell'effettuare gli accertamenti di cui al presente articolo nei riguardi di uffici giudiziari, il Garante adotta idonee modalita' nel rispetto delle reciproche attribuzioni e della particolare collocazione istituzionale dell'organo procedente. Gli accertamenti riferiti ad atti di indagine coperti dal segreto sono differiti, se vi e' richiesta dell'organo procedente, al momento in cui cessa il segreto. 6. La validita', l'efficacia e l'utilizzabilita' di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale.».   Art. 30 Disposizioni transitorie 1. Fermo restando quanto previsto dall'articolo 5, comma 2, primo periodo, gli organi, uffici e comandi di polizia che alla data di entrata in vigore del presente regolamento dispongono di sistemi informativi e programmi informatici che, per obiettive ragioni tecniche, non consentono, in tutto o in parte, l'immediata applicazione, con modalita' automatizzate, della misura della cancellazione o dell'anonimizzazione dei dati personali oggetto di trattamento allo scadere dei termini di conservazione di cui all'articolo 10, commi 1, 3, 4, 5 e 7, o non consentono la segnalazione con modalita' automatizzate del decorso del termine di cui all'articolo 10, comma 2, adottano, in relazione ai sistemi e programmi detenuti, ogni possibile misura organizzativa, logistica o procedurale idonea a prevenire o limitare il rischio di utilizzo dei dati oltre i termini di conservazione di cui all'articolo 10, commi 1, 3 e 5, o di accesso ai dati in violazione della disposizione di cui all'articolo 10, comma 2. I predetti sistemi e programmi sono adeguati alle disposizioni del presente regolamento entro 5 anni dalla sua entrata in vigore, quando i medesimi siano stati istituiti anteriormente al 6 maggio 2016 e cio' comporti sforzi sproporzionati. Il termine di adeguamento dei sistemi e dei programmi e' di 8 anni dalla entrata in vigore del presente regolamento, qualora cio' causi altrimenti gravi difficolta' per il loro funzionamento, previa comunicazione alla Commissione europea, da parte delle competenti strutture del Dipartimento della pubblica sicurezza, dei motivi di tali gravi difficolta'. 2. Fermo restando quanto previsto dall'articolo 5, comma 2, secondo periodo, gli organi, uffici e comandi di polizia che alla data di entrata in vigore del presente regolamento dispongono di sistemi informativi e programmi informatici che, per obiettive ragioni tecniche, non consentono, in tutto o in parte, l'immediata applicazione delle disposizioni concernenti la registrazione in appositi file di log effettuati dagli operatori abilitati, adeguano i medesimi sistemi e programmi entro 5 anni dall'entrata in vigore del presente regolamento, quando i medesimi siano stati istituiti anteriormente al 6 maggio 2016 e cio' comporti sforzi sproporzionati. Il termine di adeguamento dei sistemi e dei programmi e' di 8 anni dall'entrata in vigore del presente regolamento, qualora cio' causi altrimenti gravi difficolta' per il loro funzionamento, previa comunicazione alla Commissione europea, da parte delle competenti strutture del Dipartimento della pubblica sicurezza, dei motivi di tali gravi difficolta'. 3. I titolari del trattamento, entro un anno dall'entrata in vigore del presente regolamento, informano il Garante sulla adozione delle misure di cui al comma 1. Al Garante e' data periodica informazione sull'adeguamento dei sistemi e programmi di cui ai commi 1 e 2.   Art. 31 Clausola di invarianza finanziaria 1. Dall'attuazione delle disposizioni del presente regolamento non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le Amministrazioni provvedono agli adempimenti di cui al presente regolamento con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente. Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Dato a Roma, addi' 15 gennaio 2018 MATTARELLA Gentiloni Silveri, Presidente del Consiglio dei ministri Minniti, Ministro dell'interno Orlando, Ministro della giustizia Visto, il Guardasigilli: Orlando Registrato alla Corte dei conti il 7 marzo 2018 Interno, foglio n. 586