GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101
Provvedimento n. 515 del 19 dicembre 2018
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Registro dei provvedimenti n. 515 del 19 dicembre 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. XX, presidente, della dott.ssa XX, vicepresidente, della dott.ssa XX e della prof.ssa XX, componenti, e del dott. XX, segretario generale;
VISTO il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (di seguito “Regolamento” e “RGPD”);
VISTO il d.lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;
VISTO il Codice in materia di protezione dei dati personali, d.lgs. 30 giugno 2003, n. 196, (di seguito Codice), così come modificato dal predetto d.lgs. n. 101 del 2018;
VISTO il Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e scientifici allegato A.4 al Codice;
VISTO l’art. 5-ter del d.lgs. 14 marzo 2013, n. 33, Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, relativo all’accesso per fini scientifici ai dati elementari raccolti per finalità statistiche;
VISTA la documentazione in atti;
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa XX;
PREMESSO
L’art. 20, commi 3 e 4, del d.lgs. 101 del 2018 ha conferito al Garante il compito di verificare, nel termine di 90 giorni dalla sua entrata in vigore, la conformità al Regolamento delle disposizioni contenute nei codici di deontologia e buona condotta di cui agli allegati A.1, A.2, A.3, A.4 e A.6 al Codice.
Le disposizioni ritenute compatibili, ridenominate regole deontologiche, dovranno essere pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministero della Giustizia, saranno successivamente riportate nell’allegato A al Codice.
Il Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, allegato A.4 al Codice, cessa di produrre effetti dalla pubblicazione delle predette regole nella Gazzetta Ufficiale (art. 20, comma 3, del d.lgs. 101 del 2018).
Resta fermo che successivamente, il Garante potrà promuovere la revisione di tali regole, secondo la procedura di cui all’art. 2-quater del Codice, in base alla quale lo schema delle regole deontologiche, nell’osservanza del principio di rappresentatività, deve essere sottoposto a consultazione pubblica, per almeno sessanta giorni.
OSSERVA
Nell’ambito del presente provvedimento sono individuate le disposizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, allegato A4 al Codice, adottato con Provvedimento del Garante n. 2 del 16 giugno 2004, Gazzetta Ufficiale 14 agosto 2004, n. 190, ritenute non conformi al Regolamento e, in allegato sono riportate le disposizioni conformi, ridenominate regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.
Le regole si applicano ai trattamenti di dati personali effettuati fini statistici, al di fuori del Sistema statistico nazionale, o di ricerca scientifica, fermo restando il rispetto dei principi e degli specifici adempimenti richiesti dal Regolamento e dal Codice.
Il rispetto delle disposizioni contenute nelle regole deontologiche costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali e il mancato rispetto delle stesse comporta l’applicazione della sanzione di cui all’art. 83, paragrafo 5 del Regolamento (artt. 2-quater, comma 4, e 166, comma 2, del Codice).
A regime, l’art. 106 del Codice, così come novellato dall’art. 8 dal d.lgs. n. 101/2018, prevede specificamente che le regole deontologiche individuino garanzie adeguate per i diritti e le libertà dell’interessato e si applicano ai soggetti i soggetti pubblici e privati, ivi comprese le società scientifiche e le associazioni professionali, interessati al trattamento dei dati per fini statistici o di ricerca scientifica ricompresi nell’ambito del Sistema statistico nazionale.
In via generale, si rappresenta che si è tenuto conto dell’esigenza di contemperare il diritto alla libertà di ricerca con altri diritti fondamentali dell’individuo, in ossequio al principio di proporzionalità (cons. 4 del Regolamento), verificando la conformità delle disposizioni del codice di deontologia, in particolare, ai considerando e agli articoli dedicati alla ricerca statistica e scientifica (cons. 26, 50, 52, 53, 62, 156, 157, 159, 162, 163, art. 5, comma 1 lett. b) ed e), art. 9, art. 10, e art. 89 § 1, del Regolamento).
1. Modifiche generali
Preliminarmente, si osserva che si è reso necessario aggiornare i riferimenti normativi presenti nel codice di deontologia e la semantica utilizzata rispetto al rinnovato quadro normativo europeo e nazionale di riferimento.
