GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101
Provvedimento del 19 dicembre 2018
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. XX, presidente, della dott.ssa XX, vicepresidente, della dott.ssa XX e della prof.ssa XX, componenti, e del dott. XX, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (di seguito “Regolamento” e “RGPD”);
VISTO il d.lgs. 10 agosto 2018, n. 101, recante Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
VISTO il Codice in materia di protezione dei dati personali, d.lgs. 30 giugno 2003, n. 196 (di seguito Codice), così come modificato dal predetto d.lgs. n. 101 del 2018;
VISTO il decreto legislativo 6 settembre 1989, n. 322, recante Norme sul Sistema statistico nazionale e sulla riorganizzazione dell'Istituto nazionale di statistica, ai sensi dell'art. 24 della legge 23 agosto 1988, n. 400;
VISTO l’art. 5-ter del d.lgs. 14 marzo 2013, n. 33, recante Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, relativo all’accesso per fini scientifici ai dati elementari raccolti per finalità statistiche;
VISTO il codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifici effettuati nell’ambito del Sistema statistico nazionale, allegato A.3 al Codice;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore la prof.ssa XX;
PREMESSO
L’art. 20, commi 3 e 4, del d.lgs. 101 del 2018 ha conferito al Garante il compito di verificare, nel termine di 90 giorni dalla sua entrata in vigore, la conformità al Regolamento delle disposizioni contenute nei codici di deontologia e buona condotta di cui agli allegati A.1, A.2, A.3, A.4 e A.6 al Codice.
Le disposizioni ritenute compatibili, ridenominate regole deontologiche, dovranno essere pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministero della Giustizia, saranno successivamente riportate nell’allegato A al Codice.
Il codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifici effettuati nell’ambito del Sistema statistico nazionale cessa di produrre effetti dalla pubblicazione delle predette regole nella Gazzetta Ufficiale (art. 20, comma 3, del d.lgs. 101 del 2018).
Successivamente, il Garante potrà promuovere la revisione di tali regole, secondo la procedura di cui all’art. 2-quater del Codice, in base alla quale lo schema delle regole deontologiche, nell’osservanza del principio di rappresentatività, deve essere sottoposto a consultazione pubblica, per almeno sessanta giorni.
A regime, l’art. 106 del Codice, così come novellato dall’art. 8 dal d.lgs. n. 101/2018, prevede specificamente che le regole deontologiche individuino garanzie adeguate per i diritti e le libertà dell’interessato e si applicano ai soggetti i soggetti pubblici e privati, ivi comprese le società scientifiche e le associazioni professionali, interessati al trattamento dei dati per fini statistici o di ricerca scientifica ricompresi nell’ambito del Sistema statistico nazionale.
OSSERVA
Nell’ambito del presente provvedimento sono individuate le disposizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale, allegato A.3 al Codice, adottato con Provvedimento del Garante n. 13 del 31 luglio 2002, ritenute non conformi al Regolamento e, in allegato, sono riportate le disposizioni conformi, ridenominate regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale.
I soggetti tenuti all’applicazione delle allegate regole osservano, altresì, il principio di imparzialità e di non discriminazione nei confronti di altri utilizzatori, in particolare nell’ambito della comunicazione per scopi statistici di dati depositati in archivi pubblici e trattati da enti pubblici o sulla base di finanziamenti pubblici. Ciò, fermo restando il rispetto dei principi, delle garanzie e degli specifici adempimenti richiesti dal Regolamento e dal Codice.
L’osservanza delle disposizioni contenute nelle regole deontologiche costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali e il mancato rispetto delle stesse comporta l’applicazione della sanzione di cui all’art. 83, paragrafo 5, del Regolamento (artt. 2-quater, comma 4, e 166, comma 2, del Codice).
In via generale, si rappresenta che si è tenuto conto dell’esigenza di contemperare il diritto alla libertà di ricerca scientifica e statistica nell’ambito del Sistema statistico nazionale, in ossequio al principio di proporzionalità (cons. 4 del Regolamento), verificando la conformità delle disposizioni del codice di deontologia, in particolare, ai principali considerando e agli articoli dedicati alla ricerca statistica e scientifica (cons. 26, 50, 52, 53, 62, 156, 157, 159, 162, 163, art. 5, comma 1 lett. b) ed e), art. 9, art. 10, e art. 89 1, del Regolamento).
