|
LOI N° 675 DU 31 DECEMBRE 1996* *Modifiée par les Décrets législatifs
n. 123 du 9 mai 1997, n. 255 du 28 juillet 1997, n. 135 du 8 mai 1998,
n. 171 du 13 mai 1998, n. 389 du 6 novembre 1998, n. 51 du 26 février
1999, n. 135 du 11 mai 1999, n. 281 et n. 282 du 30 juillet 1999. Les parties
modifiées ont été écrites en italique.
PRÉFACE La legislation en matière de données à caractère personnel ne cesse de devenir toujours plus clairement un instrument de protection générale à l'égard des intérêts fondamentaux de la personne, en enrichissant ainsi de nouveaux éléments le domaine traditionnel de la vie privée. La toute récente loi italienne (n. 675 du 31 décembre 1996), en élaborant des principes déjà contenus dans la directive européenne de 1995, situe la protection de la vie privée dans un scénario bien plus vaste: le traitement des données à caractère personnel, en effet, doit se dérouler "dans le respect des droits, des libertés fondamentales, ainsi que de la dignité des personnes physiques, en égard en particulier à la confidentialité et à l'identité personnelle". Considerée de cette perspective, la vie privée devient un élement essentiel de la "citoyenneté électronique" qui caractérisera le prochain millénaire Cet ambitieux objectif ne peut être réalisé uniquement par une loi assurant un nivean de protection très élevé aux citoyens. Il doit nécessairement s'accompagner d'une forte légitimation sociale. Le niveau de protection garanti par la loi italienne est particulièremeut élevé. Cela est aussi le résultat du fait que le Parlement a choisi dès le début d'incorporer dans la législation interne des parties tres signitificatives des prescriptions coutenues dans la directive de l'Union européenne; par conséquent, la protection des données a caractère personnel traitées en Italie est au moment beaucoup plus forte que celle assurée par des pays ayant acquis une expérience bien plus avancée en la matière. La légitimation sociale découle aussi du fait que l'autorité de contrôle est une expression directe et exclusive du Parlement. Les quatre membres de 1'Autorité pour la protection des données à caractère personnel (le 'Garante') sont élus par les deux Chambres, et le présideut de l'Autorité est choisi directement par ces quatre membres. Cela signifie qu'il n'existe aucune ingérence de la part du pouvoir exécutif, ce qui renforce l'indépendance de l'Autorité elle-même. Cette référence directe à la souveraineté populaire (élcetion par les Chambres) confère une légitimation particulièrement qualifiée en vue du déroulement d'une activité ayant comme finalité capitale la protection des valeurs et des droits fondamentaux de tous les citoyens. Par conséquent, le Garante n'a pas été conçu comme un organisme de suivi ou de simple contrôle externe de l'activité des banques des données. Il est investi de forts pouvoirs d'intervention pouvant s'étendre également à des banques de données qui ne sont normalement pas assujetties à aucun contrôle (art. 4). C'est les cas, par exemple, des services de sûreté, qui doivent répondre aux requêtes de l'Autorité sans pouvoir opposer le secret d'Etat, ce qui se passe, au contraire, a l'égard de requêtes analogues faites par la magistrature. En même temps, au Garante out été confiées de délicates fonctions d'équilihre entre différentes catégorie d'intérêts. Le cas le plus évident est celui des rapports entre le droit à l'information et la vie privées. Mais cette logique est sous-jacente à d'autres matières, telle que celle des données sensibles, dont le traitement requiert non seulement le consentement de la personne concernées, mais aussi l'autorisation du Garante. La loi n. 675 s'accompagne d'une autre loi (n. 676) qui représente en même temps un instrument flexihle et ouvert sur l'avenir. Des iustruments d'autocorrection sont prevus: sur la base de l'expérience acquise au cours de l'application de la loi, en effet, le Gouvernement peut prendre des décrets d'intégration et de modification, afin de permettre une pleine adhésion de la loi aux réelles exigences de la collectivité (deux décrets ont déjà été pris). En outre le gouvernement est habilité à prendre, avant la fin de l'année 1998, une série de décrets qui devront permettre de compléter la réglementation en des secteurs particulièrement complexes ou soumis à l'innovation determinée par les nouvelles technologies de l'information et de la communication. Cela signifie, par exemple, un engagement à réglementer, avant le terme du délai indiqué, l'ensemble de la matière des réseaux télématiques, afin de ne pas laisser de lacunes en des secteurs dans lesquels la protection des droits fondamentaux des personnes est particulièrement nécessaire et requiert des efforts considérables. IL GARANTE
Table des Matières Chapitre I - PRINCIPES GÉNÉRAUX Chapitre II - OBLIGATIONS CONCERNANT LE TITULAIRE DU TRAITEMENT Chapitre III - TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL Section II - Droits de la personne concernée à l'égard du traitement des données Section III - Sécurité du traitement des données, restrictions à l'utilisation des données et dédommagement Section IV - Communication et diffusion des données Chapitre V - TRAITEMENTS SOUMIS À RÉGIMES SPÉCIAUX Chapitre VI - RECOURS ADMINISTRATIFS ET JUDICIAIRES Chapitre VII - AUTORITÉ DE CONTRÔLE POUR LA PROTECTION DES DONNÉES Chapitre IX - DISPOSITIONS TRANSITOIRES ET FINALES ET DISPOSITIONS D'ABROGATION Chapitre X - FINANCEMENT
ET ENTRÉE EN VIGUEUR
CHAPITRE I
Art. 1
1. La présente loi garantit que le traitement des données à caractère personnel se déroule dans le respect des droits, des libertés fondamentales ainsi que de la dignité des personnes physiques, eu égard en particulier au caractère confidentiel et à l’identité personnelle; elle garantit également la protection des droits des personnes morales et de tout autre établissement ou association. 2. Aux fins de la présente loi, on entend par: b) ‘traitement’, toute opération ou ensemble d’opérations effectuées avec ou sans l’aide de moyens électroniques ou en tout état de cause automatisés, concernant la collecte, l’enregistrement, l’organisation, la conservation, l’élaboration, la modification, la sélection, l’extraction, le rapprochement, l’utilisation, l’interconnexion, le verrouillage, la communication, la diffusion, l’effacement et la destruction de données; c) ‘donnée à caractère personnel’, toute information concernant une personne physique ou morale, un établissement ou une association, identifiés ou identifiables, directement ou indirectement, par référence à tout genre d’information, y compris un numéro d’identification personnel; d) ‘titulaire’, la personne physique ou morale, l’administration publique ou tout établissement, association ou organisme responsable des décisions concernant les finalités et les modalités du traitement de données à caractère personnel, y compris au regard de la sécurité; e) ‘responsable’, la personne physique ou morale, l’administration publique et tout établissement, association ou organisme qui a été préposé par le titulaire au traitement de données à caractère personnel; f) ‘la personne concernée’, la personne physique ou morale, l’établissement ou l’association faisant l’objet des données à caractère personnel; g) ‘communication’, le fait de porter des données à caractère personnel à la connaissance d’une ou de plusieurs personnes déterminées autres que la personne concernée, sous quelque forme que ce soit, y compris la mise à disposition ou la consultation de ces données; h) ‘diffusion’, le fait de porter des données à caractère personnel à la connaissance de personnes non spécifiées, sous quelque forme que ce soit, y compris la mise à disposition ou la consultation de ces données; i) ‘donnée anonyme’, une donnée laquelle, à l’origine ou à la suite d’un traitement, ne peut être associée à aucune personne concernée identifiée ou identifiable; l) ‘verrouillage’, la conservation de données à caractère personnel avec suspension temporaire de toute autre opération du traitement; m) ‘Garante’ [Autorité de contrôle], l’autorité instituée aux termes de l’article 30. Champ d’application La présente loi s’applique au traitement de données à caractère personnel effectué par toute personne sur le territoire de l’Etat. Art. 3
1. Le traitement de données à caractère personnel effectué par des personnes physiques à des fins exclusivement personnelles n’est pas soumis aux dispositions de la présente loi, à condition toutefois que les données ne soient pas destinées à une communication systématique ou à la diffusion. 2. Au traitement visé à l’alinéa 1 s’appliquent les dispositions en matière de sécurité des données prévues à l’art. 15, ainsi que les dispositions prévues aux articles 18 et 36. Art. 4
