GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 19 dicembre 2018
Regole deontologiche per trattamenti a fini statistici o di ricerca
scientifica. (Delibera n. 515/2018). (19A00181)
(GU n.11 del 14-1-2019)
IL GARANTE
PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vicepresidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016 relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati) (di seguito
«Regolamento» e «RGPD»);
Visto il decreto legislativo 10 agosto 2018, n. 101, recante
«Disposizioni per l'adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) n. 2016/679 del Parlamento europeo
e del Consiglio del 27 aprile 2016 relativo alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali,
nonche' alla libera circolazione di tali dati e che abroga la
direttiva 95/46/CE»;
Visto il Codice in materia di protezione dei dati personali,
decreto legislativo 30 giugno 2003, n. 196, (di seguito Codice),
cosi' come modificato dal predetto decreto legislativo n. 101 del
2018;
Visto il Codice di deontologia e di buona condotta per i
trattamenti di dati personali a scopi statistici e scientifici
allegato A.4 al Codice;
Visto l'art. 5-ter del decreto legislativo 14 marzo 2013, n. 33,
Riordino della disciplina riguardante il diritto di accesso civico e
gli obblighi di pubblicita', trasparenza e diffusione di informazioni
da parte delle pubbliche amministrazioni, relativo all'accesso per
fini scientifici ai dati elementari raccolti per finalita'
statistiche;
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del garante n. 1/2000;
Relatore la dott.ssa Giovanna Bianchi Clerici;
Premesso
L'art. 20, commi 3 e 4, del decreto legislativo 101 del 2018 ha
conferito al garante il compito di verificare, nel termine di 90
giorni dalla sua entrata in vigore, la conformita' al regolamento
delle disposizioni contenute nei codici di deontologia e buona
condotta di cui agli allegati A.1, A.2, A.3, A.4 e A.6 al Codice.
Le disposizioni ritenute compatibili, ridenominate regole
deontologiche, dovranno essere pubblicate nella Gazzetta Ufficiale
della Repubblica italiana e, con decreto del Ministero della
giustizia, saranno successivamente riportate nell'allegato A al
Codice.
Il Codice di deontologia e di buona condotta per i trattamenti di
dati personali per scopi statistici e scientifici, allegato A.4 al
Codice, cessa di produrre effetti dalla pubblicazione delle predette
regole nella Gazzetta Ufficiale (art. 20, comma 3, del decreto
legislativo n. 101 del 2018).
Resta fermo che successivamente, il Garante potra' promuovere la
revisione di tali regole, secondo la procedura di cui all'art.
2-quater del Codice, in base alla quale lo schema delle regole
deontologiche, nell'osservanza del principio di rappresentativita',
deve essere sottoposto a consultazione pubblica, per almeno sessanta
giorni.
Osserva
Nell'ambito del presente provvedimento sono individuate le
disposizioni del Codice di deontologia e di buona condotta per i
trattamenti di dati personali per scopi statistici e scientifici,
allegato A4 al Codice, adottato con provvedimento del garante n. 2
del 16 giugno 2004, Gazzetta Ufficiale 14 agosto 2004, n. 190,
ritenute non conformi al Regolamento e, in allegato sono riportate le
disposizioni conformi, ridenominate regole deontologiche per
trattamenti a fini statistici o di ricerca scientifica.
Le regole si applicano ai trattamenti di dati personali effettuati
fini statistici, al di fuori del Sistema statistico nazionale, o di
ricerca scientifica, fermo restando il rispetto dei principi e degli
specifici adempimenti richiesti dal Regolamento e dal Codice.
Il rispetto delle disposizioni contenute nelle regole deontologiche
costituisce condizione essenziale per la liceita' e correttezza del
trattamento dei dati personali e il mancato rispetto delle stesse
comporta l'applicazione della sanzione di cui all'art. 83, paragrafo
5 del Regolamento (articoli 2-quater, comma 4, e 166, comma 2, del
Codice).
A regime, l'art. 106 del Codice, cosi' come novellato dall'art. 8
dal decreto legislativo n. 101/2018, prevede specificamente che le
regole deontologiche individuino garanzie adeguate per i diritti e le
liberta' dell'interessato e si applicano ai soggetti i soggetti
pubblici e privati, ivi comprese le societa' scientifiche e le
associazioni professionali, interessati al trattamento dei dati per
fini statistici o di ricerca scientifica ricompresi nell'ambito del
Sistema statistico nazionale.
In via generale, si rappresenta che si e' tenuto conto
dell'esigenza di contemperare il diritto alla liberta' di ricerca con
altri diritti fondamentali dell'individuo, in ossequio al principio
di proporzionalita' (cons. 4 del Regolamento), verificando la
conformita' delle disposizioni del Codice di deontologia, in
particolare, ai considerando e agli articoli dedicati alla ricerca
statistica e scientifica (cons. 26, 50, 52, 53, 62, 156, 157, 159,
162, 163, art. 5, comma 1 lettera b) ed e), art. 9, art. 10, e art.
