Art. 29.
Trattamento dei dati personali
1. All'articolo 34 del (( codice in materia di protezione dei dati
personali, di cui al )) decreto legislativo 30 giugno 2003, n. 196,
dopo il comma 1 e' aggiunto il seguente:
« (( 1-bis. Per i soggetti che trattano soltanto dati personali non
sensibili e che trattano come unici dati sensibili quelli costituiti
dallo stato di salute o malattia dei propri dipendenti e
collaboratori anche a progetto, senza indicazione della relativa
diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a
carattere sindacale, la tenuta di un aggiornato documento
programmatico sulla sicurezza e' sostituita dall'obbligo di
autocertificazione, resa dal titolare del trattamento ai sensi
dell'articolo 47 del testo unico di cui al decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali
dati in osservanza delle altre misure di sicurezza prescritte. In
relazione a tali trattamenti, nonche' a trattamenti comunque
effettuati per correnti finalita' amministrative e contabili, in
particolare presso piccole e medie imprese, liberi professionisti e
artigiani, il Garante, sentito il Ministro per la semplificazione
normativa, individua con proprio provvedimento, da aggiornare
periodicamente, modalita' semplificate di applicazione del
disciplinare tecnico di cui all'Allegato B) in ordine all'adozione
delle misure minime di cui al comma 1». ))
(( 2. In sede di prima applicazione del presente decreto, il
provvedimento di cui al comma 1 e' adottato entro due mesi
dall'entrata in vigore della legge di conversione del decreto stesso.
))
4. All'articolo 38 del decreto legislativo 30 giugno 2003, n. 196,
il comma 2 e' sostituito dal seguente:
« 2. La notificazione e' validamente effettuata solo se e'
trasmessa attraverso il sito del Garante, utilizzando l'apposito
modello, che contiene la richiesta di fornire tutte e soltanto le
seguenti informazioni:
a) le coordinate identificative del titolare del trattamento e,
eventualmente, del suo rappresentante, nonche' (( le modalita' per
individuare il )) responsabile del trattamento se designato;
b) la o le finalita' del trattamento;
c) una descrizione della o delle categorie di persone interessate
e dei dati o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati
possono essere comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via
preliminare l'adeguatezza delle misure adottate per garantire la
sicurezza del trattamento.».
5. Entro due mesi (( dalla data di entrata in vigore della legge di
conversione del presente decreto )) il Garante di cui all'articolo
153 del decreto legislativo 30 giugno 2003, n. 196 adegua il modello
di cui al comma 2 dell'articolo 38 del decreto legislativo 30 giugno
2003, n. 196 alle prescrizioni di cui al comma 4.
(( 5-bis. All'articolo 44, comma 1, lettera a) del decreto
legislativo 30 giugno 2003, n. 196, sono aggiunte le seguenti parole:
«o mediante regole di condotta esistenti nell'ambito di societa'
appartenenti a un medesimo gruppo. L'interessato puo' far valere i
propri diritti nel territorio dello Stato, in base al presente
codice, anche in ordine all'inosservanza delle garanzie medesime».
All'articolo 36, comma 1, del decreto legislativo 30 giugno 2003, n.
196, dopo le parole: «Ministro per le innovazioni e le tecnologie»
sono inserite le seguenti: «e il Ministro per la semplificazione
normativa )) ».
Riferimenti normativi:
- Si riporta il testo dell'art. 38 del gia' citato
decreto legislativo n. 196 del 2003, cosi' come modificato
dalla presente legge:
«Art. 38 (Modalita' di notificazione). - 1. La
notificazione del trattamento e' presentata al Garante
prima dell'inizio del trattamento ed una sola volta, a
prescindere dal numero delle operazioni e della durata del
trattamento da effettuare, e puo' anche riguardare uno o
piu' trattamenti con finalita' correlate.
2. La notificazione e' validamente effettuata solo se
e' trasmessa attraverso il sito del Garante, utilizzando
l'apposito modello, che contiene la richiesta di fornire
tutte e soltanto le seguenti informazioni:
a) le coordinate identificative del titolare del
trattamento e, eventualmente, del suo rappresentante,
nonche' le modalita' per individuare il responsabile del
trattamento se designato;
b) la o le finalita' del trattamento;
c) una descrizione della o delle categorie di persone
interessate e dei dati o delle categorie di dati relativi
alle medesime;
d) i destinatari o le categorie di destinatari a cui
i dati possono essere comunicati;
e) i trasferimenti di dati previsti verso Paesi
terzi;
f) una descrizione generale che permetta di valutare
in via preliminare l'adeguatezza delle misure adottate per
garantire la sicurezza del trattamento.
3. Il Garante favorisce la disponibilita' del modello
per via telematica e la notificazione anche attraverso
convenzioni stipulate con soggetti autorizzati in base alla
normativa vigente, anche presso associazioni di categoria e
ordini professionali.