1. La présente loi ne s’applique pas à l’égard des traitements de données à caractère personnel effectués: b) par les organismes visés aux articles 3, 4 et 6 de la loi n. 801 du 24 octobre 1977, ou à l’égard des données couvertes par le secret d’Etat aux termes de l’art. 12 de ladite loi; c) dans le cadre des activités du service du casier judiciaire visé au titre IV du livre 10 du Code de procédure pénale et au décret royal n. 778 du 18 juin 1931, et ultérieures modifications, ou, conformément aux dispositions de loi, dans le cadre des activités du service concernant les procédures pendantes au pénal; d) en application de l’art. 371bis, alinéa 3, du Code de procédure pénale ou, pour des raisons concernant l’administration de la justice, dans le cadre des activités des instances judiciaires, du Conseil supérieur de la magistrature et du Ministère de la justice; e) par d’autres organismes publics aux fins de défense ou de sûreté de l’Etat ou de prévention, de constatation ou de répression d’infractions, sur la base de dispositions de loi spécifiques prévoyant expressément le traitement. Art. 5
Le traitement de données à caractère personnel opéré sans l’utilisation de moyens électroniques ou en tout état de cause automatisés est soumis aux mêmes dispositions prévues pour le traitement opéré à l’aide de ces moyens. Art. 6
1. Le traitement de données à caractère personnel conservées à l’étranger opéré sur le territoire de l’Etat est soumis aux dispositions de la présente loi. 2. Lorsque le traitement prévu à l’alinéa 1 consiste en un transfert de données à caractère personnel hors du territoire de l’Etat, les dispositions de l’art. 28 s’appliquent. CHAPITRE II
Art. 7
1. Le titulaire ayant l’intention de procéder à un traitement de données à caractère personnel qui rentre dans le champ d’application de la présente loi est tenu à le notifier au Garante. 2. La notification est effectuée préalablement et une seule fois, au moyen d’une lettre recommandée ou de tout autre moyen apte à en certifier la réception, indépendemment du nombre des opérations devant être accomplies ainsi que de la durée du traitement; elle peut avoir pour objet un ou plusieurs traitements ayant des finalités connexes. Une nouvelle notification n’est requise qu’en cas de variation de l’un des élements visés à l’alinéa 4 et elle doit précéder ladite variation. 3. La notification est soussignée par son auteur et par le responsable du traitement. 4. La notification comprend: b) les finalités et modalités du traitement; c) la nature des donnèes, le lieu où elles sont conservées et les catégories des personnes concernées auxquelles elles se réfèrent; d) le domaine de communication et de diffusion des données; e) les transferts de données prévus vers des Pays n’appartenant pas à l’Union européenne ou, si ces transferts concernent l’une des données visées aux articles 22 et 24, hors du territoire national; f) une description générale permettant de vérifier si les mesures techniques et organisationnelles adoptées sont adéquates aux fins de la sécurité des données; g) l’indication de la banque ou des banques de données auxquelles le traitement se réfère, ainsi que l’éventuelle connexion avec d’autres traitements ou d’autres banques de données, y compris hors du territoire national; h) le nom, la dénomination ou la raison sociale et le domicile, la résidence ou le siège du responsable; à défaut de cette indication l’auteur de la notification est considéré comme étant le responsable; i) la qualité et le titre de l’auteur de la notification. 5-bis. La notification en forme simplifiée peut ne pas inclure l’un des éléments visés à l’alinéa 4, b), c), e) et g), indiqués par le Garante au sens du règlement prévu à l’art. 33, alinéa 3, lorsque le traitement est effectué: b) dans l’exercice de la profession de journaliste et uniquement en vue des finalités s’y rapportant, ou encore par les personnes indiquées à l’alinéa 4bis de l’art. 25, conformément au code déontologique visé audit article; c) temporairement, sans le support de moyens électroniques ou en tout état de cause automatisés, aux seules fins et selon des modalités étroitement liées à l’organisation interne de l’activité exercée par le titulaire, relativement à des données n’ayant pas été enregistrées dans une banque de données et autres que celles visées aux articles 22 et 24; c-bis) pour des finalités historiques, scientifiques ou statistiques conformément aux lois, règlements, dispositions communautaires et codes déontologiques et de bonne conduite souscrits au sens de l'art. 31. b) concerne des données contenues ou provenant de registres publics, listes, actes ou documents accessibles au public, sous réserve des limitations et des modalités visées à l’art. 20, alinéa 1, b); c) est effectué aux seules fins de la gestion du répertoire, relativement aux données nécessaires pour le classement de la correspondance envoyée à des fins autres que celles visées à l’art. 13, alinéa 1, e), eu égard en particulier aux coordonnées personnelles et aux adresses de la personne concernée, à sa qualité ainsi qu’à l’organisme d’appartenance; d) concerne des annuaires téléphoniques ou analogues qui ne sont pas destinés à la diffusion, mais qui sont utilisés uniquement pour des raisons d’office ou de travail et, en tout état de cause, dans des buts autres que ceux visés à l’art. 13, alinéa 1, e); e)est finalisé au seul accomplissement d’obligations spécifiques de comptabilité, de rétribution, d’assurance, d’assistance ou fiscales, et qu’il concerne les seules catégories de données, de personnes concernées et de destinataires de la communication et diffusion étroitement liées à cet accomplissement, la période de conservation des données ne dépassant pas celle nécessaire audit accomplissement; f) est effectué, sous réserve des dispositions prévues à l’alinéa 5bis, b), par des personnes exerçant une profession libérale inscrites dans un tableau ou sur une liste de catégorie, uniquement pour des finalités étroitement liées à l’accomplissement d’activités professionnelles spécifiques et sous réserve du secret professionnel; g) est effectué par les petits entrepreneurs visés à l’art. 2083 du Code civil, uniquement en vue des finalités étroitement liées au déroulement de l’activité professionnelle exercée et à condition que les catégories de données, de personnes concernées, de destinataires de la communication et diffusion et la période de conservation des données soient nécessaires à la réalisation desdites finalités; h) est finalisé à la tenue de tableaux ou de listes de catégorie conformément aux lois et règlements; i) est effectué en vue de la gestion ordinaire de bibliothèques, de musées ou d’exhibitions, conformément aux lois et règlements, ou encore pour l’organisation d’événements sportifs ou culturels ou pour la rédaction de catalogues et de bibliographies; l) est effectué par des associations, fondations, comités y compris à caractère politique, philosophique, religieux ou syndical ou par leurs organismes représentatifs, institués dans des buts non lucratifs et pour la réalisation de finalités licites, et qu’il concerne des données inhérentes aux membres et aux personnes lesquelles, dans le cadre de ces finalités, entretiennent des contacts réguliers avec lesdits associations, fondations, comités ou organismes, sous réserve des obligations d’information à l’égard des personnes concernées et d’acquisition du consentement, si nécessaire; m) est effectué par des organisations de volontariat visées à la loi n. 266 du 11 août 1991, dans les limites énoncées en l) et conformément aux autorisations et dispositions de loi prévues aux articles 22 et 23; n) est effectué de manière temporaire et qu’il est finalisé uniquement à la publication ou diffusion occasionnelle d’articles, d’essais et d’autres oeuvres de l’esprit, conformément au code visé à l’art. 25; o) est effectué, y compris par des moyens électroniques ou, en tout état de cause, automatisés, pour la rédaction de périodiques ou de publications ayant des finalités d’information juridique, et qu’il concerne des données extraites des décisions de l’autorité judiciaire ou d’autres autorités; p) est effectué de manière temporaire en vue de la récolte d’adhésions à des propositions de loi d’initiative populaire, à des requêtes de référendum, à des pétitions ou à des appels; q) est finalisé uniquement à l’administration d’immeubles visée aux articles 1117 et suivants du Code civil, et qu’il concerne les seules catégories de données, de personnes concernées et de destinataires de la communication nécessaires pour l’administration des biens en commun, la période de conservation des données ne dépassant pas celle nécessaire à la protection des droits s’y rapportant; q-bis) est inclus dans le programme statistique national ou en des actes de programmation statistique prévus par la loi et qu'il est effectué conformément aux lois, règlements, dispositions communautaires ainsi qu’aux codes déontologiques et de bonnes conduite souscrits au sens de l'art. 31. b) en ce qui concerne le cas visé à l’alinéa 5bis, b), par le code déontologique y mentionné; c) dans les autres cas, par le Garante, au moyen des autorisations octroyées selon les modalités prévues par l’art. 41, alinéa 7, ou, en ce qui concerne les données autres que celles visées aux articles 22 et 24, au moyen de mesures analogues. Art. 8