Si è reso necessario, inoltre, eliminare il preambolo del codice di deontologia, dovendosi, in base al richiamato articolo 20 del d.lgs. 101 del 2018, ridenominare solo le disposizioni dello stesso.
Cionondimeno, i principi e le fonti di diritto sovranazionale ivi richiamati, sono, in ogni caso, da ritenersi a fondamento dei trattamenti di dati personali effettuati a fini di ricerca scientifica o statistici (cons. 159 e 162 del Regolamento).
2. Disposizioni ritenute incompatibili
All’art. 1, comma 1, lett. c), è stata eliminata la definizione di “dato identificativo indiretto”, in quanto tale definizione è stata ritenuta incompatibile con il Regolamento. Il legislatore nazionale, infatti, nell’adeguare il Codice al Regolamento, con il d. lgs. N. 101 del 2018, ha abrogato l’art. 4, comma 1, lett. c), del Codice, che conteneva la definizione di “dati identificativi”, da intendersi come i “dati personali che permettono l’identificazione diretta dell’interessato”.
Resta, invece valida la definizione di “istituto o ente di ricerca”, di cui alla lettera e), dell’articolo in esame, che deve esser interpretata alla luce del nuovo quadro normativo di settore di cui all’art. 5-ter del d.lgs. 33 del 2013, che ha demandato al Comstat l’individuazione, sentito il Garante, dei criteri per il riconoscimento degli enti di ricerca e delle strutture di ricerca di istituzioni pubbliche e private, avuto riguardo agli scopi istituzionali perseguiti, all'attività svolta e all'organizzazione interna in relazione all'attività di ricerca, nonché alle misure adottate per garantire la sicurezza dei dati. Tali criteri sono stati di recente individuati nelle linee guida per l'accesso a fini scientifici ai dati elementari del Sistema statistico nazionale (G.U. n.287 del 11-12-2018).
All’art. 4, “Identificabilità dell’interessato”, è stato ritenuto necessario, in primo luogo, sostituire la parola “identificativi”, al comma 1, lett. a), con la seguente locuzione “dati che … identificano” l’unità statistica in quanto la definizione di “dati identificativi” di cui all’art. 4, comma 1, lett. c), del Codice è stata abrogata dal d.lgs. n. 101 del 2018, e non è più prevista dal Regolamento; in secondo luogo, il comma 1, lett. c), è stato ritenuto incompatibile nella misura in cui introduceva, per la valutazione del rischio di identificabilità degli interessati, dei parametri predefiniti che non sono in linea con il quadro giuridico introdotto dal Regolamento. Rispetto alle indicazioni fornite dal considerando 26, che per l’identificabilità di una persona indica, in particolare, che si tengano in considerazione “tutti i mezzi” di cui il titolare può ragionevolmente avvalersi, la disposizione in esame poneva come parametri predefiniti la tipologia di dati comunicati o diffusi, la proporzione tra i mezzi per l’identificazione e la lesione o il pericolo di lesione dei diritti degli interessati, ciò anche alla luce del vantaggio che ne poteva trarre il titolare. Tale disposizione, quindi, nel fornire ai titolari delle coordinate per valutare l’identificabilità dell’interessato attualmente superate, manifestava anche un approccio alla definizione e valutazione del rischio più circoscritte rispetto a quella del Regolamento in cui tale valutazione deve tener conto delle nuove tecnologie utilizzate, della natura, dell'oggetto, del contesto e delle finalità di ogni tipo di trattamento, (cfr. anche cons. 84, 89, 93 e 95 e artt. 5, § 1, lett. e), 24, 35 e 36 del Regolamento).
L’art. 5, “Criteri per la valutazione del rischio di identificazione”, è stato mantenuto considerandosi, in via generale, compatibile con il Regolamento, nella misura in cui si limita a fornire alcuni parametri, orientativi, non esaustivi, per la valutazione del rischio di identificazione degli interessati. Al fine di assicurarne un’applicazione conforme al Regolamento, si è, tuttavia, ritenuto necessario modificarlo con l’aggiunta di un “anche” (al primo comma, tra le parole “tiene conto” e “dei seguenti”), affinché sia chiaro che i parametri ivi indicati devono, comunque, considerarsi meramente esemplificativi e, soprattutto, non alternativi rispetto al nuovo quadro giuridico introdotto dal Regolamento sopra descritto.
