Trattamento dei dati personali effettuato per finalità di polizia. Il testo del DPR 15/2018

Privacy. Pubblicato in G.U. il D.P.R. 15 gennaio 2018, n. 15 in materia di protezione dei dati personali. E' il regolamento sul trattamento dei dati effettuato, per finalità di polizia, da organi, uffici e comandi di polizia

Trattamento dei dati personali effettuato per finalità di polizia. Il testo del DPR 15/2018

Pubblicata in Gazzetta Ufficiale  n.61 del 14 marzo 2018 il D.P.R. 15 gennaio 2018, n. 15 titolato "Regolamento a norma dell'articolo 57 del decreto legislativo 30 giugno 2003, n. 196, recante l'individuazione delle modalita' di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalita' di polizia, da organi, uffici e comandi di polizia".

La nuova normativa sarà in vigore a partire dal 29 marzo 2018.

 

---------------------------------------

 

Di seguito il testo del provvedimento.

 

Decreto del Presidente della Repubblica 15 gennaio 2018, n. 15

Regolamento a norma dell'articolo 57 del decreto legislativo 30 giugno 2003, n. 196, recante l'individuazione delle modalita' di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalita' di polizia, da organi, uffici e comandi di polizia.

 

IL PRESIDENTE DELLA REPUBBLICA
Visto l'articolo 87, quinto comma, della Costituzione;
Visto l'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, recante «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri»;
Vista la legge 1° aprile 1981, n, 121, recante «Nuovo ordinamento dell'amministrazione della pubblica sicurezza»;
Vista la Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981, ratificata e resa esecutiva con la legge 21 febbraio 1989, n. 98;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali» e, in particolare, l'articolo 57, il quale prevede che, con decreto del Presidente della Repubblica, siano individuate le modalita' di attuazione dei principi del codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalita' di polizia di cui all'articolo 53, dal centro elaborazione dati e da organi, uffici o comandi di polizia, anche in attuazione della raccomandazione R (87) 15 del Consiglio d'Europa del 17 settembre 1987 e successive modificazioni;
Vista la legge 30 giugno 2009, n. 85, di adesione della Repubblica italiana al Trattato di Prüm, concluso il 27 maggio 2005, e di istituzione della banca dati nazionale del DNA e del laboratorio centrale per la banca dati nazionale del DNA;
Vista la decisione quadro 2006/960/GAI del Consiglio, del 18 dicembre 2006, relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorita' degli Stati membri dell'Unione europea incaricate dell'applicazione della legge;
Visto il decreto legislativo 23 aprile 2015, n. 54, recante «Attuazione della decisione quadro 2006/960/GAI del Consiglio, del 18 dicembre 2006»;
Vista la raccomandazione del Consiglio d'Europa n. R (87) 15, adottata dal Comitato dei ministri il 17 settembre 1987, e successive modificazioni, che disciplina l'uso di dati personali nel settore della polizia;
Visto il protocollo n. 181 dell'8 novembre 2001, aggiuntivo alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale n. 108 del 1981, concernente le autorita' di controllo e i flussi internazionali di dati;
Visto il regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II);
Vista la decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II);
Vista la decisione 2007/845/GAI del Consiglio, del 6 dicembre 2007, concernente la cooperazione tra gli uffici degli Stati membri per il recupero dei beni nel settore del reperimento e dell'identificazione dei proventi di reato o altri beni connessi;
Vista la decisione 2008/615/GAI del Consiglio, del 23 giugno 2008, sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalita' transfrontaliera;
Vista la decisione 2008/616/GAI del Consiglio, del 23 giugno 2008, relativa all'attuazione della decisione 2008/615/GAI sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalita' transfrontaliera;
Vista la decisione 2008/633/GAI del Consiglio, del 23 giugno 2008, relativa all'accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorita' designate degli Stati membri e di Europol ai fini della prevenzione, dell'individuazione e dell'investigazione di reati di terrorismo e altri reati gravi;
Vista la decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale;
Visto il regolamento (UE) n. 603/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, che istituisce l'«Eurodac» per il confronto delle impronte digitali per l'efficace applicazione del regolamento (UE) n. 604/2013 che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide e per le richieste di confronto con i dati Eurodac presentate dalle autorita' di contrasto degli Stati membri e da Europol a fini di contrasto, e che modifica il regolamento (UE) n. 1077/2011 che istituisce un'agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di liberta', sicurezza e giustizia;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995;
Vista la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;
Vista la direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei gravi reati;
Visto il regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, istitutivo dell'Agenzia dell'Unione europea per la cooperazione nell'attivita' di contrasto (Europol), che sostituisce le decisioni ed abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI;
Acquisito il parere del Garante per la protezione dei dati personali del 2 marzo 2017;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 28 luglio 2017;
Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'Adunanza del 31 agosto 2017;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 1° dicembre 2017;
Sulla proposta del Presidente del Consiglio dei ministri e del Ministro dell'interno, di concerto con il Ministro della giustizia;
Emana
il seguente regolamento;

