IL GARANTE
PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vicepresidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016 relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva
n. 95/46/CE (regolamento generale sulla protezione dei dati) (di
seguito «regolamento» e «RGPD»);
Visto il decreto legislativo 10 agosto 2018, n. 101, recante
disposizioni per l'adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) n. 2016/679 del Parlamento europeo
e del Consiglio del 27 aprile 2016 relativo alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali,
nonche' alla libera circolazione di tali dati e che abroga la
direttiva n. 95/46/CE;
Visto il Codice in materia di protezione dei dati personali,
decreto legislativo 30 giugno 2003, n. 196 (di seguito Codice), cosi'
come modificato dal predetto decreto legislativo n. 101 del 2018;
Visto il decreto legislativo 6 settembre 1989, n. 322, recante
norme sul Sistema statistico nazionale e sulla riorganizzazione
dell'Istituto nazionale di statistica, ai sensi dell'art. 24 della
legge 23 agosto 1988, n. 400;
Visto l'art. 5-ter del decreto legislativo 14 marzo 2013, n. 33,
recante Riordino della disciplina riguardante il diritto di accesso
civico e gli obblighi di pubblicita', trasparenza e diffusione di
informazioni da parte delle pubbliche amministrazioni, relativo
all'accesso per fini scientifici ai dati elementari raccolti per
finalita' statistiche;
Visto il Codice di deontologia e di buona condotta per i
trattamenti di dati personali a scopi statistici e di ricerca
scientifici effettuati nell'ambito del Sistema statistico nazionale,
allegato A.3 al codice;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del garante n. 1/2000;
Relatore la prof.ssa Licia Califano;
Premesso
L'art. 20, commi 3 e 4, del decreto legislativo 101 del 2018 ha
conferito al garante il compito di verificare, nel termine di novanta
giorni dalla sua entrata in vigore, la conformita' al regolamento
delle disposizioni contenute nei codici di deontologia e buona
condotta di cui agli allegati A.1, A.2, A.3, A.4 e A.6 al Codice.
Le disposizioni ritenute compatibili, ridenominate regole
deontologiche, dovranno essere pubblicate nella Gazzetta Ufficiale
della Repubblica italiana e, con decreto del Ministero della
giustizia, saranno successivamente riportate nell'allegato A al
codice.
Il Codice di deontologia e di buona condotta per i trattamenti di
dati personali a scopi statistici e di ricerca scientifici effettuati
nell'ambito del Sistema statistico nazionale cessa di produrre
effetti dalla pubblicazione delle predette regole nella Gazzetta
Ufficiale (art. 20, comma 3, del decreto legislativo 101 del 2018).
Successivamente, il garante potra' promuovere la revisione di tali
regole, secondo la procedura di cui all'art. 2-quater del Codice, in
base alla quale lo schema delle regole deontologiche, nell'osservanza
del principio di rappresentativita', deve essere sottoposto a
consultazione pubblica, per almeno sessanta giorni.
A regime, l'art. 106 del Codice, cosi' come novellato dall'art. 8
dal decreto legislativo n. 101/2018, prevede specificamente che le
regole deontologiche individuino garanzie adeguate per i diritti e le
liberta' dell'interessato e si applicano ai soggetti i soggetti
pubblici e privati, ivi comprese le societa' scientifiche e le
associazioni professionali, interessati al trattamento dei dati per
fini statistici o di ricerca scientifica ricompresi nell'ambito del
Sistema statistico nazionale.
Osserva
Nell'ambito del presente provvedimento sono individuate le
disposizioni del Codice di deontologia e di buona condotta per i
trattamenti di dati personali a scopi statistici e di ricerca
scientifica effettuati nell'ambito del Sistema statistico nazionale,
allegato A.3 al Codice, adottato con provvedimento del garante n. 13
del 31 luglio 2002, ritenute non conformi al regolamento e, in
allegato, sono riportate le disposizioni conformi, ridenominate
regole deontologiche per i trattamenti a fini statistici o di ricerca
scientifica effettuati nell'ambito del Sistema statistico nazionale.