1. S’il est désigné, le responsable doit être choisi parmi les personnes lesquelles, en raison de leur expérience, de leur capacité et de leur fiabilité, assurent le plein respect des dispositions en vigueur en matière de traitement, y compris au regard de la sécurité. 2. Le responsable procède au traitement en se conformant aux instructions données par le titulaire lequel, y compris au moyen de contrôles périodiques, veille à ce que les dispositions visées à l’alinéa 1 et les instructions données soient ponctuellement respectées. 3. Lorsque cela s’avère nécessaire pour des raisons d’organisation, plusieurs personnes peuvent être désignées comme responables, y compris au moyen d’une subdivision des tâches. 4. Les tâches assignées au responsable doivent être spécifiées de manière analytique sous forme écrite. 5. Les personnes chargées du traitement doivent traiter les données à caractère personnel auxquelles ils ont accès en se conformant aux instructions du titulaire ou du responsable. CHAPITRE III
Section I
Art. 9
1. Les données à caractère personnel faisant l’objet d’un traitement doivent être: b) collectées et enregistrées pour des finalités déterminées, explicites et légitimes et ne pas être traitées en ultérieures opérations de manière incompatible avec ces finalités; c) exactes et, si nécessaire, mises à jour; d) pertinentes, complètes et non excessives par rapport aux finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont ultérieurement traitées; e) conservées sous une forme permettant l’identification de la personne concernée pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles sont ultérieurement traitées. Art. 10
1. La personne concernée ou la personne auprès de laquelle les données à caractère personnel sont collectées, doit être préalablement informée oralement ou par écrit en ce qui concerne: b) le caractère obligatoire ou facultatif de la communication des données; c) les conséquences d’un éventuel refus de réponse; d) les personnes ou les catégories de personnes auxquelles les données peuvent être communiquées et le domaine de diffusion desdites données; e) les droits visés à l’art. 13; f) le nom, la dénomination ou la raison sociale et le domicile, la résidence ou le siège du titulaire et, s’il est désigné, du responsable. 3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, les informations visées à l’alinéa 1 sont transmises à ladite personne au moment de l’enregistrement des données ou, si leur communication est prévue, au plus tard lors de la première communication. 4. La disposition visée à l’alinéa 3 ne trouve pas d’application si la communication des informations à la personne concernée implique un emploi de moyens que le Garante estime manifestement disproportionnés par rapport au droit protégé, ou si le Garante estime cette communication impossible, ou encore lorsque les données sont traitées sur la base d’une obligation prévue par la loi, par un règlement ou par les dispositions de droit communautaire. Ladite disposition n’est pas également appliquée lorsque les données sont traitées aux fins du déroulement des enquêtes visées à l’art. 38 des dispositions d’application, de coordination et transitoires du code de procédure pénale, approuvées par décret législatif n. 271 du 28 juillet 1989, et ultérieures modifications, ou afin d’exercer ou de défendre un droit en justice, à condition que les données soient traitées exclusivement pour ces finalités et pour une période strictement nécessaire à leur réalisation. Section II
Art. 11
1. Le traitement de données à caractère personnel opéré par des particuliers ou des organismes publics à caractère économique n’est admis qu’avec le consentement exprès de la personne concernée. 2. Le consentement peut avoir pour objet le traitement dans son ensemble, ou une ou plusieurs opérations du traitement. 3. Le consentement n’est valablement donné que s’il est exprimé librement, sous une forme explicite et documentée par écrit, et lorsque les informations visées à l’art. 10 ont été communiquées à la personne concernée. Art. 12
1. Le consentement n’est pas requis lorsque le traitement: b) s’avère nécessaire pour l’accomplissement d’obligations découlant d’un contrat auquel la personne concernée est partie, ou pour l’acquisition de renseignements précontractuels sur demande de la personne concernée, ou encore en vue de l’accomplissement d’une obligation de loi; c) concerne des données provenant de registres publics, listes, actes ou documents accessibles au public; d) est finalisé exclusivement à des fins scientifiques ou statistiques et qu’il est effectué dans le respect des codes déontologiques et de bonne conduite souscrits au sens de l'art. 31; e) est effectué dans l’exercice de la profession de journaliste et en vue uniquement de poursuivre les finalités s’y rapportant. Dans ce cas le code déontologique visé à l’art. 25 s’applique; f) concerne des données relatives à l’accomplissement d’activités économiques collectées également aux fins indiquées à l’art. 13, alinéa 1, en e), dans le respect des dispositions en vigueur en matière de secret industriel et d’entreprise; g) s’avère nécessaire pour la protection de la vie ou de l’intégrité physique de la personne concernée ou d’un tiers, dès lors que la personne concernée ne peut donner son consentement pour incapacité physique, légale ou pour incapacité d’entendre et de vouloir; h) s’avère nécessaire aux fins du déroulement des investigations visées à l’art. 38 des dispositions d’application, de coordination et transitoires du code de procédure pénale, approuvées par décret législatif n. 271 du 28 juillet 1989, et ultérieures modifications, ou afin d’exercer ou de défendre un droit en justice, à condition que les données soient traitées exclusivement pour ces finalités et pour une période strictement nécessaire à leur réalisation. Droits de la personne concernée 1. En ce qui concerne le traitement des données à caractère personnel la personne concernée a droit: b) à être informée des dispositions visées à l’art. 7, alinéa 4, a), b), et h): c) à obtenir, de la part du titulaire ou du responsable, sans délai: 2) l’effacement, la transformation sous une forme anonyme ou le verrouillage des données traitées en violation de la loi, y compris de celles dont la conservation n’est pas nécessaire aux finalités pour lesquelles elles ont été collectées ou pour lesquelles elles sont ultérieurement traitées; 3) la mise à jour, la rectification ou, s’il existe un intérêt de sa part, l’intégration des données; 4) l’attestation que les opérations visées en 2) et 3) ont été portées, y compris en ce qui concerne leurs contenus, à la connaissance des personnes auxquelles les données ont été communiquées ou diffusées, sauf si cet accomplissement s’avère impossible ou impliquant un emploi de moyens manifestement disproportionné par rapport au droit protégé; e) de s’opposer, en tout ou en partie, au traitement de données à caractère personnel qui la concernent, prévu à des fins d’information commerciale, d’envoi de matériel publicitaire ou de vente directe, ou encore aux fins de recherche de marché ou de communication commerciale interactive, ainsi que d’être informée par le titulaire, au plus tard au moment de la communication ou de la diffusion des données, de la possibilité d’exercer gratuitement ce droit. 3. Les droits visés à l’alinéa 1 ayant trait à des données à caractère personnel concernant des personnes décédées peuvent être exercés par quiconque y ait un intérêt. 4. La personne concernée peut, dans l’exercice des droits visés à l’alinéa 1, conférer par écrit un mandat ou une procuration à des personnes physiques ou à des associations. 5. Réserve est faite des dispositions en matière de secret professionnel des personnes exerçant la profession de journaliste, eu égard uniquement à la source de l’information. Art. 14
1. Les droits visés à l’article 13, alinéa 1, c) et d), ne peuvent être exercés à l’égard des traitements de données à caractère personnel collectées: b) aux termes des dispositions du décret-loi n. 419 du 31 décembre 1991, converti, assorti d’amendements, par la loi n. 172 du 18 février 1992, et ultérieures modifications; c) par des Commissions parlementaires d’enquête instituées aux termes de l’art. 82 de la Constitution; d) par un organisme public autre que les établissements publics à caractère économique, en application d’une disposition de loi spécifique, pour des finalités exclusives inhérentes à la politique financière et monétaire, au système des paiements, au contrôle des intermédiaires et des marchés de crédits et financiers ainsi qu’à la protection de leur stabilité; e) aux termes de l’art. 12, alinéa 1, h), en ce qui concerne la période au cours de laquelle le déroulement des investigations ou l’exercice du droit prévu audit alinéa pourraient être compromis. Section III
Art. 15
