GESETZ vom 31. Dez. 1996, Nr. 675 

Schutz der natürlichen Person und anderer Rechtsträger bei der Verarbeitung personenbezogener Daten
 
 

("DATENSCHUTZGESETZ")

Mit den Änderungen, die von Legislativdekreten vom 9. Mai 1997, Nr. 123, vom 28. Juli 1997, Nr. 255, vom 8. Mai 1998, Nr, 135, vom 13. Mai 1998, Nr. 171, vom 6. November 1998, Nr. 389, vom 11. Mai 1999, n. 135 und vom 30.Juli 1999, Nr. 281 und 282 angebracht wurden.

Für ein korrekte Auslegung der Bestimmungen ist die Konsultierung der Originalfassungen im Gesetzesanzeiger der Republik unabdingbar.
 
 
I. Kapitel
ALLGEMEINE BESTIMMUNGEN
 
Art. 1
(Zielsetzung und Begriffe)
 
1. Dieses Gesetz gewährleistet, daß personenbezogene Daten unter Wahrung der Rechte und Grundfreiheiten und unter Achtung des Persönlichkeitsbereichs des Menschen, insbesondere der Privatsphäre und der menschlichen Identität, verarbeitet werden; ebenso wahrt es die Rechte der juristischen Personen und aller anderen Körperschaften und Vereinigungen.
2. In diesem Gesetz bezeichnet der Ausdruck
a) "Datenbank" jede Gesamtheit personenbezogener Daten, die an einem oder an mehreren Orten in eine oder mehrere Einheiten unterteilt und zur Erleichterung der Verarbeitung nach bestimmten Kriterien geordnet ist;
b) „Datenverarbeitung" jede mit oder ohne Hilfe elektronischer oder sonstwie automatisierter Verfahren ausgeführte Operation oder Reihe von Operationen im Umgang mit Daten, die folgendes betrifft: Erhebung, Speicherung, Organisation, Aufbewahrung, Verarbeitung im engeren Sinn, Änderung, Auswahl, Wiedergewinnung, Vergleich, Verwendung, Verknüpfung, Sperrung, Übermittlung, Verbreitung, Löschung und Vernichtung von Daten;
c) "personenbezogene Daten" alle Informationen über eine bestimmte oder auch nur indirekt - durch Bezugnahme auf irgendeine andere Information, auch eine persönliche Kennummer - bestimmbare natürliche Person, juristische Person, Körperschaft oder Vereinigung;
d) "Rechtsinhaber" die natürliche Person, juristische Person, öffentliche Verwaltung oder andere Körperschaft, Vereinigung oder Stelle, die das Recht hat, über den Zweck der Verarbeitung personenbezogener Daten und über die jeweilige Verfahrensweise, auch über die Datensicherung, zu entscheiden;
e) "Verantwortlicher" die natürliche Person, juristische Person, öffentliche Verwaltung oder andere Körperschaft, Vereinigung oder Stelle, die vom Rechtsinhaber mit der Verarbeitung personenbezogener Daten betraut wird;
f) "Betroffener" die natürliche Person, juristische Person, Körperschaft oder Vereinigung, auf die sich die personenbezogenen Daten beziehen;
g) "Übermittlung", daß personenbezogene Daten einem oder mehreren bestimmten Außenstehenden in jedweder Form, auch durch Bereitstellen oder Bereithalten zum Abruf, zugänglich gemacht werden;
h) "Verbreitung", daß personenbezogene Daten unbestimmten Außenstehenden in jedweder Form, auch durch Bereitstellen oder Bereithalten zum Abruf, zugänglich gemacht werden;
i) "anonyme Daten" solche Daten, die von Anfang an oder nach ihrer Veränderung nicht beziehungsweise nicht mehr einem bestimmten oder bestimmbaren Betroffenen zugeordnet werden können;
l) unter "Sperren" das Aufbewahren personenbezogener Daten mit Unterbrechung jeder anderen Art von Verarbeitung;
m) unter "Datenschutzbehörde" die im Sinne von Artikel 30 eingesetzte Behörde.
 
Art. 2
(Anwendungsbereich)
 
1. Dieses Gesetz wird im gesamten Staatsgebiet überall dort angewandt, wo personenbezogene Daten von irgend jemandem verarbeitet werden.
 
Art. 3
(Verarbeitung von Daten für rein persönlichen Gebrauch)
 
1. Dieses Gesetz wird nicht angewandt, wenn personenbezogene Daten von natürlichen Personen ausschließlich zum persönlichen Gebrauch verarbeitet werden und nicht für eine systematische Übermittlung oder Verbreitung bestimmt sind.
2. Die in Absatz 1 erwähnte Datenverarbeitung unterliegt jedoch den Bestimmungen über die Datensicherheit nach Artikel 15 und den in den Artikeln 18 und 36 enthaltenen Bestimmungen.
 
Art. 4
(Besondere Datenverarbeitung im öffentlichen Bereich)
 
1. Dieses Gesetz gilt nicht für die Verarbeitung personenbezogener Daten, wenn
a) diese Daten vom DV-Zentrum laut Artikel 8 des Gesetzes vom 1. April 1981, Nr. 121, geändert durch Artikel 43 Absatz 1 dieses Gesetzes, verarbeitet werden, oder wenn es sich um Daten handelt, die dort kraft Gesetzes oder auf Grund des mit Gesetz vom 30. September 1993, Nr. 388, ratifizierten Beitritts zur Konvention über die Durchführung des Schengener Abkommens einfließen sollen;
b) sie von den Stellen gemäß den Artikeln 3, 4 und 6 des Gesetzes vom 24. Oktober 1977, Nr. 801, durchgeführt wird oder wenn die Daten im Sinne von Artikel 12 desselben Gesetzes Staatsgeheimnis sind;
c) sie Amtshandlungen im Zusammenhang mit dem Strafregister laut dem IV. Titel des 10. Buches der Strafprozeßordnung und laut Königlichem Dekret vom 18. Juni 1931, Nr. 778, in geltender Fassung, betrifft oder kraft Gesetzes im Zusammenhang mit anhängigen Strafverfahren durchgeführt wird;
d) sie zur Durchführung von Artikel 371-bis Absatz 3 der Strafprozeßordnung dient oder aus Gründen der Rechtspflege bei Gerichtsämtern, beim obersten Richterrat oder beim Justizministerium erfolgt;
e) sie von anderen öffentlichen Rechtsträgern zum Zwecke der Verteidigung und Sicherheit des Staates oder zur Vorbeugung, Ermittlung oder Bekämpfung von Straftaten auf Grund ausdrücklicher Gesetzesbestimmungen, die eine spezifische Verarbeitung der Daten vorsehen, durchgeführt wird.
2. Für die in Absatz 1 angeführten Arten der Datenverarbeitung gelten jedoch die Artikel 9, 15, 17, 18 und 31, Artikel 32 Absätze 6 und 7 und Artikel 36; außer für die unter Absatz 1 Buchstabe b) genannte Art der Datenverarbeitung gelten zudem noch die Artikel 7 und 34.
 
Art. 5
(Nicht automatisierte Datenverarbeitung)
 
1. Für die Verarbeitung personenbezogener Daten ohne Zuhilfenahme elektronischer oder sonstwie automatisierter Verfahren gilt dieselbe Regelung wie für die automatisierte Verarbeitung.
 
Art. 6
(Verarbeitung von Daten aus dem Ausland)
 
1. Dieses Gesetz wird auch auf die Verarbeitung personenbezogener Daten angewandt, die aus dem Ausland stammen und in Italien verarbeitet werden.
2. Handelt es sich bei der in Absatz 1 genannten Verarbeitung um die Übermittlung personenbezogener Daten ins Ausland, wird in jedem Fall Artikel 28 angewandt.
 
 
II. Kapitel
PFLICHTEN DES INHABERS DES RECHTS AUF 

#DATENVERARBEITUNG
 
Art. 7
(Meldung)
 