I soggetti tenuti all'applicazione delle allegate regole osservano,
altresi', il principio di imparzialita' e di non discriminazione nei
confronti di altri utilizzatori, in particolare nell'ambito della
comunicazione per scopi statistici di dati depositati in archivi
pubblici e trattati da enti pubblici o sulla base di finanziamenti
pubblici. Cio', fermo restando il rispetto dei principi, delle
garanzie e degli specifici adempimenti richiesti dal regolamento e
dal Codice.
L'osservanza delle disposizioni contenute nelle regole
deontologiche costituisce condizione essenziale per la liceita' e
correttezza del trattamento dei dati personali e il mancato rispetto
delle stesse comporta l'applicazione della sanzione di cui all'art.
83, paragrafo 5, del regolamento (artt. 2-quater, comma 4, e 166,
comma 2, del codice).
In via generale, si rappresenta che si e' tenuto conto
dell'esigenza di contemperare il diritto alla liberta' di ricerca
scientifica e statistica nell'ambito del Sistema statistico
nazionale, in ossequio al principio di proporzionalita' (cons. 4 del
regolamento), verificando la conformita' delle disposizioni del
Codice di deontologia, in particolare, ai principali considerando e
agli articoli dedicati alla ricerca statistica e scientifica (cons.
26, 50, 52, 53, 62, 156, 157, 159, 162, 163, art. 5, comma 1 lett. b)
ed e), art. 9, art. 10, e art. 89 § 1, del regolamento).
L'attivita' istruttoria in ordine alla verifica della conformita'
al regolamento delle disposizioni del Codice di deontologia allegato
A,3 al Codice ha reso, talvolta, necessari degli interventi di
revisione e aggiornamento volti, da un lato, ad assicurare una
maggiore aderenza della norma al regolamento e al Codice e,
dall'altro, a preservare regole che gli operatori del settore hanno,
a suo tempo, condiviso e sulle quali fondano i trattamenti di dati
personali inerenti alle proprie attivita'.
1. Modifiche generali
Preliminarmente, si osserva che si e' reso necessario aggiornare i
riferimenti normativi presenti nel Codice di deontologia e la
semantica utilizzata rispetto al rinnovato quadro normativo europeo e
nazionale di riferimento.
Si e' reso necessario, inoltre, eliminare il preambolo del Codice
di deontologia, dovendosi, in base al richiamato art. 20 del decreto
legislativo 101 del 2018, ridenominare solo le disposizioni dello
stesso.
Cionondimeno, i principi e le fonti di diritto sovranazionale ivi
richiamati, sono in ogni caso da ritenersi a fondamento dei
trattamenti di dati personali effettuati per scopi statistici o di
ricerca scientifica nell'ambito del Sistema statistico nazionale.
2. Disposizioni ritenute incompatibili
Art. 3, «Identificabilita' dell'interessato», e' stato ritenuto
necessario, in primo luogo, sostituire la parola «identificativi» con
la seguente locuzione «che ... identificano» l'unita' statistica, al
comma 1, lett. a), in quanto la definizione di «dati identificativi»
di cui all'art. 4, comma 1, lett. c), del Codice e' stata abrogata
dal decreto legislativo n. 101 del 2018, e non e' piu' prevista dal
regolamento; in secondo luogo, il comma 1, lett. c), e' stato
ritenuto incompatibile nella misura in cui introduceva, per la
valutazione del rischio di identificabilita' degli interessati, dei
parametri predefiniti che non sono in linea con il quadro giuridico
introdotto dal regolamento. Rispetto alle indicazioni fornite dal
considerando 26, che per l'identificabilita' di una persona indica,
in particolare, che si tengano in considerazione «tutti i mezzi» di
cui il titolare puo' ragionevolmente avvalersi, la disposizione in
esame poneva come parametri predefiniti la tipologia di dati
comunicati o diffusi, la proporzione tra i mezzi per
l'identificazione e la lesione o il pericolo di lesione dei diritti
degli interessati, cio' anche alla luce del vantaggio che ne poteva
trarre il titolare. Tale disposizione, quindi, nel fornire ai
titolari delle coordinate per valutare l'identificabilita'
dell'interessato attualmente superate, manifestava anche un approccio
alla definizione e valutazione del rischio piu' circoscritte rispetto
a quella del regolamento in cui tale valutazione deve tener conto
delle nuove tecnologie utilizzate, della natura, dell'oggetto, del
contesto e delle finalita' di ogni tipo di trattamento (cfr. anche
cons., 84, 89, 93 e 95 e artt. 5, § 1, lett. e), 24, 35 e 36 del
regolamento).