Capo I
Disposizioni generali

Art. 1
Oggetto e ambito di applicazione

1. Il presente regolamento individua le modalita' di attuazione dei principi del Codice in materia di protezione dei dati personali, adottato con il decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice», relativamente ai trattamenti effettuati, anche senza l'ausilio di strumenti elettronici, da organi, uffici e comandi di polizia, per le finalita' di polizia di cui all'articolo 53 del Codice.
2. Il presente regolamento non si applica ai trattamenti di dati personali effettuati per finalita' amministrative. In conformita' a quanto previsto dall'articolo 54, comma 2, del Codice, tali dati sono conservati separatamente da quelli registrati per finalita' di polizia, salvo che non siano necessari, in casi specifici, nell'ambito di un'attivita' informativa, di sicurezza o di indagine di polizia giudiziaria.
3. Il presente regolamento non si applica ai soggetti pubblici che, pur effettuando il trattamento dei dati personali per le finalita' di polizia di cui all'articolo 3, non rientrano nella categoria degli organi, uffici e comandi di cui all'articolo 57 del Codice.

Art. 2
Definizioni

1. Ai fini del presente regolamento, ferme restando le definizioni di cui all'articolo 4 del Codice, con le parole: «autorita' competente degli Stati membri dell'Unione europea o degli Stati terzi» si intende qualsiasi autorita' pubblica di uno Stato membro dell'Unione europea o di uno Stato terzo che, in base alla legislazione interna, sia competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, ovvero qualsiasi altro organismo o entita' incaricati dal diritto dello Stato membro dell'Unione europea o del Paese terzo di esercitare l'autorita' pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.

Art. 3
Finalita' dei trattamenti

1. I trattamenti di dati personali si intendono effettuati per le finalita' di polizia, ai sensi dell'articolo 53 del Codice, quando sono direttamente correlati all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonche' di polizia giudiziaria, svolti, ai sensi del codice di procedura penale, per la prevenzione e repressione dei reati.
2. E' compatibile con le finalita' di polizia, di cui al comma 1, l'ulteriore trattamento, ai sensi dell'articolo 99 del Codice, per finalita' storiche, scientifiche e, previa trasformazione in forma anonima, per finalita' statistiche, anche per le esigenze di analisi dei fenomeni criminali e dei risultati dell'azione di contrasto al crimine, nonche' dell'attivita' di tutela dell'ordine e della sicurezza pubblica.
3. Il trattamento dei dati personali per le finalita' storiche e scientifiche di cui al comma 2 e' consentito ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti.

Art. 4
Qualita' dei dati trattati

1. Ai sensi dell'articolo 11 del Codice, i dati personali oggetto di trattamento sono esatti e, se necessario, aggiornati, pertinenti, completi e non eccedenti rispetto alle finalita' di cui all'articolo 3.
2. Gli organi, uffici e comandi di polizia, ai sensi dell'articolo 54, comma 4, del Codice, verificano i requisiti di cui al comma 1, per quanto possibile, in occasione dell'utilizzo dei dati personali effettuato nell'ambito di un'attivita' informativa, di sicurezza o di indagine di polizia giudiziaria.
3. Il titolare o il responsabile del trattamento informano il Garante delle direttive impartite in merito alle verifiche di cui al comma 2.

Art. 5
Configurazione dei sistemi informativi e dei programmi informatici

1. Ai sensi dell'articolo 3 del Codice, in relazione ai trattamenti automatizzati, i sistemi informativi e i programmi informatici sono configurati in modo da ridurre al minimo l'utilizzo di dati personali e identificativi, escludendone comunque il trattamento quando le finalita' di cui all'articolo 3 possono essere perseguite mediante dati anonimi o modalita' che consentono di identificare la persona interessata solo in caso di necessita'.
2. I nuovi sistemi informativi e programmi informatici sono progettati in modo che i dati personali siano cancellati o resi anonimi, con modalita' automatizzate, allo scadere dei termini di conservazione di cui all'articolo 10. Essi, inoltre, sono progettati in modo da consentire la registrazione in appositi registri degli accessi e delle operazioni, di seguito «file di log», effettuati dagli operatori abilitati.

Art. 6
Trattamenti che presentano rischi specifici

1. I trattamenti dei dati personali che implicano maggiori rischi di un danno alla persona interessata, con particolare riguardo alle banche di dati genetici o biometrici, alle tecniche basate su dati relativi all'ubicazione, alle banche dati e ai trattamenti di cui all'articolo 7 basati su particolari tecniche di elaborazione delle informazioni o su particolari tecnologie, sono effettuati nel rispetto delle misure e degli accorgimenti prescritti dal Garante ai sensi dell'articolo 17 del Codice, sulla base di preventiva comunicazione inviata con le modalita' indicate nell'articolo 39 del Codice.
2. Gli accessi e le operazioni effettuati dagli operatori abilitati relativamente ai dati di cui al comma 1, soggetti a trattamento automatizzato, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti da speciali disposizioni.
3. Gli accessi ai file di log di cui al comma 2 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.

Art. 7
Uso di particolari tecniche di elaborazione delle informazioni

1. L'uso, anche per finalita' di analisi, di particolari tecniche di elaborazione delle informazioni, ivi inclusi i sistemi di indice, e' consentito ai soli operatori a cio' abilitati e designati, secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e nell'ambito di specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria.
2. Gli accessi e le operazioni effettuati dagli operatori abilitati di cui al comma 1, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione.
3. Gli accessi ai file di log di cui al comma 2 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.