89 § 1, del Regolamento).
1. Modifiche generali.
Preliminarmente, si osserva che si e' reso necessario aggiornare i
riferimenti normativi presenti nel Codice di deontologia e la
semantica utilizzata rispetto al rinnovato quadro normativo europeo e
nazionale di riferimento.
Si e' reso necessario, inoltre, eliminare il preambolo del Codice
di deontologia, dovendosi, in base al richiamato art. 20 del decreto
legislativo n. 101 del 2018, ridenominare solo le disposizioni dello
stesso.
Cionondimeno, i principi e le fonti di diritto sovranazionale ivi
richiamati, sono, in ogni caso, da ritenersi a fondamento dei
trattamenti di dati personali effettuati a fini di ricerca
scientifica o statistici (cons. 159 e 162 del Regolamento).
2. Disposizioni ritenute incompatibili.
All'art. 1, comma 1, lettera c), e' stata eliminata la definizione
di «dato identificativo indiretto», in quanto tale definizione e'
stata ritenuta incompatibile con il Regolamento. Il legislatore
nazionale, infatti, nell'adeguare il Codice al Regolamento, con il
decreto legislativo n. 101 del 2018, ha abrogato l'art. 4, comma 1,
lettera c), del Codice, che conteneva la definizione di «dati
identificativi», da intendersi come i «dati personali che permettono
l'identificazione diretta dell'interessato».
Resta, invece valida la definizione di «istituto o ente di
ricerca», di cui alla lettera e), dell'articolo in esame, che deve
esser interpretata alla luce del nuovo quadro normativo di settore di
cui all'art. 5-ter del decreto legislativo 33 del 2013, che ha
demandato al Comstat l'individuazione, sentito il garante, dei
criteri per il riconoscimento degli enti di ricerca e delle strutture
di ricerca di istituzioni pubbliche e private, avuto riguardo agli
scopi istituzionali perseguiti, all'attivita' svolta e
all'organizzazione interna in relazione all'attivita' di ricerca,
nonche' alle misure adottate per garantire la sicurezza dei dati.
Tali criteri sono stati di recente individuati nelle linee guida per
l'accesso a fini scientifici ai dati elementari del Sistema
statistico nazionale (Gazzetta Ufficiale n. 287 dell'11 dicembre
2018).
L'art. 4, «Identificabilita' dell'interessato», e' stato ritenuto
necessario, in primo luogo, sostituire la parola «identificativi», al
comma 1, lettera a), con la seguente locuzione «dati che ...
identificano» l'unita' statistica in quanto la definizione di «dati
identificativi» di cui all'art. 4, comma 1, lettera c), del Codice e'
stata abrogata dal decreto legislativo n. 101 del 2018, e non e' piu'
prevista dal Regolamento; in secondo luogo, il comma 1, lettera c),
e' stato ritenuto incompatibile nella misura in cui introduceva, per
la valutazione del rischio di identificabilita' degli interessati,
dei parametri predefiniti che non sono in linea con il quadro
giuridico introdotto dal Regolamento. Rispetto alle indicazioni
fornite dal considerando 26, che per l'identificabilita' di una
persona indica, in particolare, che si tengano in considerazione
«tutti i mezzi» di cui il titolare puo' ragionevolmente avvalersi, la
disposizione in esame poneva come parametri predefiniti la tipologia
di dati comunicati o diffusi, la proporzione tra i mezzi per
l'identificazione e la lesione o il pericolo di lesione dei diritti
degli interessati, cio' anche alla luce del vantaggio che ne poteva
trarre il titolare. Tale disposizione, quindi, nel fornire ai
titolari delle coordinate per valutare l'identificabilita'
dell'interessato attualmente superate, manifestava anche un approccio
alla definizione e valutazione del rischio piu' circoscritte rispetto
a quella del Regolamento in cui tale valutazione deve tener conto
delle nuove tecnologie utilizzate, della natura, dell'oggetto, del
contesto e delle finalita' di ogni tipo di trattamento, (cfr. anche
cons. 84, 89, 93 e 95 e articoli 5, § 1, lettera e), 24, 35 e 36 del
Regolamento).
L'art. 5, «Criteri per la valutazione del rischio di
identificazione», e' stato mantenuto considerandosi, in via generale,
compatibile con il Regolamento, nella misura in cui si limita a
fornire alcuni parametri, orientativi, non esaustivi, per la
valutazione del rischio di identificazione degli interessati. Al fine
di assicurarne un'applicazione conforme al Regolamento, si e',
tuttavia, ritenuto necessario modificarlo con l'aggiunta di un
«anche» (al primo comma, tra le parole «tiene conto» e «dei
seguenti»), affinche' sia chiaro che i parametri ivi indicati devono,
comunque, considerarsi meramente esemplificativi e, soprattutto, non
alternativi rispetto al nuovo quadro giuridico introdotto dal
Regolamento sopra descritto.
