IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale; Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (di seguito «Regolamento» e «RGPD»); Visto il decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»; Visto il Codice in materia di protezione dei dati personali, decreto legislativo 30 giugno 2003, n. 196, (di seguito Codice), cosi' come modificato dal predetto decreto legislativo n. 101 del 2018; Visto il Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e scientifici allegato A.4 al Codice; Visto l'art. 5-ter del decreto legislativo 14 marzo 2013, n. 33, Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicita', trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, relativo all'accesso per fini scientifici ai dati elementari raccolti per finalita' statistiche; Vista la documentazione in atti; Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del garante n. 1/2000; Relatore la dott.ssa Giovanna Bianchi Clerici; Premesso L'art. 20, commi 3 e 4, del decreto legislativo 101 del 2018 ha conferito al garante il compito di verificare, nel termine di 90 giorni dalla sua entrata in vigore, la conformita' al regolamento delle disposizioni contenute nei codici di deontologia e buona condotta di cui agli allegati A.1, A.2, A.3, A.4 e A.6 al Codice. Le disposizioni ritenute compatibili, ridenominate regole deontologiche, dovranno essere pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministero della giustizia, saranno successivamente riportate nell'allegato A al Codice. Il Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, allegato A.4 al Codice, cessa di produrre effetti dalla pubblicazione delle predette regole nella Gazzetta Ufficiale (art. 20, comma 3, del decreto legislativo n. 101 del 2018). Resta fermo che successivamente, il Garante potra' promuovere la revisione di tali regole, secondo la procedura di cui all'art. 2-quater del Codice, in base alla quale lo schema delle regole deontologiche, nell'osservanza del principio di rappresentativita', deve essere sottoposto a consultazione pubblica, per almeno sessanta giorni. Osserva Nell'ambito del presente provvedimento sono individuate le disposizioni del Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, allegato A4 al Codice, adottato con provvedimento del garante n. 2 del 16 giugno 2004, Gazzetta Ufficiale 14 agosto 2004, n. 190, ritenute non conformi al Regolamento e, in allegato sono riportate le disposizioni conformi, ridenominate regole deontologiche per trattamenti a fini statistici o di ricerca scientifica. Le regole si applicano ai trattamenti di dati personali effettuati fini statistici, al di fuori del Sistema statistico nazionale, o di ricerca scientifica, fermo restando il rispetto dei principi e degli specifici adempimenti richiesti dal Regolamento e dal Codice. Il rispetto delle disposizioni contenute nelle regole deontologiche costituisce condizione essenziale per la liceita' e correttezza del trattamento dei dati personali e il mancato rispetto delle stesse comporta l'applicazione della sanzione di cui all'art. 83, paragrafo 5 del Regolamento (articoli 2-quater, comma 4, e 166, comma 2, del Codice). A regime, l'art. 106 del Codice, cosi' come novellato dall'art. 8 dal decreto legislativo n. 101/2018, prevede specificamente che le regole deontologiche individuino garanzie adeguate per i diritti e le liberta' dell'interessato e si applicano ai soggetti i soggetti pubblici e privati, ivi comprese le societa' scientifiche e le associazioni professionali, interessati al trattamento dei dati per fini statistici o di ricerca scientifica ricompresi nell'ambito del Sistema statistico nazionale. In via generale, si rappresenta che si e' tenuto conto dell'esigenza di contemperare il diritto alla liberta' di ricerca con altri diritti fondamentali dell'individuo, in ossequio al principio di proporzionalita' (cons. 4 del Regolamento), verificando la conformita' delle disposizioni del Codice di deontologia, in particolare, ai considerando e agli articoli dedicati alla ricerca statistica e scientifica (cons. 26, 50, 52, 53, 62, 156, 157, 159, 162, 163, art. 5, comma 1 lettera b) ed e), art. 9, art. 10, e art. 89 § 1, del Regolamento). 