Sono stati modificati il titolo del Capo II da “Informativa, comunicazione e diffusione” in “Informazioni agli interessati, comunicazione e diffusione” e la rubrica dell’art. 6 da “Informativa” a “Informazioni agli interessati”, per omogeneità con il Regolamento.
All’art. 6, “Informazioni agli interessati”, il comma 2 è risultato incompatibile con il Regolamento nella parte in cui prevedeva alcune deroghe all’obbligo di informativa in caso di raccolta dei dati presso gli interessati. In particolare, tale comma è stato eliminato, che consentiva di fornire un’informativa differita, per la parte riguardante le specifiche finalità e modalità del trattamento, qualora ciò risultasse necessario per il raggiungimento dell’obiettivo dell’indagine. Ciò, in quanto l’art. 13 del Regolamento non prevede alcuna forma di deroga o semplificazione agli obblighi informativi quando i dati sono raccolti presso gli interessati.
L’art. 6, comma 3, che consente ad un soggetto di rispondere in nome e per conto di un altro, è stato considerato compatibile con il Regolamento e con l’art. 105, comma 3, del Codice, in quanto definisce le specifiche circostanze in cui tale modalità di raccolta è possibile. Sul punto, tuttavia, deve precisarsi che, il principio di responsabilizzazione impone, in ogni caso, al titolare del trattamento di porre in essere specifiche misure per verificare, ed essere in grado di dimostrare, che il rispondente sia effettivamente legittimato a fornire i dati di un terzo.
E’ stato altresì ritenuto incompatibile l’art. 6, comma 4, che individuava alcuni casi di deroga all’obbligo di fornire, informazioni agli interessati quando i dati sono raccolti presso terzi, disponendo che il titolare dovesse dare preventiva informazione al Garante delle modalità prescelte, tra quelle indicate a titolo esemplificativo dalla norma. Parimenti, è stato considerato incompatibile il comma 5 dell’articolo in esame, nella parte in cui, qualora il titolare avesse ritenuto di non utilizzare le forme di pubblicità indicate al comma 4, poteva individuare idonee forme di pubblicità da comunicare preventivamente al Garante, che poteva prescrivere eventuali misure e accorgimenti. L’art. 14, § 5, lett. b), del Regolamento ora prevede, infatti, che le informazioni in caso di raccolta di dati presso terzi possano essere omesse nel caso in cui la comunicazione di tali informazioni risultasse impossibile o implicasse uno sforzo sproporzionato. Con particolare riferimento ai trattamenti a fini di ricerca scientifica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, § 1, non vi è, inoltre, l’obbligo di informare l’interessato nella misura in cui ciò rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento è tenuto comunque ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni.
L’art. 7 “Consenso” è stato eliminato perché le condizioni di liceità del trattamento, ed in particolare le condizioni per il consenso, sono disciplinate nel Regolamento (artt. 6 e 7).
L’art. 8 “Comunicazione e diffusione dei dati” è stato considerato incompatibile in quanto i presupposti di liceità di tali operazioni di trattamento sono adesso individuate nel Regolamento (artt. 6, 9 e 10) e nel Codice (artt. 2-ter, 2-sexies, 2-septies e 2-octies).
L’articolo in esame è stato, inoltre, considerato incompatibile nella parte in cui, al comma 4, ultimo alinea, e al comma 5 disciplinava il trasferimento di dati personali verso paesi terzi, adesso normato agli artt. 44 e ss. del Regolamento.
È stata modificata la rubrica dell’art. 9 da “Trattamento di dati sensibili o giudiziari” in “Trattamento di categorie particolari di dati personali e di dati relativi a condanni penali e reati”.
Fermi restando i presupposti di liceità del trattamento dei dati indicati nella rubrica dell’articolo in esame, nel Regolamento (artt. 6, e 9 e 10) e nel Codice (artt. 2-ter, 2-sexies, 2-septies e 2-octies), l’art. 9, commi 2 e 3, è stato considerato incompatibile con il Regolamento nella misura in cui tali previsioni individuano predefiniti e specifici casi di applicazione del principio di minimizzazione di cui all’art. 5, § 1, lett. c), del Regolamento che pur tendo conto della specificità dei trattamenti effettuati a fini statistici e di ricerca scientifica, richiede, oltre a una valutazione del rischio, caso per caso a cura del titolare, l’individuazione di misure tecniche e organizzative adeguate a tutela dell’interessato (artt. 24 e 35 del Regolamento).