1. Beabsichtigt ein Rechtsinhaber mit einer Verarbeitung personenbezogener Daten zu beginnen, die diesem Gesetz unterworfen ist, so muß er dies der Datenschutzbehörde melden.
2. Die Meldung erfolgt nur einmal, unabhängig von der Anzahl der notwendigen Arbeitsvorgänge und von der Dauer der Verarbeitung, und zwar im vorhinein durch Einschreiben mit Rückschein oder auf eine andere Weise, durch die der Erhalt schriftlich bestätigt wird; handelt es sich um mehrere Verarbeitungsvorgänge zu einem gemeinsamen Zweck, so genügt ebenfalls eine globale Meldung. Eine neue Meldung ist nur dann erforderlich, wenn eine der Angaben laut Absatz 4 geändert wird; diese Meldung muß vor der Änderung gemacht werden.
3. Die Meldung wird vom Rechtsinhaber und vom Verantwortlichen unterzeichnet.
4. Die Meldung enthält Angaben über
  1. den Namen, die Bezeichnung oder die Firma des Rechtsinhabers sowie dessen Domizil, Wohnsitz oder Sitz,
  • den Zweck und die Art der Verarbeitung,
    		•
  • die Art der Daten, den Ort, an dem sie verwahrt werden, und die Kategorien der von den Daten Betroffenen,
    		•
  • den Kreis, in dem sie übermittelt und verbreitet werden,
    		•
  • die vorgesehene Übermittlung von Daten in Nicht-EU-Länder oder allgemein ins Ausland, wenn es sich um Daten laut Artikel 22 und Artikel 24 handelt,
    		•
  • das Grundsätzliche der geplanten Datenverarbeitung, anhand dessen abgeschätzt werden kann, ob die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Daten angemessen sind,
    		•
  • die Datenbank oder -banken, auf die sich die Verarbeitung bezieht, sowie eventuelle Verbindungen zu anderen Verarbeitungsvorgängen oder Datenbanken, auch im Ausland,
    		•
  • den Namen, die Bezeichnung oder die Firma des Verantwortlichen sowie dessen Domizil, Wohnsitz oder Sitz; fehlt diese Angabe, so gilt der Anmelder als Verantwortlicher,
    		•
  • die Eigenschaft und die Angaben zur Person des Anmelders.
    		•
    5. Wer verpflichtet ist, sich im Handelsregister laut Artikel 2188 des Zivilgesetzbuches eintragen zu lassen, wer dort eingetragen werden muß oder wer den Handels-, Industrie-, Handwerks- und Landwirtschaftskammern die Angaben laut Artikel 8 Absatz 8 Buchstabe d) des Gesetzes vom 29. Dezember 1993, Nr. 580, übermitteln muß, kann die Meldung auch über diese machen; nähere Bestimmungen dazu werden mit der Verordnung laut Artikel 33 Absatz 3 festgelegt. Kleinunternehmer und Handwerker können die Meldung auch über ihre Berufsvertretungen machen; ebenso kann, wer in eine Berufsliste eingetragen ist, die Meldung auch über seine Berufskammer machen. Absatz 3 bleibt auf jeden Fall aufrecht.
    5-bis. Bei der vereinfachten Meldung können einige Angaben lau t Absatz 4 Buchstaben b), c), e) und g), die von der Datenschutzbehörde im Sinne der in Artikel 33 Absatz 3 erwähnten Verordnung genauer bestimmt werden, auch entfallen, wenn die Verarbeitung
    1. durch öffentliche Rechtsträger - ausgenommen öffentliche Körperschaften mit Gewinnabsicht - auf Grund einer ausdrücklichen Rechtsvorschrift im Sinne von Artikel 22 Absatz 3 oder Artikel 24 oder auf Grund der in Artikel 24 vorgesehenen Maßnahme erfolgt,
  • bei der Ausübung des Journalistenberufes und ausschließlich zu diesem Zweck oder durch Personen laut Artikel 25 Absatz 4-bis unter Beachtung des im selben Artikel genannten Pressekodexes erfolgt,
    		•
  • nur für einen beschränkten Zeitraum ohne Zuhilfenahme elektronischer oder sonstwie automatisierter Verfahren und nur zu Zwecken und mit Modalitäten erfolgt, die eng mit der internen Arbeitsorganisation des Rechtsinhabers zusammenhängen, sofern die Daten nicht bereits in einer Datenbank gespeichert sind und es sich nicht um Daten laut Artikel 22 und 24 handelt.
    		•
    c-bis) für geschichtliche, Forschung- und statistische Zwecke erfolgt, und zwar im Einklang mit den Gesetzen und Verordnungen des Staates, dem Gemeinschaftsrecht sowie den gemäß Artikel 31 unterzeichneten Verhaltenskodexen.
    5-ter Abgesehen von den in Artikel 4 genannten Fällen muß die Verarbeitung nicht gemeldet werden, wenn sie
    1. zur Bewältigung einer Aufgabe erforderlich ist, die von einem Gesetz oder einer Verordnung des Staates oder vom Gemeinschaftsrecht vorgeschrieben ist, und es sich nicht um Daten laut Artikel 22 oder 24 handelt,
  • allgemein zugängliche Daten betrifft, die in öffentlichen Registern, Verzeichnissen, Akten und Dokumenten aufscheinen, wobei die Grenzen und Modalitäten gemäß Artikel 20 Absatz 1 Buchstabe b) zu beachten sind,
    		•
  • ausschließlich zur Protokollführung dient und Daten – insbesondere die Personalien, die Adresse und den Rang des Betroffenen sowie die Organisation, der er angehört - betrifft, die zur Einordnung der Korrespondenz erforderlich sind, sofern diese nicht zu den in Artikel 13 Absatz 1 Buchstabe e) erwähnten Zwecken abgesandt wird,
    		•
  • Telefonverzeichnisse oder ähnliches betrifft, die nicht zur Verbreitung bestimmt sind, sondern nur für Büro- oder Arbeitszwecke und auf keinen Fall zu den in Artikel 13 Absatz 1 Buchstabe e) erwähnten Zwecken verwendet werden,
    		•
  • nur zur Erfüllung bestimmter Pflichten in Zusammenhang mit der Buchführung, der Lohnauszahlung, der Vorsorge, der Fürsorge oder der Steuer dient und nur jene Datengruppen, Betroffenen und Empfänger von Mitteilungen und Aussendungen betrifft, die eng mit diesen Pflichten verbunden sind, wobei die Daten nicht länger, als zur Pflichterfüllung nötig ist, aufbewahrt werden dürfen,
    		•
  • von Freiberuflern, die nicht unter Absatz 5-bis Buchstabe b) fallen und in der Berufsliste oder im Berufsverzeichnis eingetragen sind, nur zu Zwecken, die eng mit der von ihnen zu erbringenden Dienstleistung zusammenhängen, und unter Wahrung des Berufsgeheimnisses durchgeführt wird,
    		•
  • von Kleinunternehmern laut Artikel 2083 des Zivilgesetzbuches ausschließlich zu eng mit ihrer Arbeit verbundenen Zwecken und beschränkt auf die erforderlichen Datengruppen von Betroffenen und von Empfängern der Mitteilung oder Aussendung und auf die erforderliche Aufbewahrungszeit durchgeführt wird,
    		•
  • zur Führung von Berufslisten oder -ver- zeichnissen nach den einschlägigen Rechtsvorschriften dient,
    		•
  • ausschließlich zur ordentlichen Führung von Bibliotheken, Museen und Ausstellungen nach den einschlägigen Rechtsvorschriften, zur Organisation von kulturellen oder Sportveranstaltungen oder zur Erstellung von Katalogen und Bibliographien dient, 
    		•
  • von Vereinigungen, Stiftungen oder Komitees – auch mit politischer, philosophischer, religiöser oder gewerkschaftlicher Ausrichtung - oder deren Repräsentationsorganen durchgeführt wird, die ohne Gewinnabsicht und zu rechtmäßigen Zwecken gegründet wurden, sofern es sich um Daten über die Mitglieder oder über Personen handelt, die in Zusammenhang mit dem verfolgten Zweck regelmäßigen Kontakt mit der Vereinigung, der Stiftung, dem Komitee oder dem Organ haben, sofern die Vorschriften über die Auskunftspflicht und, wenn erforderlich, über die Einwilligung des Betroffenen, eingehalten werden,
    		•
  • von ehrenamtlich tätigen Organisationen laut Gesetz vom 11. August 1991, Nr. 266, in dem unter Buchstabe l) festgesetzten Rahmen und unter Beachtung der Erlaubnispflicht und der Rechtsvorschriften laut Artikel 22 und 23 durchgeführt wird,
    		•
  • zeitweilig und ausschließlich zum Zweck der gelegentlichen Veröffentlichung oder Verbreitung von Artikeln, Abhandlungen oder anderen Gedankenäußerungen durchgeführt und dabei der Pressekodex laut Artikel 25 beachtet wird,
    		•
  • auch unter Zuhilfenahme elektronischer oder sonstwie automatisierter Verfahren zur Redaktion von Zeitschriften oder Veröffentlichungen mit dem Ziel der Rechtsinformation durchgeführt wird, soweit die Daten aus Verfügungen des Gerichts oder anderer Behörden entnommen werden,
    		•
  • zeitweilig und ausschließlich zum Zweck der Unterschriftensammlung für eine Gesetzesvorlage, die durch eine vom Volk ausgehende Gesetzesinitiative eingebracht werden soll, oder zur Durchführung einer Volksbefragung oder für Petitionen oder Appelle durchgeführt wird,
    		•
  • nur zur Verwaltung von Miteigentumsgebäuden gemäß Artikel 117 und folgende des Zivilgesetzbuches dient, soweit sie auf Datengruppen, Betroffene und Mitteilungsempfänger beschränkt ist, deren Erfassung zur Verwaltung des Miteigentums erforderlich ist, und soweit die Daten nicht länger aufbewahrt werden, als zum Schutz der jeweiligen Rechte erforderlich ist;
    		•
    p) vorübergehend und ausschließlich für die Sammlung von Unterschriften im Zusammenhang mit vom Volk ergriffenen Gesetzesinitiativen, mit Anträgen auf Volksbefrafung, mit Petitionen oder mit Appellen durchgeführt wird;
    1. nur zur Verwaltung von Miteigentumsgebäuden gemäß Artikel 1117 und folgende des Zivilgesetzbuches dient, soweit sie auf Datengruppen, Betroffene und Mitteilungsempfänger beschränkt ist, deren Erfassung zur Verwaltung des Miteigentums erforderlich ist, und soweit die Daten nicht länger aufbewahrt werden, als zum Schutz der jeweiligen Rechte erforderlich ist;
    q-bis) im staatlichen Statistikprogramm oder in Akten statistischer Planung, die vom Gesetz vorgesehen sind, inbegriffen ist, und im Einklang mit den Gesetzen und Verordnungen des Staates, dem Gemeinschaftsrecht und den gemäß Artikel 31 unterzeichneten Verhaltenskodexen durchgeführt wird. 
    5-quater. Der Rechtsinhaber kann die vereinfachte Meldung oder die Befreiung von der Meldepflicht gemäß Absätze 5-bis und 5-ter in Anspruch nehmen, wenn die Verarbeitung nur die Zwecke, die Datengruppen, die Betroffenen und die Empfänger von Mitteilungen und Aussendungen betrifft, die zusammen mit der Frist für die Aufbewahrung der Daten in den genannten Absätzen angegeben sind oder
    1. in den dort erwähnten Gesetzen, Verordnungen oder Rechtsakten der Europäischen Union, wenn Absatz 5-bis Buchstabe a) oder Absatz 5-ter Buchstabe a) oder m) zutrifft,
  • im dort erwähnten Pressekodex, wenn Absatz 5-bis Buchstabe b) zutrifft,
    		•
  • oder, in allen übrigen Fällen, von der Datenschutzbehörde angegeben werden, und zwar in der nach Artikel 41 Absatz 7 erteilten Erlaubnis oder, wenn es sich nicht um Daten laut Artikel 22 und 24 handelt, in ähnlichen Verfügungen.
    		•
    5-quinquies. Nimmt der Rechtsinhaber das Recht auf Befreiung nach Absatz 5-ter in Anspruch, so muß er jedem, der danach fragt, die Angaben laut Absatz 4 mitteilen.
     
    Art. 8
    (Verantwortlicher)
     
    1. Der Verantwortliche, sofern er bestellt wird, muß unter Personen ausgewählt werden, die auf Grund ihrer Erfahrung, Fähigkeit und Zuverlässigkeit eine bestimmte Sicherheit bieten, daß die Bestimmungen über die Datenverarbeitung, einschließlich jener über die Datensicherung, eingehalten werden.
    2. Der Verantwortliche hält sich bei der Datenverarbeitung an die Weisungen des Rechtsinhabers, der, auch durch regelmäßige Inspektionen, überwacht, ob die Bestimmungen gemäß Absatz 1 und seine eigenen Weisungen befolgt werden.
    3. Aus organisatorischen Gründen können mehrere Personen als Verantwortliche bestellt und unter ihnen die Aufgaben auch aufgeteilt werden.
    4. Die Aufgaben des Verantwortlichen müssen genau niedergeschrieben werden.
    5. Die mit der Verarbeitung beauftragten Personen müssen die personenbezogenen Daten, zu denen sie Zugriff haben, nach den Weisungen des Rechtsinhabers oder des Verantwortlichen verarbeiten.
     
     
    III. Kapitel
    VERARBEITUNG 

    DER PERSONENBEZOGENEN DATEN
     
    I. Abschnitt
    ERHEBUNG und Qualität der Daten
     
    Art. 9
    (Erhebungsmodalitäten und Qualität der personenbezogenen Daten)
     
    1. Personenbezogene Daten, die Gegenstand einer Verarbeitung sind, müssen
    1. nach Treu und Glauben und rechtmäßig verarbeitet werden;
  • für ausdrücklich festgelegte, rechtmäßige Zwecke erhoben und gespeichert werden und #dürfen für keine anderen Verarbeitungsvorgänge verwendet werden, die mit diesen Zwecken unvereinbar sind,
    		•
  • sachlich richtig sein und bei Bedarf aktualisiert werden,
    		•
  • in Bezug auf die Zwecke, für die sie erhoben oder später weiterverarbeitet werden, erheblich und vollständig sein und nicht darüber hinausgehen,
    		•
  • so aufbewahrt werden, daß der Betroffene nicht über den Zeitraum hinaus identifiziert werden kann, der für die Zwecke, wofür die Daten erhoben oder später weiterverarbeitet werden, erforderlich ist.
    		•
    1-bis. Die Datenverarbeitung zu geschichlichen, statistischen oder Forschungszwecken ist kompatibel mit den Zwecken, zu welchen die Daten ursprünglich erhoben oder in der Folge verarbeitet werden, und kann auch für eine längere Zeit erfolgen, als für diese Zwecke erforderlich ist.
     
    Art. 10
    (Information bei der Datenerhebung)
     
    1. Der Betroffene oder die Person, bei der die personenbezogenen Daten erhoben werden, müssen vorher mündlich oder schriftlich informiert werden:
    1. über den Zweck und die Modalitäten der Verarbeitung, für welche die Daten bestimmt sind,
  • darüber, ob die Mitteilung der Daten verpflichtend ist oder nicht,
    		•
  • über die möglichen Folgen einer Verweigerung der Beantwortung,
    		•
  • über die Personen oder Personengruppen, denen die Daten übermittelt werden können, und über den Umfang der Verbreitung der Daten,
    		•
  • über die in Artikel 13 vorgesehenen Rechte,
    		•
  • über den Namen, die Bezeichnung, die Firma des Rechtsinhabers und, wenn einer bestellt wurde, des Verantwortlichen, sowie deren Domizil, Wohnsitz oder Sitz.
    		•
    2. Die Information laut Absatz 1 braucht all das nicht zu enthalten, was der auskunftgebenden Person bereits bekannt ist oder dessen Kenntnis öffentliche Inspektionen oder Kontrollen, die zu dem in Artikel 14 Absatz 1 Buchstabe d) genannten Zweck durchgeführt werden, behindern könnten.
    3. Werden die Daten nicht beim Betroffenen direkt erhoben, müssen ihm die Informationen laut Absatz 1 bei der Speicherung der Daten oder, falls ihre Übermittlung vorgesehen ist, spätestens bei der ersten Übermittlung erteilt werden.
    4. Absatz 3 gilt nicht, wenn zur Information des Betroffenen ein Aufwand notwendig wäre, der von der Datenschutzbehörde als unvertretbar groß im Verhältnis zum geschützten Recht erklärt wird, wenn die Datenschutzbehörde die Information als unmöglich beurteilt oder wenn die Daten aufgrund einer von einem Gesetz oder einer Verordnung des Staates oder vom Gemeinschaftsrecht vorgesehene Verpflichtung verarbeitet werden. Absatz 3 gilt ebenfalls nicht, wenn die Daten für Nachforschungen laut Artikel 38 der Durchführungs-, Koordinierungs- und Übergangsbestimmungen zur Strafprozeßordnung, genehmigt mit Legislativdekret vom 28. Juli 1989, Nr. 271, in geltender Fassung, oder dazu verarbeitet werden, ein anderes Recht vor Gericht geltend zu machen oder zu verteidigen; Bedingung ist, daß die Daten ausschließlich zu diesem Zweck und nur für die unbedingt notwendige Dauer verarbeitet werden.
     