Sono stati modificati il titolo del Capo II da «Informativa,
comunicazione e diffusione» in «Informazioni agli interessati,
comunicazione e diffusione» e la rubrica dell'art. 6 da «Informativa»
a «Informazioni agli interessati», per omogeneita' con il
Regolamento.
L'art. 6, «Informazioni agli interessati», il comma 2 e' risultato
incompatibile con il Regolamento nella parte in cui prevedeva alcune
deroghe all'obbligo di informativa in caso di raccolta dei dati
presso gli interessati. In particolare, tale comma e' stato
eliminato, che consentiva di fornire un'informativa differita, per la
parte riguardante le specifiche finalita' e modalita' del
trattamento, qualora cio' risultasse necessario per il raggiungimento
dell'obiettivo dell'indagine. Cio', in quanto l'art. 13 del
Regolamento non prevede alcuna forma di deroga o semplificazione agli
obblighi informativi quando i dati sono raccolti presso gli
interessati.
L'art. 6, comma 3, che consente ad un soggetto di rispondere in
nome e per conto di un altro, e' stato considerato compatibile con il
Regolamento e con l'art. 105, comma 3, del Codice, in quanto
definisce le specifiche circostanze in cui tale modalita' di raccolta
e' possibile. Sul punto, tuttavia, deve precisarsi che, il principio
di responsabilizzazione impone, in ogni caso, al titolare del
trattamento di porre in essere specifiche misure per verificare, ed
essere in grado di dimostrare, che il rispondente sia effettivamente
legittimato a fornire i dati di un terzo.
E' stato altresi' ritenuto incompatibile l'art. 6, comma 4, che
individuava alcuni casi di deroga all'obbligo di fornire,
informazioni agli interessati quando i dati sono raccolti presso
terzi, disponendo che il titolare dovesse dare preventiva
informazione al garante delle modalita' prescelte, tra quelle
indicate a titolo esemplificativo dalla norma. Parimenti, e' stato
considerato incompatibile il comma 5 dell'articolo in esame, nella
parte in cui, qualora il titolare avesse ritenuto di non utilizzare
le forme di pubblicita' indicate al comma 4, poteva individuare
idonee forme di pubblicita' da comunicare preventivamente al garante,
che poteva prescrivere eventuali misure e accorgimenti. L'art. 14, §
5, lettera b), del Regolamento ora prevede, infatti, che le
informazioni in caso di raccolta di dati presso terzi possano essere
omesse nel caso in cui la comunicazione di tali informazioni
risultasse impossibile o implicherebbe uno sforzo sproporzionato. Con
particolare riferimento ai trattamenti a fini di ricerca scientifica
o a fini statistici, fatte salve le condizioni e le garanzie di cui
all'art. 89, § 1, non vi e', inoltre, l'obbligo di informare
l'interessato nella misura in cui cio' rischi di rendere impossibile
o di pregiudicare gravemente il conseguimento delle finalita' di tale
trattamento. In tali casi, il titolare del trattamento e' tenuto
comunque ad adottare misure appropriate per tutelare i diritti, le
liberta' e i legittimi interessi dell'interessato, anche rendendo
pubbliche le informazioni.
L'art. 7 «Consenso» e' stato eliminato perche' le condizioni di
liceita' del trattamento, ed in particolare le condizioni per il
consenso, sono disciplinate nel Regolamento (articoli 6 e 7).
L'art. 8 «Comunicazione e diffusione dei dati» e' stato considerato
incompatibile in quanto i presupposti di liceita' di tali operazioni
di trattamento sono adesso individuate nel Regolamento (articoli 6, 9
e 10) e nel Codice (articoli 2-ter, 2-sexies, 2-septies e 2-octies).
L'articolo in esame e' stato, inoltre, considerato incompatibile
nella parte in cui, al comma 4, ultimo alinea, e al comma 5
disciplinava il trasferimento di dati personali verso paesi terzi,
adesso normato agli articoli 44 e seguenti del Regolamento.
E' stata modificata la rubrica dell'art. 9 da «Trattamento di dati
sensibili o giudiziari» in «Trattamento di categorie particolari di
dati personali e di dati relativi a condanni penali e reati».
