IL GARANTE 
                PER LA PROTEZIONE DEI DATI PERSONALI 
 
  Nella riunione odierna,  in  presenza  del  dott.  Antonello  Soro,
presidente, della dott.ssa  Augusta  Iannini,  vicepresidente,  della
dott.ssa Giovanna Bianchi Clerici e della  prof.ssa  Licia  Califano,
componenti, e del dott. Giuseppe Busia, segretario generale; 
  Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e  del
Consiglio del 27 aprile 2016 relativo alla protezione  delle  persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati e che abroga la  direttiva  95/46/CE
(regolamento  generale  sulla  protezione  dei  dati)   (di   seguito
«Regolamento» e «RGPD»); 
  Visto il decreto  legislativo  10  agosto  2018,  n.  101,  recante
«Disposizioni  per  l'adeguamento  della  normativa  nazionale   alle
disposizioni del regolamento (UE) n. 2016/679 del Parlamento  europeo
e del Consiglio del 27 aprile 2016  relativo  alla  protezione  delle
persone fisiche con  riguardo  al  trattamento  dei  dati  personali,
nonche' alla libera  circolazione  di  tali  dati  e  che  abroga  la
direttiva 95/46/CE»; 
  Visto il Codice  in  materia  di  protezione  dei  dati  personali,
decreto legislativo 30 giugno 2003,  n.  196,  (di  seguito  Codice),
cosi' come modificato dal predetto decreto  legislativo  n.  101  del
2018; 
  Visto  il  Codice  di  deontologia  e  di  buona  condotta  per   i
trattamenti di  dati  personali  a  scopi  statistici  e  scientifici
allegato A.4 al Codice; 
  Visto l'art. 5-ter del decreto legislativo 14 marzo  2013,  n.  33,
Riordino della disciplina riguardante il diritto di accesso civico  e
gli obblighi di pubblicita', trasparenza e diffusione di informazioni
da parte delle pubbliche amministrazioni,  relativo  all'accesso  per
fini  scientifici  ai  dati   elementari   raccolti   per   finalita'
statistiche; 
  Vista la documentazione in atti; 
  Viste  le  osservazioni  dell'Ufficio  formulate   dal   segretario
generale ai sensi dell'art. 15 del regolamento del garante n. 1/2000; 
  Relatore la dott.ssa Giovanna Bianchi Clerici; 
 
                              Premesso 
 
  L'art. 20, commi 3 e 4, del decreto legislativo  101  del  2018  ha
conferito al garante il compito di  verificare,  nel  termine  di  90
giorni dalla sua entrata in vigore,  la  conformita'  al  regolamento
delle disposizioni  contenute  nei  codici  di  deontologia  e  buona
condotta di cui agli allegati A.1, A.2, A.3, A.4 e A.6 al Codice. 
  Le   disposizioni   ritenute   compatibili,   ridenominate   regole
deontologiche, dovranno essere pubblicate  nella  Gazzetta  Ufficiale
della  Repubblica  italiana  e,  con  decreto  del  Ministero   della
giustizia,  saranno  successivamente  riportate  nell'allegato  A  al
Codice. 
  Il Codice di deontologia e di buona condotta per i  trattamenti  di
dati personali per scopi statistici e scientifici,  allegato  A.4  al
Codice, cessa di produrre effetti dalla pubblicazione delle  predette
regole nella Gazzetta  Ufficiale  (art.  20,  comma  3,  del  decreto
legislativo n. 101 del 2018). 
  Resta fermo che successivamente, il Garante  potra'  promuovere  la
revisione di tali  regole,  secondo  la  procedura  di  cui  all'art.
2-quater del Codice, in  base  alla  quale  lo  schema  delle  regole
deontologiche, nell'osservanza del principio  di  rappresentativita',
deve essere sottoposto a consultazione pubblica, per almeno  sessanta
giorni. 
 