     
     
    II. Abschnitt
    Rechte des Betroffenen bei der DatenVERArbeitung
     
    Art. 11
    (Einwilligung)
     
    1. Privatpersonen und öffentliche Körperschaften mit Gewinnabsicht dürfen personenbezogene Daten nur mit ausdrücklicher Einwilligung des Betroffenen verarbeiten.
    2. Die Einwilligung kann für die gesamte Verarbeitung oder nur für einen oder mehrere Verarbeitungsvorgänge gegeben werden.
    3. Die Einwilligung ist nur dann rechtsgültig, wenn sie freiwillig, in einer spezifischen Form und schriftlich erteilt wird und wenn der Betroffene nach Artikel 10 aufgeklärt wurde.
     
    Art. 12
    (Befreiung von der Einwilligungspflicht)
     
    1. Die Einwilligung muß nicht eingeholt werden, wenn die Verarbeitung
    1. Daten betrifft, deren Erhebung und Verwahrung mit Gesetz, Verordnung oder Rechtsakt der Europäischen Union vorgeschrieben ist,
  • zur Erfüllung eines Vertrages, bei dem der Betroffene als Vertragspartei auftritt, zur vom Betroffenen veranlaßten Einholung von Informationen vor Vertragsabschluß oder zur Einhaltung einer gesetzlich vorgesehenen Verpflichtung dient,
    		•
  • allgemein zugängliche Daten betrifft, die in öffentlichen Registern, Verzeichnissen, Akten oder Dokumenten aufscheinen,
    		•
  • ausschließlich zu Forschungs- oder statistischen Zwecken erfolgt und dabei die gemäß Artikel 31 unterzeichneten Verhaltenskodexe eingehalten werden, 
    		•
  • in Ausübung des Journalistenberufes erfolgt und ausschließlich diesem Zweck dient; in diesem Falle wird der in Artikel 25 genannte Pressekodex angewandt;
    		•
  • Daten in Zusammenhang mit Wirtschaftstätigkeiten betrifft, auch wenn sie zu dem in Artikel 13 Absatz 1 Buchstabe e) erwähnten Zweck erhoben werden, sofern die geltenden Bestimmungen über das Betriebs- und Geschäftsgeheimnis beachtet werden,
    		•
  • zum Schutz des Lebens oder der körperlichen Unversehrtheit des Betroffenen oder eines Dritten erforderlich ist und der Betroffene nicht seine Einwilligung geben kann, weil er körperlich nicht dazu in der Lage ist oder weil er handlungsunfähig oder unzurechnungsfähig ist,
    		•
  • für Nachforschungen laut Artikel 38 der Durchführungs-, Koordinierungs- und Übergangsbestimmungen zur Strafprozeßordnung, genehmigt mit Legislativdekret vom 28. Juli 1989, Nr. 271, in geltender Fassung, erforderlich ist oder um ein anderes Recht vor Gericht geltend zu machen oder zu verteidigen; Bedingung ist, daß die Daten ausschließlich zu diesem Zweck und nur für die unbedingt notwendige Dauer verarbeitet werden.
    		•
     
    Art. 13
    (Rechte des Betroffenen)
     
    1. Im Zusammenhang mit der Verarbeitung von personenbezogenen Daten hat der Betroffene das Recht,
    a) durch unentgeltlichen Zugang zum Register laut Artikel 31 Absatz 1 Buchstabe a) zu erfahren, ob Daten, die ihn betreffen könnten, verarbeitet werden,
    b) die in Artikel 7 Absatz 4 Buchstaben a), b) und h) angegebenen Informationen zu erhalten,
    c) vom Rechtsinhaber oder vom Verantwortlichen
    1. unverzüglich Auskunft darüber zu erhalten, ob Daten über ihn vorhanden sind, auch wenn sie noch nicht gespeichert sind, und in verständlicher Form nähere Angaben über diese Daten, ihre Herkunft sowie den Grund und den Zweck der Verarbeitung zu erfahren; der Antrag kann, außer bei Vorliegen triftiger Gründe, frühestens nach neunzig Tagen erneut gestellt werden;
  • zu verlangen, daß die widerrechtlich verarbeiteten Daten unverzüglich gelöscht, anonymisiert oder gesperrt werden; dies gilt auch für Daten, welche für die Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht mehr gebraucht werden;
    		•
  • die unverzügliche Ajourierung, Berichtigung oder, wenn er daran interessiert ist, Ergänzung der Daten zu verlangen;
    		•
  • unverzüglich die Bestätigung darüber zu erhalten, daß die unter den Ziffern 2) und 3) angegebenen Vorgänge, auch was ihren Inhalt betrifft, jenen mitgeteilt worden sind, denen die Daten übermittelt oder bei welchen sie verbreitet worden sind, sofern sich dies nicht als unmöglich erweist oder der Aufwand im Verhältnis zum geschützten Recht unvertretbar groß wäre;
    		•
    d) sich aus legitimen Gründen ganz oder teilweise der Verarbeitung zu widersetzen, auch wenn die Daten nicht zweckentfremdet werden,
    e) sich ganz oder teilweise der Verarbeitung zu widersetzen, wenn die Daten zum Zwecke der Handelsinformation, des Versands von Werbematerial, des Direktverkaufs, zur Markt- oder Meinungsforschung oder für interaktive Handelsinformation verwendet werden sollen; der Betroffene hat das Recht, vom Rechtsinhaber spätestens dann, wenn die Daten übermittelt oder verbreitet werden, darüber informiert zu werden, daß er das Recht, sich zu widersetzen, unentgeltlich in Anspruch nehmen kann.
    2. Für jede Auskunft laut Absatz 1 Buchstabe c) Ziffer 1) kann vom Betroffenen ein Spesenbeitrag verlangt werden, wenn sich herausstellt, daß keine Daten zu seiner Person vorhanden sind; dieser Spesenbeitrag darf nicht mehr als die effektiv getragenen Kosten ausmachen, die nach den Modalitäten und in dem Rahmen berechnet werden, wie dies in der Verordnung laut Artikel 33 Absatz 3 festgelegt wird.
    3. Betreffen die Daten verstorbene Personen, so können die Rechte laut Absatz 1 von jedem geltend gemacht werden, der ein Interesse daran hat.
    4. Der Betroffene kann schriftlich natürliche Personen oder Vereinigungen zur Geltendmachung der in Absatz 1 aufgezählten Rechte delegieren oder bevollmächtigen.
    5. Die Bestimmungen über das Berufsgeheimnis der Journalisten in bezug auf die Informationsquelle bleiben aufrecht.
     
    Art. 14
    (Beschränkung der Rechte des Betroffenen)
     
    1. Die Rechte laut Artikel 13 Absatz 1 Buchstaben c) und d) können nicht geltend gemacht werden, wenn die zu verarbeitenden personenbezogenen Daten 
    1. auf Grund des Gesetzesdekretes vom 3. Mai 1991, Nr. 143, erhoben wurden, das mit Änderungen in das Gesetz vom 5. Juli 1991, Nr. 197, umgewandelt wurde, in geltender Fassung;
  • auf Grund des Gesetzesdekretes vom 31. Dezember 1991, Nr. 419, erhoben werden, das mit Änderungen in das Gesetz vom 18. Februar 1992, Nr. 172, umgewandelt wurde, in geltender Fassung,
    		•
  • von parlamentarischen Untersuchungsausschüssen erhoben werden, die im Sinne von Artikel 82 der Verfassung eingesetzt sind,
    		•
  • von einem öffentlichen Rechtsträger - öffentliche Körperschaften mit Gewinnabsicht ausgeschlossen - auf Grund ausdrücklicher gesetzlicher Bestimmungen ausschließlich zu Zwecken erhoben werden, die mit der Geld- und Währungspolitik, dem Zahlungssystem, der Kontrolle über die Vermittler und über die Kredit- und Finanzmärkte, sowie mit der Wahrung ihrer Stabilität zusammenhängen,
    		•
  • im Sinne von Artikel 12 Absatz 1 Buchstabe h) erhoben werden, und zwar beschränkt auf den Zeitraum, in dem daraus Nachteile für die Nachforschungen oder für die Geltendmachung oder Verteidigung des ebenfalls unter Buchstabe h) genannten Rechtes erwachsen würden.
    		•
    2. In den unter Absatz 1 genannten Fällen stellt die Datenschutzbehörde - eventuell auch auf Hinweis des Betroffenen im Sinne von Artikel 31 Absatz 1 Buchstabe d) - die nötigen Ermittlungen gemäß Artikel 32 Absätze 6 und 7 an, zeigt die erforderlichen Änderungen an und überprüft, ob diese auch durchgeführt werden.
     
    III. Abschnitt
    SICHERHEIT BEI DER DatenVERARBEITUNG, Einschränkung der DatenNutzung und Schadenersatz
     
    Art. 15
    (Datensicherheit)
     
    1. #Verarbeitete oder zu verarbeitende personenbezogene Daten müssen je nach Art und je nach Verarbeitungsmethode so aufbewahrt und überwacht werden, daß durch geeignete vorsorgliche Sicherungsmaßnahmen die Gefahr einer Zerstörung oder eines Verlusts, auch wenn dies durch Zufall geschieht, eines unbefugten Zuganges oder der unbefugten oder nicht dem Beschaffungszweck entsprechenden Verarbeitung auf ein Minimum reduziert wird; zu diesem Zweck bedient man sich der neuesten technischen Erkenntnisse.
    2. Die vorsorglichen Mindestsicherungsmaßnahmen werden in einer Verordnung festgelegt, die innerhalb von hundertachtzig Tagen ab Inkrafttreten dieses Gesetzes auf Vorschlag des Justizministers und nach Anhören der Behörde für Informatik in der öffentlichen Verwaltung (Informatikbehörde) sowie der Datenschutzbehörde mit Dekret des Präsidenten der Republik im Sinne von Artikel 17 Absatz 1 Buchstabe a) des Gesetzes vom 23. August 1988, Nr. 400, erlassen wird.
    3. Die Sicherungsmaßnahmen laut Absatz 2 werden mit weiteren Verordnungen, die nach Absatz 2 erlassen werden, erstmals innerhalb von zwei Jahren ab Inkrafttreten dieses Gesetzes und dann wenigstens zweijährlich dem neuesten Stand der Technik und den Erfahrungen in diesem Bereich angepaßt.
    4. Die Sicherungsmaßnahmen für Daten, die von Stellen laut Artikel 4 Absatz 1 Buchstabe b) verarbeitet werden, werden unter Beachtung der einschlägigen Bestimmungen mit Dekret des Ministerpräsidenten festgelegt.
     
    Art. 16
    (Beendigung der Datenverarbeitung)
     
    1. Wird die Datenverarbeitung aus irgendeinem Grund beendet, so muß der Rechtsinhaber der Datenschutzbehörde rechtzeitig die weitere Bestimmung der Daten melden.
    2. Die Daten können
    1. gelöscht werden,
  • einem anderen Rechtsinhaber abgetreten werden, sofern sie dieser zu Zwecken verwendet, die mit denjenigen, für die sie erhoben wurden, vergleichbar sind,
    		•
  • zu rein persönlichem Gebrauch aufbewahrt, aber nicht für die systematische Übermittlung oder die Verbreitung bestimmt werden.
    		•
    c-bis) für geschichtliche, Forschungs- und statistische Zwecke aufbewahrt oder einem anderen Rechtsinhaber abgetreten werden, und zwar im Einklang mit den staatlichen Gesetzen und Verordnungen, dem Gemeinschaftsrecht und den gemäß Artikel 31 unterzeichneten Verhaltenskodexen.
    3. Die Abtretung von Daten in Widerspruch zu Absatz 2 Buchstabe b) oder zu anderen Rechtsvorschriften über die Verarbeitung personenbezogener Daten ist nichtig und wird im Sinne von Artikel 39 Absatz 1 geahndet.
     