Fermi restando i presupposti di liceita' del trattamento dei dati
indicati nella rubrica dell'articolo in esame, nel Regolamento
(articoli 6, e 9 e 10) e nel Codice (articoli 2-ter, 2-sexies,
2-septies e 2-octies), l'art. 9, commi 2 e 3, e' stato considerato
incompatibile con il Regolamento nella misura in cui tali previsioni
individuano predefiniti e specifici casi di applicazione del
principio di minimizzazione di cui all'art. 5, § 1, lettera c), del
Regolamento che pur tendo conto della specificita' dei trattamenti
effettuati a fini statistici e di ricerca scientifica, richiede,
oltre a una valutazione del rischio, caso per caso a cura del
titolare, l'individuazione di misure tecniche e organizzative
adeguate a tutela dell'interessato (articoli 24 e 35 del
Regolamento).
L'art. 9, commi 4, lettera c), 5 e 6, e' stato, invece, considerato
incompatibile laddove individuava condizioni di liceita' del
trattamento per i dati sensibili o giudiziari differenti rispetto a
quelle previste ora dal Regolamento e dal Codice.
L'art. 10 «Dati genetici» e' stato considerato incompatibile in
quanto il trattamento di tali dati deve essere effettuato in
conformita' all'art. 9 del Regolamento, all'art. 2-sexies, alle
prescrizioni individuate dal garante ai sensi dell'art. 21, del
decreto legislativo 101 del 2018 e alle specifiche misure di garanzia
che l'Autorita' e' chiamata ad adottare ai sensi dell'art. 2-septies
del Codice.
L'art. 11 «Disposizioni particolari per la ricerca medica,
biomedica ed epidemiologica» e' stato modificato al comma 4 al solo
fine di confermare le tutele assicurate in tale contesto agli
interessati, cosi' come individuate dal richiamo, effettuato per
relationem, all'art. 84 del Codice, ora abrogato. Restano ferme, in
ogni caso, le misure di garanzia che saranno individuate dal garante,
ai sensi dell'art. 2-septies, comma 4, lettera c).
L'art. 11, comma 5, e' stato, invece, considerato incompatibile, in
quanto le circostanze in cui non e' necessario acquisire il consenso
dell'interessato sono state individuate nel provvedimento
prescrittivo adottato dal garante ai sensi dell'art. 21 del decreto
legislativo 101 del 2018 mentre le condizioni di liceita' del
trattamento per le finalita' in esame sono previste dall'art. 110 del
Codice.
E' stato modificato il titolo del Capo III da «Sicurezza e regole
di condotta» in «Disposizioni finali».
L'art. 14 «Conservazione dei dati» e' stato aggiornato al primo
comma con il rinvio al principio di limitazione della conservazione
di cui all'art. 5, § 1, lettera e) del Regolamento. Le parti
successive sono state eliminate in quanto sono risultate
incompatibili con tale principio che unitamente al principio di
responsabilizzazione , impone al titolare una nuova prospettiva e
nuovi adempimenti per la valutazione del rischio, al fine di
individuare, di volta in volta, adeguate misure, tecniche e
organizzative, a garanzia degli interessati (articoli 24 e 35 del
Regolamento).
L'art. 15 «Misure di sicurezza» e' stato ritenuto incompatibile, in
quanto gli aspetti relativi alla sicurezza dei dati sono oggetto ora
di specifiche previsioni del Regolamento che, nel rispetto del
principio di responsabilizzazione, richiede anche un diverso
approccio alle misure di sicurezza che devono esser individuate, fin
dalla progettazione e per impostazione predefinita (articoli 24 e 25
del Regolamento), in conformita' all'art. 32 del Regolamento.
L'art. 16 «Esercizio dei diritti dell'interessato», al comma 1, e'
stato considerato incompatibile, in quanto consentirebbe al titolare
la possibilita' di limitare il diritto di rettifica o integrazione
senza individuare garanzie adeguate, come richiesto, invece,
dall'art. 89 del Regolamento. Il comma 2, e' stato riformulato per
renderlo conforme al Regolamento.
E' stata, infine, aggiornata, la rubrica dell'art. 17, in
«Disposizioni finali», onde evitare ambiguita' rispetto alle regole
deontologiche di cui all'art. 2-quater del Codice e con i futuri
codici di condotta, di cui all'art. 40 del Regolamento.
3. Regole deontologiche.
I predetti elementi, relativi all'aggiornamento della disciplina in
materia, sono recepiti nelle «Regole deontologiche per il trattamento
a fini statistici o di ricerca» in ragione di quanto disposto
dall'art. 20, comma 4, del decreto legislativo n. 101/2018 e
riportate nell'allegato 1 al presente provvedimento e che ne forma
parte integrante.
Tali «Regole deontologiche» sono volte a disciplinare i trattamenti
in questione in attesa di un auspicabile aggiornamento delle stesse
ai sensi degli articoli 2-quater e 106 e seguenti del Codice.