Art. 8
Trattamento di dati per esigenze temporanee

1. E' consentito il trattamento dei dati personali per esigenze temporanee o in relazione a situazioni particolari che sono direttamente correlate all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonche' di polizia giudiziaria.
2. I dati personali di cui al comma 1 sono trattati nel rispetto dei principi richiamati dagli articoli 4, 5 e 6.
3. I dati personali di cui al comma 1 sono conservati separatamente da quelli registrati permanentemente, per un periodo di tempo non superiore a quello necessario agli scopi specifici per i quali sono stati raccolti e, comunque, non oltre 10 anni dalla cessazione dell'esigenza o della situazione particolare che ne hanno reso necessario il trattamento. Si applicano i termini di conservazione di cui all'articolo 10 se tali dati rientrano nelle categorie dallo stesso previste.
4. Cessata l'esigenza o la situazione particolare, l'accesso ai dati di cui al comma 1 e' consentito ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e nell'ambito di specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria.

Art. 9
Collegamenti con altre banche dati

1. Per l'acquisizione di dati, informazioni, atti e documenti, e' consentita l'attivazione di collegamenti telematici con banche dati di pubbliche amministrazioni o di privati, in conformita' alle disposizioni di legge o di regolamento e nel rispetto dei principi richiamati dagli articoli 4 e 5.
2. I dati e le informazioni sono acquisiti attraverso consultazione per mezzo di tecnologie dell'informazione e della comunicazione senza duplicazione di archivi e banche dati.
3. Il collegamento e' attivato con modalita' tali da consentire l'accesso selettivo ai soli dati e informazioni necessari per il conseguimento delle finalita' di cui all'articolo 3.
4. Per l'attivazione dei collegamenti gli organi, uffici e comandi di polizia possono avvalersi, ai sensi dell'articolo 54 del Codice, di convenzioni sottoscritte sulla base di schemi adottati dal Ministero dell'interno, su conforme parere del Garante.

Capo II
Termini di conservazione dei dati

Art. 10
Termini di conservazione dei dati

1. I dati personali oggetto di trattamento sono conservati per un periodo di tempo non superiore a quello necessario per il conseguimento delle finalita' di polizia di cui all'articolo 3.
2. I dati personali soggetti a trattamento automatizzato, trascorsa la meta' del tempo massimo di conservazione di cui al comma 3, se uguale o superiore a quindici anni, sono accessibili ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e in relazione a specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria.
3. Fatto salvo quanto previsto dai commi 6 e 7, i dati personali non possono essere conservati oltre il termine massimo fissato come segue;
a) dati relativi a provvedimenti di natura interdittiva, di sicurezza e cautelare, nonche' a misure restrittive della liberta' personale conseguenti ad una sentenza di condanna - 20 anni dalla cessazione della loro efficacia;
b) dati relativi a misure di prevenzione di carattere personale e patrimoniale - 25 anni dalla cessazione della loro efficacia;
c) dati relativi a procedimenti, misure e provvedimenti su cui interviene una procedura di annullamento, invalidazione o revoca - 3 anni dalla data di inoppugnabilita' del provvedimento di annullamento, invalidazione o revoca;
d) dati relativi a provvedimenti che dichiarano l'estinzione della pena o del reato - 8 anni dall'inoppugnabilita' del provvedimento;
e) dati derivanti da attivita' informativa e ispettiva svolta per le finalita' di cui all'articolo 3 - 15 anni dall'ultimo trattamento;
f) dati relativi ad attivita' di polizia giudiziaria conclusa con provvedimento di archiviazione - 20 anni dall'emissione del provvedimento;
g) dati relativi ad attivita' di polizia giudiziaria conclusa con sentenza di assoluzione o di non doversi procedere - 20 anni dal passaggio in giudicato della sentenza;
h) dati relativi ad attivita' di polizia giudiziaria conclusa con sentenza di condanna - 25 anni dal passaggio in giudicato della sentenza;
i) dati relativi ad attivita' di indagine o polizia giudiziaria che non hanno dato luogo a procedimento penale - 15 anni dall'ultimo trattamento;
l) dati relativi ad attivita' di prevenzione generale e soccorso pubblico - 5 anni dalla raccolta;
m) dati relativi a controlli di polizia - 20 anni dalla raccolta;
n) dati raccolti per l'analisi criminale e di prevenzione - 10 anni dall'elaborazione dell'analisi;
o) dati relativi a provvedimenti di espulsione e rimpatrio di stranieri - 30 anni dall'esecuzione;
p) dati relativi a nulla osta, licenze, autorizzazioni di polizia - 5 anni dalla scadenza o dalla revoca del titolo;
q) dati relativi alla detenzione delle armi o parti di esse, di munizioni finite e di materie esplodenti di qualsiasi genere - 5 anni dalla cessazione della detenzione;
r) dati relativi a persone detenute negli istituti penitenziari - 30 anni dalla scarcerazione a seguito di espiazione della pena in caso di condanna - 5 anni dalla scarcerazione a seguito di decreto di archiviazione o non luogo a procedere o di sentenza di assoluzione;
s) dati relativi a persone sottoposte a misure di sicurezza detentive - 25 anni dalla scadenza del termine di efficacia della misura;
t) dati relativi alla gestione delle attivita' operative - 10 anni dall'ultimo trattamento;
u) dati raccolti mediante sistemi di ripresa fotografica, audio e video nei servizi di ordine pubblico e di polizia giudiziaria - 3 anni dalla raccolta; dati raccolti mediante sistemi di videosorveglianza o di ripresa fotografica, audio e video di documentazione dell'attivita' operativa - 18 mesi dalla raccolta. Si applicano i diversi termini di conservazione di cui alla lettera b), quando i dati personali sono confluiti in un procedimento per l'applicazione di una misura di prevenzione, o quelli di cui alle lettere a), f), g), h) e i), quando i dati personali sono confluiti in un procedimento penale.
4. I termini di conservazione di cui al comma 3 sono aumentati di due terzi quando i dati personali sono trattati nell'ambito di attivita' preventiva o repressiva relativa ai delitti di cui all'articolo 51, commi 3-bis, 3-quater e 3-quinquies, del codice di procedura penale, nonche' per le ulteriori ipotesi indicate dall'articolo 407, comma 2, lettera a), del codice di procedura penale.
5. Il capo dell'ufficio o il comandante del reparto, prima della scadenza dei termini di cui al comma 3, ove sia strettamente necessario per il conseguimento delle finalita' di polizia di cui all'articolo 3, puo' decidere, sulla base dei criteri definiti dal Capo della polizia - direttore generale della pubblica sicurezza ovvero, su sua delega, dal vice direttore generale di cui all'articolo 4, comma 6, del decreto-legge 29 ottobre 1991, n. 345, convertito, con modificazioni, dalla legge 30 dicembre 1991, n. 410, di aumentare la durata di conservazione, indicandone i motivi in relazione al caso specifico e l'ulteriore periodo di trattamento, che non puo' comunque superare i due terzi di quelli fissati al comma 3.
6. I dati personali soggetti a trattamento non automatizzato, sono conservati per il periodo di tempo previsto dalle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni se superiore a quello di cui al comma 3.
7. Sono fatti salvi i diversi termini e modalita' di conservazione dei dati personali previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale in relazione a specifici trattamenti effettuati per le finalita' di cui all'articolo 3.
8. Decorsi i termini di cui ai commi 1, 3, 4, 5 e 7, i dati personali soggetti a trattamento automatizzato sono cancellati o resi anonimi, i dati personali non soggetti a trattamento automatizzato restano assoggettati alle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni.