L’art. 9, commi 4, lett. c), 5 e 6, è stato, invece, considerato incompatibile laddove individuava condizioni di liceità del trattamento per i dati sensibili o giudiziari differenti rispetto a quelle previste ora dal Regolamento e dal Codice.
L’art. 10 “Dati genetici” è stato considerato incompatibile in quanto il trattamento di tali dati deve essere effettuato in conformità all’art. 9 del Regolamento, all’art. 2-sexies, alle prescrizioni individuate dal Garante ai sensi dell’art. 21, del d.lgs. 101 del 2018 e alle specifiche misure di garanzia che l’Autorità è chiamata ad adottare ai sensi dell’art. 2-septies del Codice.
L’art. 11 “Disposizioni particolari per la ricerca medica, biomedica ed epidemiologica” è stato modificato al comma 4 al solo fine di confermare le tutele assicurate in tale contesto agli interessati, così come individuate dal richiamo, effettuato per relationem, all’art. 84 del Codice, ora abrogato. Restano ferme, in ogni caso, le misure di garanzia che saranno individuate dal Garante, ai sensi dell’art. 2-septies, comma 4, lett. c).
L’art. 11, comma 5, è stato, invece, considerato incompatibile, in quanto le circostanze in cui non è necessario acquisire il consenso dell’interessato sono state individuate nel provvedimento prescrittivo adottato dal Garante ai sensi dell’art. 21 del d.lgs. 101 del 2018 mentre le condizioni di liceità del trattamento per le finalità in esame sono previste dall’art. 110 del Codice.
È stato modificato il titolo del Capo III da “Sicurezza e regole di condotta” in “Disposizioni finali”.
L’art. 14 “Conservazione dei dati” è stato aggiornato al primo comma con il rinvio al principio di limitazione della conservazione di cui all’art. 5, § 1, lett. e) del Regolamento. Le parti successive sono state eliminate in quanto sono risultate incompatibili con tale principio che unitamente al principio di responsabilizzazione , impone al titolare una nuova prospettiva e nuovi adempimenti per la valutazione del rischio, al fine di individuare, di volta in volta, adeguate misure, tecniche e organizzative, a garanzia degli interessati (artt. 24 e 35 del Regolamento).
L’art. 15 “Misure di sicurezza” è stato ritenuto incompatibile, in quanto gli aspetti relativi alla sicurezza dei dati sono oggetto ora di specifiche previsioni del Regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un diverso approccio alle misure di sicurezza che devono esser individuate, fin dalla progettazione e per impostazione predefinita (artt. 24 e 25 del Regolamento), in conformità all’art. 32 del Regolamento.
L’art. 16 “Esercizio dei diritti dell’interessato”, al comma 1, è stato considerato incompatibile, in quanto consentirebbe al titolare la possibilità di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, come richiesto, invece, dall’art. 89 del Regolamento. Il comma 2, è stato riformulato per renderlo conforme al Regolamento.
E’ stata, infine, aggiornata, la rubrica dell’art. 17, in “Disposizioni finali”, onde evitare ambiguità rispetto alle regole deontologiche di cui all’art. 2-quater del Codice e con i futuri codici di condotta, di cui all’art. 40 del Regolamento.
3. Regole deontologiche
I predetti elementi, relativi all’aggiornamento della disciplina in materia, sono recepiti nelle “Regole deontologiche per il trattamento a fini statistici o di ricerca” in ragione di quanto disposto dall’art. 20, comma 4, del d.lgs. 101/2018 e riportate nell’allegato 1 al presente provvedimento e che ne forma parte integrante.
Tali “Regole deontologiche” sono volte a disciplinare i trattamenti in questione in attesa di un auspicabile aggiornamento delle stesse ai sensi degli artt. 2-quater e 106 e ss. del Codice. Pertanto, si dispone la trasmissione delle suddette “Regole deontologiche” all´Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la relativa pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana, nonché al Ministero della giustizia per essere riportato nell´Allegato A) al Codice.