L’attività istruttoria in ordine alla verifica della conformità al Regolamento delle disposizioni del Codice di deontologia allegato A,3 al Codice ha reso, talvolta, necessari degli interventi di revisione e aggiornamento volti, da un lato, ad assicurare una maggiore aderenza della norma al Regolamento e al Codice e, dall’altro, a preservare regole che gli operatori del settore hanno, a suo tempo, condiviso e sulle quali fondano i trattamenti di dati personali inerenti alle proprie attività.
1. Modifiche generali
Preliminarmente, si osserva che si è reso necessario aggiornare i riferimenti normativi presenti nel codice di deontologia e la semantica utilizzata rispetto al rinnovato quadro normativo europeo e nazionale di riferimento.
Si è reso necessario, inoltre, eliminare il preambolo del codice di deontologia, dovendosi, in base al richiamato articolo 20 del d.lgs. 101 del 2018, ridenominare solo le disposizioni dello stesso.
Cionondimeno, i principi e le fonti di diritto sovranazionale ivi richiamati, sono in ogni caso da ritenersi a fondamento dei trattamenti di dati personali effettuati per scopi statistici o di ricerca scientifica nell’ambito del Sistema statistico nazionale.
2. Disposizioni ritenute incompatibili
Art. 3, “Identificabilità dell’interessato”, è stato ritenuto necessario, in primo luogo, sostituire la parola “identificativi” con la seguente locuzione “che … identificano” l’unità statistica, al comma 1, lett. a), in quanto la definizione di “dati identificativi” di cui all’art. 4, comma 1, lett. c), del Codice è stata abrogata dal d.lgs. n. 101 del 2018, e non è più prevista dal Regolamento; in secondo luogo, il comma 1, lett. c), è stato ritenuto incompatibile nella misura in cui introduceva, per la valutazione del rischio di identificabilità degli interessati, dei parametri predefiniti che non sono in linea con il quadro giuridico introdotto dal Regolamento. Rispetto alle indicazioni fornite dal considerando 26, che per l’identificabilità di una persona indica, in particolare, che si tengano in considerazione “tutti i mezzi” di cui il titolare può ragionevolmente avvalersi, la disposizione in esame poneva come parametri predefiniti la tipologia di dati comunicati o diffusi, la proporzione tra i mezzi per l’identificazione e la lesione o il pericolo di lesione dei diritti degli interessati, ciò anche alla luce del vantaggio che ne poteva trarre il titolare. Tale disposizione, quindi, nel fornire ai titolari delle coordinate per valutare l’identificabilità dell’interessato attualmente superate, manifestava anche un approccio alla definizione e valutazione del rischio più circoscritte rispetto a quella del Regolamento in cui tale valutazione deve tener conto delle nuove tecnologie utilizzate, della natura, dell'oggetto, del contesto e delle finalità di ogni tipo di trattamento (cfr. anche cons., 84, 89, 93 e 95 e artt. 5, 1, lett. e), 24, 35 e 36 del Regolamento).
L’art. 4, “Criteri per la valutazione del rischio di identificazione”, è stato mantenuto considerandosi, in via generale, compatibile con il Regolamento, nella misura in cui si limita a fornire alcuni parametri, orientativi, non esaustivi, per la valutazione del rischio di identificazione degli interessati. Al fine di assicurarne un’applicazione conforme al Regolamento, si è, tuttavia, ritenuto necessario modificarlo con l’aggiunta di un “anche” (al primo comma, tra le parole “tiene conto” e “dei seguenti”), affinché sia chiaro che i parametri ivi indicati devono, comunque, considerarsi meramente esemplificativi e soprattutto non alternativi rispetto al nuovo quadro giuridico introdotto dal Regolamento sopra descritto.
Parimenti, è risultato compatibile con il Regolamento -salvi i necessari aggiornamenti ai riferimenti normativi- l’art. 4-bis ,”Trattamento di dati personali, sensibili e giudiziari, nell’ambito del programma statistico nazionale” in base a quale, “nel Programma statistico nazionale sono illustrate le finalità perseguite e le garanzie previste dal d.lgs. 6 settembre 1989, n. 322 e dal d.lgs. 30 giugno 2003, n. 196 e successive modificazioni e integrazioni e dalle presenti regole deontologiche. Il Programma indica, altresì, i dati di cui agli artt. 9, 1, e 10 del Regolamento, le rilevazioni per le quali i dati sono trattati e le modalità di trattamento. Il Programma è adottato, con riferimento ai dati personali, sensibili e giudiziari, sentito il Garante per la protezione dei dati personali, ai sensi dell'art. 58, 3 lett. b) del Regolamento”.