                               Osserva 
 
  Nell'ambito  del  presente  provvedimento   sono   individuate   le
disposizioni del Codice di deontologia e  di  buona  condotta  per  i
trattamenti di dati personali per  scopi  statistici  e  scientifici,
allegato A4 al Codice, adottato con provvedimento del  garante  n.  2
del 16 giugno 2004,  Gazzetta  Ufficiale  14  agosto  2004,  n.  190,
ritenute non conformi al Regolamento e, in allegato sono riportate le
disposizioni  conformi,   ridenominate   regole   deontologiche   per
trattamenti a fini statistici o di ricerca scientifica. 
  Le regole si applicano ai trattamenti di dati personali  effettuati
fini statistici, al di fuori del Sistema statistico nazionale,  o  di
ricerca scientifica, fermo restando il rispetto dei principi e  degli
specifici adempimenti richiesti dal Regolamento e dal Codice. 
  Il rispetto delle disposizioni contenute nelle regole deontologiche
costituisce condizione essenziale per la liceita' e  correttezza  del
trattamento dei dati personali e il  mancato  rispetto  delle  stesse
comporta l'applicazione della sanzione di cui all'art. 83,  paragrafo
5 del Regolamento (articoli 2-quater, comma 4, e 166,  comma  2,  del
Codice). 
  A regime, l'art. 106 del Codice, cosi' come novellato  dall'art.  8
dal decreto legislativo n. 101/2018, prevede  specificamente  che  le
regole deontologiche individuino garanzie adeguate per i diritti e le
liberta' dell'interessato e  si  applicano  ai  soggetti  i  soggetti
pubblici e privati,  ivi  comprese  le  societa'  scientifiche  e  le
associazioni professionali, interessati al trattamento dei  dati  per
fini statistici o di ricerca scientifica ricompresi  nell'ambito  del
Sistema statistico nazionale. 
  In  via  generale,  si  rappresenta  che   si   e'   tenuto   conto
dell'esigenza di contemperare il diritto alla liberta' di ricerca con
altri diritti fondamentali dell'individuo, in ossequio  al  principio
di  proporzionalita'  (cons.  4  del  Regolamento),  verificando   la
conformita'  delle  disposizioni  del  Codice  di   deontologia,   in
particolare, ai considerando e agli articoli  dedicati  alla  ricerca
statistica e scientifica (cons. 26, 50, 52, 53, 62,  156,  157,  159,
162, 163, art. 5, comma 1 lettera b) ed e), art. 9, art. 10,  e  art.
89 § 1, del Regolamento). 
 
1. Modifiche generali. 
 
  Preliminarmente, si osserva che si e' reso necessario aggiornare  i
riferimenti  normativi  presenti  nel  Codice  di  deontologia  e  la
semantica utilizzata rispetto al rinnovato quadro normativo europeo e
nazionale di riferimento. 
  Si e' reso necessario, inoltre, eliminare il preambolo  del  Codice
di deontologia, dovendosi, in base al richiamato art. 20 del  decreto
legislativo n. 101 del 2018, ridenominare solo le disposizioni  dello
stesso. 
  Cionondimeno, i principi e le fonti di diritto  sovranazionale  ivi
richiamati, sono,  in  ogni  caso,  da  ritenersi  a  fondamento  dei
trattamenti  di  dati  personali  effettuati  a   fini   di   ricerca
scientifica o statistici (cons. 159 e 162 del Regolamento). 
 
