Il 27 febbraio 2009 è stato convertito in legge (Legge n.14/2009) il decreto "milleproroghe" (n. 207 dello scorso 30 dicembre 2008: Proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti) contenente alcune importanti modifiche al decreto legislativo n.196 del 30 giugno 2003 riguardanti le "Disposizioni in materia di tutela della riservatezza" (Art. 44).
La nuova legge agisce su vari fronti:
1.Inasprimento delle sanzioni pecuniarie relative agli illeciti amministrativi, ad esempio per "omessa o inidonea informativa" e per "omessa collaborazione con il Garante". Le pene vengono quasi sempre raddoppiate rispetto alla 196/2003.
Per "omessa o inidonea informativa" (Art. 13) è ora prevista una sanzione tra i 6.000 e i 36.000 euro, mentre per chi cede dati in violazione di legge (Art.16) la sanzione è ora tra i 10.000 euro e i 60.000 euro.
2.Introduzione di nuove fattispecie di illeciti amministrativi: "violazione delle misure minime di sicurezza e trattamento illecito dei dati" ed "inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto".
Vengono infatti aggiunti due importanti commi all'articolo 162:
•2-bis: In caso di trattamento di dati personali effettuato in violazione delle misure minime di sicurezza o di violazione della normativa in tema di corretto trattamento dei dati viene applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da 20.000 euro a 120.000 euro.
•2-ter: In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto viene introdotta una sanzione amministrativa tra 30.000 e 180.000 euro.
Questo significa che le violazioni più frequenti (violazione della privacy e mancata adozione delle misure minime), precedentemente pressochè impunite per via della "sola" sanzione penale, ora prevedono anche una sanzione amministrativa.
3.Si introduce maggior facoltà di adeguamento delle sanzioni ai singoli casi: da riduzione ai due quinti a maggiorazioni di 4 volte, in funzione dell'entità della violazione e delle possibilità economiche dei soggetti.
----------------------------------------------------------------------
Legge n.14/2009 Art. 44
Art. 44.
Disposizioni in materia di tutela della riservatezza
1. All'elenco n. 1, paragrafo 2, allegato alla legge 24 dicembre 2007, n. 244, le parole: «Decreto legislativo 30 giugno 2003, n. 196, articolo 166» sono soppresse.
1-bis. I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005.
2. All'articolo 161, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole da: «tremila euro a diciottomila euro» fino alla fine del comma sono sostituite dalle seguenti: «da seimila euro a trentaseimila euro».
3. L'articolo 162 del decreto legislativo 30 giugno 2003, n. 196, e' così modificato:
a) al comma 1, le parole: «da cinquemila euro a trentamila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro»;
b) al comma 2, le parole: «da cinquecento euro a tremila euro» sono sostituite dalle seguenti: «da mille euro a seimila euro»;
c) dopo il comma 2, sono aggiunti, in fine, i seguenti:
«2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 e' altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all'articolo 33 e' escluso il pagamento in misura ridotta.
2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), e' altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.».
4. All'articolo 162-bis, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «, che può essere aumentata» fino alla fine del comma sono soppresse.
5. All'articolo 163, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da diecimila euro a sessantamila euro» sono sostituite dalle seguenti: «da ventimila euro a centoventimila euro» e le parole: «e con la sanzione amministrativa accessoria» fino alla fine del comma sono soppresse.
6. All'articolo 164, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da quattromila euro a ventiquattromila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro».
7. Dopo l'articolo 164 del decreto legislativo 30 giugno 2003, n. 196, e' inserito il seguente:
«Art. 164-bis (Casi di minore gravità e ipotesi aggravate). - 1. Se taluna delle violazioni di cui agli articoli 161, 162, 163 e 164 e' di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti.
2. In caso di più violazioni di un'unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non e' ammesso il pagamento in misura ridotta.
3. In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio.
4. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.».
8. All'articolo 165, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «161, 162 e 164» sono sostituite dalle seguenti: «del presente Capo» ed e' aggiunto, in fine, il seguente periodo: «La pubblicazione ha luogo a cura e spese del contravventore.».
9. L'articolo 169 del decreto legislativo 30 giugno 2003, n. 196, e' così modificato:
a) nel comma 1, sono soppresse le parole da: «o con l'ammenda da» fino alla fine del comma;
b) nel comma 2, le parole: «quarto del massimo dell'ammenda stabilita per la contravvenzione» sono sostituite dalle seguenti:
«quarto del massimo della sanzione stabilita per la violazione amministrativa».
10. All'articolo 62, comma 1, del decreto legislativo 6 settembre 2005, n. 206, le parole: «da euro cinquecentosedici a euro cinquemilacentosessantacinque» sono sostituite da: «da tremila euro a diciottomila euro».
11. Agli oneri derivanti dal comma 1, pari a euro 299.000 a decorrere dal 2009, si provvede mediante corrispondente riduzione dell'autorizzazione di spesa di cui al decreto legislativo 30 giugno 2003, n. 196, come determinata dalla tabella C della legge 22 dicembre 2008, n. 203, (legge finanziaria 2009), in favore del Garante per la protezione dei dati personali, a decorrere dall'esercizio 2009.