Pertanto, si dispone la trasmissione delle suddette «Regole
deontologiche» all'Ufficio pubblicazione leggi e decreti del
Ministero della giustizia per la relativa pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero
della giustizia per essere riportato nell'Allegato A) al Codice.
Tutto cio' premesso il garante
Ai sensi dell'art. 20, comma 4, del decreto legislativo n.
101/2018, verificata la conformita' al regolamento delle disposizioni
del codice di deontologia e di buona condotta per i trattamenti di
dati personali per scopi statistici e di ricerca scientifica,
allegato A.4 al Codice, dispone che le medesime, riportate
nell'allegato 1 al presente provvedimento e che ne forma parte
integrante, siano pubblicate come «Regole deontologiche per
trattamenti a fini statistici o di ricerca scientifica» e ne dispone,
altresi', la trasmissione all'Ufficio pubblicazione leggi e decreti
del Ministero della giustizia per la sua pubblicazione nella Gazzetta
Ufficiale della Repubblica italiana, nonche' al Ministero della
giustizia per essere riportato nell'Allegato A) al Codice.
Roma, 19 dicembre 2018
Il presidente
Soro
Il segretario generale
Busia
Il relatore
Bianchi Clerici
Allegato 1
REGOLE DEONTOLOGICHE PER TRATTAMENTI
A FINI STATISTICI O DI RICERCA SCIENTIFICA
Capo I
Ambito di applicazione e principi generali
Art. 1.
Definizioni
1. Ai fini delle presenti regole si applicano le definizioni
elencate nell'art. 4 del Regolamento con le seguenti integrazioni:
a) «risultato statistico», l'informazione ottenuta con il
trattamento di dati personali per quantificare aspetti di un fenomeno
collettivo;
b) «unita' statistica», l'entita' alla quale sono riferiti o
riferibili i dati trattati;
c) «variabile pubblica», il carattere o la combinazione di
caratteri, di tipo qualitativo o quantitativo, oggetto di una
rilevazione statistica che faccia riferimento ad informazioni
presenti in pubblici registri, elenchi, atti, documenti o fonti
conoscibili da chiunque;
d) «istituto o ente di ricerca», un organismo pubblico o
privato per il quale la finalita' di statistica o di ricerca
scientifica risulta dagli scopi dell'istituzione e la cui attivita'
scientifica e' documentabile;
e) «societa' scientifica», un'associazione che raccoglie gli
studiosi di un ambito disciplinare, ivi comprese le relative
associazioni professionali.
2. Salvo quando diversamente specificato, il riferimento a
trattamenti per scopi statistici si intende comprensivo anche dei
trattamenti per scopi scientifici.
Art. 2.
Ambito di applicazione
1. Le presenti regole deontologiche si applicano all'insieme dei
trattamenti effettuati per scopi statistici e scientifici
-conformemente agli standard metodologici del pertinente settore
disciplinare-, di cui sono titolari universita', altri enti o
istituti di ricerca e societa' scientifiche, nonche' ricercatori che
operano nell'ambito di dette universita', enti, istituti di ricerca e
soci di dette societa' scientifiche.
2. Le presenti regole deontologiche non si applicano ai
trattamenti per scopi statistici e scientifici connessi con attivita'
di tutela della salute svolte da esercenti professioni sanitarie od
organismi sanitari, ovvero con attivita' comparabili in termini di
significativa ricaduta personalizzata sull'interessato, che restano
regolati dalle pertinenti disposizioni.
Art. 3.
Presupposti dei trattamenti
1. La ricerca e' effettuata sulla base di un progetto redatto
conformemente agli standard metodologici del pertinente settore
disciplinare, anche al fine di documentare che il trattamento sia
effettuato per idonei ed effettivi scopi statistici o scientifici.
2. Il progetto di ricerca di cui al comma 1, inoltre:
a) specifica le misure da adottare nel trattamento di dati
personali, al fine di garantire il rispetto delle presenti regole
deontologiche, nonche' della normativa in materia di protezione dei
dati personali;
b) individua gli eventuali responsabili del trattamento
c) contiene una dichiarazione di impegno a conformarsi alle
presenti regole deontologiche. Un'analoga dichiarazione e'
sottoscritta anche dai soggetti -ricercatori, responsabili e persone
autorizzate al trattamento- che fossero coinvolti nel prosieguo della
ricerca, e conservata conformemente a quanto previsto al comma 3.
3. Il titolare deposita il progetto presso l'universita' o ente
di ricerca o societa' scientifica cui afferisce, la quale ne cura la
conservazione, in forma riservata (essendo la consultazione del
progetto possibile ai soli fini dell'applicazione della normativa in
materia di dati personali), per cinque anni dalla conclusione
programmata della ricerca.
4. Nel trattamento di dati relativi alla salute, i soggetti
coinvolti osservano le regole di riservatezza e di sicurezza cui sono
tenuti gli esercenti le professioni sanitarie o regole di
riservatezza e sicurezza comparabili.