1. Modifiche generali. Preliminarmente, si osserva che si e' reso necessario aggiornare i riferimenti normativi presenti nel Codice di deontologia e la semantica utilizzata rispetto al rinnovato quadro normativo europeo e nazionale di riferimento. Si e' reso necessario, inoltre, eliminare il preambolo del Codice di deontologia, dovendosi, in base al richiamato art. 20 del decreto legislativo n. 101 del 2018, ridenominare solo le disposizioni dello stesso. Cionondimeno, i principi e le fonti di diritto sovranazionale ivi richiamati, sono, in ogni caso, da ritenersi a fondamento dei trattamenti di dati personali effettuati a fini di ricerca scientifica o statistici (cons. 159 e 162 del Regolamento). 2. Disposizioni ritenute incompatibili. All'art. 1, comma 1, lettera c), e' stata eliminata la definizione di «dato identificativo indiretto», in quanto tale definizione e' stata ritenuta incompatibile con il Regolamento. Il legislatore nazionale, infatti, nell'adeguare il Codice al Regolamento, con il decreto legislativo n. 101 del 2018, ha abrogato l'art. 4, comma 1, lettera c), del Codice, che conteneva la definizione di «dati identificativi», da intendersi come i «dati personali che permettono l'identificazione diretta dell'interessato». Resta, invece valida la definizione di «istituto o ente di ricerca», di cui alla lettera e), dell'articolo in esame, che deve esser interpretata alla luce del nuovo quadro normativo di settore di cui all'art. 5-ter del decreto legislativo 33 del 2013, che ha demandato al Comstat l'individuazione, sentito il garante, dei criteri per il riconoscimento degli enti di ricerca e delle strutture di ricerca di istituzioni pubbliche e private, avuto riguardo agli scopi istituzionali perseguiti, all'attivita' svolta e all'organizzazione interna in relazione all'attivita' di ricerca, nonche' alle misure adottate per garantire la sicurezza dei dati. Tali criteri sono stati di recente individuati nelle linee guida per l'accesso a fini scientifici ai dati elementari del Sistema statistico nazionale (Gazzetta Ufficiale n. 287 dell'11 dicembre 2018). L'art. 4, «Identificabilita' dell'interessato», e' stato ritenuto necessario, in primo luogo, sostituire la parola «identificativi», al comma 1, lettera a), con la seguente locuzione «dati che ... identificano» l'unita' statistica in quanto la definizione di «dati identificativi» di cui all'art. 4, comma 1, lettera c), del Codice e' stata abrogata dal decreto legislativo n. 101 del 2018, e non e' piu' prevista dal Regolamento; in secondo luogo, il comma 1, lettera c), e' stato ritenuto incompatibile nella misura in cui introduceva, per la valutazione del rischio di identificabilita' degli interessati, dei parametri predefiniti che non sono in linea con il quadro giuridico introdotto dal Regolamento. Rispetto alle indicazioni fornite dal considerando 26, che per l'identificabilita' di una persona indica, in particolare, che si tengano in considerazione «tutti i mezzi» di cui il titolare puo' ragionevolmente avvalersi, la disposizione in esame poneva come parametri predefiniti la tipologia di dati comunicati o diffusi, la proporzione tra i mezzi per l'identificazione e la lesione o il pericolo di lesione dei diritti degli interessati, cio' anche alla luce del vantaggio che ne poteva trarre il titolare. Tale disposizione, quindi, nel fornire ai titolari delle coordinate per valutare l'identificabilita' dell'interessato attualmente superate, manifestava anche un approccio alla definizione e valutazione del rischio piu' circoscritte rispetto a quella del Regolamento in cui tale valutazione deve tener conto delle nuove tecnologie utilizzate, della natura, dell'oggetto, del contesto e delle finalita' di ogni tipo di trattamento, (cfr. anche cons. 84, 89, 93 e 95 e articoli 5, § 1, lettera e), 24, 35 e 36 del Regolamento). L'art. 5, «Criteri per la valutazione del rischio di identificazione», e' stato mantenuto considerandosi, in via generale, compatibile con il Regolamento, nella misura in cui si limita a fornire alcuni parametri, orientativi, non esaustivi, per la valutazione del rischio di identificazione degli interessati. Al fine di assicurarne un'applicazione conforme al Regolamento, si e', tuttavia, ritenuto necessario modificarlo con l'aggiunta di un «anche» (al primo comma, tra le parole «tiene conto» e «dei seguenti»), affinche' sia chiaro che i parametri ivi indicati devono, comunque, considerarsi meramente esemplificativi e, soprattutto, non alternativi rispetto al nuovo quadro giuridico introdotto dal Regolamento sopra descritto. Sono stati modificati il titolo del Capo II da «Informativa, comunicazione e diffusione» in «Informazioni agli interessati, comunicazione e diffusione» e la rubrica dell'art. 6 da «Informativa» a «Informazioni agli