2. Disposizioni ritenute incompatibili. 
 
  All'art. 1, comma 1, lettera c), e' stata eliminata la  definizione
di «dato identificativo indiretto», in  quanto  tale  definizione  e'
stata ritenuta  incompatibile  con  il  Regolamento.  Il  legislatore
nazionale, infatti, nell'adeguare il Codice al  Regolamento,  con  il
decreto legislativo n. 101 del 2018, ha abrogato l'art. 4,  comma  1,
lettera c),  del  Codice,  che  conteneva  la  definizione  di  «dati
identificativi», da intendersi come i «dati personali che  permettono
l'identificazione diretta dell'interessato». 
  Resta,  invece  valida  la  definizione  di  «istituto  o  ente  di
ricerca», di cui alla lettera e), dell'articolo in  esame,  che  deve
esser interpretata alla luce del nuovo quadro normativo di settore di
cui all'art. 5-ter del  decreto  legislativo  33  del  2013,  che  ha
demandato  al  Comstat  l'individuazione,  sentito  il  garante,  dei
criteri per il riconoscimento degli enti di ricerca e delle strutture
di ricerca di istituzioni pubbliche e private,  avuto  riguardo  agli
scopi    istituzionali    perseguiti,    all'attivita'    svolta    e
all'organizzazione interna in  relazione  all'attivita'  di  ricerca,
nonche' alle misure adottate per garantire  la  sicurezza  dei  dati.
Tali criteri sono stati di recente individuati nelle linee guida  per
l'accesso  a  fini  scientifici  ai  dati  elementari   del   Sistema
statistico nazionale (Gazzetta  Ufficiale  n.  287  dell'11  dicembre
2018). 
  L'art. 4, «Identificabilita' dell'interessato», e'  stato  ritenuto
necessario, in primo luogo, sostituire la parola «identificativi», al
comma 1,  lettera  a),  con  la  seguente  locuzione  «dati  che  ...
identificano» l'unita' statistica in quanto la definizione  di  «dati
identificativi» di cui all'art. 4, comma 1, lettera c), del Codice e'
stata abrogata dal decreto legislativo n. 101 del 2018, e non e' piu'
prevista dal Regolamento; in secondo luogo, il comma 1,  lettera  c),
e' stato ritenuto incompatibile nella misura in cui introduceva,  per
la valutazione del rischio di  identificabilita'  degli  interessati,
dei parametri predefiniti  che  non  sono  in  linea  con  il  quadro
giuridico  introdotto  dal  Regolamento.  Rispetto  alle  indicazioni
fornite dal considerando  26,  che  per  l'identificabilita'  di  una
persona indica, in particolare,  che  si  tengano  in  considerazione
«tutti i mezzi» di cui il titolare puo' ragionevolmente avvalersi, la
disposizione in esame poneva come parametri predefiniti la  tipologia
di dati  comunicati  o  diffusi,  la  proporzione  tra  i  mezzi  per
l'identificazione e la lesione o il pericolo di lesione  dei  diritti
degli interessati, cio' anche alla luce del vantaggio che  ne  poteva
trarre  il  titolare.  Tale  disposizione,  quindi,  nel  fornire  ai
titolari   delle   coordinate   per   valutare    l'identificabilita'
dell'interessato attualmente superate, manifestava anche un approccio
alla definizione e valutazione del rischio piu' circoscritte rispetto
a quella del Regolamento in cui tale  valutazione  deve  tener  conto
delle nuove tecnologie utilizzate, della  natura,  dell'oggetto,  del
contesto e delle finalita' di ogni tipo di trattamento,  (cfr.  anche
cons. 84, 89, 93 e 95 e articoli 5, § 1, lettera e), 24, 35 e 36  del
Regolamento). 
  L'art.  5,   «Criteri   per   la   valutazione   del   rischio   di
identificazione», e' stato mantenuto considerandosi, in via generale,
compatibile con il Regolamento, nella  misura  in  cui  si  limita  a
fornire  alcuni  parametri,  orientativi,  non  esaustivi,   per   la
valutazione del rischio di identificazione degli interessati. Al fine
di  assicurarne  un'applicazione  conforme  al  Regolamento,  si  e',
tuttavia,  ritenuto  necessario  modificarlo  con  l'aggiunta  di  un
«anche»  (al  primo  comma,  tra  le  parole  «tiene  conto»  e  «dei
seguenti»), affinche' sia chiaro che i parametri ivi indicati devono,
comunque, considerarsi meramente esemplificativi e, soprattutto,  non
alternativi  rispetto  al  nuovo  quadro  giuridico  introdotto   dal
Regolamento sopra descritto. 
  Sono stati modificati  il  titolo  del  Capo  II  da  «Informativa,