4. Una nuova notificazione e' richiesta solo
anteriormente alla cessazione del trattamento o al
mutamento di taluno degli elementi da indicare nella
notificazione medesima.
5. Il Garante puo' individuare altro idoneo sistema per
la notificazione in riferimento a nuove soluzioni
tecnologiche previste dalla normativa vigente.
6. Il titolare del trattamento che non e' tenuto alla
notificazione al Garante ai sensi dell'art. 37 fornisce le
notizie contenute nel modello di cui al comma 2 a chi ne fa
richiesta, salvo che il trattamento riguardi pubblici
registri, elenchi, atti o documenti conoscibili da
chiunque.».
- Si riporta il testo dell'art. 153 del gia' citato
decreto legislativo n. 196 del 2003:
«Art. 153 (Il Garante). - 1. Il Garante opera in piena
autonomia e con indipendenza di giudizio e di valutazione.
2. Il Garante e' organo collegiale costituito da
quattro componenti, eletti due dalla Camera dei deputati e
due dal Senato della Repubblica con voto limitato. I
componenti sono scelti tra persone che assicurano
indipendenza e che sono esperti di riconosciuta competenza
delle materie del diritto o dell'informatica, garantendo la
presenza di entrambe le qualificazioni.
3. I componenti eleggono nel loro ambito un presidente,
il cui voto prevale in caso di parita'. Eleggono altresi'
un vice presidente, che assume le funzioni del presidente
in caso di sua assenza o impedimento.
4. Il presidente e i componenti durano in carica
quattro anni e non possono essere confermati per piu' di
una volta; per tutta la durata dell'incarico il presidente
e i componenti non possono esercitare, a pena di decadenza,
alcuna attivita' professionale o di consulenza, ne' essere
amministratori o dipendenti di enti pubblici o privati, ne'
ricoprire cariche elettive.
5. All'atto dell'accettazione della nomina il
presidente e i componenti sono collocati fuori ruolo se
dipendenti di pubbliche amministrazioni o magistrati in
attivita' di servizio; se professori universitari di ruolo,
sono collocati in aspettativa senza assegni ai sensi
dell'art. 13 del decreto del Presidente della Repubblica 11
luglio 1980, n. 382, e successive modificazioni. Il
personale collocato fuori ruolo o in aspettativa non puo'
essere sostituito.
6. Al presidente compete una indennita' di funzione non
eccedente, nel massimo, la retribuzione spettante al primo
presidente della Corte di cassazione. Ai componenti compete
un'indennita' non eccedente nel massimo, i due terzi di
quella spettante al presidente. Le predette indennita' di
funzione sono determinate dall'art. 6 del decreto del
Presidente della Repubblica 31 marzo 1998, n. 501, in
misura tale da poter essere corrisposte a carico degli
ordinari stanziamenti.
7. Alle dipendenze del Garante e' posto l'Ufficio di
cui all'art. 156.
- Si riporta il testo del comma 1 dell'art. 44 del gia'
citato decreto legislativo n. 196 del 2003, cosi' come
modificato dalla presente legge:
«Art. 44 (Altri trasferimenti consentiti). - 1. Il
trasferimento di dati personali oggetto di trattamento,
diretto verso un Paese non appartenente all'Unione europea,
e' altresi' consentito quando e' autorizzato dal Garante
sulla base di adeguate garanzie per i diritti
dell'interessato:
a) individuate dal Garante anche in relazione a
garanzie prestate con un contratto o mediante regole di
condotta esistenti nell'ambito di societa' appartenenti a
un medesimo gruppo. L'interessato puo' far valere i propri
diritti nel territorio dello Stato, in base al presente
codice, anche in ordine all'inosservanza delle garanzie
medesime.
b) individuate con le decisioni previste dagli
articoli 25, paragrafo 6, e 26, paragrafo 4, della
direttiva 95/46/CE del 24 ottobre 1995, del Parlamento
europeo e del Consiglio, con le quali la Commissione
europea constata che un Paese non appartenente all'Unione
europea garantisce un livello di protezione adeguato o che
alcune clausole contrattuali offrono garanzie
sufficienti.».
- Si riporta il testo del comma 1 dell'art. 36 del gia'
citato decreto legislativo n. 196 del 2003, cosi' come
modificato dalla presente legge:
«Art. 36 (Adeguamento). - 1. Il disciplinare tecnico di
cui all'allegato B), relativo alle misure minime di cui al
presente capo, e' aggiornato periodicamente con decreto del
Ministro della giustizia di concerto con il Ministro per le
innovazioni e le tecnologie e il Ministro per la
semplificazione normativa in relazione all'evoluzione
tecnica e all'esperienza maturata nel settore.».