Art. 28
Modifiche al codice in materia di protezione dei dati personali, di
cui al decreto legislativo 30 giugno 2003, n. 196
1. Al codice in materia di protezione dei dati personali, di cui al
decreto legislativo 30 giugno 2003, n. 196, sono apportate le
seguenti modificazioni:
a) all'articolo 29:
1) dopo il comma 4 e' inserito il seguente:
«4-bis. Fermo restando quanto previsto ai commi 1, 2, 3 e 4,
il titolare puo' avvalersi, per il trattamento di dati, anche
sensibili, di soggetti pubblici o privati che, in qualita' di
responsabili del trattamento, forniscano le garanzie di cui al comma
2. I titolari stipulano con i predetti responsabili atti giuridici in
forma scritta, che specificano la finalita' perseguita, la tipologia
dei dati, la durata del trattamento, gli obblighi e i diritti del
responsabile del trattamento e le modalita' di trattamento; i
predetti atti sono adottati in conformita' a schemi tipo predisposti
dal Garante»;
2) il comma 5 e' sostituito dal seguente:
«5. Il responsabile effettua il trattamento attenendosi alle
condizioni stabilite ai sensi del comma 4-bis e alle istruzioni
impartite dal titolare, il quale, anche tramite verifiche periodiche,
vigila sulla puntuale osservanza delle disposizioni di cui al comma
2, delle proprie istruzioni e di quanto stabilito negli atti di cui
al comma 4-bis»;
b) al capo III del titolo VII della parte II, dopo l'articolo 110
e' aggiunto il seguente:
«Art. 110-bis. (Riutilizzo dei dati per finalita' di ricerca
scientifica o per scopi statistici). - 1. Nell'ambito delle finalita'
di ricerca scientifica ovvero per scopi statistici puo' essere
autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad
esclusione di quelli genetici, a condizione che siano adottate forme
preventive di minimizzazione e di anonimizzazione dei dati ritenute
idonee a tutela degli interessati.
2. Il Garante comunica la decisione adottata sulla richiesta di
autorizzazione entro quarantacinque giorni, decorsi i quali la
mancata pronuncia equivale a rigetto. Con il provvedimento di
autorizzazione o anche successivamente, sulla base di eventuali
verifiche, il Garante stabilisce le condizioni e le misure necessarie
ad assicurare adeguate garanzie a tutela degli interessati
nell'ambito del riutilizzo dei dati, anche sotto il profilo della
loro sicurezza».
Note all'art. 28:
Il testo dell'articolo 29 del citato decreto
legislativo 30 giugno 2003, come modificato dalla presente
legge, cosi' recita:
"Art. 29. Responsabile del trattamento
1. Il responsabile e' designato dal titolare
facoltativamente.
2. Se designato, il responsabile e' individuato tra
soggetti che per esperienza, capacita' ed affidabilita'
forniscano idonea garanzia del pieno rispetto delle vigenti
disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza.
3. Ove necessario per esigenze organizzative, possono
essere designati responsabili piu' soggetti, anche mediante
suddivisione di compiti.
4. I compiti affidati al responsabile sono
analiticamente specificati per iscritto dal titolare.
4-bis. Fermo restando quanto previsto ai commi 1, 2, 3
e 4, il titolare puo' avvalersi, per il trattamento di
dati, anche sensibili, di soggetti pubblici o privati che,
in qualita' di responsabili del trattamento, forniscano le
garanzie di cui al comma 2. I titolari stipulano con i
predetti responsabili atti giuridici in forma scritta, che
specificano la finalita' perseguita, la tipologia dei dati,
la durata del trattamento, gli obblighi e i diritti del
responsabile del trattamento e le modalita' di trattamento;
i predetti atti sono adottati in conformita' a schemi tipo
predisposti dal Garante.
5. Il responsabile effettua il trattamento attenendosi
alle condizioni stabilite ai sensi del comma 4-bis e alle
istruzioni impartite dal titolare, il quale, anche tramite
verifiche periodiche, vigila sulla puntuale osservanza
delle disposizioni di cui al comma 2, delle proprie
istruzioni e di quanto stabilito negli atti di cui al comma
4-bis. "."