    Art. 17
    (Grenzen der Nutzung von personenbezogenen Daten)
     
    1. Kein Gerichts- oder Verwaltungsakt und keine Gerichts- oder Verwaltungsverfügung, der bzw. die eine Beurteilung menschlichen Verhaltens impliziert, darf zur Charakterisierung oder Beschreibung der Persönlichkeit des Betroffenen ausschließlich auf einer automatisierten Verarbeitung personenbezogener Daten gründen. 
    2. Der Betroffene kann sich im Sinne von Artikel 13 Absatz 1 Buchstabe d) jeder weiteren Entscheidung, die auf Grund einer Datenverarbeitung laut Absatz 1 dieses Artikels getroffen wird, widersetzen, sofern diese Entscheidung nicht zum Abschluß oder zur Erfüllung eines Vertrages, auf Vorschlag des Betroffenen oder unter angemessenen gesetzlich vorgesehenen Garantiebedingungen getroffen wird.

     
     

     
    Art. 18
    (Durch die Verarbeitung personenbezogener Daten verursachte Schäden)
     
    1. Wer durch die Verarbeitung personenbezogener Daten anderen Schaden zufügt, ist zum Schadenersatz im Sinne von Artikel 2050 des Zivilgesetzbuches verpflichtet.
     
     
    IV. Abschnitt
    Übermittlung und Verbreitung der Daten
     
    Art. 19
    (Datenverarbeiter)
     
    1. Werden personenbezogene Daten von Personen verarbeitet, die vom Rechtsinhaber oder Verantwortlichen, dem sie direkt unterstellt sind, schriftlich dazu beauftragt wurden, so gilt dies nicht als Datenübermittlung.
     
    Art. 20
    (Bedingungen für die Übermittlung und Verbreitung der Daten)
     
    1. Privatpersonen und öffentliche Körperschaften mit Gewinnabsicht dürfen personenbezogene Daten weitergeben und verbreiten:
    1. mit ausdrücklicher Einwilligung des Betroffenen,
  • wenn es sich um allgemein zugängliche Daten aus öffentlichen Registern, Verzeichnissen, Akten oder Dokumenten handelt, wobei jedoch die gesetzlich geregelten Grenzen und Modalitäten für den Zugang zu diesen Daten und deren Öffentlichkeit zu beachten sind, 
    		•
  • wenn sie damit eine Pflicht erfüllen, die in einem Gesetz, einer Verordnung oder einem Rechtsakt der Europäischen Union vorgeschrieben ist,
    		•
  • wenn die Verarbeitung in Ausübung des Journalistenberufes erfolgt und ausschließlich diesem Zwecke dient. Bestehen bleiben die Grenzen, die dem Informationsrecht zum Schutz der Privatsphäre gesetzt sind, und speziell der Anspruch darauf, daß sich die Informationen über Ereignisse von öffentlichem Interesse auf das Wesentliche beschränken; außerdem wird der in Artikel 25 genannte Pressekodex angewandt;
    		•
  • wenn es sich um Daten in Zusammenhang mit Wirtschaftstätigkeiten handelt, sofern die einschlägigen Bestimmungen über das Betriebs- und Geschäftsgeheimnis beachtet werden,
    		•
  • wenn dies zum Schutz des Lebens oder der körperlichen Unversehrtheit des Betroffenen oder eines Dritten erforderlich ist und der Betroffene nicht seine Einwilligung geben kann, weil er körperlich nicht dazu in der Lage ist oder weil er handlungsunfähig oder unzurechnungsfähig ist,
    		•
  • beschränkt auf die Übermittlung, wenn diese für Nachforschungen laut Artikel 38 der Durchführungs-, Koordinierungs- und Übergangsbestimmungen zur Strafprozeßordnung, genehmigt mit Legislativdekret vom 28. Juli 1989, Nr. 271, in geltender Fassung, oder um ein anderes Recht vor Gericht geltend zu machen oder zu verteidigen erforderlich ist; Bedingung ist, daß die unter Buchstabe e) erwähnten Vorschriften eingehalten werden und daß die Daten ausschließlich zum genannten Zweck und nur für die unbedingt notwendige Dauer verarbeitet werden,
    		•
  • beschränkt auf die Übermittlung, wenn diese innerhalb der Bankgruppen laut Artikel 60 des vereinheitlichten Textes der Gesetze über das Bank- und Kreditwesen, der mit Legislativdekret vom 1. September 1993, Nr. 385, genehmigt wurde, und innerhalb von abhängigen und von verbundenen Gesellschaften im Sinne von Artikel 2359 des Zivilgesetzbuches erfolgt und sofern die damit zusammenhängende Verarbeitung im Sinne von Artikel 7 Absatz 2 mit demselben Zweck gemeldet worden ist, für den die Daten beschafft wurden.
    		•
    2. Für die Übermittlung und Verbreitung personenbezogener Daten durch öffentliche Körperschaften – ausgenommen öffentliche Körperschaften mit Gewinnabsicht - gilt Artikel 27.
     
    Art. 21
    (Übermittlungs- und Verbreitungsverbot
     
    1. Personenbezogene Daten dürfen nur zu den Zwecken übermittelt und verbreitet werden, die in der Meldung laut Artikel 7 angegeben sind.
    2. Personenbezogene Daten dürfen nicht übermittelt und verbreitet werden, wenn bereits ihre Löschung angeordnet wurde oder wenn der in Artikel 9 Absatz 1 Buchstabe e) genannte Zeitraum verstrichen ist.
    3. Die Datenschutzbehörde kann die Verbreitung bestimmter Daten über einzelne Personen oder Personengruppen verbieten, wenn diese Verbreitung in Widerspruch zu relevanten öffentlichen Interessen steht. Gegen dieses Verbot kann im Sinne von Artikel 29 Absätze 6 und 7 Einspruch erhoben werden.
    4. Die Übermittlung und die Verbreitung der Daten sind jedoch erlaubt, 
    1. wenn diese zum Zwecke der Forschung oder der Statistik erforderlich ist und unter Beachtung des gemäß Artikel 31 unterzeichneten Verhaltenskodexes durchgeführt werden,
  • wenn diese von Rechtsträgern laut Artikel 4 Absatz 1 Buchstaben b), d) und e) zum Zwecke der Verteidigung und der Sicherheit des Staates oder zur Vorbeugung, Ermittlung oder Bekämpfung von Straftaten unter Beachtung der einschlägigen Bestimmungen angefordert werden.
    		•
     
     
    IV. Kapitel
    VERARBEITUNG BESONDERER DATEN
     
    Art. 22
    (Sensible Daten)
     
    1. Personenbezogene Daten, welche Aufschluß geben über die die rassische und ethnische Herkunft, die religiöse, die philosophische oder eine andere Weltanschauung, die politischen Anschauungen, die Mitgliedschaft in einer Partei, Gewerkschaft, Vereinigung oder Organisation mit religiöser, philosophischer, politischer oder gewerkschaftlicher Ausrichtung oder den Gesundheitszustand oder das Sexualleben einer Person, dürfen nur mit schriftlicher Einwilligung des Betroffenen und mit Erlaubnis der Datenschutzbehörde verarbeitet werden.
    1-bis. Absatz 1 gilt nicht für Daten über die Mitglieder religiöser Organisationen, deren Beziehungen mit dem Staat durch Verträge und Übereinkommen gemäß den Artikeln 7 und 8 der Verfassung geregelt sind, sowie für Daten über Personen, die zu rein religiösen Zwecken regelmäßige Kontakte mit diesen Organisationen haben; solche Daten können von den entsprechenden Organen oder zivilrechtlich anerkannten Einrichtungen verarbeitet werden, vorausgesetzt, daß sie nicht außerhalb der betreffenden Organisationen übermittelt oder verbreitet werden. Diese legen geeignete Garantien bezüglich der durchgeführten Verarbeitungen fest.
    2. Die Datenschutzbehörde teilt ihre Entscheidung über den Antrag auf Erlaubnis innerhalb von dreißig Tagen mit; äußert sie sich in dieser Frist nicht, so gilt der Antrag als abgelehnt. Die Datenschutzbehörde kann dem Rechtsinhaber im Erlaubnisakt oder später – auch auf Grund möglicher Überprüfungen – Maßnahmen und Vorkehrungen zum Schutze des Betroffenen vorschreiben.
    3. Öffentlichen Körperschaften, solche mit Gewinnabsicht ausgenommen, ist die Verarbeitung der Daten nur dann erlaubt, wenn diese durch eine ausdrückliche Gesetzesbestimmung autorisiert ist, in welcher die Daten, die verarbeitet werden dürfen, die erlauben Operationen und die angestrebten relevanten Ziele von öffentlichem Interesse spezifiziert sind. In Ermangelung einer ausdrücklichen Gesetzesbestimmung und außerhalb der Fälle, welche die Legislativdekrete zur Änderung und Ergänzung dieses Gesetzes, erlassen in Durchführung des Ermächtigungsgesetzes vom 31. Dezember 1996, Nr. 676, vorsehen, können die öffentlichen Körperschaften, solange es keine gesetzliche Spezifizierung gibt, bei der Datenschutzbehörde beantragen, daß sie unter den Aktivitäten, die durch Gesetz den Körperschaften übertragen sind, jene festlegt, die relevante Ziele von öffentlichem Interesse verfolgen und für welche folglich im Sinne von Absatz 2 die Verarbeitung der in Absatz 1 genannten Daten autorisiert wird.
    3-bis. In den Fällen, in welchen zwar gemäß Absatz 3 die Ziele von relevantem öffentlichem Interesse spezifiziert sind, jedoch nicht die Datentypen, die verarbeitet und die Operationen, die ausgeführt werden dürfen, bestimmen und veröffentlichen die öffentlichen Körperschaften gemäß ihrer jeweiligen Ordnung, welche Datentypen und Verarbeitungsvorgänge für die im jeweiligen Fall verfolgten Ziele erheblich und unverzichtbar sind; dabei wenden sie an, was dieses Gesetz und die Legislativdekrete zur Durchführung des Gesetzes vom 31. Dezember 1996, Nr. 676, bezüglich der sensiblen Daten vorsehen. Die Bestimmung der Daten und die entsprechende Veröffentlichung werden periodisch auf den neuesten Stand gebracht.
    4. Personenbezogene Daten, die über den Gesundheitszustand oder das Sexualleben Aufschluß geben, dürfen mit Erlaubnis der Datenschutzbehörde verarbeitet werden, wenn die Verarbeitung für Nachforschungen laut Artikel 38 der Durchführungs-, Koordinierungs- und Übergangsbestimmungen zur Strafprozeßordnung, genehmigt mit Legislativdekret vom 28. Juli 1989, Nr. 271, in geltender Fassung, oder dazu dient, ein anderes Recht vor Gericht geltend zu machen oder zu verteidigen, das mit dem des Betroffenen gleichwertig ist; Bedingung ist, daß die Daten ausschließlich zu diesem Zweck und nur für die unbedingt notwendige Dauer verarbeitet werden. Die Datenschutzbehörde schreibt die Maßnahmen und Vorkehrungen laut Absatz 2 vor und sorgt für die Unterzeichnung eines Verhaltenskodexes nach Artikel 31 Absatz 1 Buchstabe h). Aufrecht bleibt Artikel 43 Absatz 2.
     