Capo III
Raccolta, comunicazione e diffusione dei dati

Art. 11
Limitazioni alla raccolta dei dati

1. E' vietata la raccolta e il trattamento dei dati sulle persone, inclusi quelli genetici e biometrici, per il solo fatto della loro origine razziale o etnica, fede religiosa, opinione politica, orientamento sessuale, stato di salute e delle loro convinzioni filosofiche o di altro genere o della loro adesione ai principi di movimenti sindacali, nonche' per la legittima attivita' che svolgono come appartenenti ad organizzazioni legalmente operanti nei settori sopraindicati.
2. La raccolta e il trattamento dei dati personali di cui al comma 1 sono consentiti quando e' necessario per le esigenze di un'attivita' informativa, di sicurezza o di indagine di polizia giudiziaria o di tutela dell'ordine e della sicurezza ad integrazione di altri dati personali.
3. Resta fermo il divieto, di cui all'articolo 14 del Codice, di basare sul solo trattamento automatizzato di dati personali atti e decisioni che implicano una valutazione del comportamento umano.

Art. 12
Comunicazione dei dati tra Forze di polizia

1. La comunicazione dei dati tra organi, uffici e comandi delle Forze di polizia di cui all'articolo 16 della legge n. 121 del 1981, per le finalita' di polizia di cui all'articolo 3, e' consentita quando e' necessaria per lo svolgimento dei compiti istituzionali, fermi restando gli obblighi di segretezza che incombono sugli ufficiali e agenti di polizia giudiziaria in relazione alle indagini svolte, come stabilito dal codice di procedura penale.

Art. 13
Comunicazione dei dati a pubbliche amministrazioni o enti pubblici e a privati

1. La comunicazione di dati personali a pubbliche amministrazioni o enti pubblici e' consentita esclusivamente nei casi previsti da disposizioni di legge o di regolamento o, nel rispetto dei principi richiamati dall'articolo 4, quando e' necessaria per l'adempimento di uno specifico compito istituzionale dell'organo, ufficio o comando e i dati personali sono necessari per lo svolgimento dei compiti istituzionali del ricevente.
2. La comunicazione di dati personali a privati e' consentita quando e' necessaria per l'adempimento di uno specifico compito istituzionale da parte dell'organo, ufficio o comando per le finalita' di polizia di cui all'articolo 3.
3. La comunicazione dei dati personali a pubbliche amministrazioni o enti pubblici e a privati e', altresi', consentita quando risponde all'interesse della persona cui i dati si riferiscono e, comunque, nei singoli casi in cui e' necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica, o per la salvaguardia della vita e dell'incolumita' fisica di un terzo.
4. Sono fatti salvi, in ogni caso, l'obbligo del segreto di cui all'articolo 329 del codice di procedura penale e i divieti previsti da altre disposizioni di legge o di regolamento.