Giova, infatti, evidenziare che tale norma è stata introdotta nel Codice di deontologia di cui trattasi con provvedimento del Garante 170 del 24 luglio 2014, su sollecitazione dell’Istat, a seguito dell’abrogazione dell’art. 6-bis, comma 2, del d.lgs. n. 322 del 1989 (cfr. art. 8-bis, d.l. 31 agosto 2013, n. 101, convertito con modificazioni in legge 30 ottobre 2013, n. 125), che aveva un contenuto sostanzialmente analogo.
Resta fermo che tale disposizione non è, in ogni caso, da sola, sufficiente a legittimare il trattamento, nell’ambito del Piano statistico nazionale, delle particolari categorie di dati e dei dati relativi a condanne penali e reati. La base giuridica e le condizioni di liceità per il trattamento di tali dati, nell’ambito del Piano statistico nazionale, è, infatti, costituita anche, per le categorie particolari di dati, dall’art. 9 del Regolamento e dagli articoli 2-sexies e 107 del Codice, e, per i dati relativi a condanne penali e reati, dall’art. 10 del Regolamento e dagli articoli 2-sexies e 2-octies del Codice.
L’art. 5, comma 2, lett. c), è stato considerato incompatibile nella parte in cui, tra i presupposti del trattamento delle particolari categorie di dati da parte di soggetti privati che partecipano al Sistema statistico nazionale, prevedeva la preventiva autorizzazione del Garante. Ciò, in quanto, nel nuovo quadro normativo, risulta molto circoscritto l’ambito di applicazione dell’istituto dell’autorizzazione del Garante (cfr. art. 36, 5, del Regolamento, art. 110-bis del Codice e art. 21 del d.lgs. n. 101 del 2018).
Sono stati modificati il titolo del Capo II da “informativa, comunicazione e diffusione” in “informazioni agli interessati, comunicazione e diffusione” e la rubrica dell’art. 6 da “Informativa” a “Informazioni agli interessati”, ai sensi degli artt. 13 e 14 del Regolamento.
L’art. 6 disciplina le ipotesi di impossibilità di fornire le informazioni direttamente agli interessati quando i dati sono raccolti presso terzi. Tale articolo è stato considerato incompatibile nella parte in cui, al comma 2, disponeva che il titolare dovesse preventivamente comunicare al Garante le modalità individuate per dare pubblicità all’informativa, il quale avrebbe potuto prescrivere eventuali misure e accorgimenti. Ciò, in quanto, in conformità all’art. 14 del Regolamento, il coinvolgimento del Garante non è più richiesto.
La disposizione è risultata, inoltre, incompatibile con il Regolamento nella parte in cui consentiva al titolare di fornire agli interessati un‘informativa differita per la parte riguardante le specifiche finalità e modalità del trattamento, qualora ciò risultasse necessario per il raggiungimento dell’obiettivo dell’indagine (art. 6, comma 3). L’art. 13 del Regolamento, infatti, non prevede alcuna forma di deroga o semplificazione agli obblighi informativi quando i dati sono raccolti presso gli interessati.
E’ stato, altresì, considerato incompatibile il comma 4 dell’articolo in esame, in quanto, nel prevedere la possibilità che il titolare possa raccogliere dati personali presso un soggetto rispondente in nome e per conto di un altro (cd. proxy), non prevedeva le specifiche circostanze in cui tale modalità di raccolta era ammessa (art. 105, comma 3, del Codice).