1. Les données à caractère personnel faisant l’objet d’un traitement doivent être conservées et contrôlées, en tenant compte également des connaissances technologiques acquises, de la nature des données et des caractéristiques spécifiques du traitement, afin de réduire au minimum, grâce à l’adoption de mesures de sécurité adéquates et préventives, le risque de destruction ou de perte, y compris accidentelle, des données, ainsi que le risque d’accès non autorisé ou de traitement interdit ou contraire aux finalités de la collecte. 2. Les mesures minimales de sécurité qui doivent être adoptées à titre préventif seront énoncées, dans les 180 jours qui suivent le jour de l’entrée en vigueur de la présente loi, au moyen d’un règlement pris par décret présidentiel, aux termes de l’art. 17, alinéa 1, a), de la loi n. 400 du 23 août 1988, et ce, sur proposition du Ministre de la justice, après avis de l’Autorité pour l’informatisation de l’administration publique et du Garante. 3. Les mesures de sécurité visées à l’alinéa 2 seront mises à jour en fonction de l’évolution technique du secteur et de l’exprérience acquise, dans un délai de deux ans à dater de l’entrée en vigueur de la présente loi et, par la suite, au moins tous les deux ans, au moyen de règlements ultérieurs pris selon les modalités visées audit alinéa 2. 4. Les mesures de sécurité concernant la protection de données traitées par les organismes visés à l’art. 4, alinéa 1, b), sont établies par décret du Président du Conseil des ministres dans le respect des dispositions régissant la matière. Art. 16
1. En cas de cessation, pour quelque raison que ce soit, du traitement des données, le titulaire doit notifier préalablement leur destination au Garante. 2. Les données peuvent être: b) cédées à un autre titulaire, à condition qu’elles soient destinées à un traitement ayant des finalités analogues à celles pour lesquelles elles ont été collectées; c) conservées à des fins exclusivement personnelles; elles ne peuvent être destinées à aucune communication systématique ou à la diffusion. c-bis) conservées ou cédées à un autre titulaire, pour des fins historiques, scientifiques et statistiques, conformément à la loi, aux règlements, aux dispositions de droit communautaire et aux codes déontologiques et de bonne conduite souscrits au sens de l'art. 31. Art. 17
1. Aucune action ou mesure judiciaire ou administrative impliquant une appréciation sur un comportement humain ne peut avoir pour fondement de manière exclusive un traitement automatisé de données à caractère personnel visant à définir le profil ou la personnalité de la personne concernée. 2. La personne concernée peut s’opposer, aux termes de l’article 13, alinéa 1, d), à toute décision de quelque genre que ce soit adoptée sur la base du traitement visé à l’alinéa 1 du présent article, à moins que ladite décision n’ait été adoptée lors de la conclusion ou de l’exécution d’un contrat, ainsi que sur la base d’une proposition avancée par la personne concernée ou d’adéquates garanties prévues par la loi. Art. 18
Quiconque cause un dommage à autrui en conséquence d’un traitement de données à caractère personnel est tenu à le réparer aux termes de l’art. 2050 du code civil. Section IV
Art. 19
La connaissance des données à caractère personnel de la part des personnes qui ont été chargées par écrit, par le titulaire ou le responsable, d’effectuer les opérations de traitement, et qui opèrent sous leur directe autorité, n’est pas considérée comme une communication. Art. 20
1. La communication et la diffusion des données à caractère personnel par des particuliers et des établissements publics à caractère économique sont admises: b) lorsque les données proviennent de registres publics, de listes, actes ou documents accessibles au public, sous réserve des limitations et des modalités prévues par la loi ou les règlements en matière d’accès et de publicité; c) en vue de l’accomplissement d’une obligation prévue par la loi, par un règlement ou par des dispositions de droit communautaire; d) dans l’exercice de la profession de journaliste et afin de poursuivre uniquement les finalités s’y rapportant. Réserve est faite des limites du droit à l’information prévues pour la protection de la vie privée ainsi que du caractère nécessaire de l’information par rapport à des faits d’intérêt public. En outre le code déontologique visé à l’art. 25 s'applique; e) lorsque les données se réfèrent à des activités économiques, dans le respect des dispositions de loi en vigueur en matière de secret industriel et d’entreprise; f) lorsqu’elles s’avèrent nécessaires en vue de la protection de la vie et de l’intégrité physique de la personne concernée ou d’un tiers, si la personne concernée ne peut donner son consentement pour incapacité physique, légale ou pour incapacité d’entendre et de vouloir; g) eu égard à la seule communication, lorsqu’elle s’avère nécessaire pour le déroulement des investigations visées à l’art. 38 des dispositions d’application, de coordination et transitoires du code de procédure pénale, approuvées par décret législatif n. 271 du 28 juillet 1989, et ultérieures modifications, ou afin de d’exercer ou de défendre un droit en justice, dans le respect des dispositions de loi susvisées en e), à condition que les données soient traitées exclusivement pour ces finalités et pour une période strictement nécessaire à leur réalisation; h) eu égard à la seule communication, lorsqu’elle est effectuée afin de poursuivre les mêmes finalités pour lesquelles les données ont été collectées, et ce, ou dans le cadre des regroupements de banques visés à l’art. 60 du texte unique des lois en matière de banque et de crédit approuvé par décret légilsatif n. 385 du 1 septembre 1993, ou entre sociétés contrôlées et sociétés jointes au sens de l’art. 2359 du code civil, dès lors que leurs traitements ayant des finalités liées ont été notifiés aux termes de l’art. 7, alinéa 2. Art. 21
1. Toutes communications et diffusions de données à caractère personnel pour des finalités autres que celles mentionnées dans la notification prévue à l’art. 7 sont interdites. 2. Sont également interdites toutes communications et diffusions de données à caractère personnel lorsque leur effacement a été ordonné ou que le délai visé à l’art. 9, alinéa 1, e), est expiré. 3. Le Garante peut interdire la diffusion de quelques unes des données concernant une personne ou des catégories de personnes, dès lors que la diffusion est contraire à des intérêts importants de la collectivité. Ladite interdiction peut être contestée aux termes de l’art. 29, alinéas 6 et 7. 4. La communication et la diffusion des données sont en tout état de cause permises: b) lorsqu’elles sont requises par les organismes visés à l’art. 4, alinéa 1, b), d) et e), à des fins de défense ou de sûreté de l’Etat ou pour la prévention, la constatation ou la répression d’infractions, conformément aux dispositions réglementant la matière. TRAITEMENT DE CATéGORIES PARTICULIèRES DE DONNéES Art. 22
1. Les données à caractère personnel aptes à révéler l’origine raciale ou ethnique, les convictions religieuses, philosophiques ou de tout autre genre, les opinions politiques, l’adhésion à des partis, syndicats, associations ou organisations à caractère religieux, philosofique, politique ou syndical, ainsi que l’état de santé et la vie sexuelle, ne peuvent faire l’objet d’un traitement qu’avec le consentement écrit de la personne concernée et après autorisation du Garante. 1-bis. L'alinéa 1 ne s'applique pas aux données relatives aux membres de confessions religieuses dont les rapports avec l'Etat sont réglementés par des accords ou ententes au sens des articles 7 et 8 de la Constitution, ainsi qu’aux données relatives aux personnes lesquelles, eu égard aux finalités exclusivement religieuses, entretiennent des contacts réguliers avec lesdites confessions, à condition que les données soient traitées par les organismes ou établissements reconnus au sens du droit civil, et qu'elles ne soient pas communiquées ou diffusées à l'extérieur desdites confessions. Ces dernières adopteront des garanties adéquates au regard des traitements effectués. 2. Le Garante communique la décision adoptée relative à la requête d’autorisation dans un délai de trente jours; si, au terme dudit délai, aucune communication n’est faite, la requête sera considérée comme rejetée. Au moment de l’autorisation, ou bien par la suite, le Garante peut ordonner, y compris sur la base de contrôles spécifiques, toutes mesures et sauvegardes aptes à protéger la personne concernée, qui doivent être adoptées par le titulaire du traitement. 3. Le traitement des données visées à l’alinéa 1 effectué par des organismes publics, à l’exception des établissements publics à caractère économique, n’est admis que s’il est autorisé par une expresse disposition de loi spécifiant les données pouvant être traitées, les opérations pouvant être effectuées et les motifs d’intérêt public importants qui sont poursuivis. A défaut de ladite disposition de loi, et hors des cas prévus par les décrets législatifs de modification et intégration de la présente loi, pris en application de la loi n. 676 du 31 décembre 1996, les organismes publics peuvent demander au Garante, dans l’attente d’une disposition normative, d'indiquer les activités, parmi celles qui leur sont conférées par la loi, qui poursuivent d'importantes finalités d'intérêt public et pour lesquelles, conformément à l'alinéa 2, le traitement des données visées à l'alinéa 1 est par conséquent autorisé. 