                               Art. 29
                   Trattamento dei dati personali

  1.  All'articolo 34 del decreto legislativo 30 giugno 2003, n. 196,
dopo il comma 1 e' aggiunto il seguente:
    "1-bis.  Per  i soggetti che trattano soltanto dati personali non
sensibili  e  l'unico  dato  sensibile  e'  costituito dallo stato di
salute  o  malattia  dei  propri  dipendenti  senza indicazione della
relativa  diagnosi, l'obbligo di cui alla lettera g) del comma 1 e di
cui     al     punto     19    dell'Allegato    B    e'    sostituito
dall'autocertificazione,  resa  dal titolare del trattamento ai sensi
dell'articolo  47  del  decreto  del  Presidente  della Repubblica 28
dicembre  2000,  n.  445,  di  trattare  soltanto  dati personali non
sensibili,  che  l'unico  dato sensibile e' costituito dallo stato di
salute  o  malattia  dei  propri  dipendenti  senza indicazione della
relativa  diagnosi, e che il trattamento di tale ultimo dato e' stato
eseguito  in  osservanza  delle  misure  di  sicurezza  richieste dal
presente codice nonche' dall'Allegato B).".
  2. Entro due mesi dall'entrata in vigore della legge di conversione
del  presente  decreto-legge,  con  un aggiornamento del disciplinare
tecnico adottato nelle forme del decreto del Ministro della giustizia
di  concerto  con  il  Ministro  per  la  pubblica  amministrazione e
l'innovazione  e con il Ministro per la semplificazione normativa, ai
sensi  dell'articolo  36  del  decreto legislativo 30 giugno 2003, n.
196,  sono previste modalita' semplificate di redazione del documento
programmatico  per  la  sicurezza  di cui alla lettera g) del comma 1
dell'articolo  34  e  di  cui  al punto 19 dell'Allegato B al decreto
legislativo  30  giugno  2003,  n.  196  per  le  correnti  finalita'
amministrative e contabili.
  3. Qualora il decreto di cui al comma 2 non venga adottato entro il
termine  ivi  indicato,  la disciplina di cui al comma 1 si applica a
tutti i soggetti di cui al comma 2.
  4.  All'articolo 38 del decreto legislativo 30 giugno 2003, n. 196,
il comma 2 e' sostituito dal seguente:
    "La  notificazione e' validamente effettuata solo se e' trasmessa
attraverso  il  sito del Garante, utilizzando l'apposito modello, che
contiene  la  richiesta  di  fornire  tutte  e  soltanto  le seguenti
informazioni:
      1) le coordinate identificative del titolare del trattamento e,
eventualmente, del suo rappresentante, nonche' di un responsabile del
trattamento se designato;
      2) la o le finalita' del trattamento;
      3)   una   descrizione  della  o  delle  categorie  di  persone
interessate  e  dei  dati  o  delle  categorie  di dati relativi alle
medesime;
      4)  i  destinatari  o  le categorie di destinatari a cui i dati
possono essere comunicati;
      5) i trasferimenti di dati previsti verso Paesi terzi;
      6)  una  descrizione  generale  che permetta di valutare in via
preliminare  l'adeguatezza  delle  misure  adottate  per garantire la
sicurezza del trattamento.".
  5.  Entro  due  mesi dall'entrata in vigore della presente legge il
Garante  di  cui  all'articolo  153 del decreto legislativo 30 giugno
2003, n. 196 adegua il modello di cui al comma 2 dell'articolo 38 del
decreto  legislativo  30 giugno 2003, n. 196 alle prescrizioni di cui
al comma 4.