La nuova legge agisce su vari fronti:
1.Inasprimento delle sanzioni pecuniarie relative agli illeciti amministrativi, ad esempio per "omessa o inidonea informativa" e per "omessa collaborazione con il Garante". Le pene vengono quasi sempre raddoppiate rispetto alla 196/2003.
Per "omessa o inidonea informativa" (Art. 13) è ora prevista una sanzione tra i 6.000 e i 36.000 euro, mentre per chi cede dati in violazione di legge (Art.16) la sanzione è ora tra i 10.000 euro e i 60.000 euro.
2.Introduzione di nuove fattispecie di illeciti amministrativi: "violazione delle misure minime di sicurezza e trattamento illecito dei dati" ed "inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto".
Vengono infatti aggiunti due importanti commi all'articolo 162:
•2-bis: In caso di trattamento di dati personali effettuato in violazione delle misure minime di sicurezza o di violazione della normativa in tema di corretto trattamento dei dati viene applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da 20.000 euro a 120.000 euro.
•2-ter: In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto viene introdotta una sanzione amministrativa tra 30.000 e 180.000 euro.
Questo significa che le violazioni più frequenti (violazione della privacy e mancata adozione delle misure minime), precedentemente pressochè impunite per via della "sola" sanzione penale, ora prevedono anche una sanzione amministrativa.
3.Si introduce maggior facoltà di adeguamento delle sanzioni ai singoli casi: da riduzione ai due quinti a maggiorazioni di 4 volte, in funzione dell'entità della violazione e delle possibilità economiche dei soggetti.
----------------------------------------------------------------------
Legge n.14/2009 Art. 44
Art. 44.
Disposizioni in materia di tutela della riservatezza
1. All'elenco n. 1, paragrafo 2, allegato alla legge 24 dicembre 2007, n. 244, le parole: «Decreto legislativo 30 giugno 2003, n. 196, articolo 166» sono soppresse.
1-bis. I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005.
2. All'articolo 161, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole da: «tremila euro a diciottomila euro» fino alla fine del comma sono sostituite dalle seguenti: «da seimila euro a trentaseimila euro».
3. L'articolo 162 del decreto legislativo 30 giugno 2003, n. 196, e' così modificato:
a) al comma 1, le parole: «da cinquemila euro a trentamila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro»;
b) al comma 2, le parole: «da cinquecento euro a tremila euro» sono sostituite dalle seguenti: «da mille euro a seimila euro»;
c) dopo il comma 2, sono aggiunti, in fine, i seguenti:
«2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 e' altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all'articolo 33 e' escluso il pagamento in misura ridotta.
2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), e' altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.».
4. All'articolo 162-bis, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «, che può essere aumentata» fino alla fine del comma sono soppresse.
5. All'articolo 163, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da diecimila euro a sessantamila euro» sono sostituite dalle seguenti: «da ventimila euro a centoventimila euro» e le parole: «e con la sanzione amministrativa accessoria» fino alla fine del comma sono soppresse.
6. All'articolo 164, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da quattromila euro a ventiquattromila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro».
7. Dopo l'articolo 164 del decreto legislativo 30 giugno 2003, n. 196, e' inserito il seguente:
«Art. 164-bis (Casi di minore gravità e ipotesi aggravate). - 1. Se taluna delle violazioni di cui agli articoli 161, 162, 163 e 164 e' di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti.
2. In caso di più violazioni di un'unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non e' ammesso il pagamento in misura ridotta.
3. In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio.
4. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.».
8. All'articolo 165, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «161, 162 e 164» sono sostituite dalle seguenti: «del presente Capo» ed e' aggiunto, in fine, il seguente periodo: «La pubblicazione ha luogo a cura e spese del contravventore.».
9. L'articolo 169 del decreto legislativo 30 giugno 2003, n. 196, e' così modificato:
a) nel comma 1, sono soppresse le parole da: «o con l'ammenda da» fino alla fine del comma;
b) nel comma 2, le parole: «quarto del massimo dell'ammenda stabilita per la contravvenzione» sono sostituite dalle seguenti:
«quarto del massimo della sanzione stabilita per la violazione amministrativa».
10. All'articolo 62, comma 1, del decreto legislativo 6 settembre 2005, n. 206, le parole: «da euro cinquecentosedici a euro cinquemilacentosessantacinque» sono sostituite da: «da tremila euro a diciottomila euro».
11. Agli oneri derivanti dal comma 1, pari a euro 299.000 a decorrere dal 2009, si provvede mediante corrispondente riduzione dell'autorizzazione di spesa di cui al decreto legislativo 30 giugno 2003, n. 196, come determinata dalla tabella C della legge 22 dicembre 2008, n. 203, (legge finanziaria 2009), in favore del Garante per la protezione dei dati personali, a decorrere dall'esercizio 2009.
Commenti
La mancata redazione o il mancato aggiornamento del DPS configura illecito penale ai sensi dell’art. 33 del D.Lgs. 196/2003 che può comportare sanzioni penali (arresto fino a due anni), sanzioni pecuniare da 10.000 a 50.000 Euro oltre a sanzioni civili.
Il titolare del trattamento è inoltre tenuto a riferire nella relazione sulla gestione accompagnatoria al bilancio di esercizio (se dovuta) dell’avvenuta redazione o aggiornamento del DPS.