3-bis. Lorsque, au sens de l'alinéa 3, le motif d'intérêt public important est spécifié, mais la catégorie des données et les opérations devant être effectuées ne sont pas spécifiées, les organismes publics, en application des dispositions de la présente loi et des décrets législatifs d’application de la loi n. 676 du 31 décembre 1996, identifient et rendent publics, relativement aux données sensibles et selon leurs règlements respectifs, la catégorie des données et des opérations qui sont étroitement liées et nécessaires par rapport aux finalités poursuivies dans chaque cas spécifique; ils prévoient la relative mise à jour périodique de ces informations. 4. Les données à caractère personnel aptes à révéler l’état de santé ou la vie sexuelle peuvent faire l’objet d’un traitement après autorisation du Garante, lorsque le traitement s’avère nécessaire aux fins du déroulement des inspections visées à l’art. 38 des dispositions d’application, de coordination et transitoires du code de procédure pénale, approuvées par décret législatif n. 271 du 28 juillet 1989, et ultérieures modifications, ou afin d’exercer ou de défendre un droit en justice d’un niveau équivalent à celui de la personne concernée, à condition que les données soient traitées exclusivement pour ces finalités et pour une période strictement nécessaire à leur réalisation. Le Garante prescrit les mesures et sauvegardes visées à l’alinéa 2 et encourage l’adoption d’un code spécifique de déontologie et de bonne conduite selon les modalitées énoncées à l’art. 31, alinéa 1, h). Les dispositions visées à l’art. 43, alinéa 2, sont appliquées. Art. 23
1. Les personnes exerçant une profession médicale ainsi que les organismes médicaux publiques peuvent, y compris sans l’autorisation du Garante, traiter les données à caractère personnel aptes à révéler l’état de santé, uniquement en ce qui concerne les données et opérations nécessaires à sauvegarder l’intégrité physique et la santé de la personne concernée. A défaut du consentement de la personne concernée, si ces finalités se réfèrent à un tiers ou à la collectivité, le traitement peut avoir lieu après autorisation du Garante. 1-bis. Par décret du ministre de la santé pris au sens de l'art. 17, alinéa 3, de la loi n. 400 du 23 août 1988, après avis de la Conférence permanente pour les rapports entre l'Etat, les régions et les provinces autonomes de Trento et Bolzano et le Garante, seront indiquées les modalités simplifiées concernant les informations visées à l'art. 10, l'obtention du consentement à l'égard d'organismes médicaux publics, d'organismes médicaux et des professionnels conventionnés avec le Service Sanitaire National ou reconnus par ce Service, ainsi que le traitement des données par lesdits organismes et personnes, sur la base des critères qui suivent: b) validité du consentement donné au sens de l'art. 11, alinéa 3, pour le compte de plusieurs titulaires du traitement, à l'égard de plusieurs titulaires du traitement, également en ce qui concerne la requête de prestations de spécialistes, la prescription de médicaments, la récolte de données par le médecin généraliste déténues par d'autres titulaires, ainsi que l'ensemble des prestations médicales effectuées par un seul titulaire du traitement; c) identification des cas d'urgence dans lesquels, également pour effet des situations visées à l'alinéa 1-ter, les informations et le consentement peuvent être fournis après la requête de la prestation; d) prévision de modalités d'application de l'alinéa 2 du présent article aux professionnels de la santé, autres que les médecins, lesquels entretiennent des rapports directs avec les patients; e) prévision de mesures visant à garantir que l'organisation des services et des prestations assure le respect des droits visés à l'art. 1. 1-quater. En cas d'incapacité légale, physique ou d’incapacité d’entendre et de vouloir, le consentement au traitement des données aptes à révéler l'état de santé est valablement manifesté à l'égard des professionnels de la santé et des organismes sanitaires, respectivement, par la personne autorisée à agir pour le compte de la personne concernée ou par un membre de la famille, par un proche parent, par un cohabitant ou, à défaut, par le responsable de la structure où ladite personne se trouve. 2. Les données à caractère personnel aptes à révéler l’état de santé ne peuvent être communiquées à la personne concernée ou aux organismes visés à l'alinéa 1-ter que par un médecin désigné par ladite personne ou par le titulaire. 3. Sauf dans des cas particulièrement urgents, l’autorisation visée à l’alinéa 1 est donnée sur avis préalable du Consiglio Superiore di Sanità. Toute communication de données obtenues contrevenant aux limitations fixées par ladite autorisation est interdite. 4. Toute diffusion de données aptes à révéler l’état de santé est interdite, à moins qu’elle ne s’avère nécessaire afin de prévenir, constater ou réprimer des infractions, conformément aux dispositions régissant la matière. Art. 24
Le traitement de données à caractère personnel aptes à révéler les mesures visées à l’art. 686, alinéa 1, a) et d), 2 et 3, du code de procédure pénale, n’est admis que lorsqu’il est expressément autorisé par une disposition de loi ou par une disposition du Garante spécifiant les motifs d’intérêt public importants se rattachant au traitement, les catégories des données traitées et les opérations expressément autorisées. Art. 25
1. Les dispositions relatives au consentement de la personne concernée et à l’autorisation du Garante, ainsi que la limite prévue à l’article 24, ne s’appliquent pas lorsque le traitement des données visées aux articles 22 et 24 est opéré dans l’exercice de la profession de journaliste et exclusivement pour la poursuite des finalités s’y rapportant. Le journaliste respecte les limites du droit à l’information, en particulier celle du caractère essentiel de l’information par rapport à des faits d’intérêt public, sous réserve de la possibilité de traiter les données relatives à des circonstances ou des faits qui ont été directement révélés par la personne concernée ou qui sont connus en raison de sa conduite publique. 2. Le Garante encourage l’adoption par le Conseil national de l’ordre des journalistes, selon les modalités énoncées à l’art. 31, alinéa 1, h), d’un code déontologique spécifique concernant le traitement des données visées à l’alinéa 1 du présent article effectué dans l’exercice de la profession de journaliste; ce code doit prévoir des mesures et dispositions assurant la protection des personnes concernées eu égard à la nature des données, en particulier en ce qui concerne les données aptes à révéler l’état de santé et la vie sexuelle. Au cours de la rédaction dudit code, ou par la suite, le Garante, en coopération avec le Conseil, prévoit toutes mesures et dispositions aptes à protéger les personnes concernées que ledit Conseil est tenu à adopter. Le code est publié dans le Journal Officiel et entre en vigueur quinze jours après sa publication. 3. Si, dans un délai de six mois à dater de la proposition du Garante, le code déontologique visé à l’alinéa 2 n’a pas été adopté par le Conseil national de l’ordre des journalistes, il sera adopté par voie substitutive par le Garante et restera en vigueur jusqu’à l’adoption d’un code différent selon la procédure visée à l’alinéa 2. En cas de violation des dispositions prévues par le code déontologique, le Garante peut interdire le traitement aux termes de l’art. 31, alinéa 1, l). 4. Dans le code visé aux alinéas 2 et 3 sont également incluses les dispositions concernant les données à caractère personnel autres que celles mentionnées aux articles 22 et 24. Le code peut prévoir des modalités simplifiées relatives aux informations visées à l’art. 10. 4bis. Les dispositions de la présente loi concernant l’exercice de la profession de journaliste s’appliquent également aux traitements opérés par toute personne inscrite dans la liste des journalistes indépendants ou dans le registre des journalistes stagiaires visé aux articles 26 et 33 de la loi n. 69 du 3 février 1963, ainsi qu’aux traitements temporaires ayant comme seule finalité la publication ou la diffusion occasionnelle d’articles, d’essais ou d’autres oeuvres de l’esprit. Art. 26
1. Le traitement ainsi que la cessation d’un traitement de données concernant des personnes morales, des établissements ou des associations ne sont pas soumis à notification. 2. Les dispositions de l’art. 28 ne s’appliquent pas aux données concernant des personnes morales, des établissements ou des associations. CHAPITRE V
Art. 27