Art. 14
Diffusione dei dati e delle immagini personali

1. La diffusione di dati personali e' consentita quando e' necessaria per le finalita' di polizia di cui all'articolo 3, fermo restando l'obbligo del segreto di cui all'articolo 329 del codice di procedura penale e fatti salvi i divieti previsti da altre disposizioni di legge o di regolamento; essa e' comunque effettuata nel rispetto della dignita' della persona.
2. La diffusione di immagini personali e' consentita quando la persona interessata ha espresso il proprio consenso o e' necessaria per la salvaguardia della vita o dell'incolumita' fisica o e' giustificata da necessita' di giustizia o di polizia; essa e' comunque effettuata con modalita' tali da non recare pregiudizio alla dignita' della persona.
3. Il Garante e' informato delle direttive generali adottate in ambito nazionale sulla diffusione dei dati o delle immagini personali.

Art. 15
Condizioni della comunicazione e della diffusione dei dati

1. La comunicazione e la diffusione dei dati personali nei casi previsti dagli articoli 12, 13 e 14 sono effettuate previa verifica della loro esattezza, aggiornamento e completezza.
2. Gli organi, uffici e comandi di polizia, nel caso in cui verificano che i dati personali oggetto di comunicazione ai sensi degli articoli 12 e 13 sono inesatti o non aggiornati o incompleti, provvedono a rettificarli e, ove possibile e necessario, ad aggiornarli e completarli. Le operazioni di cui al precedente periodo sono portate a conoscenza, anche per quanto riguarda il loro contenuto, dei destinatari della comunicazione.
3. Gli organi, uffici e comandi di polizia, nel caso in cui verificano che i dati personali oggetto di diffusione ai sensi dell'articolo 14 sono inesatti o non aggiornati o incompleti, provvedono a rettificarli e, ove possibile e necessario, ad aggiornarli e completarli. Le operazioni di cui al precedente periodo sono portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati diffusi, salvo che tale adempimento risulti impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. In ogni caso, il dato personale rettificato, aggiornato o completato e' diffuso nella stessa forma con la quale e' stato diffuso il dato inesatto, non aggiornato o incompleto.

Capo IV
Trattamento dei dati nell'ambito dell'attività di cooperazione internazionale di polizia

Art. 16
Scambio di dati con autorita' competenti degli Stati membri dell'Unione europea e con organismi dell'Unione europea

1. Lo scambio di dati e informazioni personali con le autorita' competenti degli Stati membri dell'Unione europea e con gli organismi dell'Unione europea e' consentito, nell'ambito delle attivita' di cooperazione internazionale di polizia, esclusivamente nei casi, alle condizioni e con le modalita' stabilite da disposizioni di legge o di regolamento o da atti normativi dell'Unione europea.
2. Sono fatti salvi gli accordi o le intese in materia di cooperazione internazionale di polizia sottoscritti e resi esecutivi con Stati membri dell'Unione europea o con organismi dell'Unione europea, qualora non in contrasto con gli atti normativi interni o dell'Unione europea.
3. L'elenco degli accordi e delle intese di cui al comma 2 e' comunicato dal competente Dipartimento del Ministero dell'interno al Garante entro sessanta giorni dall'entrata in vigore del presente regolamento e successivamente aggiornato.

Art. 17
Comunicazione di dati alle autorita' competenti degli Stati terzi o ad organismi internazionali

1. La comunicazione di dati personali alle autorita' competenti degli Stati terzi o ad organismi ed organizzazioni internazionali e' consentita, nell'ambito delle attivita' di cooperazione internazionale di polizia, in conformita' agli accordi o alle intese sottoscritti e resi esecutivi con tali Stati o con organismi e organizzazioni internazionali, qualora non in contrasto con atti normativi interni o dell'Unione europea.
2. La comunicazione di dati personali alle autorita' competenti degli Stati terzi o ad organismi e organizzazioni internazionali e' comunque consentita quando e' necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica di uno Stato membro o di un Paese terzo, o agli interessi essenziali di uno Stato membro, o per la salvaguardia della vita e dell'incolumita' fisica di un terzo.
3. La comunicazione di dati personali puo' essere effettuata in modalita' automatizzata, o secondo i canali di comunicazione codificati a livello internazionale, assicurando l'adozione di misure appropriate, compresa la cifratura, per garantire la riservatezza e l'integrita' dei dati trasmessi.
4. Le comunicazioni di dati personali effettuate ai sensi del presente articolo dagli operatori abilitati sono registrate in appositi file di log, non modificabili che sono conservati per 5 anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti dagli accordi o dalle intese di cui al comma 1.
5. Gli accessi ai file di log di cui al comma 4 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.