TUTTO CIO’ PREMESSO IL GARANTE
ai sensi dell’art. 20, comma 4, del d.lgs. n. 101/2018, verificata la conformità al Regolamento delle disposizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e di ricerca scientifica, allegato A.4 al Codice, dispone che le medesime, riportate nell’allegato 1 al presente provvedimento e che ne forma parte integrante, siano pubblicate come “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica” e ne dispone, altresì, la trasmissione all´Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana, nonché al Ministero della giustizia per essere riportato nell´Allegato A) al Codice.
Roma, 19 dicembre 2018
Allegato 1
“Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.”
Capo I - Ambito di applicazione e principi generali
Art. 1. Definizioni
1. Ai fini delle presenti regole si applicano le definizioni elencate nell´art. 4 del Regolamento con le seguenti integrazioni:
a) "risultato statistico", l´informazione ottenuta con il trattamento di dati personali per quantificare aspetti di un fenomeno collettivo;
b) "unità statistica", l´entità alla quale sono riferiti o riferibili i dati trattati;
c) "variabile pubblica", il carattere o la combinazione di caratteri, di tipo qualitativo o quantitativo, oggetto di una rilevazione statistica che faccia riferimento ad informazioni presenti in pubblici registri, elenchi, atti, documenti o fonti conoscibili da chiunque;
d) "istituto o ente di ricerca", un organismo pubblico o privato per il quale la finalità di statistica o di ricerca scientifica risulta dagli scopi dell´istituzione e la cui attività scientifica è documentabile;
e) "società scientifica", un´associazione che raccoglie gli studiosi di un ambito disciplinare, ivi comprese le relative associazioni professionali.
2. Salvo quando diversamente specificato, il riferimento a trattamenti per scopi statistici si intende comprensivo anche dei trattamenti per scopi scientifici.
Art. 2. Ambito di applicazione
1. Le presenti regole deontologiche si applicano all´insieme dei trattamenti effettuati per scopi statistici e scientifici –conformemente agli standard metodologici del pertinente settore disciplinare–, di cui sono titolari università, altri enti o istituti di ricerca e società scientifiche, nonché ricercatori che operano nell´ambito di dette università, enti, istituti di ricerca e soci di dette società scientifiche.
2. Le presenti regole deontologiche non si applicano ai trattamenti per scopi statistici e scientifici connessi con attività di tutela della salute svolte da esercenti professioni sanitarie od organismi sanitari, ovvero con attività comparabili in termini di significativa ricaduta personalizzata sull´interessato, che restano regolati dalle pertinenti disposizioni.
Art. 3. Presupposti dei trattamenti
1. La ricerca è effettuata sulla base di un progetto redatto conformemente agli standard metodologici del pertinente settore disciplinare, anche al fine di documentare che il trattamento sia effettuato per idonei ed effettivi scopi statistici o scientifici.
2. Il progetto di ricerca di cui al comma 1, inoltre:
a) specifica le misure da adottare nel trattamento di dati personali, al fine di garantire il rispetto delle presenti regole deontologiche, nonché della normativa in materia di protezione dei dati personali;
b) individua gli eventuali responsabili del trattamento
c) contiene una dichiarazione di impegno a conformarsi alle presenti regole deontologiche. Un´analoga dichiarazione è sottoscritta anche dai soggetti –ricercatori, responsabili e persone autorizzate al trattamento– che fossero coinvolti nel prosieguo della ricerca, e conservata conformemente a quanto previsto al comma 3.
3. Il titolare deposita il progetto presso l´università o ente di ricerca o società scientifica cui afferisce, la quale ne cura la conservazione, in forma riservata (essendo la consultazione del progetto possibile ai soli fini dell´applicazione della normativa in materia di dati personali), per cinque anni dalla conclusione programmata della ricerca.
4. Nel trattamento di dati relativi alla salute, i soggetti coinvolti osservano le regole di riservatezza e di sicurezza cui sono tenuti gli esercenti le professioni sanitarie o regole di riservatezza e sicurezza comparabili.