interessati», per omogeneita' con il Regolamento. L'art. 6, «Informazioni agli interessati», il comma 2 e' risultato incompatibile con il Regolamento nella parte in cui prevedeva alcune deroghe all'obbligo di informativa in caso di raccolta dei dati presso gli interessati. In particolare, tale comma e' stato eliminato, che consentiva di fornire un'informativa differita, per la parte riguardante le specifiche finalita' e modalita' del trattamento, qualora cio' risultasse necessario per il raggiungimento dell'obiettivo dell'indagine. Cio', in quanto l'art. 13 del Regolamento non prevede alcuna forma di deroga o semplificazione agli obblighi informativi quando i dati sono raccolti presso gli interessati. L'art. 6, comma 3, che consente ad un soggetto di rispondere in nome e per conto di un altro, e' stato considerato compatibile con il Regolamento e con l'art. 105, comma 3, del Codice, in quanto definisce le specifiche circostanze in cui tale modalita' di raccolta e' possibile. Sul punto, tuttavia, deve precisarsi che, il principio di responsabilizzazione impone, in ogni caso, al titolare del trattamento di porre in essere specifiche misure per verificare, ed essere in grado di dimostrare, che il rispondente sia effettivamente legittimato a fornire i dati di un terzo. E' stato altresi' ritenuto incompatibile l'art. 6, comma 4, che individuava alcuni casi di deroga all'obbligo di fornire, informazioni agli interessati quando i dati sono raccolti presso terzi, disponendo che il titolare dovesse dare preventiva informazione al garante delle modalita' prescelte, tra quelle indicate a titolo esemplificativo dalla norma. Parimenti, e' stato considerato incompatibile il comma 5 dell'articolo in esame, nella parte in cui, qualora il titolare avesse ritenuto di non utilizzare le forme di pubblicita' indicate al comma 4, poteva individuare idonee forme di pubblicita' da comunicare preventivamente al garante, che poteva prescrivere eventuali misure e accorgimenti. L'art. 14, § 5, lettera b), del Regolamento ora prevede, infatti, che le informazioni in caso di raccolta di dati presso terzi possano essere omesse nel caso in cui la comunicazione di tali informazioni risultasse impossibile o implicherebbe uno sforzo sproporzionato. Con particolare riferimento ai trattamenti a fini di ricerca scientifica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'art. 89, § 1, non vi e', inoltre, l'obbligo di informare l'interessato nella misura in cui cio' rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalita' di tale trattamento. In tali casi, il titolare del trattamento e' tenuto comunque ad adottare misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni. L'art. 7 «Consenso» e' stato eliminato perche' le condizioni di liceita' del trattamento, ed in particolare le condizioni per il consenso, sono disciplinate nel Regolamento (articoli 6 e 7). L'art. 8 «Comunicazione e diffusione dei dati» e' stato considerato incompatibile in quanto i presupposti di liceita' di tali operazioni di trattamento sono adesso individuate nel Regolamento (articoli 6, 9 e 10) e nel Codice (articoli 2-ter, 2-sexies, 2-septies e 2-octies). L'articolo in esame e' stato, inoltre, considerato incompatibile nella parte in cui, al comma 4, ultimo alinea, e al comma 5 disciplinava il trasferimento di dati personali verso paesi terzi, adesso normato agli articoli 44 e seguenti del Regolamento. E' stata modificata la rubrica dell'art. 9 da «Trattamento di dati sensibili o giudiziari» in «Trattamento di categorie particolari di dati personali e di dati relativi a condanni penali e reati». Fermi restando i presupposti di liceita' del trattamento dei dati indicati nella rubrica dell'articolo in esame, nel Regolamento (articoli 6, e 9 e 10) e nel Codice (articoli 2-ter, 2-sexies, 2-septies e 2-octies), l'art. 9, commi 2 e 3, e' stato considerato incompatibile con il Regolamento nella misura in cui tali previsioni individuano predefiniti e specifici casi di applicazione del principio di minimizzazione di cui all'art. 5, § 1, lettera c), del Regolamento che pur tendo conto della specificita' dei trattamenti effettuati a fini statistici e di ricerca scientifica, richiede, oltre a una valutazione del rischio, caso per caso a cura del titolare, l'individuazione di misure tecniche e organizzative adeguate a tutela dell'interessato (articoli 24 e 35 del Regolamento). L'art. 9, commi 4, lettera c), 5 e 6, e' stato, invece, considerato incompatibile laddove individuava condizioni