1. Sous réserve des dispositions prévues à l’alinéa 2, le traitement de données à caractère personnel opéré par des organismes publics, à l’exclusion des établissements publics à caractère économique, n’est admis que pour l’accomplissement de fonctions institutionnelles, dans les limites établies par la loi et les règlements. 2. La communication et la diffusion de données traitées à des organismes publics, à l’exception des établissements publics à caractère économique, ne sont admises que si elles sont prévues par des dispositions de loi ou de règlement ou qu’elles s’avèrent nécessaires en vue de l’accomplissement de fonctions institutionnelles. En ce dernier cas, le Garante doit être préalablement informé selon les modalités visées à l’art. 7, alinéas 2 et 3; il interdit, par une décision motivée, toute communication ou diffusion dès lors qu’il existe violation des dispositions de la présente loi. 3. La communication et la diffusion des données à caractère personnel par des organismes publics à des particuliers ou à des établissements publics à caractère économique ne sont admises que si elles sont prévues par des dispositions de loi ou de règlement. 4. Les critères concernant l’organisation des administrations publiques visés à l’art. 5 du décret législatif n. 29 du 3 février 1993 reçoivent application dans le plein respect des dispositions de la présente loi. Art. 28
1. Tout transfert, y compris temporaire, hors du territoire national, sous quelque forme et par quelque moyen que ce soient, de données à caractère personnel faisant l’objet d’un traitement doit être préalablement notifié au Garante lorsque le pays de destination n’est pas un pays membre de l’Union européenne ou que le transfert concerne l’une des données visées aux articles 22 et 24. 2. Le transfert ne peut avoir lieu qu’après quinze jours à compter de la date de la notification; le délai est de vingt jours lorsque le transfert concerne l’une des données visées aux articles 22 et 24. 3. Le transfert est interdit lorsque la législation de l’Etat de destination ou de transit des données n’assure pas un niveau de protection adéquat à l’égard des personnes ou, s’il s’agit des données visées aux articles 22 et 24, équivalent au niveau garanti par la législation italienne. Sont également prises en considération les modalités du transfert et des traitements prévus, les finalités s’y rapportant, la nature des données et les mesures de sécurité. 4. Le transfert est permis lorsque: b) il est nécessaire pour l’accomplissement d’obligations découlant d’un contrat dont la personne concernée est partie, pour l’acquisition de renseignements précontractuelles sur demande de ladite personne, ainsi que pour la conclusion ou l’exécution d’un contrat passé en faveur de la personne concernée; c) il est nécessaire pour la protection d’un intérêt public important spécifié par la loi ou le règlement, ou bien spécifié aux termes des articles 22, alinéa 3, et 24, dès lors que le transfert concerne l’une des données visées auxdits articles; d) il est nécessaire aux fins du déroulement des investigations visées à l’art. 38 des dispositions d’application, de coordination et transitoires du code de procédure pénale, approuvées par décret législatif n. 271 du 28 juillet 1989, et ultérieures modifications, ou afin de d’exercer ou de défendre un droit en justice, à condition toutefois que les données soient transférées exclusivement pour ces finalités et pour une période strictement nécessaire à leur réalisation; e) il est nécessaire afin de protéger la vie ou l’intégrité physique de la personne concernée ou d’un tiers, dès lors que la personne concernée ne peut donner son consentement pour incapacité physique, légale ou pour incapacité d’entendre et de vouloir; f) il est effectué à la suite d’une requête d’accès aux documents administratifs ou d’un requête d’informations pouvant être extraites d’un registre public, d’une liste, d’un acte ou d’un document accessible au public, conformément aux dispositions régissant la matière; g) il est autorisé par le Garante sur la base de garanties appropriées à l’égard des droits de la personne concernée, données également au moyen d’un contrat; g)bis il n'est finalisé qu'à des fins scientifiques ou statistiques et qu'il est effectué dans le respect des codes de déontologie et de bonne conduite souscrits au sens de l'art. 31. 6. Les dispositions du présent article ne s’appliquent pas au transfert de données à caractère personnel effectué dans l’exercice de la profession de journaliste et uniquement en vue de poursuivre les finalités s’y rapportant. 7. La notification visée à l’alinéa 1 du présent article est effectuée aux termes de l’art. 7 et est mentionnée dans une section spécifique du registre prévu à l’art. 31, alinéa 1, a). La notification peut être effectuée par un acte unique conjointement avec celle prévue par l’art. 7. CHAPITRE VI
Art. 29
1. Les droits visés à l’art. 13, alinéa 1, peuvent être faits valoir devant l’autorité judiciaire ou le Garante. Le recours devant le Garante n’est pas admis lorsque l’autorité judiciaire a été déjà saisie pour le même objet et par les mêmes parties. 2. A moins que le cours du délai ne cause un préjudice imminent et irréparable à un individu, le recours au Garante n’est admis qu’après un délai de cinq jours à dater du jour où la requête portant sur le même objet a été soumise au responsable. La présentation du recours exclut toute ultérieure demande de recours devant les autorités judiciaires entre les mêmes parties et portant sur le même objet. 3. Au cours de la procédure devant le Garante le titulaire, le responsable et la personne concernée ont droit à être entendus, personnellement ou par le biais d’une personne dûment mandatée à cet effet, et ils ont la faculté de présenter des pièces ou des mémoires. Le Garante peut ordonner, y compris d’office, que des évaluations techniques soient effectuées. 4. S’il estime le recours recevable, le Garante, après avoir recueilli toutes informations nécessaires, ordonne, par décision motivée, que le titulaire et le responsable cessent de leur comportement illicite, indiquant les mesures nécessaires à la protection des droits de la personne concernée et fixant un délai pour leur adoption. Cette décision est communiquée sans délai par le bureau du Garante aux parties intéressées. Le recours doit être considéré comme rejeté si, au terme d’un délai de trente jours à compter du jour où il a été soumis, aucune décision n’a été communiquée. 5. Lorsque la nature particulière du cas le requiert, le Garante peut ordonner en voie provisoire le verrouillage total ou partiel de certaines données ou l’immédiate suspension d’une ou de plusieurs opérations du traitement. Cette mesure cesse d’avoir effet si, dans les vingt jours qui suivent, la décision visée à l’alinéa 4 n’est pas rendue et peut faire l’objet d’un recours conjointement avec ladite décision. 6. Le titulaire ou la personne concernée peuvent opposer la décision expresse ou le rejet tacite visés à l’alinéa 4 devant le tribunal du lieu où le titulaire a sa résidence, dans un délai de trente jours à dater du jour de la communication de la décision ou du rejet tacite. Le recours ne comporte pas la suspension de l’exécution de la décision. 6-bis) Les délais prévus aux alinéas 4, 5 et 6 sont suspendus de droit du 1er au 30 août de chaque année et recommencent à courir à partir de l’expiration de la période de suspension. Lorsque le délai commence durant ladite période, il commence à courir à la fin de la même période. La suspension n’a pas lieu si elle peut causer le préjudice visé à l’alinéa 2 et elle n’exclut pas l’adoption des mesures prévues à l’alinéa 5. 7. Le tribunal procède selon les modalités visées aux articles 737 et suivants du Code de procédure civile, y compris par dérogation à l’interdiction visée à l’art. 4 de la loi n. 2248 du 20 mars 1865, annexe E), et il peut suspendre, sur requête, l’exécution de la décision. La décision du tribunal peut être uniquement opposée au moyen d’un pourvoi en cassation. 8. Toutes contestations, y compris celles concernant l’octroi de l’autorisation visée à l’art. 22, alinéa 1, ou ayant pour objet l’application de la présente loi, relèvent de l’autorité judiciaire ordinaire. 9. Tout préjudice non patrimonial peut être indemnisé y compris en cas de violation de l’art.9. CHAPITRE VII
Art. 30
1. Le Garante pour la protection des données à caractère personnel est institué. 2. Le Garante exerce sa mission en pleine autonomie et indépendance de jugement et d’évaluation. 3. Le Garante est un organisme collégial constitué par quatre membres, dont deux sont élus par la Chambre des députés et deux par le Sénat de la République au moyen d’une procédure de vote spécifique. Ils procèdent en leur sein à l’élection du président, dont le vote est décisif en cas d’égalité. Les membres sont choisis parmi des personnes assurant une pleine indépendance et faisant état d’une compétence reconnue dans le domaine du droit ou de l’informatique; la présence d’experts en les deux matières doit être garantie. 4. Le président et les membres restent en charge pour une période de quatre ans renouvelable une seule fois; au cours de leur mandat, le président et les membres ne peuvent ni exercer, sous peine de déchéance, aucune activité professionnelle ou de consultation, ni appartenir en tant que administrateurs ou fonctionnaires à des établissements publics ou privés, ni occuper de charges électives. 5. Lorsqu’ils acceptent la désignation, le président et les membres, s’il s’agit de fonctionnaires de l’administration publique ou de magistrats en service, sont placés en détachement; lorsqu’il s’agit de professeurs d’université, ils sont mis en disponibilité sans allocations conformément à l’art. 13 du décret présidentiel n. 382 du 11 juillet 1980, et ultérieures modifications. Le personnel placé en détachement ou mis en disponibilité ne peut être substitué. 6. Le président a droit à une rémunération ne dépassant pas, en son maximum, la rétribution du premier président de la Cour de cassation. Les membres ont droit à une rémunération ne dépassant pas, en son maximum, les deux tiers de celle du président. Ces rémunérations sont déterminées conformément au règlement visé à l’art. 33, alinéa 3, pour un montant permettant de les mettre à la charge du budget ordinaire. Art. 31