Art. 4. Identificabilità dell´interessato
1. Agli effetti dell´applicazione delle presenti regole:
a) un interessato si ritiene identificabile quando, con l´impiego di mezzi ragionevoli, è possibile stabilire un´associazione significativamente probabile tra la combinazione delle modalità delle variabili relative ad una unità statistica e i dati che la identificano;
b) i mezzi ragionevolmente utilizzabili per identificare un interessato afferiscono, in particolare, alle seguenti categorie:
• risorse economiche;
• risorse di tempo;
• archivi nominativi o altre fonti di informazione contenenti dati identificativi congiuntamente ad un sottoinsieme delle variabili oggetto di comunicazione o diffusione;
• archivi, anche non nominativi, che forniscano ulteriori informazioni oltre quelle oggetto di comunicazione o diffusione;
• risorse hardware e software per effettuare le elaborazioni necessarie per collegare informazioni non nominative ad un soggetto identificato, tenendo anche conto delle effettive possibilità di pervenire in modo illecito alla sua identificazione in rapporto ai sistemi di sicurezza ed al software di controllo adottati;
• conoscenza delle procedure di estrazione campionaria, imputazione, correzione e protezione statistica adottate per la produzione dei dati;
Art. 5. Criteri per la valutazione del rischio di identificazione
1. Ai fini della comunicazione e diffusione di risultati statistici, la valutazione del rischio di identificazione tiene conto anche dei seguenti criteri:
a) si considerano dati aggregati le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un´intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia. Il valore minimo attribuibile alla soglia è pari a tre;
b) nel valutare il valore della soglia si deve tenere conto del livello di riservatezza delle informazioni;
c) i risultati statistici relativi a sole variabili pubbliche non sono soggette alla regola della soglia;
d) la regola della soglia può non essere osservata qualora il risultato statistico non consenta ragionevolmente l´identificazione di unità statistiche, avuto riguardo al tipo di rilevazione e alla natura delle variabili associate;
e) i risultati statistici relativi a una stessa popolazione possono essere diffusi in modo che non siano possibili collegamenti tra loro o con altre fonti note di informazione, che rendano possibili eventuali identificazioni;
f) si presume adeguatamente tutelata la riservatezza nel caso in cui tutte le unità statistiche di una popolazione presentano la medesima modalità di una variabile.
Capo II - Informazioni agli interessati, comunicazione e diffusione
Art. 6. Informazioni agli interessati
1. Nella raccolta di dati per uno scopo statistico, nell´ambito delle informazioni di cui all´art. 13 RGPD del decreto è rappresentata all´interessato l´eventualità che i dati personali possono essere conservati e trattati per altri scopi statistici o scientifici, per quanto noto adeguatamente specificati anche con riguardo alle categorie di soggetti ai quali i dati potranno essere comunicati.
2. Quando, con riferimento a parametri scientificamente attendibili, gli obiettivi dell´indagine, la natura dei dati e le circostanze della raccolta sono tali da consentire ad un soggetto di rispondere in nome e per conto di un altro in quanto familiare o convivente, l´informativa all´interessato può essere data per il tramite del soggetto rispondente, purché il trattamento non riguardi categorie particolari di dati personali o personali relativi a condanne penali e reati di cui, rispettivamente, agli artt. 9 e 10 del Regolamento (UE)2016/679.
3. Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l´informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità, ad esempio, con le seguenti modalità:
• per trattamenti riguardanti insiemi numerosi di soggetti distribuiti sull´intero territorio nazionale, inserzione su almeno un quotidiano di larga diffusione nazionale o annuncio presso un´emittente radiotelevisiva a diffusione nazionale;
• per trattamenti riguardanti insiemi numerosi di soggetti distribuiti su un´area regionale (o provinciale), inserzione su un quotidiano di larga diffusione regionale (o provinciale) o annuncio presso un´emittente radiotelevisiva a diffusione regionale (o provinciale);
• per trattamenti riguardanti insiemi di specifiche categorie di soggetti, identificate da particolari caratteristiche demografiche e/o da particolari condizioni formative o occupazionali o analoghe, inserzione in strumenti informativi di cui gli interessati sono normalmente destinatari.