di liceita' del trattamento per i dati sensibili o giudiziari differenti rispetto a quelle previste ora dal Regolamento e dal Codice. L'art. 10 «Dati genetici» e' stato considerato incompatibile in quanto il trattamento di tali dati deve essere effettuato in conformita' all'art. 9 del Regolamento, all'art. 2-sexies, alle prescrizioni individuate dal garante ai sensi dell'art. 21, del decreto legislativo 101 del 2018 e alle specifiche misure di garanzia che l'Autorita' e' chiamata ad adottare ai sensi dell'art. 2-septies del Codice. L'art. 11 «Disposizioni particolari per la ricerca medica, biomedica ed epidemiologica» e' stato modificato al comma 4 al solo fine di confermare le tutele assicurate in tale contesto agli interessati, cosi' come individuate dal richiamo, effettuato per relationem, all'art. 84 del Codice, ora abrogato. Restano ferme, in ogni caso, le misure di garanzia che saranno individuate dal garante, ai sensi dell'art. 2-septies, comma 4, lettera c). L'art. 11, comma 5, e' stato, invece, considerato incompatibile, in quanto le circostanze in cui non e' necessario acquisire il consenso dell'interessato sono state individuate nel provvedimento prescrittivo adottato dal garante ai sensi dell'art. 21 del decreto legislativo 101 del 2018 mentre le condizioni di liceita' del trattamento per le finalita' in esame sono previste dall'art. 110 del Codice. E' stato modificato il titolo del Capo III da «Sicurezza e regole di condotta» in «Disposizioni finali». L'art. 14 «Conservazione dei dati» e' stato aggiornato al primo comma con il rinvio al principio di limitazione della conservazione di cui all'art. 5, § 1, lettera e) del Regolamento. Le parti successive sono state eliminate in quanto sono risultate incompatibili con tale principio che unitamente al principio di responsabilizzazione , impone al titolare una nuova prospettiva e nuovi adempimenti per la valutazione del rischio, al fine di individuare, di volta in volta, adeguate misure, tecniche e organizzative, a garanzia degli interessati (articoli 24 e 35 del Regolamento). L'art. 15 «Misure di sicurezza» e' stato ritenuto incompatibile, in quanto gli aspetti relativi alla sicurezza dei dati sono oggetto ora di specifiche previsioni del Regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un diverso approccio alle misure di sicurezza che devono esser individuate, fin dalla progettazione e per impostazione predefinita (articoli 24 e 25 del Regolamento), in conformita' all'art. 32 del Regolamento. L'art. 16 «Esercizio dei diritti dell'interessato», al comma 1, e' stato considerato incompatibile, in quanto consentirebbe al titolare la possibilita' di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, come richiesto, invece, dall'art. 89 del Regolamento. Il comma 2, e' stato riformulato per renderlo conforme al Regolamento. E' stata, infine, aggiornata, la rubrica dell'art. 17, in «Disposizioni finali», onde evitare ambiguita' rispetto alle regole deontologiche di cui all'art. 2-quater del Codice e con i futuri codici di condotta, di cui all'art. 40 del Regolamento. 3. Regole deontologiche. I predetti elementi, relativi all'aggiornamento della disciplina in materia, sono recepiti nelle «Regole deontologiche per il trattamento a fini statistici o di ricerca» in ragione di quanto disposto dall'art. 20, comma 4, del decreto legislativo n. 101/2018 e riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante. Tali «Regole deontologiche» sono volte a disciplinare i trattamenti in questione in attesa di un auspicabile aggiornamento delle stesse ai sensi degli articoli 2-quater e 106 e seguenti del Codice. Pertanto, si dispone la trasmissione delle suddette «Regole deontologiche» all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la relativa pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell'Allegato A) al Codice. Tutto cio' premesso il garante Ai sensi dell'art. 20, comma 4, del decreto legislativo n. 101/2018, verificata la conformita' al regolamento delle disposizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e di ricerca scientifica, allegato A.4 al Codice, dispone che le medesime, riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante, siano pubblicate come «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica» e ne dispone, altresi', la trasmissione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell'Allegato A) al Codice. Roma, 19 dicembre 2018 Il presidente Soro Il segretario generale Busia Il relatore Bianchi Clerici