    Art. 23
    (Gesundheitsdaten)
     
    1. Personen, die einen Gesundheitsberuf ausüben, und öffentliche Gesundheitseinrichtungen dürfen, auch ohne Erlaubnis der Datenschutzbehörde, personenbezogene Daten, die über den Gesundheitszustand Aufschluß geben, verarbeiten, soweit diese Daten und die Verarbeitungsvorgänge zum Schutze der körperlichen Unversehrtheit und der Gesundheit des Betroffenen unbedingt erforderlich sind. Betreffen diese Zwecke einen Dritten oder die Allgemeinheit, so können die Daten, auch ohne Einwilligung des Betroffenen, mit Erlaubnis der Datenschutzbehörde verarbeitet werden.
    1-bis. Mit Dekret des Gesundheitsministers, das dieser nach Anhören der ständigen Konferenz für die Beziehungen zwischen Staat, Regionen und den autonomen Provinzen Trient und Bozen sowie der Datenschutzbehörde im Sinne von Artikel 17 Absatz 3 des Gesetzes vom 23. August 1988, Nr. 400, erläßt, werden vereinfachte Verfahren für die Information laut Artikel 10 und für die Abgabe der Einwilligung gegenüber öffentlichen Gesundheitsstellen und gegenüber Stellen und Personen, die im Gesundheitswesen tätig sind und mit dem staatlichen Gesundheitsdienst konventioniert oder von diesem akkreditiert sind, festgelegt, ebenso für die Verarbeitung der Daten durch diese Stellen oder Personen, und zwar auf der Basis folgender Grundsätze:
    a) die Information erfolgt durch eine einzige Person oder Stelle, in erster Linie durch den vom Betroffenen gewählten Hausarzt, und zwar für mehrere Rechtsinhaber des Rechts auf Verarbeitung;
    b) die gemäß Artikel 11 Absatz 3 erteilte Einwilligung zur Verabeitung, die ein Inhaber des Rechts auf Verarbeitung im Namen von mehreren Rechtsinhabern eingeholt hat, gilt gegenüber mehreren Rechtsinhabern, und zwar auch hinsichtlich der Beantragung von fachärztlichen Leistungen, der Verschreibung von Medikamenten, der Erhebung von Daten, die andere Rechtsinhaber besitzen, durch den Hausarzt, und der Vielzahl von ärztlichen Leistungen, die von ein und demselben Rechtsinhaber erbracht werden;
    c) es werden die Notfälle bestimmt, in denen, auch wegen der in Absatz 1-ter angeführten Umstände, die Information und die Einwilligung auch nach der Beantragung der Leistung erfolgen können;
    d) es werden Verfahren festgelegt zur Anwendung von Absatz 2 dieses Artikels für im Gesundheitswesen tätige Personen, die direkten Kontakt zu Patienten haben, aber nicht Ärzte sind;
    e) es werden Maßnahmen ergriffen, um zu gewährleisten, daß bei der Organisation der Dienste und Leistungen die Beachtung der Rechte laut Artikel 1 gesichert ist.
    1-ter Das Dekret laut Absatz 1 regelt auch das, was Artikel 22 Absatz 3-bis des Gesetzes vorsieht.
    1-quater. Im Falle von Geschäftsunfähigkeit, von Schuldunfähigkeit oder von physischem Unvermögen wird gegenüber den Sanitätsstellen oder Personen, die einen Gesundheitsberuf ausüben, die Einwilligung zur Verarbeitung von Daten, die über den Gesundheitszustand Aufschluß geben, vom Sorgeberechtigten, von einem Familienmitglied, von einem nahen Angehörigen, von einem Mitbewohner oder, wenn diese fehlen, vom Verantwortichen der Einrichtung, in der der Betroffene untergebracht ist, abgegeben.
    2. Daten, die über den Gesundheitszustand des Betroffenen, Aufschluß geben, dürfen diesem oder den Personen nach Absatz 1-ter nur von einem Arzt mitgeteilt werden, der von ihm oder vom Rechtsinhaber bestellt wird.
    3. Die in Absatz 1 vorgesehene Erlaubnis wird, außer in besonders dringenden Fällen, nach Anhören des Obersten Gesundheitsrates erteilt. Es dürfen keine Daten übermittelt werden, die über den in der Erlaubnis angegebenen Rahmen hinausgehen.
    4. Die Verbreitung von personenbezogenen Daten, die über den Gesundheitszustand Aufschluß geben, ist nur dann erlaubt, wenn es für die Vorbeugung, Ermittlung oder Bekämpfung von Straftaten erforderlich ist und dabei die einschlägigen Bestimmungen eingehalten werden.
     
    Art. 24
    (Daten in Zusammenhang mit den Maßnahmen laut Artikel 686 der Strafprozeßordnung)
     
    1. Die Verarbeitung von personenbezogenen Daten, die Aufschluß über Maßnahmen laut Artikel 686 Absatz 1 Buchstaben a) und d) sowie Absätze 2 und 3 der Strafprozeßordnung geben können, ist nur dann zulässig, wenn dies ausdrücklich durch eine Rechtsvorschrift oder durch eine Maßnahme der Datenschutzbehörde erlaubt wird, in welchen die verarbeitbaren Daten, die präzisen erlaubten Verarbeitungsvorgänge und die angestrebten relevanten Ziele von öffentlichem Interesse spezifiziert sein müssen.
     
    Art. 25
    (Verarbeitung besonderer Daten in Ausübung des Journalistenberufs)
     
    1.Die Bestimmungen über die Einwilligung des Betroffenen und über die Erlaubnis .der Datenschutzbehörde sowie die von Artikel 24 vorgesehene Einschränkung werden nicht angewandt, wenn die Verarbeitung der Daten laut den Artikeln 22 und 24 in Ausübung des Journalistenberufs und ausschließlich zu dem damit verbundenen Zweck erfolgt. Der Journalist hat dabei die Grenzen des Informationsrechts und im Speziellen die Forderung zu beachten, daß sich die Information über Ereignisse von öffentlichem Interesse auf das Wesentliche beschränkt. Unberührt davon bleibt die Möglichkeit, Daten über Umstände und Ereignisse, die der Betroffene direkt oder durch sein Verhalten in der Öffentlichkeit preisgibt, zu verwerten. 
    2. Die Datenschutzbehörde sorgt nach Artikel 31 Absatz 1 Buchstabe h) dafür, daß der nationale Journalistenrat einen Verhaltenskodex der Journalisten (Pressekodex) über die Verarbeitung der in Absatz 1 dieses Artikels genannten Daten bei der Ausübung ihres Berufes festlegt, in dem je nach Art der Daten, speziell jener, die über den Gesundheitszustand oder das Sexualleben Aufschluß geben, Maßnahmen und Vorkehrungen zum Schutze des Betroffenen vorgesehen sind. Bei der Erstellung des Kodexes oder hinterher schreibt die Datenschutzbehörde in Zusammenarbeit mit dem Journalistenrat mögliche Maßnahmen und Vorkehrungen zum Schutze des Betroffenen vor, die der Journalistenrat zu übernehmen hat. Der Pressekodex wird im Gesetzesanzeiger der Republik auf Veranlassung der Datenschutzbehörde veröffentlicht und tritt fünfzehn Tage nach der Veröffentlichung in Kraft.
    3. Legt der nationale Journalistenrat den Pressekodex laut Absatz 2 nicht innerhalb von sechs Monaten ab der Aufforderung der Datenschutzbehörde fest, so erstellt diese einen Ersatzkodex, der bis zur Festlegung eines anderen nach dem in Absatz 2 angeführten Verfahren gültig ist. Bei Verstoß gegen den Pressekodex kann die Datenschutzbehörde die Datenverarbeitung im Sinne von Artikel 31 Absatz 1 Buchstabe l) verbieten.
    4. Der Pressekodex laut den Absätzen 2 und 3 enthält auch Bestimmungen über personenbezogene Daten, die nicht unter die Artikel 22 und 24 fallen. Er kann auch vereinfachte Methoden zur Information laut Artikel 10 vorsehen.
    4-bis. Soweit dieses Gesetz die Ausübung des Journalistenberufes betrifft, gilt es auch für die Datenverarbeitung durch Personen, die im Publizisten- oder im Praktikantenverzeichnis laut Artikel 26 und 33 des Gesetzes vom 3. Februar 1963, Nr. 69, eingetragen sind, sowie für die zeitweilige Verarbeitung ausschließlich zum Zweck der gelegentlichen Veröffentlichung oder Verbreitung von Artikeln, Abhandlungen oder anderen Gedankenäußerungen.
     
    Art. 26
    (Daten über juristische Personen)
     
    1. Die Verarbeitung von Daten über juristische Personen, Körperschaften oder Vereinigungen sowie die Einstellung dieser Verarbeitung müssen nicht gemeldet werden.
    2. Artikel 28 gilt nicht für Daten über juristische Personen, Körperschaften oder Vereinigungen.
     
     
    V. Kapitel
    SONDERREGELUNGEN BEI DER DATENVERARBEITUNG
     
    Art. 27
    Verarbeitung durch öffentliche Rechtsträger
     
    1. Außer in dem von Absatz 2 vorgesehenen Fall dürfen die öffentlichen Rechtsträger - ausgenommen öffentliche Körperschaften mit Gewinnabsicht - personenbezogene Daten nur zu institutionellen Zwecken im durch Gesetze und Verordnungen festgelegten Rahmen verarbeiten.
    2. Die Übermittlung und die Verbreitung von verarbeiteten Daten zwischen öffentlichen Rechtsträgern - ausgenommen öffentliche Körperschaften mit Gewinnabsicht - ist zulässig, wenn dies in Gesetzen oder Verordnungen vorgesehen oder jedenfalls zur Wahrnehmung der institutionellen Aufgaben erforderlich ist. Im letzteren Fall muß nach Artikel 7 Absätze 2 und 3 vorher die Datenschutzbehörde verständigt werden, welche die Übermittlung oder Verbreitung mit begründeter Maßnahme verbietet, sollten die Bestimmungen dieses Gesetzes nicht eingehalten werden.
    3. Die Übermittlung und die Verbreitung von personenbezogenen Daten seitens öffentlicher Rechtsträger an Privatpersonen oder öffentliche Körperschaften mit Gewinnabsicht ist nur aufgrund eines Gesetzes oder einer Verordnung zulässig. 
    4. Die Kriterien zur Organisation der öffentlichen Verwaltungen laut Artikel 5 des Legislativdekretes vom 3. Februar 1993, Nr. 29, werden unter Beachtung dieses Gesetzes festgelegt.
     
    Art. 28
    (Grenzüberschreitender Datenverkehr)
     
    1. Werden von der Verarbeitung betroffene personenbezogene Daten auf beliebige Art und Weise auch nur zeitweise über die Staatsgrenzen hinweg weitergegeben, muß dies vorher der Datenschutzbehörde gemeldet werden, wenn sie für ein Land bestimmt sind, das nicht Mitglied der Europäischen Union ist, oder wenn die Übermittlung Daten laut Artikel 22 und 24 betrifft.
    2. Die Daten dürfen erst fünfzehn Tage nach der Meldung, Daten laut Artikel 22 und 24 erst zwanzig Tage danach weitergegeben werden.
    3. Die Weitergabe ist verboten, wenn die Rechtsordnung des Bestimmungs- oder Durchgangslandes nicht einen geeigneten oder, wenn es sich um Daten laut Artikel 22 und 24 handelt, den gleichen Schutz der Person gewährleistet wie die italienische Rechtsordnung. Es werden dazu auch die Art der vorgesehenen Weitergabe und Verarbeitung, der damit verfolgte Zweck, die Art der Daten und die Sicherungsmaßnahmen berücksichtigt.
    4. Die Weitergabe ist auf jeden Fall erlaubt, wenn
    1. der Betroffene ausdrücklich - bei Daten laut Artikel 22 und 24 schriftlich - eingewilligt hat,
  • sie zur Einhaltung von Verpflichtungen aus einem Vertrag, bei dem der Betroffene als Partei auftritt, zu der vom Betroffenen veranlaßten Einholung von vorvertraglichen Informationen, zum Abschluß oder zur Erfüllung eines Vertrages, der zugunsten des Betroffenen abgeschlossen wird, erforderlich ist,
    		•
  • sie zur Wahrung eines relevanten öffentlichen Interesses erforderlich ist, das in einer Rechtsvorschrift oder ausdrücklich im Sinne von Artikel 22 Absatz 3 und Artikel 24, soweit es die dort erwähnten Daten betrifft, vorgesehen ist,
    		•
  • sie für Nachforschungen laut Artikel 38 der Durchführungs-, Koordinierungs- und Übergangsbestimmungen zur Strafprozeßordnung, genehmigt mit Legislativdekret vom 28. Juli 1989, Nr. 271, in geltender Fassung, oder dazu erforderlich ist, ein anderes Recht vor Gericht geltend zu machen oder zu verteidigen; Bedingung ist, daß die Daten ausschließlich zu diesem Zweck und nur für die unbedingt notwendige Dauer verarbeitet werden,
    		•
  • sie zum Schutz des Lebens oder der körperlichen Unversehrtheit des Betroffenen oder eines Dritten erforderlich ist und der Betroffene nicht seine Einwilligung geben kann, weil er körperlich nicht dazu in der Lage ist oder weil er handlungsunfähig oder unzurechnungsfähig ist,
    		•
  • dadurch einem Antrag auf Zugang zu Verwaltungsakten oder auf Erteilung von Informationen, die in öffentlich zugänglichen Registern, Verzeichnissen, Akten oder Dokumenten aufscheinen, entsprochen wird, wobei die einschlägigen Rechtsvorschriften zu beachten sind,
    		•
  • sie von der Datenschutzbehörde gegen angemessene Garantien zur Wahrung der Rechte des Betroffenen erlaubt wird, wobei die Garantien auch vertraglich festgelegt werden können.
    		•
    g-bis) die Verarbeitung ausschließlich statistischen oder Forschungszwecken dient und dabei die gemäß Artikel 31 unterzeichneten Verhaltenskodexe eingehalten werden.
    5. Gegen das Verbot laut Absatz 3 dieses Artikels kann im Sinne von Artikel 29 Absätze 6 und 7 Einspruch erhoben werden.
    6. Dieser Artikel gilt nicht für die Übermittlung von personenbezogenen Daten, die ausschließlich zur Ausübung des Journalistenberufes dient.
    7. Die Meldung laut Absatz 1 dieses Artikels erfolgt im Sinne von Artikel 7 und wird in einem entsprechenden Abschnitt des Registers laut Artikel 31 Absatz 1 Buchstabe a) angemerkt. Die Meldung kann auch zugleich mit der in Artikel 7 vorgesehenen gemacht werden.
     
