Art. 10
Modalita' di trattamento e codici di deontologia
1. Le disposizioni del presente capo si applicano ai trattamenti di
dati per scopi statistici e, in quanto applicabili, di ricerca
scientifica.
2. Gli scopi statistici e di ricerca scientifica devono essere
chiaramente determinati e resi noti all'interessato, nei modi di cui
all'articolo 10 della legge anche in relazione a quanto previsto dal
comma 6, lettera b) e dall'articolo 6-bis del decreto legislativo 6
settembre 1989, n. 322, introdotto dall'articolo 11 del presente
decreto.
3. I dati personali trattati per scopi statistici e di ricerca
scientifica non possono essere utilizzati per prendere decisioni o
provvedimenti relativamente all'interessato, ne' per trattamenti di
dati per scopi di altra natura.
4. Fermo restando quanto previsto dall'articolo 22, commi 3 e
3-bis, della legge e fuori dei casi di particolari indagini
statistiche o di ricerca scientifica previste per legge, il consenso
per il trattamento dei dati di cui al medesimo articolo 22 puo'
essere prestato con modalita' semplificate individuate dal codice
deontologico e l'autorizzazione del Garante puo' essere rilasciata
anche ai sensi dell'articolo 41, comma 7, della legge.
5. Agli effetti dell'applicazione del presente Capo, per "dati
identificativi" si intendono i dati personali che permettono
l'identificazione diretta dell'interessato. Per quanto riguarda
l'identificabilita' dell'interessato si osserva quanto previsto ai
sensi del comma 6, lettera c).
6. Con uno o piu' codici di deontologia e di buona condotta per il
trattamento a scopi statistici e di ricerca scientifica in ambito
pubblico e privato sono individuati, tenendo conto, per i soggetti
gia' compresi nell'ambito del Sistema statistico nazionale, di quanto
gia' previsto dal decreto legislativo 6 settembre 1989, n. 322, in
particolare:
a) i presupposti e i procedimenti per documentare e verificare che i
trattamenti, fuori dai casi previsti dal decreto legislativo 6
settembre 1989, n. 322, siano svolti per idonei ed effettivi scopi
statistici e di ricerca scientifica;
b) per quanto non previsto dalla legge e dal presente decreto, gli
ulteriori presupposti del trattamento e le connesse garanzie,
anche in riferimento alla durata della conservazione dei dati,
alle informazioni da rendere agli interessati relativamente ai
dati raccolti anche presso terzi, alla comunicazione e diffusione,
ai criteri selettivi da osservare per il trattamento di dati
identificativi, alle specifiche misure di sicurezza e alle
modalita' per la modifica dei dati a seguito dell'esercizio dei
diritti dell'interessato, tenendo conto dei principi contenuti
nelle raccomandazioni di cui all'articolo 1;
c) l'insieme dei mezzi che possono essere ragionevolmente utilizzati
dal titolare del trattamento o da altri per identificare
l'interessato, anche in base alle conoscenze acquisite in base al
progresso tecnico;
d) le garanzie da osservare ai fini dell'applicazione delle
disposizioni di cui agli articoli 12, comma 1, lettera d) e 21,
comma 4, lettera a), della legge che permettono di prescindere dal
consenso dell'interessato, tenendo conto dei principi contenuti
nelle raccomandazioni di cui all'articolo 1;
e) modalita' semplificate per la prestazione del consenso degli
interessati relativamente al trattamento dei dati di cui
all'articolo 22, comma 1, della legge;
f) le regole di correttezza da osservare nella raccolta dei dati e le
istruzioni da impartire al personale incaricato;
g) le misure da adottare per favorire il rispetto dei principi di
pertinenza e non eccedenza dei dati e delle misure di sicurezza di
cui all'articolo 15 della legge, anche in riferimento alle cautele
volte ad impedire l'accesso da parte di persone fisiche non
incaricate del trattamento e l'identificazione non autorizzata
degli interessati, all'interconnessione dei sistemi informativi
anche nell'ambito del Sistema statistico nazionale e
all'interscambio di dati per scopi statistici e di ricerca
scientifica da effettuarsi con enti ed uffici situati all'estero
anche sulla base delle garanzie previste dall'articolo 28, comma
4, lettera g), della legge;
h) l'impegno al rispetto di regole di condotta degli incaricati del
trattamento che non sono tenuti in base alla legge al segreto
d'ufficio o professionale, tali da assicurare analoghi livelli di
sicurezza e di riservatezza.