L'art. 4, «Criteri per la valutazione del rischio di
identificazione», e' stato mantenuto considerandosi, in via generale,
compatibile con il regolamento, nella misura in cui si limita a
fornire alcuni parametri, orientativi, non esaustivi, per la
valutazione del rischio di identificazione degli interessati. Al fine
di assicurarne un'applicazione conforme al regolamento, si e',
tuttavia, ritenuto necessario modificarlo con l'aggiunta di un
«anche» (al primo comma, tra le parole «tiene conto» e «dei
seguenti»), affinche' sia chiaro che i parametri ivi indicati devono,
comunque, considerarsi meramente esemplificativi e soprattutto non
alternativi rispetto al nuovo quadro giuridico introdotto dal
regolamento sopra descritto.
Parimenti, e' risultato compatibile con il regolamento -salvi i
necessari aggiornamenti ai riferimenti normativi- l'art. 4-bis
,»Trattamento di dati personali, sensibili e giudiziari, nell'ambito
del programma statistico nazionale» in base a quale, «nel Programma
statistico nazionale sono illustrate le finalita' perseguite e le
garanzie previste dal decreto legislativo 6 settembre 1989, n. 322 e
dal decreto legislativo 30 giugno 2003, n. 196 e successive
modificazioni e integrazioni e dalle presenti regole deontologiche.
Il Programma indica, altresi', i dati di cui agli artt. 9, § 1, e 10
del regolamento, le rilevazioni per le quali i dati sono trattati e
le modalita' di trattamento. Il Programma e' adottato, con
riferimento ai dati personali, sensibili e giudiziari, sentito il
garante per la protezione dei dati personali, ai sensi dell'art. 58,
§ 3 lett. b) del regolamento».
Giova, infatti, evidenziare che tale norma e' stata introdotta nel
Codice di deontologia di cui trattasi con provvedimento del garante
170 del 24 luglio 2014, su sollecitazione dell'Istat, a seguito
dell'abrogazione dell'art. 6-bis, comma 2, del decreto legislativo n.
322 del 1989 (cfr. art. 8-bis, decreto-legge 31 agosto 2013, n. 101,
convertito con modificazioni in legge 30 ottobre 2013, n. 125), che
aveva un contenuto sostanzialmente analogo.
Resta fermo che tale disposizione non e', in ogni caso, da sola,
sufficiente a legittimare il trattamento, nell'ambito del Piano
statistico nazionale, delle particolari categorie di dati e dei dati
relativi a condanne penali e reati. La base giuridica e le condizioni
di liceita' per il trattamento di tali dati, nell'ambito del Piano
statistico nazionale, e', infatti, costituita anche, per le categorie
particolari di dati, dall'art. 9 del regolamento e dagli articoli
2-sexies e 107 del codice, e, per i dati relativi a condanne penali e
reati, dall'art. 10 del regolamento e dagli articoli 2-sexies e
2-octies del Codice.
L'art. 5, comma 2, lett. c), e' stato considerato incompatibile
nella parte in cui, tra i presupposti del trattamento delle
particolari categorie di dati da parte di soggetti privati che
partecipano al Sistema statistico nazionale, prevedeva la preventiva
autorizzazione del garante. Cio', in quanto, nel nuovo quadro
normativo, risulta molto circoscritto l'ambito di applicazione
dell'istituto dell'autorizzazione del garante (cfr. art. 36, § 5, del
regolamento, art. 110-bis del Codice e art. 21 del decreto
legislativo n. 101 del 2018).
Sono stati modificati il titolo del capo II da «informativa,
comunicazione e diffusione» in «informazioni agli interessati,
comunicazione e diffusione» e la rubrica dell'art. 6 da «Informativa»
a «Informazioni agli interessati», ai sensi degli artt. 13 e 14 del
regolamento.
L'art. 6 disciplina le ipotesi di impossibilita' di fornire le
informazioni direttamente agli interessati quando i dati sono
raccolti presso terzi. Tale articolo e' stato considerato
incompatibile nella parte in cui, al comma 2, disponeva che il
titolare dovesse preventivamente comunicare al garante le modalita'
individuate per dare pubblicita' all'informativa, il quale avrebbe
potuto prescrivere eventuali misure e accorgimenti. Cio', in quanto,
in conformita' all'art. 14 del regolamento, il coinvolgimento del
garante non e' piu' richiesto.
La disposizione e' risultata, inoltre, incompatibile con il
regolamento nella parte in cui consentiva al titolare di fornire agli
interessati un'informativa differita per la parte riguardante le
specifiche finalita' e modalita' del trattamento, qualora cio'
risultasse necessario per il raggiungimento dell'obiettivo
dell'indagine (art. 6, comma 3). L'art. 13 del regolamento, infatti,
non prevede alcuna forma di deroga o semplificazione agli obblighi
informativi quando i dati sono raccolti presso gli interessati.
E' stato, altresi', considerato incompatibile il comma 4
dell'articolo in esame, in quanto, nel prevedere la possibilita' che
il titolare possa raccogliere dati personali presso un soggetto
rispondente in nome e per conto di un altro (cd. proxy), non
prevedeva le specifiche circostanze in cui tale modalita' di raccolta
era ammessa (art. 105, comma 3, del codice).
L'art. 7, commi 2, 3 e 4, relativo alla comunicazione di dati
personali a ricercatori di universita' o a istituti o enti di ricerca
a soci di societa' scientifiche, non facenti parte del Sistema
statistico nazionale, e l'art. 8, sulla comunicazione dei dati tra
soggetti del Sistema statistico nazionale, sono stati considerati non
conformi al rinnovato quadro normativo in quanto, ai sensi degli
artt. 6, § 3, del regolamento e 2-ter del codice, si richiede una
norma di legge o, nei casi previsti dalla legge, di regolamento per
la comunicazione di dati tra soggetti pubblici o tra soggetti che
svolgono compiti di interesse pubblico, quali sono i soggetti del
Sistema statistico nazionale. Cio', tenuto anche conto delle
condizioni individuate nello specifico quadro normativo di settore in
materia accesso per fini scientifici ai dati elementari raccolti per
finalita' statistiche, di cui all'art. 5-ter del decreto legislativo
n. 33 del 2013, che, di recente, ha trovato piena applicazione con
l'approvazione da parte del Comstat delle linee guida per l'accesso a
fini scientifici ai dati elementari del Sistema statistico nazionale
(Gazzetta Ufficiale n. 287 dell'11 dicembre 2018).
E' stato modificato il titolo del capo III da «sicurezza e regole
di condotta» in «disposizioni finali».