Art. 18
Verifica della qualita' dei dati comunicati alle autorita' competenti degli Stati terzi o ad organismi internazionali e di quelli trasmessi dalle autorita' competenti degli Stati terzi o da organismi internazionali

1. La comunicazione dei dati personali nei casi previsti dall'articolo 17 e' effettuata previa verifica della loro esattezza, aggiornamento e completezza.
2. L'organo, ufficio o comando di polizia, nel caso in cui verifica che i dati personali trasmessi ad un'autorita' competente di uno Stato terzo o ad un organismo o organizzazione internazionale sono inesatti o non aggiornati o incompleti, provvede ad informare senza ritardo il destinatario della comunicazione. I dati personali sono rettificati se inesatti e, ove possibile e necessario, aggiornati e completati.
3. L'organo, ufficio o comando di polizia, nel caso in cui ha motivo di ritenere che i dati personali ricevuti da un'autorita' competente di uno Stato terzo o da un organismo o organizzazione internazionale sono inesatti, o non aggiornati o incompleti, provvede ad informare, con le modalita' di cui all'articolo 17, comma 3, l'autorita' competente dello Stato terzo o l'organismo o organizzazione internazionale che ha comunicato i medesimi dati personali. Se i dati personali sono stati trasmessi senza essere stati richiesti, l'organo, ufficio o comando di polizia ricevente valuta immediatamente se tali dati sono necessari per lo scopo per il quale sono stati trasmessi.
4. L'organo, ufficio o comando di polizia, cancella i dati personali che non avrebbero dovuto essere ricevuti.
5. L'organo, ufficio o comando di polizia, cancella o rende anonimi i dati personali lecitamente ricevuti;
a) nel caso in cui essi non sono o non sono piu' necessari per le finalita' per cui sono stati trasmessi;
b) al termine del periodo massimo di conservazione indicato dall'autorita' competente dello Stato terzo o dall'organismo o organizzazione internazionale. Non si fa luogo alla cancellazione nel caso in cui, alla scadenza del predetto periodo massimo di conservazione, i dati personali sono necessari per lo svolgimento di specifiche attivita' informative o di indagine finalizzate alla prevenzione e repressione di reati. In nessun caso i dati sono conservati oltre i termini di conservazione di cui all'articolo 10.
6. L'organo, ufficio o comando di polizia procede al blocco dei dati personali ricevuti quando vi sono motivi per ritenere che la cancellazione degli stessi pregiudicherebbe un legittimo interesse della persona interessata ai sensi delle vigenti disposizioni di legge. I dati bloccati possono essere utilizzati o trasmessi per le sole finalita' che ne hanno impedito la cancellazione.

Art. 19
Trattamento dei dati personali trasmessi dalle autorita' competenti degli Stati terzi o da organismi internazionali

1. I dati personali trasmessi dalle autorita' competenti degli Stati terzi o da organismi o organizzazioni internazionali sono trattati esclusivamente per le finalita' per le quali sono stati trasmessi ovvero, previa acquisizione del parere delle predette autorita', o organismi e organizzazioni internazionali, per le diverse finalita' previste da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.
2. L'organo, ufficio o comando di polizia ricevente assicura il rispetto delle limitazioni al trattamento dei dati personali comunicate dall'autorita' competente dello Stato terzo o dall'organismo o organizzazione internazionale che li ha trasmessi.
Sono fatte salve le deroghe previste da disposizioni di legge, da atti normativi dell'Unione europea o dal diritto internazionale.

Art. 20
Trasferimento dei dati ad autorita' competenti degli Stati membri dell'Unione europea o di altri Stati terzi o ad organismi dell'Unione europea o altri organismi internazionali

1. Il trasferimento dei dati personali trasmessi dalle autorita' competenti degli Stati terzi o da organismi e organizzazioni internazionali ad autorita' competenti degli Stati membri dell'Unione europea o di altri Stati terzi o ad organismi dell'Unione europea o ad altri organismi e organizzazioni internazionali e' consentito esclusivamente nei casi previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.

Art. 21
Trasmissione dei dati ricevuti dalle autorita' competenti degli Stati terzi o da organismi internazionali a privati

1. La trasmissione di dati personali ricevuti dalle autorita' competenti degli Stati terzi o da organismi e organizzazioni internazionali a privati e' consentito esclusivamente nei casi previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale.

Capo V
Trattamento dei dati attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video

Art. 22
Sistemi di videosorveglianza

1. L'utilizzo di sistemi di videosorveglianza e' consentito ove necessario per le finalita' di polizia di cui all'articolo 3 e a condizione che non comporti un'ingerenza ingiustificata nei diritti e nelle liberta' fondamentali delle persone interessate.
2. Gli organi, uffici e comandi di polizia, nel rispetto dei principi richiamati dagli articoli 4, 5 e 6, raccolgono solo i dati strettamente necessari per il raggiungimento delle finalita' di cui all'articolo 3, registrando esclusivamente le immagini indispensabili.