Note all'art. 10:
- L'art. 10 della legge 31 dicembre 1996, n. 675, come
modificato dal decreto legislativo 9 maggio 1997, n. 123,
e' il seguente:
"Art. 10 (Informazioni rese al momento della
raccolta). - 1. L'interessato o la persona presso la
quale sono raccolti i dati personali devono essere
previamente informati oralmente o per iscritto circa:
a) le finalita' e le modalita' del trattamento cui sono
destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento
dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i
dati possono essere comunicati e l'ambito di diffusione dei
dati medesimi;
e) i diritti di cui all'art. 13;
f) il nome, la denominazione o la ragione sociale e il
domicilio, la residenza o la sede del titolare e,
se designato, del responsabile.
2. L'informativa di cui al comma 1 puo' non
comprendere gli elementi gia' noti alla persona che
fornisce i dati o la cui conoscenza puo' ostacolare
l'espletamento di funzioni pubbliche ispettive o di
controllo, svolte per il perseguimento delle finalita' di
cui agli articoli 4, comma 1, lettera e), e 14, comma 1,
lettera d).
3. Quando i dati personali non sono raccolti presso
l'interessato, l'informativa di cui al comma 1 e' data
al medesimo interessato all'atto della registrazione dei
dati o, qualora sia prevista la loro comunicazione, non
oltre la prima comunicazione.
4. La disposizione di cui al comma 3 non si
applica quando l'informativa all'interessato comporta un
impiego di mezzi che il Garante dichiari manifestamente
sproporzionati rispetto al diritto tutelato, ovvero si
rivela, a giudizio del Garante, impossibile, ovvero nel
caso in cui i dati sono trattati in base ad un obbligo
previsto dalla legge, da un regolamento o dalla
normativa comunitaria. La medesima disposizione non si
applica, altresi', quando i dati sono trattati ai
fini dello svolgimento delle investigazioni di cui
all'art. 38 delle norme di attuazione, di coordinamento
e transitorie del codice di procedura penale, approvate con
decreto legislativo 28 luglio 1989, n. 271, e
successive modificazioni, o, comunque, per far valere o
difendere un diritto in sede giudiziaria, sempre che i dati
siano trattati esclusivamente per tali finalita' e per
il periodo strettamente necessario al loro
perseguimento".
- L'art. 22 della legge 31 dicembre 1996, n. 675, e' il
seguente:
"Art. 22 (Dati sensibili). - 1. I dati personali idonei
a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonche' i dati
personali idonei a rivelare lo stato di salute e la
vita sessuale, possono essere oggetto di trattamento solo
con il consenso scritto dell'interessato e previa
autorizzazione del Garante.
1-bis. Il comma l non si applica ai dati relativi
agli aderenti alle confessioni religiose i cui rapporti con
lo Stato siano regolati da accordi o intese ai sensi degli
articoli 7 e 8 della Costituzione, nonche' relativi ai
soggetti che con riferimento a finalita' di natura
esclusivamente religiosa hanno contatti regolari con
le medesime confessioni, che siano trattati dai relativi
organi o enti civilmente riconosciuti, sempreche' i dati
non siano comunicati o diffusi fuori delle medesime
confessioni. Queste ultime determinano idonee garanzie
relativamente ai trattamenti effettuati.
2. Il Garante comunica la decisione adottata sulla
richiesta di autorizzazione entro trenta giorni,
decorsi i quali la mancata pronuncia equivale a rigetto.
Con il provvedimento di autorizzazione, ovvero
successivamente, anche sulla base di eventuali verifiche,
il Garante puo' prescrivere misure e accorgimenti
a garanzia dell'interessato, che il titolare del
trattamento e' tenuto ad adottare.