Art. 4.
Identificabilita' dell'interessato
1. Agli effetti dell'applicazione delle presenti regole:
a) un interessato si ritiene identificabile quando, con
l'impiego di mezzi ragionevoli, e' possibile stabilire
un'associazione significativamente probabile tra la combinazione
delle modalita' delle variabili relative ad una unita' statistica e i
dati che la identificano;
b) i mezzi ragionevolmente utilizzabili per identificare un
interessato afferiscono, in particolare, alle seguenti categorie:
risorse economiche;
risorse di tempo;
archivi nominativi o altre fonti di informazione contenenti
dati identificativi congiuntamente ad un sottoinsieme delle variabili
oggetto di comunicazione o diffusione;
archivi, anche non nominativi, che forniscano ulteriori
informazioni oltre quelle oggetto di comunicazione o diffusione;
risorse hardware e software per effettuare le elaborazioni
necessarie per collegare informazioni non nominative ad un soggetto
identificato, tenendo anche conto delle effettive possibilita' di
pervenire in modo illecito alla sua identificazione in rapporto ai
sistemi di sicurezza ed al software di controllo adottati;
conoscenza delle procedure di estrazione campionaria,
imputazione, correzione e protezione statistica adottate per la
produzione dei dati.
Art. 5.
Criteri per la valutazione del rischio di identificazione
1. Ai fini della comunicazione e diffusione di risultati
statistici, la valutazione del rischio di identificazione tiene conto
anche dei seguenti criteri:
a) si considerano dati aggregati le combinazioni di modalita'
alle quali e' associata una frequenza non inferiore a una soglia
prestabilita, ovvero un'intensita' data dalla sintesi dei valori
assunti da un numero di unita' statistiche pari alla suddetta soglia.
Il valore minimo attribuibile alla soglia e' pari a tre;
b) nel valutare il valore della soglia si deve tenere conto del
livello di riservatezza delle informazioni;
c) i risultati statistici relativi a sole variabili pubbliche
non sono soggette alla regola della soglia;
d) la regola della soglia puo' non essere osservata qualora il
risultato statistico non consenta ragionevolmente l'identificazione
di unita' statistiche, avuto riguardo al tipo di rilevazione e alla
natura delle variabili associate;
e) i risultati statistici relativi a una stessa popolazione
possono essere diffusi in modo che non siano possibili collegamenti
tra loro o con altre fonti note di informazione, che rendano
possibili eventuali identificazioni;
f) si presume adeguatamente tutelata la riservatezza nel caso
in cui tutte le unita' statistiche di una popolazione presentano la
medesima modalita' di una variabile.
Capo II
Informazioni agli interessati, comunicazione e diffusione
Art. 6.
Informazioni agli interessati
1. Nella raccolta di dati per uno scopo statistico, nell'ambito
delle informazioni di cui all'art. 13 RGPD del decreto e'
rappresentata all'interessato l'eventualita' che i dati personali
possono essere conservati e trattati per altri scopi statistici o
scientifici, per quanto noto adeguatamente specificati anche con
riguardo alle categorie di soggetti ai quali i dati potranno essere
comunicati.
2. Quando, con riferimento a parametri scientificamente
attendibili, gli obiettivi dell'indagine, la natura dei dati e le
circostanze della raccolta sono tali da consentire ad un soggetto di
rispondere in nome e per conto di un altro in quanto familiare o
convivente, l'informativa all'interessato puo' essere data per il
tramite del soggetto rispondente, purche' il trattamento non riguardi
categorie particolari di dati personali o personali relativi a
condanne penali e reati di cui, rispettivamente, agli articoli 9 e 10
del regolamento (UE) n. 2016/679.
3. Quando i dati sono raccolti presso terzi, ovvero il
trattamento effettuato per scopi statistici o scientifici riguarda
dati raccolti per altri scopi, e l'informativa comporta uno sforzo
sproporzionato rispetto al diritto tutelato, il titolare adotta
idonee forme di pubblicita', ad esempio, con le seguenti modalita':
per trattamenti riguardanti insiemi numerosi di soggetti
distribuiti sull'intero territorio nazionale, inserzione su almeno un
quotidiano di larga diffusione nazionale o annuncio presso
un'emittente radiotelevisiva a diffusione nazionale;
per trattamenti riguardanti insiemi numerosi di soggetti
distribuiti su un'area regionale (o provinciale), inserzione su un
quotidiano di larga diffusione regionale (o provinciale) o annuncio
presso un'emittente radiotelevisiva a diffusione regionale (o
provinciale);
per trattamenti riguardanti insiemi di specifiche categorie di
soggetti, identificate da particolari caratteristiche demografiche
e/o da particolari condizioni formative o occupazionali o analoghe,
inserzione in strumenti informativi di cui gli interessati sono
normalmente destinatari.