     
    VI. Kapitel
    VERWALTUNGS- UND RECHTSSCHUTZ
     
     
    Art. 29
    (Schutz)
    1. Die in Artikel 13 Absatz 1 vorgesehenen Rechte können vor Gericht oder mit einer Beschwerde vor der Datenschutzbehörde geltend gemacht werden. Bei der Datenschutzbehörde darf keine Beschwerde eingereicht werden, wenn derselbe Streitfall zwischen denselben Rechtsparteien bereits beim ordentlichen Gericht vorgebracht worden ist.
    2. Außer in den Fällen, in denen jemandem durch Einhaltung der Frist ein unmittelbarer, nicht wiedergutzumachender Nachteil erwachsen könnte, kann die Beschwerde bei der Datenschutzbehörde erst fünf Tage nach der entsprechenden Aufforderung des Verantwortlichen eingereicht werden. Wird die Beschwerde bei der Datenschutzbehörde eingereicht, darf im selben Streitfall zwischen denselben Rechtsparteien nicht ein weiterer Antrag beim ordentlichen Gericht vorgebracht werden.
    3. Im Verfahren vor der Datenschutzbehörde haben der Rechtsinhaber, der Verantwortliche und der Betroffene das Recht, persönlich oder durch einen Sonderbevollmächtigten angehört zu werden und Schriftsätze und Unterlagen vorzubringen. Die Datenschutzbehörde kann, auch von Amts wegen, Gutachten anfordern.
    4. Hält die Datenschutzbehörde nach Einholen der erforderlichen Informationen die Beschwerde für begründet, so ordnet sie dem Rechtsinhaber und dem Verantwortlichen mit begründetem Bescheid an, die rechtswidrige Handlung einzustellen, und verweist dabei auf die erforderlichen Maßnahmen zur Wahrung der Rechte des Betroffenen, die innerhalb einer von ihr festgelegten Frist zu treffen sind. Der Bescheid wird den betroffenen Parteien unverzüglich durch das Datenschutzamt mitgeteilt. Äußert sich die Datenschutzbehörde nicht innerhalb von dreißig Tagen ab Einreichdatum über die Beschwerde, so gilt diese als abgelehnt.
    5. Bei Bedarf kann die Datenschutzbehörde provisorisch die vollständige oder teilweise Sperrung der Daten oder die unverzügliche vorübergehende Einstellung eines oder mehrerer Arbeitsvorgänge anordnen. Diese Anordnung verfällt, wenn innerhalb der darauffolgenden zwanzig Tage kein Bescheid laut Absatz 4 erlassen wird; sie kann zusammen mit dem genannten Bescheid angefochten werden.
    6. Gegen den Bescheid oder die stillschweigende Ablehnung laut Absatz 4 kann Rechtsinhaber oder der Betroffene innerhalb von dreißig Tagen ab Mitteilung des Bescheides oder ab dem Tag, an dem die stillschweigende Ablehnung rechtsgültig wird, Einspruch beim Landesgericht des Ortes erheben, an dem der Rechtsinhaber seinen Wohn- oder Firmensitz hat. Durch den Einspruch wird die Durchführung des Bescheides nicht ausgesetzt.
    6-bis. Der Ablauf der von den Absätzen 4, 5 und 6 vorgesehenen Fristen wird von Rechts wegen vom 1. bis zum 30. August jeden Jahres unterbrochen und setzt am Ende dieser Unterbrechung wieder ein. Wenn der Ablauf der Frist während des genannten Zeitraums beginnt, so wird als Fristbeginn das Ende dieses Zeitraums angesehen. Die Unterbrechung wird in den Fällen nicht wirksam, in denen ein Nachteil laut Absatz 2 erwachsen könnte; sie schließt auch nicht aus, daß Maßnahmen laut Absatz 5 ergriffen werden.
    7. Das Landesgericht handelt gemäß Artikel 737 und folgende der Zivilprozeßordnung - auch abweichend vom Verbot laut Artikel 4 des Gesetzes vom 20. März 1865, Nr. 2248, Anhang E - und kann die Durchführung des Bescheides auf Antrag aussetzen. Gegen das Dekret des Landesgerichts ist nur mehr die Kassationsbeschwerde zulässig.
    8. Alle Rechtsstreitigkeiten fallen in die Zuständigkeit der ordentlichen Gerichtsbarkeit, und zwar auch, wenn es sich um die Erteilung der Erlaubnis laut Artikel 22 Absatz 1 handelt oder sie irgendwie mit der Durchführung dieses Gesetzes zusammenhängen.
    9. Schmerzensgeld kann auch bei Verstoß gegen Artikel 9 verlangt werden.
     
     
    VII. Kapitel
    DATENSCHUTZBEHÖRDE
     
    Art. 30
    (Einsetzung der Datenschutzbehörde)
     
    1. Es wird die Behörde für den Schutz der personenbezogenen Daten (Datenschutzbehörde) eingesetzt.
    2. Die Datenschutzbehörde arbeitet völlig unabhängig und mit freier Urteils- und Bewertungsbefugnis.
    3. Die Datenschutzbehörde ist ein Kollegialorgan mit vier Mitgliedern, von denen zwei von der Abgeordnetenkammer und zwei vom Senat der Republik mit beschränktem Stimmrecht gewählt werden. Die Mitglieder wählen aus ihrer Mitte den Vorsitzenden; seine Stimme entscheidet bei Stimmengleichheit. Die Mitglieder werden unter Personen ausgewählt, die Unabhängigkeit gewährleisten und anerkannte Rechts- oder Informatikexperten sind, wobei jede dieser beiden Expertengruppen vertreten sein muß.
    4. Der Vorsitzende und die Mitglieder bleiben vier Jahre im Amt und dürfen nur einmal bestätigt werden. Während ihrer Amtsdauer dürfen der Vorsitzende und die Mitglieder, bei sonstigem Verfall vom Amt, weder eine berufliche noch eine Beratungstätigkeit ausüben, nicht als Verwalter oder Bedienstete öffentlicher oder privater Körperschaften und Anstalten Dienst leisten und kein Wahlamt ausüben.
    5. Handelt es sich beim Vorsitzenden oder den Mitgliedern um Bedienstete öffentlicher Verwaltungen oder um Richter oder Staatsanwälte im Dienst, so werden sie, sobald sie das Amt annehmen, aus dem Stellenplan ausgegliedert, handelt es sich um beamtete Universitätsprofessoren, werden sie im Sinne von Artikel 13 des Dekretes des Präsidenten der Republik vom 11. Juli 1980, Nr. 382, in geltender Fassung, in den Wartestand ohne Bezüge versetzt. Personal, das aus dem Stellenplan ausgegliedert oder in den Wartestand versetzt wird, darf nicht ersetzt werden.
    6. Dem Vorsitzenden steht eine Vergütung zu, die nicht höher sein darf als das Gehalt eines Präsidenten des Kassationsgerichtshofes. Den Mitgliedern steht eine Vergütung zu, die nicht höher sein darf als zwei Drittel der Vergütung des Vorsitzenden. Die Vergütungen werden in der Verordnung gemäß Artikel 33 Absatz 3 festgelegt, wobei darauf zu achten ist, daß der Betrag durch die ordentlichen Bereitstellungen gedeckt ist.
     
    Art. 31
    (Aufgabe der Datenschutzbehörde)
     
    1. Die Datenschutzbehörde hat die Aufgabe,
    a) auf Grund der eingegangenen Meldungen ein allgemeines Register der Verarbeitungen personenbezogener Daten anzulegen und zu führen,
    b) zu überprüfen, ob die Verarbeitung jeweils nach den einschlägigen Rechtsvorschriften und wie in der Meldung angegeben erfolgt,
    c) die Rechtsinhaber oder Verantwortlichen darauf hinzuweisen, welche Änderungen zur Anpassung an die einschlägigen Bestimmungen angebracht sind,
    d) die Hinweise und Beanstandungen der Betroffenen oder der sie vertretenden Vereinigungen über Verstöße gegen die Rechtsvorschriften entgegenzunehmen und Beschwerden, die im Sinne von Artikel 29 eingereicht werden, zu verarbeiten,
    e) die in Rechtsvorschriften vorgesehenen Maßnahmen zu treffen,
    f) jede, beliebig begründete, Einstellung der Verarbeitung zu überwachen,
    g) Handlungen, von denen sie bei der Wahrnehmung ihres Amtes oder auf Grund ihrer Funktion erfährt und die sich als von Amts wegen verfolgbare Straftaten abzeichnen, anzuzeigen,
    h) in den betroffenen Berufskategorien, unter Beachtung des Prinzips der Repräsentativität, die Unterzeichnung der Verhaltenskodexe für bestimmte Sektoren voranzutreiben, deren Gesetzeskonformität - auch durch Prüfung der Bemerkungen betroffener Personen - zu prüfen und deren Verbreitung und Einhaltung zu gewährleisten,
    i) dafür zu sorgen, daß die Öffentlichkeit über die einschlägigen Bestimmungen und Ziele sowie über die Datensicherungsmaßnahmen gemäß Artikel 15 informiert wird,
    l) die Datenverarbeitung ganz oder teilweise zu verbieten oder die Sperrung der Daten zu verfügen, wenn wegen der Art der Daten oder der Verarbeitung oder wegen der möglichen Folgen der Verarbeitung konkret die Gefahr besteht, daß einem oder mehreren Betroffenen ein schwerwiegender Nachteil erwächst,
    m) der Regierung neue Bestimmungen vorzuschlagen, die durch den Fortschritt in diesem Bereich notwendig werden,
    n) jährlich einen Bericht über ihre Tätigkeit und über den Stand der Durchführung dieses Gesetzes zu erstellen und dafür zu sorgen, daß dieser Bericht bis zum 30. April des auf das Bezugsjahr folgenden Jahres dem Parlament und der Regierung übermittelt wird,
    o) als zuständige Behörde für die Zusammenarbeit zwischen den Vertragsparteien im Sinne von Artikel 13 des Übereinkommens Nr. 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten - unterzeichnet in Straßburg am 28. Jänner 1981 und ratifiziert mit Gesetz vom 21. Februar 1989, Nr. 98 - die gegenseitige Hilfe zu leisten, wie dies im IV. Kapitel des genannten Übereinkommens vorgesehen ist,
    p) die Verarbeitungen laut Artikel 4 zu beaufsichtigen und, auch auf Antrag des Betroffenen, zu prüfen, ob die gesetzlich vorgeschriebenen Voraussetzungen gegeben sind.
    2. Der Ministerpräsident und alle Minister beraten sich mit der Datenschutzbehörde, sobald sie Verordnungen und Verwaltungsakte vorbereiten, die auf den von diesem Gesetz geregelten Sachbereich Einfluß haben könnten.
    3. Das in Absatz 1 Buchstabe a) dieses Artikels genannte Register ist nach Artikel 33 Absatz 5 zu führen. Innerhalb eines Jahres ab ihrer Einsetzung trifft die Datenschutzbehörde mit den Provinzen und eventuell mit anderen öffentlichen Verwaltungen Vereinbarungen, um zu gewährleisten, daß mit wenigstens einem auf Provinzebene angeschlossenen Terminal im Register nachgeschlagen werden kann; dieser Terminal sollte im Amt für Öffentlichkeitsarbeit laut Artikel 12 des Legislativdekretes vom 3. Februar 1993, Nr. 29, in geltender Fassung, untergebracht sein.
    4. Gegen das Verbot laut Absatz 1 Buchstabe l) dieses Artikels kann im Sinne von Artikel 29 Absätze 6 und 7 Einspruch erhoben werden.
    5. Die Datenschutzbehörde und die Informatikbehörde arbeiten bei der Wahrnehmung ihrer Aufgaben zusammen. Zu diesem Zweck laden sie gegenseitig den Vorsitzenden oder ein von diesem bevollmächtigtes Mitglied des anderen Organs zu ihren Sitzungen ein, damit sie sich an der Diskussion über Tagesordnungspunkte, die beide Organe betreffen, beteiligen können. Sie können auch die Mitarbeit von spezialisiertem Personal, das dem anderen Organ zugeteilt ist, anfordern.
    6. Absatz 5 gilt auch für die Beziehungen zwischen der Datenschutzbehörde und den Aufsichtsbehörden für das Kreditwesen, das Versicherungswesen, und das Rundfunk- und Verlagswesen.
     