L’art. 7, commi 2, 3 e 4, relativo alla comunicazione di dati personali a ricercatori di università o a istituti o enti di ricerca a soci di società scientifiche, non facenti parte del Sistema statistico nazionale, e l’art. 8, sulla comunicazione dei dati tra soggetti del Sistema statistico nazionale, sono stati considerati non conformi al rinnovato quadro normativo in quanto, ai sensi degli artt. 6, 3, del Regolamento e 2-ter del Codice, si richiede una norma di legge o, nei casi previsti dalla legge, di regolamento per la comunicazione di dati tra soggetti pubblici o tra soggetti che svolgono compiti di interesse pubblico, quali sono i soggetti del Sistema statistico nazionale. Ciò, tenuto anche conto delle condizioni individuate nello specifico quadro normativo di settore in materia accesso per fini scientifici ai dati elementari raccolti per finalità statistiche, di cui all’art. 5-ter del d.lgs. 33 del 2013, che, di recente, ha trovato piena applicazione con l’approvazione da parte del Comstat delle linee guida per l'accesso a fini scientifici ai dati elementari del Sistema statistico nazionale (G.U. n. 287 del 11-12-2018).
È stato modificato il titolo del Capo III da “sicurezza e regole di condotta” in “disposizioni finali”.
All’art. 11, “Conservazione dei dati”, è stato ritenuto necessario abrogare al comma 1, dalle parole “in tali casi” alle parole “finalità perseguite”, in quanto tali previsioni individuano predefiniti e specifici casi di deroga al principio di limitazione della conservazione di cui all’art. 5, 1, lett. e), del Regolamento che, pur ammettendo deroghe per i trattamenti effettuati a fini statistici e di ricerca scientifica, richiede, oltre a una valutazione del rischio, caso per caso, a cura del titolare (artt. 24 e 35 del Regolamento), l’individuazione di misure tecniche e organizzative adeguate a tutela dell’interessato. Ciò vale anche per il comma 2, poiché anche le garanzie previste dall’art. 6-bis, comma 6, del d. lgs. 6 settembre 1989, n. 322, devono essere applicate alla luce delle predette considerazioni.
L’art. 12, “Misure di sicurezza”, è stato ritenuto incompatibile, in quanto gli aspetti ivi disciplinati sono oggetto ora di specifiche previsioni del Regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un diverso approccio alle misure di sicurezza che devono esser individuate, fin dalla progettazione e per impostazione predefinita (artt. 24 e 25 del Regolamento), in conformità all’art. 32 del Regolamento. L’articolo, inoltre, forniva specifiche indicazioni per l’individuazione dei diversi livelli di accesso (natura dei dati e funzioni dei soggetti coinvolti) ai dati da parte dei soggetti legittimati che attualmente devono essere definiti alla luce dei, più ampi, criteri di cui all’art. 25, par. 2, del Regolamento, in omaggio ai richiamati principi di privacy by default e by design.
L’art. 13, “Esercizio dei diritti”, comma 1, è stato considerato incompatibile, in quanto, consentirebbe al titolare la possibilità di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, come richiesto, invece, dall’art. 89 del Regolamento.
È stata, infine, riformulata, la rubrica dell’art. 14, in “Disposizioni finali”, onde evitare ambiguità rispetto alle regole deontologiche di cui all’art. 2-quater del Codice e con i futuri codici di condotta, di cui all’art. 40 del Regolamento.
3. Regole deontologiche
I predetti elementi, relativi all’aggiornamento della disciplina in materia, sono recepiti nelle “Regole deontologiche per il trattamento a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale” in ragione di quanto disposto dall’art. 20, comma 4, del d.lgs. 101/2018 e riportate nell’allegato 1 al presente provvedimento e che ne forma parte integrante.
Tali “Regole deontologiche” sono volte a disciplinare i trattamenti in questione in attesa di un auspicabile aggiornamento delle stesse ai sensi degli artt. 2-quater e 106 e ss. del Codice. Pertanto, si dispone la trasmissione delle suddette “Regole deontologiche” all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la relativa pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana, nonché al Ministero della giustizia per essere riportato nell'Allegato A) al Codice.
TUTTO CIO’ PREMESSO IL GARANTE
ai sensi dell’art. 20, comma 4, del d.lgs. n. 101/2018, verificata la conformità al Regolamento delle disposizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale, allegato A.3 al Codice, dispone che le medesime, riportate nell’allegato 1 al presente provvedimento e che ne forma parte integrante, siano pubblicate come “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale” e ne dispone, altresì, la trasmissione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana, nonché al Ministero della giustizia per essere riportato nell'Allegato A) al Codice.
Roma, 19 dicembre 2018
Allegato 1
Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale.