Art. 7.
Principi applicabili al trattamento delle particolari categorie di
dati di cui all'art. 9, § 1 e di dati relativi a condanne penali e
reati di cui all'art. 10 del Regolamento.
1. Le particolari categorie di dati di cui all'art. 9, § 1 e i
dati relativi a condanne penali e reati di cui all'art. 10, trattati
per scopi statistici e scientifici devono essere di regola in forma
anonima.
2. I soggetti di cui all'art. 2, comma 1, possono trattare
categorie particolari di dati personali per scopi statistici e
scientifici quando:
a) l'interessato ha espresso liberamente il proprio consenso
sulla base degli elementi previsti per l'informativa;
b) il consenso e' manifestato per iscritto. Quando la raccolta
delle categorie particolari di dati personali e' effettuata con
modalita' -quali interviste telefoniche o assistite da elaboratore o
simili- che rendono particolarmente gravoso per l'indagine acquisirlo
per iscritto, il consenso, purche' esplicito, puo' essere documentato
per iscritto. In tal caso, la documentazione dell'informativa resa
all'interessato e dell'acquisizione del relativo consenso e'
conservata dal titolare del trattamento per tre anni.
Art. 8.
Disposizioni particolari per la ricerca medica,
biomedica ed epidemiologica
1. La ricerca medica, biomedica ed epidemiologica e' sottoposta
all'applicazione delle presenti regole del nei limiti di cui all'art.
2, comma 2.
2. La ricerca di cui al comma 1 si svolge nel rispetto degli
orientamenti e delle disposizioni internazionali e comunitarie in
materia, quali la Convenzione sui diritti dell'uomo e sulla
biomedicina del 4 aprile 1997, ratificata con legge 28 marzo 2001, n.
145, la Raccomandazione del Consiglio d'Europa R(97)5 adottata il 13
febbraio 1997 relativa alla protezione dei dati sanitari e la
dichiarazione di Helsinki dell'Associazione medica mondiale sui
principi per la ricerca che coinvolge soggetti umani.
3. Nella ricerca di cui al comma 1, le informazioni sul
trattamento di dati personali mettono in grado gli interessati di
distinguere le attivita' di ricerca da quelle di tutela della salute.
4. Nel manifestare il proprio consenso ad un'indagine medica o
epidemiologica, l'interessato e' richiesto di dichiarare se vuole
conoscere o meno eventuali scoperte inattese che emergano a suo
carico durante la ricerca. In caso positivo, i dati personali idonei
a rivelare lo stato di salute possono essere resi noti
all'interessato -o, in caso di impossibilita' fisica, incapacita' di
agire o incapacita' di intendere o di volere dell'interessato, a chi
ne esercita legalmente la rappresentanza, ovvero a un prossimo
congiunto, a un familiare, a un convivente o unito civilmente ovvero
a un fiduciario ai sensi dell'art. 4 della legge 22 dicembre 2017, n.
219 o, in loro assenza, al responsabile della struttura presso cui
dimora l'interessato-, da parte di esercenti le professioni sanitarie
ed organismi sanitari, solo per il tramite di un medico designato
dall'interessato o dal titolare, fatta eccezione per i dati personali
forniti in precedenza dal medesimo interessato. Il titolare, il
responsabile o le persone designate possono autorizzare per iscritto
esercenti le professioni sanitarie diversi dai medici, che
nell'esercizio dei propri compiti intrattengono rapporti diretti con
i pazienti e sono deputati a trattare dati personali idonei a
rivelare lo stato di salute, a rendere noti i medesimi dati
all'interessato o ai predetti soggetti. L'atto di designazione
individua appropriate modalita' e cautele rapportate al contesto nel
quale e' effettuato il trattamento di dati. Quando, il consenso non
puo' essere richiesto, tali eventi sono comunque comunicati
all'interessato nel rispetto di quanto sopra qualora rivestano
un'importanza rilevante per la tutela della salute dello stesso.
Art. 9.
Attivita' di controllo
1. Le universita', gli altri istituti o enti di ricerca e le
societa' scientifiche conservano la documentazione relativa ai
progetti di ricerca presentati e agli impegni sottoscritti dai
ricercatori. ai sensi dell'art. 3, commi 1 e 2, delle presenti regole
deontologiche.
2. Gli enti di cui al comma 1:
a) assicurano la diffusione e il rispetto delle presenti regole
deontologiche fra tutti coloro che, all'interno o all'esterno
dell'organizzazione, sono in qualunque forma coinvolti nel
trattamento dei dati personali realizzato nell'ambito delle ricerche,
anche adottando opportune misure sulla base dei propri statuti e
regolamenti;
b) segnalano al garante le violazioni delle regole
deontologiche di cui vengono a conoscenza.