Art. 7. Principi applicabili al trattamento delle particolari categorie di dati di cui all’art. 9, § 1 e di dati relativi a condanne penali e reati di cui all’art. 10 del Regolamento
1. Le particolari categorie di dati di cui all’art. 9, § 1 e i dati relativi a condanne penali e reati di cui all’art. 10, trattati per scopi statistici e scientifici devono essere di regola in forma anonima.
2. I soggetti di cui all´art. 2, comma 1, possono trattare categorie particolari di dati personali per scopi statistici e scientifici quando:
a) l´interessato ha espresso liberamente il proprio consenso sulla base degli elementi previsti per l´informativa;
b) il consenso è manifestato per iscritto. Quando la raccolta delle categorie particolari di dati personali è effettuata con modalità –quali interviste telefoniche o assistite da elaboratore o simili– che rendono particolarmente gravoso per l´indagine acquisirlo per iscritto, il consenso, purché esplicito, può essere documentato per iscritto. In tal caso, la documentazione dell´informativa resa all´interessato e dell'acquisizione del relativo consenso è conservata dal titolare del trattamento per tre anni.
Art. 8. Disposizioni particolari per la ricerca medica, biomedica ed epidemiologica
1. La ricerca medica, biomedica ed epidemiologica è sottoposta all´applicazione delle presenti regole del nei limiti di cui all´art. 2, comma 2.
2. La ricerca di cui al comma 1 si svolge nel rispetto degli orientamenti e delle disposizioni internazionali e comunitarie in materia, quali la Convenzione sui diritti dell´uomo e sulla biomedicina del 4 aprile 1997, ratificata con legge 28 marzo 2001, n. 145, la Raccomandazione del Consiglio d´Europa R(97)5 adottata il 13 febbraio 1997 relativa alla protezione dei dati sanitari e la dichiarazione di Helsinki dell'Associazione medica mondiale sui princìpi per la ricerca che coinvolge soggetti umani.
3. Nella ricerca di cui al comma 1, le informazioni sul trattamento di dati personali mettono in grado gli interessati di distinguere le attività di ricerca da quelle di tutela della salute.
4. Nel manifestare il proprio consenso ad un´indagine medica o epidemiologica, l´interessato è richiesto di dichiarare se vuole conoscere o meno eventuali scoperte inattese che emergano a suo carico durante la ricerca. In caso positivo, i dati personali idonei a rivelare lo stato di salute possono essere resi noti all'interessato -o, in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato, a chi ne esercita legalmente la rappresentanza, ovvero a un prossimo congiunto, a un familiare, a un convivente o unito civilmente ovvero a un fiduciario ai sensi dell'articolo 4 della legge 22 dicembre 2017, n. 219 o, in loro assenza, al responsabile della struttura presso cui dimora l'interessato-, da parte di esercenti le professioni sanitarie ed organismi sanitari, solo per il tramite di un medico designato dall'interessato o dal titolare, fatta eccezione per i dati personali forniti in precedenza dal medesimo interessato. Il titolare, il responsabile o le persone designate possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici, che nell'esercizio dei propri compiti intrattengono rapporti diretti con i pazienti e sono deputati a trattare dati personali idonei a rivelare lo stato di salute, a rendere noti i medesimi dati all'interessato o ai predetti soggetti. L'atto di designazione individua appropriate modalità e cautele rapportate al contesto nel quale è effettuato il trattamento di dati. Quando, il consenso non può essere richiesto, tali eventi sono comunque comunicati all´interessato nel rispetto di quanto sopra qualora rivestano un´importanza rilevante per la tutela della salute dello stesso.
Art. 9. Attività di controllo
1. Le università, gli altri istituti o enti di ricerca e le società scientifiche conservano la documentazione relativa ai progetti di ricerca presentati e agli impegni sottoscritti dai ricercatori. ai sensi dell´art. 3, commi 1 e 2, delle presenti regole deontologiche.
2. Gli enti di cui al comma 1:
a) assicurano la diffusione e il rispetto delle presenti regole deontologiche fra tutti coloro che, all´interno o all´esterno dell´organizzazione, sono in qualunque forma coinvolti nel trattamento dei dati personali realizzato nell´ambito delle ricerche, anche adottando opportune misure sulla base dei propri statuti e regolamenti;
b) segnalano al Garante le violazioni delle regole deontologiche di cui vengono a conoscenza.