comunicazione  e  diffusione»  in  «Informazioni  agli   interessati,
comunicazione e diffusione» e la rubrica dell'art. 6 da «Informativa»
a  «Informazioni  agli   interessati»,   per   omogeneita'   con   il
Regolamento. 
  L'art. 6, «Informazioni agli interessati», il comma 2 e'  risultato
incompatibile con il Regolamento nella parte in cui prevedeva  alcune
deroghe all'obbligo di informativa  in  caso  di  raccolta  dei  dati
presso  gli  interessati.  In  particolare,  tale  comma   e'   stato
eliminato, che consentiva di fornire un'informativa differita, per la
parte  riguardante  le   specifiche   finalita'   e   modalita'   del
trattamento, qualora cio' risultasse necessario per il raggiungimento
dell'obiettivo  dell'indagine.  Cio',  in  quanto   l'art.   13   del
Regolamento non prevede alcuna forma di deroga o semplificazione agli
obblighi  informativi  quando  i  dati  sono  raccolti   presso   gli
interessati. 
  L'art. 6, comma 3, che consente ad un  soggetto  di  rispondere  in
nome e per conto di un altro, e' stato considerato compatibile con il
Regolamento e  con  l'art.  105,  comma  3,  del  Codice,  in  quanto
definisce le specifiche circostanze in cui tale modalita' di raccolta
e' possibile. Sul punto, tuttavia, deve precisarsi che, il  principio
di  responsabilizzazione  impone,  in  ogni  caso,  al  titolare  del
trattamento di porre in essere specifiche misure per  verificare,  ed
essere in grado di dimostrare, che il rispondente sia  effettivamente
legittimato a fornire i dati di un terzo. 
  E' stato altresi' ritenuto incompatibile l'art.  6,  comma  4,  che
individuava  alcuni  casi   di   deroga   all'obbligo   di   fornire,
informazioni agli interessati quando  i  dati  sono  raccolti  presso
terzi,  disponendo  che   il   titolare   dovesse   dare   preventiva
informazione  al  garante  delle  modalita'  prescelte,  tra   quelle
indicate a titolo esemplificativo dalla norma.  Parimenti,  e'  stato
considerato incompatibile il comma 5 dell'articolo  in  esame,  nella
parte in cui, qualora il titolare avesse ritenuto di  non  utilizzare
le forme di pubblicita'  indicate  al  comma  4,  poteva  individuare
idonee forme di pubblicita' da comunicare preventivamente al garante,
che poteva prescrivere eventuali misure e accorgimenti. L'art. 14,  §
5,  lettera  b),  del  Regolamento  ora  prevede,  infatti,  che   le
informazioni in caso di raccolta di dati presso terzi possano  essere
omesse  nel  caso  in  cui  la  comunicazione  di  tali  informazioni
risultasse impossibile o implicherebbe uno sforzo sproporzionato. Con
particolare riferimento ai trattamenti a fini di ricerca  scientifica
o a fini statistici, fatte salve le condizioni e le garanzie  di  cui
all'art. 89,  §  1,  non  vi  e',  inoltre,  l'obbligo  di  informare
l'interessato nella misura in cui cio' rischi di rendere  impossibile
o di pregiudicare gravemente il conseguimento delle finalita' di tale
trattamento. In tali casi, il  titolare  del  trattamento  e'  tenuto
comunque ad adottare misure appropriate per tutelare  i  diritti,  le
liberta' e i legittimi  interessi  dell'interessato,  anche  rendendo
pubbliche le informazioni. 
  L'art. 7 «Consenso» e' stato eliminato  perche'  le  condizioni  di
liceita' del trattamento, ed in  particolare  le  condizioni  per  il
consenso, sono disciplinate nel Regolamento (articoli 6 e 7). 
  L'art. 8 «Comunicazione e diffusione dei dati» e' stato considerato
incompatibile in quanto i presupposti di liceita' di tali  operazioni
di trattamento sono adesso individuate nel Regolamento (articoli 6, 9
e 10) e nel Codice (articoli 2-ter, 2-sexies, 2-septies e 2-octies). 
  L'articolo in esame e' stato,  inoltre,  considerato  incompatibile
nella parte in  cui,  al  comma  4,  ultimo  alinea,  e  al  comma  5
disciplinava il trasferimento di dati personali  verso  paesi  terzi,
adesso normato agli articoli 44 e seguenti del Regolamento. 
  E' stata modificata la rubrica dell'art. 9 da «Trattamento di  dati
sensibili o giudiziari» in «Trattamento di categorie  particolari  di
dati personali e di dati relativi a condanni penali e reati». 
  Fermi restando i presupposti di liceita' del trattamento  dei  dati
indicati  nella  rubrica  dell'articolo  in  esame,  nel  Regolamento
