(Delibera del Garante n. 513 del 19 dicembre 2018, in G.U. 15 gennaio 2019, n. 12) ((IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale; Visto il regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), (di seguito «Regolamento» e «RGPD»); Visto il decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»; Visto il Codice in materia di protezione dei dati personali, decreto legislativo 30 giugno 2003, n. 196 (di seguito «Codice»), cosi' come modificato dal predetto decreto legislativo n. 101 del 2018; Visto il decreto legislativo 22 gennaio 2004, n. 42, recante «Codice dei beni culturali e del paesaggio», ai sensi dell'art. 10 della legge 6 luglio 2002, n. 137; Visto il codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, allegato A.2 al Codice; Vista la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore la dott.ssa Augusta Iannini; Premesso: L'art. 20, commi 3 e 4, del decreto legislativo 101 del 2018 ha conferito al Garante il compito di verificare, nel termine di novanta giorni dalla sua entrata in vigore, la conformita' al regolamento delle disposizioni contenute nei codici di deontologia e buona condotta di cui agli allegati A.1, A.2, A.3, A.4 e A.6 al Codice. Le disposizioni ritenute compatibili, ridenominate regole deontologiche, dovranno essere pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministero della giustizia, saranno successivamente riportate nell'allegato A al Codice. Il Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici cessa di produrre effetti dalla pubblicazione delle predette regole nella Gazzetta Ufficiale (art. 20, comma 3, del decreto legislativo 101 del 2018). Resta fermo che successivamente, il Garante potra' promuovere la revisione di tali regole, secondo la procedura di cui all'art. 2-quater del Codice, in base alla quale lo schema delle regole deontologiche, nell'osservanza del principio di rappresentativita', deve essere sottoposto a consultazione pubblica, per almeno sessanta giorni. A regime, l'art. 102 del Codice, cosi' come novellato dall'art. 8 dal decreto legislativo n. 101/2018, prevede specificamente che le regole deontologiche individuino garanzie adeguate per i diritti e le liberta' dell'interessato e si applicano ai soggetti pubblici e privati, ivi comprese le societa' scientifiche e le associazioni professionali, interessati al trattamento dei dati a fini di archiviazione nel pubblico interesse o di ricerca storica. Osserva: Nell'ambito del presente provvedimento sono individuate le disposizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, allegato A2 al Codice, adottato con provvedimento del Garante n. 8 del 14 marzo 2001, ritenute non conformi al regolamento e, in allegato sono riportate le disposizioni conformi, ridenominate regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o di ricerca storica. Le regole si applicano ai trattamenti di dati personali effettuati a fini di archiviazione nel pubblico interesse o di ricerca storica, fermo restando il rispetto dei principi e degli specifici adempimenti richiesti dal regolamento e dal Codice. Il rispetto delle disposizioni contenute nelle regole deontologiche costituisce condizione essenziale per la liceita' e correttezza del trattamento dei dati personali e il mancato rispetto delle stesse comporta l'applicazione della sanzione di cui all'art. 83, paragrafo 5 del regolamento (articoli 2-quater, comma 4, e 166, comma 2, del Codice). L´osservanza di tali regole non deve, in ogni caso, pregiudicare l´indagine, la ricerca, la documentazione e lo studio ovunque svolti, in relazione a figure, fatti e circostanze del passato. In via generale, si rappresenta che si e' tenuto conto dell'esigenza di contemperare il diritto alla liberta' di ricerca storica con altri diritti fondamentali dell'individuo, in ossequio al principio di proporzionalita' (cons. 4 RGPD), verificando la conformita' delle disposizioni del codice di deontologia, in particolare, ai considerando e agli articoli dedicati alla ricerca storica e all'archiviazione nel pubblico interesse (cons. 156, art. 5, comma 1, lettera b) ed e), art. 9, art. 10, e art. 89, par. 1 RGPD). 1. Modifiche generali Preliminarmente, si osserva che si e' reso necessario aggiornare i riferimenti normativi presenti nel codice di deontologia e la semantica utilizzata rispetto al rinnovato quadro normativo europeo e nazionale di riferimento. Si e' reso necessario, inoltre, eliminare il preambolo del codice di deontologia, dovendosi, in base al richiamato art. 20 del decreto legislativo 101 del 2018, ridenominare solo le disposizioni dello stesso. Il preambolo, invece, nel sintetizzare le condizioni di liceita' del trattamento, evidenziava, altresi', i presupposti della sottoscrizione del codice di deontologia avvenuta nel 2001, nel rispetto del principio di rappresentativita', che, comunque, rimane alla base delle presenti regole. Cionondimeno, i principi e le fonti di diritto sovranazionale ivi richiamati, sono in ogni caso da ritenersi a fondamento dei trattamenti di dati personali effettuati nell'ambito degli archivi e della ricerca storica. 