Capo I - Ambito di applicazione e principi generali
Art. 1. Ambito di applicazione
1. Le regole deontologiche si applicano ai trattamenti di dati personali per scopi statistici effettuati da:
a) enti ed uffici di statistica che fanno parte o partecipano al Sistema statistico nazionale, per l'attuazione del programma statistico nazionale o per la produzione di informazione statistica, in conformità ai rispettivi ambiti istituzionali;
b) strutture diverse dagli uffici di cui alla lettera a), ma appartenenti alla medesima amministrazione o ente, qualora i relativi trattamenti siano previsti dal programma statistico nazionale e gli uffici di statistica attestino le metodologie adottate, osservando le disposizioni contenute nel decreto legislativo 6 settembre 1989, n. 322, nel Regolamento, nel Codice e successive modificazioni e integrazioni, nonché nelle presenti regole deontologiche.
Art. 2. Definizioni
1. Ai fini delle presenti regole deontologiche si applicano le definizioni elencate nell'art. 4 del Regolamento. Ai fini medesimi, si intende inoltre per:
a) "trattamento per scopi statistici", qualsiasi trattamento effettuato per finalità di indagine statistica o di produzione, conservazione e diffusione di risultati statistici in attuazione del programma statistico nazionale o per effettuare informazione statistica in conformità agli ambiti istituzionali dei soggetti di cui all'articolo 1;
b) "risultato statistico", l'informazione ottenuta con il trattamento di dati personali per quantificare aspetti di un fenomeno collettivo;
c) "variabile pubblica", il carattere o la combinazione di caratteri, di tipo qualitativo o quantitativo, oggetto di una rilevazione statistica che faccia riferimento ad informazioni presenti in pubblici registri, elenchi, atti, documenti o fonti conoscibili da chiunque;
d) "unità statistica", l'entità alla quale sono riferiti o riferibili i dati trattati.
Art. 3. Identificabilità dell'interessato
1. Agli effetti dell'applicazione delle presenti regole:
a) un interessato si ritiene identificabile quando, con l'impiego di mezzi ragionevoli, è possibile stabilire un'associazione significativamente probabile tra la combinazione delle modalità delle variabili relative ad una unità statistica e i dati che la identificano;
b) I mezzi ragionevolmente utilizzabili per identificare un interessato afferiscono, in particolare, alle seguenti categorie: risorse economiche; risorse di tempo; archivi nominativi o altre fonti di informazione contenenti dati identificativi congiuntamente ad un sottoinsieme delle variabili oggetto di comunicazione o diffusione; archivi, anche non nominativi, che forniscano ulteriori informazioni oltre a quelle oggetto di comunicazione o diffusione; risorse hardware e software per effettuare le elaborazioni necessarie per collegare informazioni non nominative ad un soggetto identificato, tenendo anche conto delle effettive possibilità di pervenire in modo illecito alla sua identificazione in rapporto ai sistemi di sicurezza ed al software di controllo adottati; conoscenza delle procedure di estrazione campionaria, imputazione, correzione e protezione statistica adottate per la produzione dei dati.
Art. 4. Criteri per la valutazione del rischio di identificazione
1. Ai fini della comunicazione e diffusione di risultati statistici, la valutazione del rischio di identificazione tiene conto anche dei seguenti criteri:
a) si considerano dati aggregati le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un'intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia. Il valore minimo attribuibile alla soglia è pari a tre;
b) nel valutare il valore della soglia si deve tenere conto del livello di riservatezza delle informazioni;
c) i risultati statistici relativi a sole variabili pubbliche non sono soggetti alla regola della soglia;
d) la regola della soglia può non essere osservata qualora il risultato statistico non consenta ragionevolmente l'identificazione di unità statistiche, avuto riguardo al tipo di rilevazione e alla natura delle variabili associate;
e) i risultati statistici relativi a una stessa popolazione possono essere diffusi in modo che non siano possibili collegamenti tra loro o con altre fonti note di informazione, che rendano possibili eventuali identificazioni;
f) si presume che sia adeguatamente tutelata la riservatezza nel caso in cui tutte le unità statistiche di una popolazione presentino la medesima modalità di una variabile.
2. Nel programma statistico nazionale sono individuate le variabili che possono essere diffuse in forma disaggregata, ove ciò risulti necessario per soddisfare particolari esigenze conoscitive anche di carattere internazionale o comunitario.