1. Le Garante doit: b) contrôler si les traitements sont effectués dans le respect des dispositions de loi et de règlement et conformément à la notification; c) communiquer aux relatifs titulaires ou responsables toutes modifications nécessaires en vue de rendre le traitement conforme aux dispositions en vigueur; d) recevoir les rapports et les plaintes des personnes concernées ou des associations qui les représentent concernant des violations de loi ou de règlement, ainsi que procéder aux recours soumis aux termes de l’art. 29; e) adopter les mesures prévues par la loi ou le règlement; f) effectuer des contrôles en cas de cessation d’un traitement, quelle qu’en soit la raison; g) dénoncer les faits constitutifs d’infractions pouvant être poursuivis d’office, dont il a eu connaissance dans l’exercice ou à cause de ses fonctions; h) promouvoir, au sein des catégories intéressées, conformément au principe de la représentativité, l’élaboration de codes déontologiques et de bonne conduite pour des secteurs spécifiques, contrôler leur conformité aux lois et règlements y compris en tenant compte des observations faites par les personnes concernées, et contribuer à en assurer la diffusion et le respect; i) veiller à ce que le public ait connaissance des dispositions régissant la matière et des finalités s’y rapportant, ainsi que des mesures de sécurité des données visées à l’art. 15; l) interdire, en tout ou en partie, le traitement des données, ou en ordonner le verrouillage dès lors que, en considération de la nature des données ou des modalités de traitement ou des effets qu’il peut causer, il existe un risque concret de porter préjudice à une ou plusieurs personnes concernées; m) informer le Gouvernement sur la nécessité de prévoir des dispositions de loi dont l’évolution du secteur nécessite; n) établir un rapport annuel concernant les activités effectuées et l’état d’application de la présente loi, qui sera transmis au Parlement et au Gouvernement avant le 30 avril de l’année qui suit celle faisant l’objet du rapport; o) en tant qu’autorité désignée aux fins de la coopération entre les Etats aux termes de l’art. 13 de la Convention n. 108 sur la protection des personnes à l’égard du traitement automatisé de données à caractère personnel, adoptée à Strasbourg le 28 janvier 1981 et entrée en vigueur par la loi n. 98 du 21 février 1989, assurer l’activité d’assistance visée au chapitre IV de ladite Convention; p) exercer un contrôle sur les traitements visés à l’art. 4 et vérifier, y compris sur requête de la personne concernée, leur conformité aux dispositions de loi ou de règlement. 3. Le registre visé à l’alinéa 1, a), du présent article est tenu selon les modalités prévues à l’art. 33, alinéa 5. Dans le délai d’un an de la date de son institution, le Garante établit des accords appropriés avec les provinces et, le cas échéant, avec d’autres organismes de l’administration publique, afin d’assurer la consultation du registre au moyen d’au moins un terminal placé dans chaque province, de préférence auprès du service chargé des rapports avec le public, visé à l’art. 12 du décret législatif n. 29 du 3 février 1993, et ultérieures modifications. 4. L’interdiction visé à l’art. 1, point l), du présent article peut être contestée aux termes de l’art. 29, alinéas 6 et 7. 5. Le Garante et l’Autorité pour l’informatisation de l’Administration publique coopèrent en vue de l’accomplissement de leurs missions; à cette fin, ces Autorités invitent les respectifs présidents ou un membre délégué par les présidents à participer à leurs réunions et à intervenir au cours des discussions portant sur des sujets d’intérêt commun inscrits à l’ordre du jour; chaque autorité peut également demander la collaboration du personnel spécialisé appartenant à l’autre Autorité. 6. Les dispositions visées à l’alinéa 5 sont appliquées également dans le cadre des relations entre le Garante et les autres autorités de contrôle compétentes en ce qui concerne le secteur bancaire, les assurances ainsi que la radiodiffusion et la presse. Art. 32
1. Aux fins de l’accomplissement de sa mission, le Garante peut demander au responsable, au titulaire, à la personne concernée ainsi qu’à un tiers de fournir toutes informations et de produire tous documents nécessaires. 2. Lorsque cela s’avère nécessaire afin de vérifier le respect des dispositions en matière de traitement de données à caractère personnel, le Garante peut ordonner l’accès aux banques de données ou d’autres inspections et contrôles dans les lieux où le traitement est opéré ou bien où il faut procéder à des relevés utiles auxdits contrôles, avec la collaboration, le cas échéant, d’autres organismes de l’Etat. 3. Les inspections visées à l’alinéa 2 sont ordonnées après autorisation du président du tribunal territorialement compétent en ce qui concerne le lieu des inspections lequel, sur requête du Garante, procède sans délai par décision motivée; les relatives modalités de procédure sont indiquées par le règlement visé à l’art. 33, alinéa 3. 4. Les personnes concernées par les activités de contrôle sont tenues à les faire exécuter. 5. Réserve est faite des dispositions visées à l’art. 220 des dispositions d’application, de coordination et transitoires du code de procédure pénale, approuvées par décret législatif n. 271 du 28 juillet 1989. 6. En ce qui concerne les traitements prévus aux articles 4 et 14, alinéa 1, les inspections sont effectuées par un membre désigné par le Garante. Si le traitement n’est pas conforme aux dispositions de loi ou de règlement, le Garante indique au titulaire ou au responsable toutes modifications et intégrations nécessaires et vérifie leur application. Si la requête d’inspection a été faite par la personne concernée, cette dernière sera en tout état de cause informée du résultat, à moins qu’il n’existe les conditions prévues à l’art. 10, alinéa 4, de la loi n. 121 du 1 avril 1981, comme substitué par l’art. 42, alinéa 1, de la présente loi, ou bien des raison de défense ou de sûreté de l’Etat. 7. Les inspections visées à l’alinéa 6 ne peuvent être déléguées. Si cela s’avère nécessaire en raison du caractère particulier de l’inspection, le membre désigné peut se faire assister par le personnel spécialisé qui est astreint au secret professionnel aux termes de l’art. 33, alinéa 6. Tous actes et documents acquis sont gardés selon des modalités aptes à en assurer le caractère confidentiel; ils peuvent être portés à la connaissance du président et des membres du Garante et, si cela est nécessaire pour l’accomplissement de sa mission, à un nombre délimité de fonctionnaires du bureau, indiqués par le Garante sur la base des critères déterminés par le règlement visé à l’art. 33, alinéa 3. En ce qui concerne les contrôles relatifs aux organismes et aux données visés à l’art. 4, alinéa 1, b), le membre désigné prend connaissance des actes et documents relatifs et rapporte oralement au cours des séances du Garante. Art. 33
