Pubblicata in Gazzetta Ufficiale la LEGGE 20 novembre 2017, n. 167 (GU n.277 del 27-11-2017) Vigente al: 12-12-2017, recante all’ Art. 28 “Modifiche al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196” – Privacy
Ecco le variazioni apportate:
Modifiche al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196 1. Al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni: a) all'articolo 29: 1) dopo il comma 4 e' inserito il seguente: «4-bis. Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare puo' avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualita' di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalita' perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalita' di trattamento; i predetti atti sono adottati in conformita' a schemi tipo predisposti dal Garante»; 2) il comma 5 e' sostituito dal seguente: «5. Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis»; b) al capo III del titolo VII della parte II, dopo l'articolo 110 e' aggiunto il seguente: «Art. 110-bis. (Riutilizzo dei dati per finalita' di ricerca scientifica o per scopi statistici). - 1. Nell'ambito delle finalita' di ricerca scientifica ovvero per scopi statistici puo' essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell'ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza».