Art. 29. Trattamento dei dati personali 1. All'articolo 34 del (( codice in materia di protezione dei dati personali, di cui al )) decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1 e' aggiunto il seguente: « (( 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonche' a trattamenti comunque effettuati per correnti finalita' amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalita' semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1». )) (( 2. In sede di prima applicazione del presente decreto, il provvedimento di cui al comma 1 e' adottato entro due mesi dall'entrata in vigore della legge di conversione del decreto stesso. )) 4. All'articolo 38 del decreto legislativo 30 giugno 2003, n. 196, il comma 2 e' sostituito dal seguente: « 2. La notificazione e' validamente effettuata solo se e' trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni: a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonche' (( le modalita' per individuare il )) responsabile del trattamento se designato; b) la o le finalita' del trattamento; c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime; d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; e) i trasferimenti di dati previsti verso Paesi terzi; f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento.». 5. Entro due mesi (( dalla data di entrata in vigore della legge di conversione del presente decreto )) il Garante di cui all'articolo 153 del decreto legislativo 30 giugno 2003, n. 196 adegua il modello di cui al comma 2 dell'articolo 38 del decreto legislativo 30 giugno 2003, n. 196 alle prescrizioni di cui al comma 4. (( 5-bis. All'articolo 44, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196, sono aggiunte le seguenti parole: «o mediante regole di condotta esistenti nell'ambito di societa' appartenenti a un medesimo gruppo. L'interessato puo' far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime». All'articolo 36, comma 1, del decreto legislativo 30 giugno 2003, n. 196, dopo le parole: «Ministro per le innovazioni e le tecnologie» sono inserite le seguenti: «e il Ministro per la semplificazione normativa )) ».
Riferimenti normativi: - Si riporta il testo dell'art. 38 del gia' citato decreto legislativo n. 196 del 2003, cosi' come modificato dalla presente legge: «Art. 38 (Modalita' di notificazione). - 1. La notificazione del trattamento e' presentata al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e puo' anche riguardare uno o piu' trattamenti con finalita' correlate. 2. La notificazione e' validamente effettuata solo se e' trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni: a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonche' le modalita' per individuare il responsabile del trattamento se designato; b) la o le finalita' del trattamento; c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime; d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; e) i trasferimenti di dati previsti verso Paesi terzi; f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. 3. Il Garante favorisce la disponibilita' del modello per via telematica e la notificazione anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa vigente, anche presso associazioni di categoria e ordini professionali. 4. Una nuova notificazione e' richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima. 5. Il Garante puo' individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche previste dalla normativa vigente. 6. Il titolare del trattamento che non e' tenuto alla notificazione al Garante ai sensi dell'art. 37 fornisce le notizie contenute nel modello di cui al comma 2 a chi ne fa richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque.». - Si riporta il testo dell'art. 153 del gia' citato decreto legislativo n. 196 del 2003: «Art. 153 (Il Garante). - 1. Il Garante opera in piena autonomia e con indipendenza di giudizio e di valutazione. 2. Il Garante e' organo collegiale costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. I componenti sono scelti tra persone che assicurano indipendenza e che sono esperti di riconosciuta competenza delle materie del diritto o dell'informatica, garantendo la presenza di entrambe le qualificazioni. 3. I componenti eleggono nel loro ambito un presidente, il cui voto prevale in caso di parita'. Eleggono altresi' un vice presidente, che assume le funzioni del presidente in caso di sua assenza o impedimento. 4. Il presidente e i componenti durano in carica quattro anni e non possono essere confermati per piu' di una volta; per tutta la durata dell'incarico il presidente e i componenti non possono esercitare, a pena di decadenza, alcuna attivita' professionale o di consulenza, ne' essere amministratori o dipendenti di enti pubblici o privati, ne' ricoprire cariche elettive. 5. All'atto dell'accettazione della nomina il presidente e i componenti sono collocati fuori ruolo se dipendenti di pubbliche amministrazioni o magistrati in attivita' di servizio; se professori universitari di ruolo, sono collocati in aspettativa senza assegni ai sensi dell'art. 13 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, e successive modificazioni. Il personale collocato fuori ruolo o in aspettativa non puo' essere sostituito. 6. Al presidente compete una indennita' di funzione non eccedente, nel massimo, la retribuzione spettante al primo presidente della Corte di cassazione. Ai componenti compete un'indennita' non eccedente nel massimo, i due terzi di quella spettante al presidente. Le predette indennita' di funzione sono determinate dall'art. 6 del decreto del Presidente della Repubblica 31 marzo 1998, n. 501, in misura tale da poter essere corrisposte a carico degli ordinari stanziamenti. 7. Alle dipendenze del Garante e' posto l'Ufficio di cui all'art. 156. - Si riporta il testo del comma 1 dell'art. 44 del gia' citato decreto legislativo n. 196 del 2003, cosi' come modificato dalla presente legge: «Art. 44 (Altri trasferimenti consentiti). - 1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, e' altresi' consentito quando e' autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato: a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell'ambito di societa' appartenenti a un medesimo gruppo. L'interessato puo' far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime. b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e del Consiglio, con le quali la Commissione europea constata che un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.». - Si riporta il testo del comma 1 dell'art. 36 del gia' citato decreto legislativo n. 196 del 2003, cosi' come modificato dalla presente legge: «Art. 36 (Adeguamento). - 1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, e' aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa in relazione all'evoluzione tecnica e all'esperienza maturata nel settore.».