Capo III
Disposizioni finali
Art. 10.
Raccolta dei dati
1. I soggetti di cui all'art. 2, comma 1, pongono specifica
attenzione nella selezione del personale preposto alla raccolta dei
dati e nella definizione dell'organizzazione e delle modalita' di
rilevazione, in modo da garantire il rispetto delle presenti regole
deontologiche e la tutela dei diritti degli interessati.
2. Il personale preposto alla raccolta si attiene alle
disposizioni contenute rispetto nelle presenti regole deontologiche e
alle istruzioni ricevute. In particolare:
a) rende nota la propria identita', la propria funzione e le
finalita' della raccolta, anche attraverso adeguata documentazione;
b) fornisce le informazioni di cui all'art. 13 del regolamento
ed all'art. 6 del presente Codice nonche' ogni altro chiarimento che
consenta all'interessato di rispondere in modo adeguato e
consapevole, evitando comportamenti che possano configurarsi come
artifici ed indebite pressioni;
c) non svolge contestualmente presso gli stessi interessati
attivita' di rilevazione di dati personali per conto di piu'
titolari, salvo espressa autorizzazione;
d) provvede tempestivamente alla correzione degli errori e
delle inesattezze delle informazioni acquisite nel corso della
raccolta;
e) assicura una particolare diligenza nella raccolta delle
particolari categorie di dati di cui agli articoli 9, § 1, e dei dati
di cui all'art. 10 Regolamento.
Art. 11.
Conservazione dei dati
1. I dati personali possono essere conservati per scopi
statistici o scientifici anche oltre il periodo necessario per il
raggiungimento degli scopi per i quali sono stati raccolti o
successivamente trattati, in conformita' all'art. 5, § 1 lettera e)
del Regolamento.
Art. 12.
Esercizio dei diritti dell'interessato
1. Qualora, in caso di esercizio dei diritti di cui agli art. 15
e seguenti del Regolamento, sono necessarie modifiche ai dati che
riguardano l'interessato, il titolare del trattamento provvede ad
annotare, in appositi spazi o registri, le modifiche richieste
dall'interessato, senza variare i dati originariamente immessi
nell'archivio.
Art. 13.
Disposizioni finali
1. I responsabili e le persone autorizzate del trattamento che
per motivi di lavoro e ricerca, abbiano legittimo accesso ai dati
personali trattati per scopi statistici e scientifici, conformano il
proprio comportamento anche alle seguenti disposizioni:
a) i dati personali possono essere utilizzati soltanto per gli
scopi definiti nel progetto di ricerca di cui all'art. 3;
b) i dati personali devono essere conservati in modo da
evitarne la dispersione, la sottrazione e ogni altro uso non conforme
alla legge e alle istruzioni ricevute;
c) i dati personali e le notizie non disponibili al pubblico di
cui si venga a conoscenza in occasione dello svolgimento
dell'attivita' statistica o di attivita' ad essa strumentali non
possono essere diffusi, ne' altrimenti utilizzati per interessi
privati, propri o altrui;
d) il lavoro svolto e' oggetto di adeguata documentazione;
e) le conoscenze professionali in materia di protezione dei
dati personali sono adeguate costantemente all'evoluzione delle
metodologie e delle tecniche;
f) la comunicazione e la diffusione dei risultati statistici
sono favorite, in relazione alle esigenze conoscitive della comunita'
scientifica e dell'opinione pubblica, nel rispetto della disciplina
sulla protezione dei dati personali;
g) i comportamenti non conformi alle presenti regole
deontologiche sono immediatamente segnalati al titolare o al
responsabile trattamento.
Art. 14.
Adeguamento
1. La corrispondenza delle disposizioni delle regole
deontologiche alla normativa, anche di carattere internazionale,
introdotta in materia di protezione dei dati personali trattati a
fini di statistica e di ricerca scientifica e' verificata nel tempo
anche su segnalazione dei soggetti che le applicano. Cio' ai fini
dell'introduzione nelle regole medesime delle modifiche necessarie al
fine del coordinamento con dette fonti, ovvero, qualora tali
modifiche incidano in maniera apprezzabile sulla disciplina delle
presenti regole, e ai fini dell'adozione delle nuove regole ai sensi
dell'art. 2-quater del Codice.
Blog di informazione e archivio del portale http://www.laboratoriopoliziademocratica.it. Inizio pubblicazioni 22 agosto 2003 Notizie flash dall'Italia e dal mondo. DAL 2003 ININTERROTTAMENTE E OLTRE 100MILA INFORMAZIONI TOTALMENTE GRATUITE- SOSTIENICI CON UNA RICARICA DELLA POSTEPAY
Nessun commento:
Posta un commento