Art. 10 Modalita' di trattamento e codici di deontologia 1. Le disposizioni del presente capo si applicano ai trattamenti di dati per scopi statistici e, in quanto applicabili, di ricerca scientifica. 2. Gli scopi statistici e di ricerca scientifica devono essere chiaramente determinati e resi noti all'interessato, nei modi di cui all'articolo 10 della legge anche in relazione a quanto previsto dal comma 6, lettera b) e dall'articolo 6-bis del decreto legislativo 6 settembre 1989, n. 322, introdotto dall'articolo 11 del presente decreto. 3. I dati personali trattati per scopi statistici e di ricerca scientifica non possono essere utilizzati per prendere decisioni o provvedimenti relativamente all'interessato, ne' per trattamenti di dati per scopi di altra natura. 4. Fermo restando quanto previsto dall'articolo 22, commi 3 e 3-bis, della legge e fuori dei casi di particolari indagini statistiche o di ricerca scientifica previste per legge, il consenso per il trattamento dei dati di cui al medesimo articolo 22 puo' essere prestato con modalita' semplificate individuate dal codice deontologico e l'autorizzazione del Garante puo' essere rilasciata anche ai sensi dell'articolo 41, comma 7, della legge. 5. Agli effetti dell'applicazione del presente Capo, per "dati identificativi" si intendono i dati personali che permettono l'identificazione diretta dell'interessato. Per quanto riguarda l'identificabilita' dell'interessato si osserva quanto previsto ai sensi del comma 6, lettera c). 6. Con uno o piu' codici di deontologia e di buona condotta per il trattamento a scopi statistici e di ricerca scientifica in ambito pubblico e privato sono individuati, tenendo conto, per i soggetti gia' compresi nell'ambito del Sistema statistico nazionale, di quanto gia' previsto dal decreto legislativo 6 settembre 1989, n. 322, in particolare: a) i presupposti e i procedimenti per documentare e verificare che i trattamenti, fuori dai casi previsti dal decreto legislativo 6 settembre 1989, n. 322, siano svolti per idonei ed effettivi scopi statistici e di ricerca scientifica; b) per quanto non previsto dalla legge e dal presente decreto, gli ulteriori presupposti del trattamento e le connesse garanzie, anche in riferimento alla durata della conservazione dei dati, alle informazioni da rendere agli interessati relativamente ai dati raccolti anche presso terzi, alla comunicazione e diffusione, ai criteri selettivi da osservare per il trattamento di dati identificativi, alle specifiche misure di sicurezza e alle modalita' per la modifica dei dati a seguito dell'esercizio dei diritti dell'interessato, tenendo conto dei principi contenuti nelle raccomandazioni di cui all'articolo 1; c) l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da altri per identificare l'interessato, anche in base alle conoscenze acquisite in base al progresso tecnico; d) le garanzie da osservare ai fini dell'applicazione delle disposizioni di cui agli articoli 12, comma 1, lettera d) e 21, comma 4, lettera a), della legge che permettono di prescindere dal consenso dell'interessato, tenendo conto dei principi contenuti nelle raccomandazioni di cui all'articolo 1; e) modalita' semplificate per la prestazione del consenso degli interessati relativamente al trattamento dei dati di cui all'articolo 22, comma 1, della legge; f) le regole di correttezza da osservare nella raccolta dei dati e le istruzioni da impartire al personale incaricato; g) le misure da adottare per favorire il rispetto dei principi di pertinenza e non eccedenza dei dati e delle misure di sicurezza di cui all'articolo 15 della legge, anche in riferimento alle cautele volte ad impedire l'accesso da parte di persone fisiche non incaricate del trattamento e l'identificazione non autorizzata degli interessati, all'interconnessione dei sistemi informativi anche nell'ambito del Sistema statistico nazionale e all'interscambio di dati per scopi statistici e di ricerca scientifica da effettuarsi con enti ed uffici situati all'estero anche sulla base delle garanzie previste dall'articolo 28, comma 4, lettera g), della legge; h) l'impegno al rispetto di regole di condotta degli incaricati del trattamento che non sono tenuti in base alla legge al segreto d'ufficio o professionale, tali da assicurare analoghi livelli di sicurezza e di riservatezza.