2. Disposizioni ritenute incompatibili Si e' ritenuto di riformulare il Titolo del Capo II in «Disposizioni generali per gli archivisti e liceita' dei relativi trattamenti» e la rubrica dell'art. 3 in «Disposizioni generali», nonche' il titolo del Capo III in «Disposizioni generali per gli utenti e condizioni per la liceita' dei relativi trattamenti» e la rubrica dell'art. 9 in «Disposizioni generali», al fine di prevenire sovrapposizioni tra le presenti regole deontologiche con i futuri codici di condotta, che potranno essere adottati ai sensi degli articoli 40 e ss. RGPD. Parimenti, e' stata aggiornata la rubrica dell'art. 7 da «Aggiornamento dei dati» in «Esercizio dei diritti», tenuto conto che l'art. 16 del Regolamento ricomprende il diritto di aggiornamento nel diritto di rettifica e integrazione di cui all'art. 16 RGPD. All'art. 8, «Fonti orali», e' stata eliminata la disposizione che consentiva al titolare del trattamento di fornire un'«informativa semplificata» in caso di trattamento di fonti orali; cio', in quanto il regolamento non prevede alcuna forma di deroga o semplificazione agli obblighi informativi, quando i dati sono raccolti presso gli interessati (cfr. art. 13 RGPD). Parimenti, e' stata rilevata la non conformita' al regolamento dell'art. 11, comma 5, del codice di deontologia che - nell'esonerare dall'obbligo di fornire l'informativa agli interessati nei casi di raccolta di dati personali presso soggetti terzi, quando cio' risulti impossibile o comporti uno sforzo sproporzionato - non prevedeva misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell'interessato, come richiesto dall'art. 14, par. 5 lettera b), del regolamento. Sono state, altresi', modificate le rubriche degli articoli 12 e 13, rispettivamente, come segue «Applicazione delle regole deontologiche» e «Violazione delle regole deontologiche». 3. Regole deontologiche I predetti elementi, relativi all'aggiornamento della disciplina in materia, sono recepiti nelle «Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o di ricerca storica» in ragione di quanto disposto dall'art. 20, comma 4, del decreto legislativo n. 101/2018 e riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante. Tali «Regole deontologiche» sono volte a disciplinare i trattamenti in questione in attesa di un auspicabile aggiornamento delle stesse ai sensi degli articoli 2-quater e 101 e ss. del Codice. Pertanto, si dispone la trasmissione delle suddette «Regole deontologiche» all´Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la relativa pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell´Allegato A) al Codice. Tutto cio' premesso il Garante: Ai sensi dell'art. 20, comma 4, del decreto legislativo n. 101/2018, verificata la conformita' al regolamento delle disposizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, allegato A.2 al Codice, dispone che le medesime, riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante, siano pubblicate come «Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o di ricerca storica» e ne dispone, altresi', la trasmissione all´Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell´allegato A) al Codice. Roma, 19 dicembre 2018 Il presidente Soro Il relatore Iannini Il segretario generale Busia Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica)) Art. 1. ((Finalita' e ambito di applicazione)) ((1. Le presenti regole sono volte a garantire che l´utilizzazione di dati di carattere personale acquisiti nell´esercizio della libera ricerca storica e del diritto allo studio e all´informazione, nonche' nell´accesso ad atti e documenti, si svolga nel rispetto dei diritti, delle liberta' fondamentali e della dignita' delle persone interessate, in particolare del diritto alla riservatezza e del diritto all´identita' personale. 2. Le presenti regole riguardano i trattamenti di dati personali effettuati per scopi storici in relazione ai documenti conservati presso archivi delle pubbliche amministrazioni, enti pubblici ed archivi privati dichiarati di notevole interesse storico. Le regole deontologiche si applicano, senza necessita' di sottoscrizione, all´insieme dei trattamenti di dati personali comunque effettuati dagli utenti per scopi storici. 3. Il presenti regole recano, altresi', principi-guida di comportamento dei soggetti che trattano per scopi storici dati personali conservati presso archivi pubblici e archivi privati dichiarati di notevole interesse storico, e in particolare: a) nei riguardi degli archivisti, individua regole di correttezza e di non discriminazione nei confronti degli utenti, indipendentemente dalla loro nazionalita', categoria di appartenenza, livello di istruzione; b) nei confronti degli utenti, individua cautele per la raccolta, l´utilizzazione e la diffusione dei dati contenuti nei documenti. 4. La competente sovrintendenza archivistica riceve comunicazione da parte di proprietari, possessori e detentori di archivi privati non dichiarati di notevole interesse storico o di singoli documenti di interesse storico, i quali manifestano l´intenzione di applicare le presenti regole nella misura per essi compatibile)).