3. Il trattamento dei dati indicati al comma 1 da parte
di soggetti pubblici, esclusi gli enti pubblici economici,
e' consentito solo se autorizzato da espressa
disposizione di legge nella quale siano specificati i
dati che possono essere trattati, le operazioni
eseguibili e le rilevanti finalita' di interesse pubblico
perseguite.
3-bis. Nei casi in cui e' specificata, a norma del
comma 3, la finalita' di rilevante interesse pubblico, ma
non sono specificati i tipi di dati e le operazioni
eseguibili, i soggetti pubblici, in applicazione di
quanto previsto dalla presente legge e dai decreti
legislativi di attuazione della legge 31 dicembre 1996,
n. 676, in materia di dati sensibili, identificano e
rendono pubblici, secondo i rispettivi ordinamenti, i tipi
di dati e di operazioni strettamente pertinenti e
necessari in relazione alle finalita' perseguite nei
singoli casi, aggiornando tale identificazione
periodicamente.
4. I dati personali idonei a rivelare lo stato di salute
e la vita sessuale possono essere oggetto di trattamento
previa autorizzazione del Garante, qualora il trattamento
sia necessario ai fini dello svolgimento delle
investigazioni di cui all'art. 38 delle norme di
attuazione, di coordinamento e transitorie del codice di
procedura penale, approvate con decreto legislativo 28
luglio 1989, n. 271, e successive modificazioni, o,
comunque, per far valere o difendere in sede giudiziaria
un diritto di rango pari a quello dell'interessato, sempre
che i dati siano trattati esclusivamente per tali
finalita' e per il periodo strettamente necessario al
loro perseguimento. Il Garante prescrive le misure e gli
accorgimenti di cui al comma 2 e promuove la
sottoscrizione di un apposito codice di deontologia e di
buona condotta secondo le modalita' di cui all'art. 31,
comma 1, lettera h). Resta fermo quanto previsto dall'art.
43, comma 2".
- L'art. 41, comma 7, della legge 31 dicembre 1996, n.
675, come sostituito dall'art. 4, comma del citato decreto
legislativo n. 123 del 1997, e' il seguente:
"7. Le disposizioni della presente legge che
prevedono un'autorizzazione del Garante si applicano,
limitatamente alla medesima autorizzazione e fatta
eccezione per la disposizione di cui all'art. 28, comma
4, lettera g), a decorrere dal 30 novembre 1997. Le
medesime disposizioni possono essere applicate dal
Garante anche mediante il rilascio di autorizzazioni
relative a determinate categorie di titolari o di
trattamenti".
- Per il testo degli articoli 12 e 21, della legge
31 dicembre 1996, n. 675, v. la nota all'art. 4.
- L'art. 15 della legge 31 dicembre 1996, n. 675, e' il
seguente:
"Art. 15 (Sicurezza dei dati). - 1. l dati personali
oggetto di trattamento devono essere custoditi e
controllati, anche in relazione alle conoscenze acquisite
in base al progresso tecnico, alla natura dei dati e alle
specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l'adozione di idonee e
preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento
non consentito o non conforme alle finalita' della
raccolta.
2. Le misure minime di sicurezza da adottare in via
preventiva sono individuate con regolamento emanato con
decreto del Presidente della Repubblica, ai sensi
dell'art. 17, comma 1, lettera a), della legge 23 agosto
1988, n. 400, entro centottanta giorni dalla data di
entrata in vigore della presente legge, su proposta del
Ministro di grazia e giustizia, sentiti l'Autorita' per
l'informatica nella pubblica amministrazione e il Garante.
3. Le misure di sicurezza di cui al comma 2 sono
adeguate, entro due anni dalla data di entrata in
vigore della presente legge e successivamente con
cadenza almeno biennale, con successivi regolamenti
emanati con le modalita' di cui al medesimo comma 2, in
relazione all'evoluzione tecnica del settore e
all'esperienza maturata.
4. Le misure di sicurezza relative ai dati trattati dagli
organismi di cui all'art. 4, comma 1, lettera b), sono
stabilite con decreto del Presidente del Consiglio dei
Ministri con l'osservanza delle norme che regolano la
materia".
- Per il testo dell'art. 28 della legge 31 dicembre 1996,
n. 675 v. la nota all'art. 4.