3. Nella comunicazione di collezioni campionarie di dati, il rischio di identificazione deve essere per quanto possibile contenuto. Tale limite e la metodologia per la stima del rischio di identificazione sono individuati dall'Istat che, attenendosi ai criteri di cui all'art. 3 definisce anche le modalità di rilascio dei dati dandone comunicazione alla Commissione per la garanzia dell'informazione statistica.
Art. 4.bis Trattamento di particolari categorie di dati e di dati relativi a condanne penali e reati, nell'ambito del Programma statistico nazionale
Nel Programma statistico nazionale sono illustrate le finalità perseguite e le garanzie previste dal d.lgs. 6 settembre 1989, n. 322 e dal d.lgs. 30 giugno 2003, n. 196 e successive modificazioni e integrazioni e dalle presenti regole deontologiche. Il Programma indica altresì i dati di cui agli artt. 9, par. 1, e 10 del Regolamento, le rilevazioni per le quali i dati sono trattati e le modalità di trattamento. Il Programma è adottato, con riferimento ai dati personali, di cui agli art. 9 e 10 del Regolamento, sentito il Garante per la protezione dei dati personali, ai sensi dell'art. 58, par. 3, lett. b) Regolamento.
Art. 5. Trattamento di particolari categorie di dati di cui all’art. 9, par. 1, del Regolamento, da parte di soggetti privati
1. I soggetti privati che partecipano al Sistema statistico nazionale ai sensi della legge 28 aprile 1998, n. 125, raccolgono o trattano ulteriormente particolari categorie di dati per scopi statistici di regola in forma anonima, fermo restando quanto previsto dall'art. 6-bis, comma 1, del decreto legislativo 6 settembre 1989, n. 322, come introdotto dal decreto legislativo 30 luglio 1999, n. 281, e successive modificazioni e integrazioni.
2. In casi particolari in cui scopi statistici, legittimi e specifici, del trattamento delle particolari categorie di dati non possono essere raggiunti senza l'identificazione anche temporanea degli interessati, per garantire la legittimità del trattamento medesimo è necessario che concorrano i seguenti presupposti:
a) l'interessato abbia espresso liberamente il proprio consenso sulla base degli elementi previsti nelle informazioni sul trattamento di dati personali di cui all’art. 13 del Regolamento;
b) il titolare adotti specifiche misure per mantenere separati i dati identificativi già al momento della raccolta, salvo che ciò risulti irragionevole o richieda uno sforzo manifestamente sproporzionato;
c) il trattamento sia compreso nel programma statistico nazionale.
3. Il consenso è manifestato per iscritto. Qualora la raccolta delle particolari categorie di dati sia effettuata con particolari modalità, quali interviste telefoniche o assistite da elaboratore, il consenso, purché espresso, può essere documentato per iscritto. In tal caso, la documentazione delle informazioni rese all'interessato e dell'acquisizione del relativo consenso è conservata dal titolare del trattamento per tre anni.
Capo II – Informazioni agli interessati, comunicazione e diffusione
Art. 6. Informazioni agli interessati
1. Oltre alle informazioni di cui all'art. 13 del Regolamento, all'interessato o alle persone presso le quali i dati personali dell'interessato sono raccolti per uno scopo statistico è rappresentata l'eventualità che essi possono essere trattati per altri scopi statistici, in conformità a quanto previsto dal decreto legislativo 6 settembre 1989, n. 322, dal Regolamento e dal Codice, e successive modificazioni e integrazioni.
2. Quando il trattamento riguarda dati personali non raccolti presso l'interessato e il conferimento delle informazioni a quest'ultimo richieda uno sforzo sproporzionato rispetto al diritto tutelato, in base a quanto previsto dall'art. 14, par. 5, lett. b) del Regolamento, le informazioni stesse si considerano rese se il trattamento è incluso nel programma statistico nazionale o è oggetto di pubblicità con idonee modalità.
Art. 7. Comunicazione a soggetti non facenti parte del Sistema statistico nazionale
1. Ai soggetti che non fanno parte del Sistema statistico nazionale possono essere comunicati, sotto forma di collezioni campionarie, dati individuali privi di ogni riferimento che ne permetta il collegamento con gli interessati e comunque secondo modalità che rendano questi ultimi non identificabili.