1.Un bureau composé, dans la phase initiale d’application de la présente loi, par des fonctionnaires de l’Etat et d’autres administrations publiques est mis sous la direction du Garante; lesdits fonctionnaires sont placés en détachement selon les modalités prévues par leurs règlements respectifs; leur service près ledit bureau est assimilé à tous les effets de loi au service effectué près les respectives administrations de provenance. Les effectifs sont au nombre de quarante-cinq au maximum désignés, sur la base d’une proposition du Garante, par décret du Président du Conseil des ministres, après accord des Ministres du trésor et de la fonction publique, dans un délai de quatre-vingt-dix jours à dater de son élection. Le secrétaire général peut être choisi également parmi les magistrats appartenant à l’ordre judiciaire ordinaire ou administratif. 1-bis. Le tableau des emplois pour le personnel du Garante est institué. Le Garante définit par règlement: a) le régime des carrières et les modalités de recrutement selon les procédures visées à l’art. 36 du décret législatif n. 29 du 3 février 1993 et ultérieures modifications; b) les modalités pour l’immission dans le tableau du personnel en service lors de l’entrée en vigueur dudit règlement; c) le régime juridique et le traitement économique du personnel selon les critères prévus par la loi n. 249 du 31 juillet 1997, et, relativement aux postes de direction, par l’art. 19 , alinéa 6, dudit décret législatif n. 29, comme susbstitué par l’art. 13 du décret législatif n. 80 du 31 mars 1998, compte tenu des exigences fonctionnelles et d’organisation spécifiques. Le règlement sera publié dans le Journal Officiel. Dans l’attente d’une rationalisation plus générale du traitement économique des autorités administratives indépendantes, au personnel sera réservé 80% du traitement économique perçu par le personnel appartenant à l’Autorité pour les garanties dans les télécommunications. En ce qui concerne la période entre le 8 mai 1997 et la date d’entrée en vigueur du règlement, réserve est faite de l’indemnité visée à l’art. 41 du décret présidentiel n. 231 du 10 juillet 1991, qui est payée au personnel en service. A partir du 1er janvier 1998 et jusqu’à la date d’entrée en vigueur dudit règlement, la différence entre le nouveau traitement et la rétribution déjà prévue pour le personnel, augmentée de la susmentionnéee indemnité de service, sera en outre payée. 1-ter. Le bureau peut faire recours, pour des exigences motivées, à des fonctionnaires de l’Etat ou d’autres administrations publiques ou d’établissements publics, pour un total de vingt effectifs au maximum et comprenant 20% au maximum des postes de direction. Ils sont placés en détachement selon les modalités prévues par leurs règlements, ou mis en disponiblité au sens de l’art. 13 du décret présidentiel n. 382 du 10 juillet 1980, et ultérieures modifications. Un nombre correspondant de postes du tableau est laissé disponible. Le personnel visé dans cet alinéa perçoit une indemnité équivalente à l’ éventuelle différence entre le traitement payé par l’administration ou par l’établissement de provenance et le traitement perçu par le correspondant personnel inclus dans le tableau; cette indemnité ne peut être inférieure à celle visée à l’art. 41 dudit décret présidentiel n. 231. 1-quater. Le Garante répartit par son règlement le personnel, dont le nombre est fixé à cent effectifs, entre les différents niveaux et les postes de direction et il réglemente l’organisation, le fonctionnement du bureau, la perception et l’utilisation des droits de secrétariat, y compris les droits payés à partir du 8 mai 1997, ainsi que la gestion des dépenses, également par dérogation aux dispositions en matière de comptabilité générale de l’Etat. Le règlement est publié dans le Journal Officiel. 1-quinquies. Outre le personnel inclus dans le tableau, le bureau peut recruter directement des fonctionnaires avec un contrat à temps déterminé réglementé par les dispositions de droit privé, pour un total de vingt effectifs au maximum, y compris les spécialistes récrutés par contrat à temps déterminé au sens de l’alinéa 4. 1-sexies. Afin d’en garantir la responsabilité et l’autonomie au sens de la loi n. 241 du 7 août 1990, et ultérieures modifications, ainsi que du décret législatif n. 29 du 3 février 1993, et ultérieures modifications, au bureau du Garante s’appliquent les principes relatifs à l’indication et aux fonctions du responsable de chaque procédure, les principes relatifs à la distinction entre les fonctions de direction et de contrôle, conférées aux cadres de direction, ainsi que les principes relatifs aux fonctions de gestion conférées aux directeurs. 2. Les frais pour la gestion du bureau du Garante sont couverts par les fonds prévus à cette fin par le budget de l’Etat et inscrits dans un chapitre spécifique du budget prévisionnel du Ministère du trésor. Le bilan de la gestion financière est soumis au contrôle de la Cour des comptes. 3. Dans la phase initiale d’application de la présente loi, les dispositions concernant l’organisation et le fonctionnement du bureau du Garante, ainsi que celles visant à réglementer l’encaissement des droits de secrétariat et la gestion des dépenses, y compris par dérogation aux dispositions en matière de comptabilité générale de l’Etat, sont adoptées par règlement pris par décret du Président de la République, dans un délai de trois mois à dater de l’entrée en vigueur de la présente loi, et ce, après délibération du Conseil des Ministres, après avis du Conseil d’Etat, sur proposition du Président du Conseil des ministres, de concert avec les Ministres du trésor, de la justice et de l’intérieur, et sur avis conformedu Garante. Ce règlement détermine les indemnités visées à l’art. 30, alinéa 6, et il prévoit égalementles dispositions concernant la procédure devant le Garante indiquée à l’art. 29, alinéa 1 à 5, prévoyant des modalités aptes à garantir la rapidité de ladite procédure ainsi que le respect du principe du contradictoire pour les parties intéressées; sont également incluses les dispositions indiquant les modalités pour l’exercice des droits visés à l’art. 13 ainsi que les modalités concernant la notification visée à l’art. 7, effectuée par voie télématique, par support magnétique ou par lettre recommandé avec accusé de réception ou par tout autre système approprié. L’avis du Conseil d’Etat concernant le projet de règlement est rendu dans un délai de trente jours de la reception de la requête; au terme de ce délai, le règlement peut en tout état de cause être pris. 3-bis. Les dispositions adoptées au sens de l’alinéa 3, première phrase, cessent d’avoir effet à partir de la date d’entrée en vigueur du règlement visé à l’alinéa 1-quater. 4. Lorsque la nature technique ou le caractère sensible des cas spécifiques l’exigent, le Garante peut être assisté par des experts qui seront rémunérés sur la base des tarifs professionnels en vigueur, ou qui seront recrutés sur la base de contrats à temps déterminé d’une durée inférieure à deux ans pouvant être renouvelés deux fois au maximum. 5. Pour l’accomplissement de sa mission, le bureau du Garante peut utiliser des systèmes automatisés à élaboration informatique et des supports télématiques lui appartenant ou, sous réserve des garanties prévues par la présente loi, appartenant à l’Autorité pour l’informatisation de l’Administration publique ou, au cas où ils ne seraient pas disponibles, à des établissements publics conventionnés. 6. Le personnel du bureau du Garante et les experts sont astreints au secret professionnel en ce qui concerne les informations relatives à des banques de données ou à des opérations de traitement auxquelles ils ont accès dans l’exercice de leurs fonctions. 6-bis. Le personnel du bureau du Garante chargé d’effectuer les contrôles visés à l’article 32 revêt, pour un total de cinq effectifs au maximum, la qualité d’officier ou d’agent de police judiciaire dans les limites s’appliquant au service d’affectation et conformément aux fonctions respectives. CHAPITRE VIII
Art. 34
Quiconque, y étant obligé, ne procède pas aux notifications prescrites aux articles 7 et 28, ou y transcrit des informations incomplètes ou fausses, encourt une peine d’emprisonnement de trois mois à deux ans. Si le fait concerne la notification prévue à l’art. 16, alinéa 1, la peine encourue est celle de l’emprisonnement jusqu’à un an. Art. 35
1. A moins que le fait ne constitue une infraction plus grave, quiconque, afin de se procurer ou de procurer un avantage à un tiers ou de causer un préjudice à autrui, procède à un traitement de données à caractère personnel contrevenant aux dispositions prévues aux articles 11, 20 et 27, encourt une peine d’emprisonnement jusqu’à deux ans ou, si le fait a pour objet la communication ou la diffusion de données, de trois mois à deux ans. 2. A moins que le fait ne constitue une infraction plus grave, quiconque, afin de se procurer ou de procurer un avantage à un tiers ou de causer un préjudice à autrui, procède à la communication ou à la diffusion de données à caractère personnel en violation des dispositions prévues aux articles 21, 22, 23 et 24, ou de l’interdiction visée à l’art. 28 alinéa 3, encourt une peine d’emprisonnement de trois mois à deux ans. 3. Si les faits visés aux alinéas 1 et 2 causent un préjudice, la peine prévue est celle de l’emprisonnement d’un à trois ans. Art. 36
1. Quiconque, y étant tenu, n’adopte pas les mesures nécessaires aptes à garantir la sécurité des données à caractère personnel, contrevenant aux dispositions réglementaires visées aux alinéas 2 et 3 de l’art. 15, encourt une peine d’emprisonnement jusqu’à un an. Si le fait cause un préjudice, la peine encourue est celle de l’emprisonnement de deux mois à deux ans. 2. Si le fait visé à l’alinéa 1 n’est pas intentionnel, la peine encourue est celle de l’emprisonnement jusqu’à un an. Art. 37
Quiconque, y étant tenu, ne respecte pas la disposition adoptée par le Garante au sens de l’art. 22 alinéa 2, ou de l’art. 29, alinéas 2 et 5, encourt une peine d’emprisonnement de trois mois à deux ans. Art. 38
La condamnation pour l’une des infractions prévues par la présente loi comporte la publication de la décision judi |