Art. 23
Sistemi di ripresa fotografica, video e audio

1. L'utilizzo di sistemi di ripresa fotografica, video e audio per le finalita' di polizia di cui all'articolo 3, e' consentito ove necessario per documentare: una specifica attivita' preventiva o repressiva di fatti di reato, situazioni dalle quali possano derivare minacce per l'ordine e la sicurezza pubblica o un pericolo per la vita e l'incolumita' dell'operatore, o specifiche attivita' poste in essere durante il servizio che siano espressione di poteri autoritativi degli organi, uffici e comandi di polizia.
2. Gli organi, uffici e comandi di polizia, nel rispetto dei principi richiamati dagli articoli 4, 5 e 6, raccolgono solo i dati strettamente necessari per il raggiungimento delle finalita' di polizia di cui all'articolo 3, registrando quelli indispensabili.
3. Il trattamento di dati personali raccolti tramite aeromobili a pilotaggio remoto, in considerazione della loro potenziale invasivita', e' ricompreso tra quelli che presentano rischi specifici di cui all'articolo 6.
4. L'utilizzo di sistemi di ripresa fotografica, video e audio, installati su aeromobili a pilotaggio remoto, e' autorizzato al livello gerarchico non inferiore a quello di capo ufficio o comandante di reparto.

Art. 24
Speciali misure di sicurezza relative al trattamento di dati attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video

1. I sistemi informativi e i programmi informatici destinati alla registrazione e alla conservazione dei dati personali raccolti attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video, sono configurati, in conformita' al criterio di necessita' del trattamento dei dati personali di cui all'articolo 5, in modo da ridurre al minimo l'utilizzazione di dati relativi a persone identificabili.
2. Sono adottati diversificati livelli di visibilita' e di trattamento delle immagini da parte degli incaricati del trattamento i quali sono autorizzati, attraverso il rilascio di credenziali di autenticazione, a compiere le sole operazioni di trattamento correlate ai compiti assegnati.
3. Sono adottate specifiche misure di sicurezza contro i rischi di accesso abusivo di cui all'articolo 615-ter del codice penale nei confronti degli apparati di ripresa digitale utilizzati ai fini della registrazione delle immagini qualora connessi a reti informatiche.
4. Gli accessi e le operazioni, effettuati dagli operatori abilitati in relazione ai sistemi informativi di cui al comma 1, sono registrati in appositi file di log, non modificabili, che sono conservati per cinque anni dall'accesso o dall'operazione. Sono fatti salvi i diversi termini di conservazione previsti da speciali disposizioni.
5. Gli accessi ai file di log di cui al comma 4 sono consentiti ai soli fini della verifica della liceita' del trattamento, del controllo interno, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito del procedimento penale.
6. Ai trattamenti di dati personali che implicano maggiori rischi di un danno alla persona interessata in ragione della natura dei dati, delle modalita' del trattamento o degli effetti che esso puo' determinare, si applica la disposizione di cui all'articolo 6, comma 1.

Capo VI
Sicurezza dei dati e dei sistemi

Art. 25
Obblighi di sicurezza

1. Il titolare o il responsabile del trattamento dei dati personali assicurano l'adozione di misure di sicurezza preventive, individuate anche in relazione al progresso tecnologico, alla natura dei dati e alle caratteristiche del singolo trattamento, idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' di cui all'articolo 3 ed a garantirne, nel contempo, un'agevole fruibilita'.
2. Fermo restando quanto previsto dal comma 1, o da speciali disposizioni, il titolare o il responsabile del trattamento assicurano l'adozione delle misure minime di sicurezza previste dagli articoli 33, 34 e 35 del Codice e dal disciplinare tecnico di cui al relativo allegato B) con riferimento ai trattamenti automatizzati o non automatizzati di dati personali.

Capo VII
Diritti della persona interessata e controllo sui trattamenti

Art. 26
Accesso ai dati personali

1. La persona interessata puo' chiedere all'organo, ufficio o comando di polizia titolare del trattamento la conferma dell'esistenza di dati personali che la riguardano, la loro comunicazione in forma intelligibile e, se i dati sono trattati in violazione di vigenti disposizioni di legge o di regolamento, il loro aggiornamento, rettifica, cancellazione, blocco o trasformazione in forma anonima.
2. L'istanza e' sottoscritta dalla persona interessata in presenza dell'operatore addetto dell'organo, ufficio o comando di polizia, ovvero sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di identita'.
3. L'istanza puo' essere presentata anche per via telematica con le modalita' di cui all'articolo 65, comma 1, del decreto legislativo 7 marzo 2005, n. 82.
4. Il soggetto che agisce per conto della persona interessata esibisce o allega copia della procura ovvero della delega conferita con le modalita' di cui ai commi 2 e 3.
5. Esperiti i necessari accertamenti, l'organo, ufficio o comando di polizia, entro trenta giorni dalla ricezione della richiesta, comunica alla persona interessata le determinazioni assunte.
6. L'organo, ufficio o comando di polizia puo' omettere di provvedere in merito alla richiesta di cui al comma 1, dandone informazione al Garante, se cio' puo' pregiudicare azioni o operazioni a tutela dell'ordine o della sicurezza pubblica o di prevenzione e repressione dei reati o la sicurezza dello Stato, la persona interessata o i diritti e le liberta' di terzi.

Art. 27
Accertamenti dell'autorita' giudiziaria

1. Chiunque viene a conoscenza dell'esistenza di dati personali che lo riguardano, trattati da organi, uffici o comandi di polizia in violazione di disposizioni di legge o di regolamento, puo' chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare l'aggiornamento, la rettifica, l'integrazione, la cancellazione, il blocco o la trasformazione in forma anonima dei dati medesimi. Si applica la disposizione di cui all'articolo 152, comma 1-bis, del Codice.
2. L'organo, ufficio o comando di polizia, qualora abbia notizia della controversia instaurata innanzi all'autorita' giudiziaria di cui al comma 1, dispone l'immediata verifica dei dati e delle informazioni di cui la persona interessata affermi l'erroneita', l'incompletezza e l'illegittima raccolta, ai fini dell'eventuale aggiornamento, rettifica, integrazione, cancellazione, blocco o trasformazione in forma anonima degli stessi. L'esito dell'accertamento e' comunicato all'autorita' giudiziaria.