(articoli 6, e 9 e  10)  e  nel  Codice  (articoli  2-ter,  2-sexies,
2-septies e 2-octies), l'art. 9, commi 2 e 3,  e'  stato  considerato
incompatibile con il Regolamento nella misura in cui tali  previsioni
individuano  predefiniti  e  specifici  casi  di   applicazione   del
principio di minimizzazione di cui all'art. 5, § 1, lettera  c),  del
Regolamento che pur tendo conto della  specificita'  dei  trattamenti
effettuati a fini statistici  e  di  ricerca  scientifica,  richiede,
oltre a una valutazione  del  rischio,  caso  per  caso  a  cura  del
titolare,  l'individuazione  di  misure  tecniche   e   organizzative
adeguate  a  tutela  dell'interessato   (articoli   24   e   35   del
Regolamento). 
  L'art. 9, commi 4, lettera c), 5 e 6, e' stato, invece, considerato
incompatibile  laddove  individuava  condizioni   di   liceita'   del
trattamento per i dati sensibili o giudiziari differenti  rispetto  a
quelle previste ora dal Regolamento e dal Codice. 
  L'art. 10 «Dati genetici» e'  stato  considerato  incompatibile  in
quanto  il  trattamento  di  tali  dati  deve  essere  effettuato  in
conformita' all'art.  9  del  Regolamento,  all'art.  2-sexies,  alle
prescrizioni individuate dal  garante  ai  sensi  dell'art.  21,  del
decreto legislativo 101 del 2018 e alle specifiche misure di garanzia
che l'Autorita' e' chiamata ad adottare ai sensi dell'art.  2-septies
del Codice. 
  L'art.  11  «Disposizioni  particolari  per  la   ricerca   medica,
biomedica ed epidemiologica» e' stato modificato al comma 4  al  solo
fine di  confermare  le  tutele  assicurate  in  tale  contesto  agli
interessati, cosi' come  individuate  dal  richiamo,  effettuato  per
relationem, all'art. 84 del Codice, ora abrogato. Restano  ferme,  in
ogni caso, le misure di garanzia che saranno individuate dal garante,
ai sensi dell'art. 2-septies, comma 4, lettera c). 
  L'art. 11, comma 5, e' stato, invece, considerato incompatibile, in
quanto le circostanze in cui non e' necessario acquisire il  consenso
dell'interessato   sono   state   individuate    nel    provvedimento
prescrittivo adottato dal garante ai sensi dell'art. 21  del  decreto
legislativo 101  del  2018  mentre  le  condizioni  di  liceita'  del
trattamento per le finalita' in esame sono previste dall'art. 110 del
Codice. 
  E' stato modificato il titolo del Capo III da «Sicurezza  e  regole
di condotta» in «Disposizioni finali». 
  L'art. 14 «Conservazione dei dati» e'  stato  aggiornato  al  primo
comma con il rinvio al principio di limitazione  della  conservazione
di cui all'art.  5,  §  1,  lettera  e)  del  Regolamento.  Le  parti
successive  sono   state   eliminate   in   quanto   sono   risultate
incompatibili con tale  principio  che  unitamente  al  principio  di
responsabilizzazione , impone al titolare  una  nuova  prospettiva  e
nuovi  adempimenti  per  la  valutazione  del  rischio,  al  fine  di
individuare,  di  volta  in  volta,  adeguate  misure,   tecniche   e
organizzative, a garanzia degli interessati (articoli  24  e  35  del
Regolamento). 
  L'art. 15 «Misure di sicurezza» e' stato ritenuto incompatibile, in
quanto gli aspetti relativi alla sicurezza dei dati sono oggetto  ora
di specifiche  previsioni  del  Regolamento  che,  nel  rispetto  del
principio  di  responsabilizzazione,  richiede   anche   un   diverso
approccio alle misure di sicurezza che devono esser individuate,  fin
dalla progettazione e per impostazione predefinita (articoli 24 e  25
del Regolamento), in conformita' all'art. 32 del Regolamento. 
  L'art. 16 «Esercizio dei diritti dell'interessato», al comma 1,  e'
stato considerato incompatibile, in quanto consentirebbe al  titolare
la possibilita' di limitare il diritto di  rettifica  o  integrazione
senza  individuare  garanzie  adeguate,   come   richiesto,   invece,
dall'art. 89 del Regolamento. Il comma 2, e'  stato  riformulato  per
renderlo conforme al Regolamento. 
  E'  stata,  infine,  aggiornata,  la  rubrica  dell'art.   17,   in
«Disposizioni finali», onde evitare ambiguita' rispetto  alle  regole
deontologiche di cui all'art. 2-quater del  Codice  e  con  i  futuri
codici di condotta, di cui all'art. 40 del Regolamento. 
 