    Art. 32
    (Ermittlungen und Kontrollen)
     
    1. Zur Wahrnehmung ihrer Aufgaben kann die Datenschutzbehörde vom Rechtsinhaber, vom Verantwortlichen, vom Betroffenen, aber auch von Dritten Informationen und Unterlagen verlangen.
    2. Wenn es zur Kontrolle über die Einhaltung der Bestimmungen über personenbezogene Daten erforderlich ist, kann die Datenschutzbehörde den Zugriff auf Datenbanken oder andere Inspektionen und Überprüfungen an Orten, an denen die Daten verarbeitet werden oder zum Zwecke der Kontrolle Nachforschungen angestellt werden müssen, anordnen; bei Bedarf nimmt sie die Mitarbeit anderer Staatsstellen in Anspruch.
    3. Die in Absatz 2 genannten Ermittlungen werden mit Genehmigung des Vorsitzenden jenes Landesgerichts angeordnet, das für den Ort, in dem die Ermittlung durchgeführt werden soll, zuständig ist, wobei das Gericht den Antrag der Datenschutzbehörde unverzüglich mit begründetem Dekret beantwortet; nähere Bestimmungen darüber werden mit der Verordnung gemäß Artikel 33 Absatz 3 festgelegt.
    4. Wer an einer Ermittlung interessiert ist, hat deren Durchführung zu veranlassen.
    5. Artikel 220 der Durchführungs-, Koordinierungs- und Übergangsbestimmungen zur Strafprozeßordnung, genehmigt mit Legislativdekret vom 28. Juli 1989, Nr. 271, bleibt aufrecht.
    6. Was die Verarbeitung laut Artikel 4 und Artikel 14 Absatz 1 betrifft, werden die Ermittlungen von einem von der Datenschutzbehörde bestellten Mitglied durchgeführt. Ergibt sich, daß die Verarbeitung nicht nach den einschlägigen Rechtsvorschriften durchgeführt wird, weist die Datenschutzbehörde den Rechtsinhaber oder den Verantwortlichen auf die nötigen Änderungen hin und überprüft deren Durchführung. Wurde die Ermittlung vom Betroffenen beantragt, so wird diesem auf jeden Fall das Ermittlungsergebnis mitgeteilt, sofern nicht Gründe laut Artikel 10 Absatz 4 des Gesetzes vom 1. April 1981, Nr. 121, ersetzt durch Artikel 42 Absatz 1 dieses Gesetzes, oder Gründe der Verteidigung oder Sicherheit des Staates dagegen sprechen.
    7. Die Ermittlungen laut Absatz 6 sind nicht delegierbar. Wenn die Besonderheit der Ermittlungen es erfordert, kann das beauftragte Mitglied die Mitarbeit spezialisierten Personals in Anspruch nehmen, das im Sinne von Artikel 33 Absatz 6 an das Datengeheimnis gebunden ist. Die angeforderten Unterlagen und Dokumente werden so aufbewahrt, daß ihre Geheimhaltung gewährleistet ist; nur die Datenschutzbehörde und, wenn zur Bewältigung ihrer Aufgaben erforderlich, eine bestimmte Anzahl von Mitarbeitern des Datenschutzamtes dürfen davon Kenntnis erlangen; diese Mitarbeiter werden von der Datenschutzbehörde nach den Kriterien bestimmt, die in der Verordnung laut Artikel 33 Absatz 3 festgelegt werden. Bei Ermittlungen über Stellen laut Artikel 4 Absatz 1 Buchstabe b) nimmt das beauftragte Mitglied Einsicht in die relevanten Unterlagen und Dokumente und berichtet in den Sitzungen der Datenschutzbehörde mündlich darüber.
     
    Art. 33
    (Datenschutzamt)
     
    1. Der Datenschutzbehörde ist ein Amt unterstellt, dem Bedienstete des Staates und anderer öffentlicher Verwaltungen zugeteilt werden; diese Bediensteten werden nach der jeweiligen Personalordnung aus dem Stellenplan ausgegliedert, ihr Dienst im Datenschutzamt wird in jeder Hinsicht jenem bei der Herkunftsverwaltung gleichgestellt. Das Stellenkontingent wird innerhalb von neunzig Tagen ab der Wahl der Datenschutzbehörde auf deren Vorschlag hin mit Dekret des Ministerpräsidenten, im Einvernehmen mit dem Schatzminister und dem Minister für öffentliche Verwaltung, festgelegt, wobei nicht mehr als fünfundvierzig Stellen vorgesehen werden dürfen. Der Generalsekretär kann auch unter den ordentlichen Richtern oder den Verwaltungsrichtern ausgewählt werden. und 
    2. Die Verwaltungskosten für das Datenschutzamt werden einem Fonds angelastet, der zu diesem Zweck im Staatshaushalt bereitgestellt und in ein entsprechendes Kapitel des Haushaltsvoranschlages des Schatzministeriums eingetragen wird. Die Rechnungslegung muß dem Rechnungshof zur Prüfung unterbreitet werden.
    3. Die Bestimmungen über die Organisation und die Arbeitsweise des Datenschutzamtes sowie jene zur Regelung der Einhebung der Sekretariatsgebühren und der Ausgabengebarung - sie können auch von den Bestimmungen über die allgemeine Rechnungslegung des Staates abweichen - werden innerhalb von drei Monaten ab Inkrafttreten dieses Gesetzes mit einer Verordnung festgelegt, die mit Dekret des Präsidenten der Republik auf Vorschlag des Ministerpräsidenten, den dieser im Einvernehmen mit dem Schatzminister, dem Justizminister und dem Innenminister macht, auf ein positives Gutachten der Datenschutzbehörde hin sowie nach Anhören des Staatsrates auf Grund eines Beschlusses des Ministerrates erlassen wird. In dieser Verordnung sind auch nähere Bestimmungen über das Verfahren vor der Datenschutzbehörde gemäß Artikel 29 Absätze 1 bis 5 festzulegen, wobei die rasche Abwicklung des Verfahrens und die Wahrung des Grundsatzes des rechtlichen Gehörs beider Parteien gewährleistet werden müssen. Schließlich sind mit der genannten Verordnung die Modalitäten für die Wahrnehmung der in Artikel 13 genannten Rechte und für die Meldung laut Artikel 7 - durch Datenfernübertragung oder mit Hilfe von Datenträgern, durch Einschreiben mit Rückschein oder durch ein anderes geeignetes Verfahren - genauer zu beschreiben. Das Gutachten des Staatsrates zum Verordnungsentwurf wird innerhalb von dreißig Tagen ab Erhalt der entsprechenden Aufforderung abgegeben; nach Ablauf dieser Frist kann die Verordnung ohne Gutachten erlassen werden.
    4. Ist es aus technischen Gründen oder wegen besonders heikler Probleme erforderlich, kann die Datenschutzbehörde Berater beiziehen, die nach einschlägigem Tarif bezahlt werden.
    5. Zur Bewältigung seiner Aufgaben kann das Datenschutzamt mit eigenen Datenverarbeitungssystemen und mit Datenübermittlungsgeräten arbeiten oder, mit den von diesem Gesetz vorgesehenen Garantien, jene der Informatikbehörde oder, falls diese nicht verfügbar sind, jene vertragsgebundener öffentlicher Körperschaften in Anspruch nehmen.
    6. Das Personal des Datenschutzamtes und die Berater sind bei allem, was sie bei ihrer Arbeit über Datenbanken und Verarbeitungsmethoden erfahren, an das Amtsgeheimnis gebunden.
     
     
    VIII. Kapitel
    SANKTIONEN
     
    Art. 34
    (Unterlassene oder nicht wahrheitsgetreue Meldung)
     
    1. Wer seiner Meldepflicht gemäß Artikel 7 und 28 nicht nachkommt oder eine nicht vollständige oder nicht wahrheitsgetreue Meldung abgibt, wird mit Gefängnis von drei Monaten bis zu zwei Jahren bestraft. Handelt es sich um die Meldung laut Artikel 16 Absatz 1, wird eine Gefängnisstrafe bis zu einem Jahr verhängt.
     
    Art. 35
    (Unerlaubte Verarbeitung personenbezogener Daten)
     
    1. Sofern die Tat nicht eine schwerere strafbare Handlung darstellt, wird jeder, der personenbezogene Daten entgegen den Bestimmungen der Artikel 11, 20 und 27 verarbeitet, um für sich oder andere einen Vorteil daraus zu ziehen oder anderen damit zu schaden, mit Gefängnis bis zu zwei Jahren oder, wenn es sich um die Übermittlung oder Verbreitung handelt, mit Gefängnis von drei Monaten bis zu zwei Jahren bestraft.
    2. Sofern die Tat nicht eine schwerere strafbare Handlung darstellt, wird jeder, der personenbezogene Daten entgegen den Bestimmungen der Artikel 21, 22, 23 und 24 oder gegen das Verbot laut Artikel 28 Absatz 3 übermittelt oder verbreitet, um für sich oder andere einen Vorteil daraus zu ziehen oder anderen damit zu schaden, mit Gefängnis von drei Monaten bis zu zwei Jahren bestraft.
    3. Wird jemand durch die in den Absätzen 1 und 2 erwähnten Handlungen geschädigt, so beträgt die Gefängnisstrafe von einem bis zu drei Jahren.
     
    Art. 36
    (Unterlassung der Datensicherung)
     
    1. Wer dazu verpflichtet ist, die zur Sicherung der personenbezogenen Daten erforderlichen Maßnahmen zu ergreifen, dies aber entgegen den Bestimmungen der in Artikel 15 Absätze 2 und 3 vorgesehenen Verordnungen unterläßt, wird mit Gefängnis bis zu einem Jahr bestraft. Wird jemand geschädigt, beträgt die Gefängnisstrafe von zwei Monaten bis zu zwei Jahren.
    2. Wer die strafbare Handlung gemäß Absatz 1 aus Fahrlässigkeit begeht, wird mit Gefängnis bis zu einem Jahr bestraft.
     
    Art. 37
    (Nichtbeachtung der Vorschriften der Datenschutzbehörde)
     
    1. Wer verpflichtet ist, die Vorschriften der Datenschutzbehörde im Sinne von Artikel 22 Absatz 2 oder Artikel 29 Absätze 4 und 5 zu befolgen, sie aber nicht beachtet, wird mit Gefängnis von drei Monaten bis zu zwei Jahren bestraft.
     
    Art. 38
    (Nebenstrafe)
     
    1. Bei Verurteilung wegen eines der in diesem Gesetz vorgesehenen Verbrechen ist das Urteil zu veröffentlichen.
     
    Art. 39
    (Verwaltungsstrafen)
     
    1. Wer Informationen und Unterlagen, die von der Datenschutzbehörde im Sinne von Artikel 29 Absatz 4 und Artikel 32 Absatz 1 verlangt werden, nicht liefert, wird mit einer Geldbuße von einer bis zu sechs Millionen Lire bestraft.
    2. Wer gegen Artikel 10 oder Artikel 23 Absatz 2 verstößt, wird mit einer Geldbuße von fünfhunderttausend bis zu drei Millionen Lire bestraft.
    3. Für die Entgegennahme des Berichts und die Verhängung der in diesem Artikel vorgesehenen Geldbußen ist die Datenschutzbehörde zuständig. Soweit anwendbar, gilt das Gesetz vom 24. November 1981, Nr. 689, in geltender Fassung. Die Erlöse, im Ausmaß von 50% des jährlichen Gesamtbetrages, werden dem Fonds gemäß Artikel 33, Absatz 2, zugewiesen, und ausschließlich für die Erfüllung der Aufgaben nach Artikel 31, Absatz 1, Buchstabe i) und Artikel 32 verwendet.
     