Art. 28
Trattamento dei dati relativi a procedimenti penali, sanzionatori e di prevenzione

1. Le disposizioni di cui agli articoli 26 e 27 non si applicano ai dati personali comunicati all'autorita' giudiziaria per le esigenze del procedimento penale o per le finalita' di applicazione o esecuzione della pena, o comunicati all'autorita' amministrativa per le esigenze del procedimento sanzionatorio, ne' a quelli comunicati all'autorita' competente per le esigenze dei procedimenti di applicazione di misure di sicurezza o di prevenzione.
2. Nei procedimenti di cui al comma 1 la tutela della persona interessata rispetto al trattamento dei dati personali e' garantita nelle forme previste per ciascuno dei procedimenti stessi.

Art. 29
Controlli

1. I controlli sui trattamenti di dati personali effettuati degli organi, uffici e comandi di polizia sono effettuati dal Garante con le modalita' di cui all'articolo 160 del Codice.
2. Il titolare o il responsabile del trattamento adottano le iniziative occorrenti a dare tempestiva attuazione alle indicazioni del Garante.

Capo VIII
Disposizioni transitorie e finali

Art. 30
Disposizioni transitorie

1. Fermo restando quanto previsto dall'articolo 5, comma 2, primo periodo, gli organi, uffici e comandi di polizia che alla data di entrata in vigore del presente regolamento dispongono di sistemi informativi e programmi informatici che, per obiettive ragioni tecniche, non consentono, in tutto o in parte, l'immediata applicazione, con modalita' automatizzate, della misura della cancellazione o dell'anonimizzazione dei dati personali oggetto di trattamento allo scadere dei termini di conservazione di cui all'articolo 10, commi 1, 3, 4, 5 e 7, o non consentono la segnalazione con modalita' automatizzate del decorso del termine di cui all'articolo 10, comma 2, adottano, in relazione ai sistemi e programmi detenuti, ogni possibile misura organizzativa, logistica o procedurale idonea a prevenire o limitare il rischio di utilizzo dei dati oltre i termini di conservazione di cui all'articolo 10, commi 1, 3 e 5, o di accesso ai dati in violazione della disposizione di cui all'articolo 10, comma 2. I predetti sistemi e programmi sono adeguati alle disposizioni del presente regolamento entro 5 anni dalla sua entrata in vigore, quando i medesimi siano stati istituiti anteriormente al 6 maggio 2016 e cio' comporti sforzi sproporzionati.
Il termine di adeguamento dei sistemi e dei programmi e' di 8 anni dalla entrata in vigore del presente regolamento, qualora cio' causi altrimenti gravi difficolta' per il loro funzionamento, previa comunicazione alla Commissione europea, da parte delle competenti strutture del Dipartimento della pubblica sicurezza, dei motivi di tali gravi difficolta'.
2. Fermo restando quanto previsto dall'articolo 5, comma 2, secondo periodo, gli organi, uffici e comandi di polizia che alla data di entrata in vigore del presente regolamento dispongono di sistemi informativi e programmi informatici che, per obiettive ragioni tecniche, non consentono, in tutto o in parte, l'immediata applicazione delle disposizioni concernenti la registrazione in appositi file di log effettuati dagli operatori abilitati, adeguano i medesimi sistemi e programmi entro 5 anni dall'entrata in vigore del presente regolamento, quando i medesimi siano stati istituiti anteriormente al 6 maggio 2016 e cio' comporti sforzi sproporzionati.
Il termine di adeguamento dei sistemi e dei programmi e' di 8 anni dall'entrata in vigore del presente regolamento, qualora cio' causi altrimenti gravi difficolta' per il loro funzionamento, previa comunicazione alla Commissione europea, da parte delle competenti strutture del Dipartimento della pubblica sicurezza, dei motivi di tali gravi difficolta'.
3. I titolari del trattamento, entro un anno dall'entrata in vigore del presente regolamento, informano il Garante sulla adozione delle misure di cui al comma 1. Al Garante e' data periodica informazione sull'adeguamento dei sistemi e programmi di cui ai commi 1 e 2.

Art. 31
Clausola di invarianza finanziaria

1. Dall'attuazione delle disposizioni del presente regolamento non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le Amministrazioni provvedono agli adempimenti di cui al presente regolamento con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.

Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Dato a Roma, addi' 15 gennaio 2018
MATTARELLA
Gentiloni Silveri, Presidente del Consiglio dei ministri
Minniti, Ministro dell'interno
Orlando, Ministro della giustizia
Visto, il Guardasigilli: Orlando
Registrato alla Corte dei conti il 7 marzo 2018
Interno, foglio n. 586

 

Commenta per primo

Vuoi Lasciare Un Commento?

Possono inserire commenti solo gli Utenti Registrati