Art. 8. Autorità di controllo
1. La Commissione per la garanzia dell'informazione statistica di cui all'articolo 12 del decreto legislativo 6 settembre 1989, n. 322 contribuisce alla corretta applicazione delle disposizioni delle presenti regole, segnalando al Garante i casi di inosservanza.
Capo III – Disposizioni finali
Art. 9. Raccolta dei dati
1. I soggetti di cui all'art. 1 pongono specifica attenzione nella selezione del preposto alla raccolta dei dati e nella definizione dell'organizzazione e delle modalità di rilevazione, in modo da garantire il rispetto delle presenti regole e la tutela dei diritti degli interessati.
2. In ogni caso, il personale preposto alla raccolta si attiene alle disposizioni contenute nelle presenti regole alle istruzioni ricevute. In particolare:
a) rende nota la propria identità, la propria funzione e le finalità della raccolta, anche attraverso adeguata documentazione;
b) fornisce le informazioni di cui all'art. 13 del Regolamento e di cui all'art. 6 delle presenti regole, nonché ogni altro chiarimento che consenta all'interessato di rispondere in modo adeguato e consapevole, evitando comportamenti che possano configurarsi come artifici o indebite pressioni;
c) non svolge contestualmente presso gli stessi interessati attività di rilevazione di dati per conto di più titolari, salvo espressa autorizzazione;
d) provvede tempestivamente alla correzione degli errori e delle inesattezze delle informazioni acquisite nel corso della raccolta;
e) assicura una particolare diligenza nella raccolta delle particolari categorie di dati di cui agli artt. 9, par., 1 e 10 del Regolamento.
Art. 10. Conservazione dei dati
1. I dati personali possono essere conservati anche oltre il periodo necessario per il raggiungimento degli scopi per i quali sono stati raccolti o successivamente trattati, nel rispetto del principio di limitazione della conservazione di cui all'art. 5, par.1, lett. e) del Regolamento e all'art. 6-bis del decreto legislativo 6 settembre 1989, n. 322 e successive modificazioni e integrazioni.
Art. 11. Esercizio dei diritti dell'interessato
1. In attuazione dell'art. 6-bis, comma 8, del decreto legislativo 6 settembre 1989, n. 322, il titolare o il responsabile del trattamento annotano in appositi spazi o registri le modifiche richieste dall'interessato, senza variare i dati originariamente immessi nell'archivio, qualora tali operazioni non producano effetti significativi sull'analisi statistica o sui risultati statistici connessi al trattamento. In particolare, non si procede alla variazione se le modifiche richieste contrastano con le classificazioni e con le metodologie statistiche adottate in conformità alle norme internazionali comunitarie e nazionali.
Art. 12. Disposizioni finali
1. Coloro che, anche per motivi di lavoro, studio e ricerca abbiano legittimo accesso ai dati personali trattati per scopi statistici, conformano il proprio comportamento anche alle seguenti disposizioni:
a) i dati personali possono essere utilizzati soltanto per gli scopi definiti all'atto della progettazione del trattamento;
b) i dati personali devono essere conservati in modo da evitarne la dispersione, la sottrazione e ogni altro uso non conforme al Regolamento, al Codice, alle presenti regole e alle istruzioni ricevute;
c) i dati personali e le notizie non disponibili al pubblico di cui si venga a conoscenza in occasione dello svolgimento dell'attività statistica o di attività ad essa strumentali non possono essere diffusi, nè altrimenti utilizzati per interessi privati, propri o altrui;
d) il lavoro svolto deve essere oggetto di adeguata documentazione;
e) le conoscenze professionali in materia di protezione dei dati personali devono essere adeguate costantemente all'evoluzione delle metodologie e delle tecniche;
f) la comunicazione e la diffusione dei risultati statistici devono essere favorite, in relazione alle esigenze conoscitive degli utenti, purché nel rispetto delle norme sulla protezione dei dati personali.
2. I soggetti di cui al comma 1 sono tenuti a conformarsi alle disposizioni delle presenti regole, anche quando non siano vincolati al rispetto del segreto d'ufficio o del segreto professionale. I titolari del trattamento adottano le misure opportune per garantire la conoscenza di tali disposizioni da parte dei responsabili del trattamento e delle persone autorizzate.
3. I comportamenti non conformi alle presenti regole di condotta devono essere immediatamente segnalati al responsabile o al titolare del trattamento.
Fonte: Autorità Garante