Capo III - Disposizioni finali
Art. 10. Raccolta dei dati
1. I soggetti di cui all´art. 2, comma 1, pongono specifica attenzione nella selezione del personale preposto alla raccolta dei dati e nella definizione dell´organizzazione e delle modalità di rilevazione, in modo da garantire il rispetto delle presenti regole deontologiche e la tutela dei diritti degli interessati.
2. Il personale preposto alla raccolta si attiene alle disposizioni contenute rispetto nelle presenti regole deontologiche e alle istruzioni ricevute. In particolare:
a) rende nota la propria identità, la propria funzione e le finalità della raccolta, anche attraverso adeguata documentazione;
b) fornisce le informazioni di cui all´art. 13 del Regolamento ed all´art. 6 del presente codice nonché ogni altro chiarimento che consenta all´interessato di rispondere in modo adeguato e consapevole, evitando comportamenti che possano configurarsi come artifici ed indebite pressioni;
c) non svolge contestualmente presso gli stessi interessati attività di rilevazione di dati personali per conto di più titolari, salvo espressa autorizzazione;
d) provvede tempestivamente alla correzione degli errori e delle inesattezze delle informazioni acquisite nel corso della raccolta;
e) assicura una particolare diligenza nella raccolta delle particolari categorie di dati di cui agli articoli 9, § 1, e dei dati di cui all’art. 10 Regolamento.
Art. 11. Conservazione dei dati
1. I dati personali possono essere conservati per scopi statistici o scientifici anche oltre il periodo necessario per il raggiungimento degli scopi per i quali sono stati raccolti o successivamente trattati, in conformità all’art. 5, § 1 lett. e) del Regolamento.
Art. 12. Esercizio dei diritti dell´interessato
1. Qualora, in caso di esercizio dei diritti di cui agli art. 15 e ss del Regolamento, sono necessarie modifiche ai dati che riguardano l’interessato, il titolare del trattamento provvede ad annotare, in appositi spazi o registri, le modifiche richieste dall´interessato, senza variare i dati originariamente immessi nell´archivio.
Art. 13. Disposizioni finali
1. I responsabili e le persone autorizzate del trattamento che per motivi di lavoro e ricerca, abbiano legittimo accesso ai dati personali trattati per scopi statistici e scientifici, conformano il proprio comportamento anche alle seguenti disposizioni:
a) i dati personali possono essere utilizzati soltanto per gli scopi definiti nel progetto di ricerca di cui all´art. 3;
b) i dati personali devono essere conservati in modo da evitarne la dispersione, la sottrazione e ogni altro uso non conforme alla legge e alle istruzioni ricevute;
c) i dati personali e le notizie non disponibili al pubblico di cui si venga a conoscenza in occasione dello svolgimento dell´attività statistica o di attività ad essa strumentali non possono essere diffusi, né altrimenti utilizzati per interessi privati, propri o altrui;
d) il lavoro svolto è oggetto di adeguata documentazione;
e) le conoscenze professionali in materia di protezione dei dati personali sono adeguate costantemente all´evoluzione delle metodologie e delle tecniche;
f) la comunicazione e la diffusione dei risultati statistici sono favorite, in relazione alle esigenze conoscitive della comunità scientifica e dell´opinione pubblica, nel rispetto della disciplina sulla protezione dei dati personali;
g) i comportamenti non conformi alle presenti regole deontologiche sono immediatamente segnalati al titolare o al responsabile trattamento.
Art. 14. Adeguamento
1. La corrispondenza delle disposizioni delle regole deontologiche alla normativa, anche di carattere internazionale, introdotta in materia di protezione dei dati personali trattati a fini di statistica e di ricerca scientifica è verificata nel tempo anche su segnalazione dei soggetti che le applicano. Ciò ai fini dell´introduzione nelle regole medesime delle modifiche necessarie al fine del coordinamento con dette fonti, ovvero, qualora tali modifiche incidano in maniera apprezzabile sulla disciplina delle presenti regole, e ai fini dell’adozione delle nuove regole ai sensi dell’art. 2-quater del Codice.
Fonte: Autorità Garante