3. Regole deontologiche. 
 
  I predetti elementi, relativi all'aggiornamento della disciplina in
materia, sono recepiti nelle «Regole deontologiche per il trattamento
a fini statistici  o  di  ricerca»  in  ragione  di  quanto  disposto
dall'art.  20,  comma  4,  del  decreto  legislativo  n.  101/2018  e
riportate nell'allegato 1 al presente provvedimento e  che  ne  forma
parte integrante. 
  Tali «Regole deontologiche» sono volte a disciplinare i trattamenti
in questione in attesa di un auspicabile aggiornamento  delle  stesse
ai sensi degli  articoli  2-quater  e  106  e  seguenti  del  Codice.
Pertanto,  si  dispone  la  trasmissione   delle   suddette   «Regole
deontologiche»  all'Ufficio  pubblicazione  leggi   e   decreti   del
Ministero  della  giustizia  per  la  relativa  pubblicazione   nella
Gazzetta Ufficiale della Repubblica italiana,  nonche'  al  Ministero
della giustizia per essere riportato nell'Allegato A) al Codice. 
 
                   Tutto cio' premesso il garante 
 
  Ai  sensi  dell'art.  20,  comma  4,  del  decreto  legislativo  n.
101/2018, verificata la conformita' al regolamento delle disposizioni
del codice di deontologia e di buona condotta per  i  trattamenti  di
dati  personali  per  scopi  statistici  e  di  ricerca  scientifica,
allegato  A.4  al  Codice,  dispone  che   le   medesime,   riportate
nell'allegato 1 al  presente  provvedimento  e  che  ne  forma  parte
integrante,  siano  pubblicate   come   «Regole   deontologiche   per
trattamenti a fini statistici o di ricerca scientifica» e ne dispone,
altresi', la trasmissione all'Ufficio pubblicazione leggi  e  decreti
del Ministero della giustizia per la sua pubblicazione nella Gazzetta
Ufficiale della  Repubblica  italiana,  nonche'  al  Ministero  della
giustizia per essere riportato nell'Allegato A) al Codice. 
 
    Roma, 19 dicembre 2018 
 
                            Il presidente 
                                Soro 
 
                       Il segretario generale 
                                Busia 
 
                             Il relatore 
                           Bianchi Clerici