All'art. 11, «Conservazione dei dati», e' stato ritenuto necessario
abrogare al comma 1, dalle parole «in tali casi» alle parole
«finalita' perseguite», in quanto tali previsioni individuano
predefiniti e specifici casi di deroga al principio di limitazione
della conservazione di cui all'art. 5, § 1, lett. e), del regolamento
che, pur ammettendo deroghe per i trattamenti effettuati a fini
statistici e di ricerca scientifica, richiede, oltre a una
valutazione del rischio, caso per caso, a cura del titolare (artt. 24
e 35 del regolamento), l'individuazione di misure tecniche e
organizzative adeguate a tutela dell'interessato. Cio' vale anche per
il comma 2, poiche' anche le garanzie previste dall'art. 6-bis, comma
6, del decreto legislativo 6 settembre 1989, n. 322, devono essere
applicate alla luce delle predette considerazioni.
L'art. 12, «Misure di sicurezza», e' stato ritenuto incompatibile,
in quanto gli aspetti ivi disciplinati sono oggetto ora di specifiche
previsioni del regolamento che, nel rispetto del principio di
responsabilizzazione, richiede anche un diverso approccio alle misure
di sicurezza che devono esser individuate, fin dalla progettazione e
per impostazione predefinita (artt. 24 e 25 del regolamento), in
conformita' all'art. 32 del regolamento. L'articolo, inoltre, forniva
specifiche indicazioni per l'individuazione dei diversi livelli di
accesso (natura dei dati e funzioni dei soggetti coinvolti) ai dati
da parte dei soggetti legittimati che attualmente devono essere
definiti alla luce dei, piu' ampi, criteri di cui all'art. 25, par.
2, del regolamento, in omaggio ai richiamati principi di privacy by
default e by design.
L'art. 13, «Esercizio dei diritti», comma 1, e' stato considerato
incompatibile, in quanto, consentirebbe al titolare la possibilita'
di limitare il diritto di rettifica o integrazione senza individuare
garanzie adeguate, come richiesto, invece, dall'art. 89 del
regolamento.
E' stata, infine, riformulata, la rubrica dell'art. 14, in
«Disposizioni finali», onde evitare ambiguita' rispetto alle regole
deontologiche di cui all'art. 2-quater del codice e con i futuri
codici di condotta, di cui all'art. 40 del regolamento.
3. Regole deontologiche
I predetti elementi, relativi all'aggiornamento della disciplina in
materia, sono recepiti nelle «Regole deontologiche per il trattamento
a fini statistici o di ricerca scientifica effettuati nell'ambito del
Sistema statistico nazionale» in ragione di quanto disposto dall'art.
20, comma 4, del decreto legislativo n. 101/2018 e riportate
nell'allegato 1 al presente provvedimento e che ne forma parte
integrante.
Tali «Regole deontologiche» sono volte a disciplinare i trattamenti
in questione in attesa di un auspicabile aggiornamento delle stesse
ai sensi degli artt. 2-quater e 106 e seguenti del Codice. Pertanto,
si dispone la trasmissione delle suddette «Regole deontologiche»
all'Ufficio pubblicazione leggi e decreti del Ministero della
giustizia per la relativa pubblicazione nella Gazzetta Ufficiale
della Repubblica italiana, nonche' al Ministero della giustizia per
essere riportato nell'allegato A) al Codice.
Tutto cio' premesso il Garante
Ai sensi dell'art. 20, comma 4, del decreto legislativo n.
101/2018, verificata la conformita' al regolamento delle disposizioni
del Codice di deontologia e di buona condotta per i trattamenti di
dati personali a scopi statistici e di ricerca scientifica effettuati
nell'ambito del Sistema statistico nazionale, allegato A.3 al Codice,
dispone che le medesime, riportate nell'allegato 1 al presente
provvedimento e che ne forma parte integrante, siano pubblicate come
«Regole deontologiche per trattamenti a fini statistici o di ricerca
scientifica effettuati nell'ambito del Sistema statistico nazionale»
e ne dispone, altresi', la trasmissione all'Ufficio pubblicazione
leggi e decreti del Ministero della giustizia per la sua
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana,
nonche' al Ministero della giustizia per essere riportato
nell'allegato A) al Codice.
Roma, 19 dicembre 2018
Il presidente:
Soro
Il relatore:
Califano
Il segretario generale:
Busia