Note all'art. 10: - L'art. 10 della legge 31 dicembre 1996, n. 675, come modificato dal decreto legislativo 9 maggio 1997, n. 123, e' il seguente: "Art. 10 (Informazioni rese al momento della raccolta). - 1. L'interessato o la persona presso la quale sono raccolti i dati personali devono essere previamente informati oralmente o per iscritto circa: a) le finalita' e le modalita' del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'art. 13; f) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare e, se designato, del responsabile. 2. L'informativa di cui al comma 1 puo' non comprendere gli elementi gia' noti alla persona che fornisce i dati o la cui conoscenza puo' ostacolare l'espletamento di funzioni pubbliche ispettive o di controllo, svolte per il perseguimento delle finalita' di cui agli articoli 4, comma 1, lettera e), e 14, comma 1, lettera d). 3. Quando i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1 e' data al medesimo interessato all'atto della registrazione dei dati o, qualora sia prevista la loro comunicazione, non oltre la prima comunicazione. 4. La disposizione di cui al comma 3 non si applica quando l'informativa all'interessato comporta un impiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si rivela, a giudizio del Garante, impossibile, ovvero nel caso in cui i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria. La medesima disposizione non si applica, altresi', quando i dati sono trattati ai fini dello svolgimento delle investigazioni di cui all'art. 38 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271, e successive modificazioni, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento". - L'art. 22 della legge 31 dicembre 1996, n. 675, e' il seguente: "Art. 22 (Dati sensibili). - 1. I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante. 1-bis. Il comma l non si applica ai dati relativi agli aderenti alle confessioni religiose i cui rapporti con lo Stato siano regolati da accordi o intese ai sensi degli articoli 7 e 8 della Costituzione, nonche' relativi ai soggetti che con riferimento a finalita' di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, che siano trattati dai relativi organi o enti civilmente riconosciuti, sempreche' i dati non siano comunicati o diffusi fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro trenta giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante puo' prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento e' tenuto ad adottare. 3. Il trattamento dei dati indicati al comma 1 da parte di soggetti pubblici, esclusi gli enti pubblici economici, e' consentito solo se autorizzato da espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalita' di interesse pubblico perseguite. 3-bis. Nei casi in cui e' specificata, a norma del comma 3, la finalita' di rilevante interesse pubblico, ma non sono specificati i tipi di dati e le operazioni eseguibili, i soggetti pubblici, in applicazione di quanto previsto dalla presente legge e dai decreti legislativi di attuazione della legge 31 dicembre 1996, n. 676, in materia di dati sensibili, identificano e rendono pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalita' perseguite nei singoli casi, aggiornando tale identificazione periodicamente. 4. I dati personali idonei a rivelare lo stato di salute e la vita sessuale possono essere oggetto di trattamento previa autorizzazione del Garante, qualora il trattamento sia necessario ai fini dello svolgimento delle investigazioni di cui all'art. 38 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271, e successive modificazioni, o, comunque, per far valere o difendere in sede giudiziaria un diritto di rango pari a quello dell'interessato, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento. Il Garante prescrive le misure e gli accorgimenti di cui al comma 2 e promuove la sottoscrizione di un apposito codice di deontologia e di buona condotta secondo le modalita' di cui all'art. 31, comma 1, lettera h). Resta fermo quanto previsto dall'art. 43, comma 2". - L'art. 41, comma 7, della legge 31 dicembre 1996, n. 675, come sostituito dall'art. 4, comma del citato decreto legislativo n. 123 del 1997, e' il seguente: "7. Le disposizioni della presente legge che prevedono un'autorizzazione del Garante si applicano, limitatamente alla medesima autorizzazione e fatta eccezione per la disposizione di cui all'art. 28, comma 4, lettera g), a decorrere dal 30 novembre 1997. Le medesime disposizioni possono essere applicate dal Garante anche mediante il rilascio di autorizzazioni relative a determinate categorie di titolari o di trattamenti". - Per il testo degli articoli 12 e 21, della legge 31 dicembre 1996, n. 675, v. la nota all'art. 4. - L'art. 15 della legge 31 dicembre 1996, n. 675, e' il seguente: "Art. 15 (Sicurezza dei dati). - 1. l dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' della raccolta. 2. Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con decreto del Presidente della Repubblica, ai sensi dell'art. 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400, entro centottanta giorni dalla data di entrata in vigore della presente legge, su proposta del Ministro di grazia e giustizia, sentiti l'Autorita' per l'informatica nella pubblica amministrazione e il Garante. 3. Le misure di sicurezza di cui al comma 2 sono adeguate, entro due anni dalla data di entrata in vigore della presente legge e successivamente con cadenza almeno biennale, con successivi regolamenti emanati con le modalita' di cui al medesimo comma 2, in relazione all'evoluzione tecnica del settore e all'esperienza maturata. 4. Le misure di sicurezza relative ai dati trattati dagli organismi di cui all'art. 4, comma 1, lettera b), sono stabilite con decreto del Presidente del Consiglio dei Ministri con l'osservanza delle norme che regolano la materia". - Per il testo dell'art. 28 della legge 31 dicembre 1996, n. 675 v. la nota all'art. 4.