     
    IX. Kapitel
    ÜBERGANGS- UND SCHLUSSBESTIMMUNGEN SOWIE AUFHEBUNG VON RECHTSVORSCHRIFTEN
     
     
    Art. 40
    (Benachrichtigung der Datenschutzbehörde)
     
    1. Die Gerichtskanzlei übermittelt der Datenschutzbehörde eine Kopie der Verfügungen, die von den Gerichtsbehörden im Zusammenhang mit den Bestimmungen dieses Gesetzes und des Gesetzes vom 23. Dezember 1993, Nr. 547, erlassen werden.
     
    Art. 41
    (Übergangsbestimmungen)
     
    1. Unbeschadet der Rechte laut Artikel 13 und 29 werden die in diesem Gesetz enthaltenen Bestimmungen über die erforderliche Einwilligung des Betroffenen nicht auf personenbezogene Daten angewandt, die vor Inkrafttreten dieses Gesetzes erhoben wurden oder mit deren Verarbeitung vor diesem Tag begonnen wurde. Die in diesem Gesetz vorgesehenen Bestimmungen über die Übermittlung und Verbreitung der Daten bleiben aufrecht.
    2. Wurde mit der Verarbeitung personenbezogener Daten vor dem 1. Jänner 1998 begonnen, müssen die Meldungen laut Artikel 7 und 28 vom 1. Jänner 1998 bis zum 31. März 1998 oder, wenn es sich um die Verarbeitung nach Artikel 5 von anderen als den in den Artikeln 22 und 24 vorgesehenen Daten oder um die Verarbeitung nach Artikel 4 Absatz 1 Buchstaben c), d), oder e) handelt, vom 1. April 1998 bis zum 30. Juni 1998 gemacht werden.
    3. Die Mindestsicherungsmaßnahmen laut Artikel 15 Absatz 2 müssen innerhalb von sechs Monaten ab Inkrafttreten der dort vorgesehenen Verordnung getroffen werden. Bis zu diesem Termin müssen die personenbezogenen Daten so verwahrt werden, daß die Zunahme der Gefahren laut Artikel 15 Absatz 1 ausgeschlossen ist.
    4. Die Maßnahmen laut Artikel 15 Absatz 3 müssen innerhalb von sechs Monaten ab Inkrafttreten der dort vorgesehenen Verordnungen getroffen werden.
    5. In den vierundzwanzig Monaten nach Inkrafttreten dieses Gesetzes dürfen Daten laut Artikel 22 Absatz 3 von öffentlichen Rechtsträgern, ausgenommen öffentliche Körperschaften mit Gewinnabsicht, sowie Daten laut Artikel 24 nach Mitteilung an die Datenschutzbehörde auch dann verarbeitet werden, wenn die dort angeführten Gesetzesbestimmungen noch nicht erlassen sind.
    6. Bei der ersten Anwendung dieses Gesetzes und bis zur Wahl der Datenschutzbehörde im Sinne von Artikel 30 werden deren Aufgaben - außer die Prüfung der Beschwerden laut Artikel 29 - vom Vorsitzenden der Informatikbehörde wahrgenommen.
    7. Soweit dieses Gesetz die Erlaubnis der Datenschutzbehörde betrifft, wird es, beschränkt auf diese Erlaubnis und mit Ausnahme von Artikel 28 Absatz 4 Buchstabe g), ab 30. November 1997 angewandt. Es kann von der Datenschutzbehörde auch in dem Sinne angewandt werden, daß sie eine Sammelerlaubnis für bestimmte Kategorien von Rechtsinhabern oder von Verarbeitungen erteilt.
    7-bis. Bei der ersten Anwendung dieses Gesetzes läuft die Frist für die Erteilung der Informationen laut Artikel 10 Absatz 3 und für die Mitteilungen laut Artikel 27 Absatz 2 bis zum 30. November 1997.
     
    Art. 42
    (Änderung bestehender Rechtsvorschriften)
     
    1. Artikel 10 des Gesetzes vom 1. April 1981, Nr. 121, wird durch folgenden ersetzt:
    "Art. 10 - Kontrollen - 1. Die Aufsicht über das DV-Zentrum wird von der Behörde für den Schutz der personenbezogenen Daten (Datenschutzbehörde) in der vom Gesetz und von den Verordnungen vorgesehenen Weise ausgeübt.
    2. In den Archiven des Zentrums verwahrte Daten und Informationen dürfen bei Gerichts- oder Verwaltungsverfahren nur dann verwendet werden, wenn die Originalquellen gemäß Artikel 7 Absatz 1 herangezogen werden; Artikel 240 der Strafprozeßordnung bleibt aufrecht. Stellt sich im Laufe eines Gerichts- oder Verwaltungsverfahrens heraus, daß die Daten und Informationen falsch oder unvollständig sind oder widerrechtlich verarbeitet wurden, so verständigt die Behörde, die das Verfahren leitet, die Datenschutzbehörde.
    3. Die Person, auf die sich die Daten beziehen, kann vom Amt laut Artikel 5 Absatz 1 Buchstabe a) verlangen, das Vorhandensein von Daten zu seiner Person zu bestätigen, sie in verständlicher Form mitzuteilen und, bei widerrechtlicher Verarbeitung, sie zu löschen oder zu anonymisieren.
    4. Nach den notwendigen Ermittlungen teilt das Amt dem Antragsteller innerhalb von zwanzig Tagen ab der Anfrage seinen Entschluß mit. Das Amt ist nicht verpflichtet, der Anfrage nachzukommen, wenn dadurch Handlungen oder Operationen zur Wahrung der öffentlichen Ordnung und Sicherheit oder zur Verbrechensvorbeugung und -bekämpfung beeinträchtigt würden, es verständigt aber die Datenschutzbehörde.
    5. Wer erfährt, daß Daten zu seiner Person widerrechtlich verarbeitet wurden - dies gilt auch für nicht automatisierte Verfahren -, kann beim Landesgericht des Ortes, an dem der für die Datenverarbeitung zuständige Rechtsinhaber seinen Wohn- oder Firmensitz hat, beantragen, daß es zweckdienliche Ermittlungen durchführt und die Änderung, die Ergänzung, die Löschung oder die Anonymisierung der Daten anordnet. Das Landesgericht geht dabei nach Artikel 737 und folgende der Zivilprozeßordnung vor."
    2. Artikel 4 Absatz 1 des Legislativdekretes vom 12. Februar 1993, Nr. 39, wird durch folgenden ersetzt: 
    "1. Es wird die Behörde für Informatik in der öffentlichen Verwaltung eingesetzt, die völlig unabhängig und mit freier Urteils- und Bewertungsbefugnis arbeitet; sie wird in diesem Dekret als ‘Informatikbehörde’ bezeichnet."
    3. Artikel 5 Absatz 1 des Legislativdekretes vom 12. Februar 1993, Nr. 39, wird durch folgenden ersetzt: 
    "1. Nähere Bestimmungen über die Organisation und die Arbeitsweise der Informatikbehörde, die Schaffung des Stellenplans für das Personal, dessen rechtliche Stellung, Besoldung und Laufbahnentwicklung sowie die Ausgabengebarung in dem von diesem Dekret vorgesehenen Rahmen - auch abweichend von den Bestimmungen über die allgemeine Rechnungslegung des Staates - werden mit Verordnung festgelegt, die mit Dekret des Präsidenten der Republik auf Vorschlag des Ministerpräsidenten, den dieser im Einvernehmen mit dem Schatzminister macht, auf ein gleichlautendes Gutachten der Informatikbehörde hin sowie nach Anhören des Staatsrates auf Grund eines Beschlusses des Ministerrates erlassen wird. Das Gutachten des Staatsrates zum Verordnungsentwurf wird innerhalb von dreißig Tagen ab Erhalt der entsprechenden Aufforderung abgegeben; nach Ablauf dieser Frist kann die Verordnung ohne Gutachten erlassen werden. Es wird die Besoldung gewährt, die für das Personal des Garanten für das Rundfunk- und Verlagswesen oder das Personal der Stelle, die eventuell deren Aufgaben übernimmt, vorgesehen ist. Die Höchstgrenze von hundertfünfzig Bediensteten bleibt aufrecht. Ebenso aufrecht bleiben die Bereitstellungen auf den Kapiteln laut Absatz 2, so wie sie für 1995 festgelegt wurden, wobei die in der IV. Kategorie für den Dreijahreszeitraum 1996-1998 vorgesehene Erhöhungsgrenze einzuhalten ist."
    4. In Artikel 9 Absatz 2 und Artikel 10 Absatz 2 des Gesetzes vom 30. September 1993, Nr. 388, wird die Bezeichnung "Datenschutzgarant" durch folgende ersetzt: "Datenschutzbehörde".
     
    Art. 43
    (Aufhebung von Rechtsvorschriften)
     
    1. Alle Rechtsvorschriften, die mit diesem Gesetz unvereinbar sind, und im besonderen Artikel 8 Absatz 4 und Artikel 9 Absatz 4 des Gesetzes vom 1. April 1981, Nr. 121, sind aufgehoben. Innerhalb von sechs Monaten ab Erlaß des Dekretes laut Artikel 33 Absatz 1 dieses Gesetzes übermittelt der Innenminister dem Datenschutzamt alle Informationen, die bis zu diesem Zeitpunkt in Durchführung des genannten Artikel 8 des Gesetzes Nr. 121/1981 gesammelt wurden.
    2. Aufrecht bleiben das Gesetz vom 20. Mai 1970, Nr. 300, in geltender Fassung und, soweit vereinbar, das Gesetz vom 5. Juni 1990, Nr. 135, in geltender Fassung, das Legislativdekret vom 6. September 1989, Nr. 322, sowie die Bestimmungen über den Zugang zu Verwaltungsunterlagen und über die Staatsarchive. Ebenso aufrecht bleiben die Rechtsvorschriften, in denen strengere Verbote oder Einschränkungen im Bereich der Verarbeitung bestimmter personenbezogener Daten festgelegt sind.
    3. Was die Verarbeitung laut Artikel 4 Absatz 1 Buchstabe e) dieses Gesetzes betrifft, bleibt die Pflicht zur Lieferung von Daten und Informationen gemäß Artikel 6 Absatz 1 Buchstabe a) des Gesetzes vom 1. April 1981, Nr. 121, aufrecht.
     
     
    X. Kapitel
    FINANZIERUNG UND INKRAFTTRETEN
     
     
    Art. 44
    (Finanzierung)
     
    1. Die mit der Durchführung dieses Gesetzes verbundene Ausgabe - sie wird für das Jahr 1997 auf 8.029 Millionen Lire und ab 1998 auf jährlich 12.045 Lire geschätzt - wird durch entsprechende Verminderung der Bereitstellung gedeckt, die für den Dreijahreshaushalt 1997-1999 im Kapitel 6856 des Haushaltsvoranschlages 1997 des Schatzministeriums eingetragen ist; für 1997 werden zu diesem Zweck 4.553 Millionen Lire von der Rückstellung für das Außenministerium und 3.476 Millionen Lire von der Rückstellung für das Ministerratspräsidium verwendet, für die Jahre 1998 und 1999 hingegen 6.830 Millionen Lire von den veranschlagten Mitteln für das Außenministerium und 5.215 Millionen Lire von den veranschlagten Mitteln für das Ministerratspräsidium.
    2. Der Schatzminister ist befugt, mit Dekret die nötigen Haushaltsänderungen vorzunehmen.
     
    Art. 45
    (Inkrafttreten)
     
    1. Dieses Gesetz tritt hundertzwanzig Tage nach seiner Kundmachung im Gesetzesanzeiger der Republik in Kraft. Auf die nicht automatisierte Verarbeitung personenbezogener Daten und auf die automatisierte Verarbeitung, bei der keine Daten laut Artikel 22 und 24 betroffen sind, wird dieses Gesetz ab 1. Jänner 1998 angewandt. Unbeschadet von Artikel 9 Absatz 2 des Gesetzes vom 30. September 1993, Nr. 388, tritt dieses Gesetz am Tag nach seiner Kundmachung im Gesetzesanzeiger in Kraft, soweit es die Datenverarbeitung gemäß der in Artikel 4 Absatz 1 Buchstabe a) genannten Konvention und die Bestellung der Datenschutzbehörde betrifft.
     
    Dieses Gesetz wird mit dem Staatssiegel versehen und in die amtliche Sammlung der Rechtsvorschriften der Republik Italien eingefügt. Jeder, dem es obliegt, ist verpflichtet, es zu befolgen und für seine Befolgung zu sorgen.

    Gegeben zu Rom, am 31. Dezember 1996

    SCALFARO