IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vicepresidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (Ue) 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016 relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(Regolamento generale sulla protezione dei dati), (di seguito
«Regolamento» e «RGPD»);
Visto il decreto legislativo 10 agosto 2018, n. 101, recante
«Disposizioni per l'adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio del 27 aprile 2016 relativo alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali,
nonche' alla libera circolazione di tali dati e che abroga la
direttiva 95/46/CE»;
Visto il Codice in materia di protezione dei dati personali,
decreto legislativo 30 giugno 2003, n. 196 (di seguito «Codice»),
cosi' come modificato dal predetto decreto legislativo n. 101 del
2018;
Visto il decreto legislativo 22 gennaio 2004, n. 42, recante
«Codice dei beni culturali e del paesaggio», ai sensi dell'art. 10
della legge 6 luglio 2002, n. 137;
Visto il codice di deontologia e di buona condotta per i
trattamenti di dati personali per scopi storici, allegato A.2 al
Codice;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Augusta Iannini;
Premesso:
L'art. 20, commi 3 e 4, del decreto legislativo 101 del 2018 ha
conferito al Garante il compito di verificare, nel termine di novanta
giorni dalla sua entrata in vigore, la conformita' al regolamento
delle disposizioni contenute nei codici di deontologia e buona
condotta di cui agli allegati A.1, A.2, A.3, A.4 e A.6 al Codice.
Le disposizioni ritenute compatibili, ridenominate regole
deontologiche, dovranno essere pubblicate nella Gazzetta Ufficiale
della Repubblica italiana e, con decreto del Ministero della
giustizia, saranno successivamente riportate nell'allegato A al
Codice.
Il Codice di deontologia e di buona condotta per i trattamenti di
dati personali per scopi storici cessa di produrre effetti dalla
pubblicazione delle predette regole nella Gazzetta Ufficiale (art.
20, comma 3, del decreto legislativo 101 del 2018).
Resta fermo che successivamente, il Garante potra' promuovere la
revisione di tali regole, secondo la procedura di cui all'art.
2-quater del Codice, in base alla quale lo schema delle regole
deontologiche, nell'osservanza del principio di rappresentativita',
deve essere sottoposto a consultazione pubblica, per almeno sessanta
giorni.
A regime, l'art. 102 del Codice, cosi' come novellato dall'art. 8
dal decreto legislativo n. 101/2018, prevede specificamente che le
regole deontologiche individuino garanzie adeguate per i diritti e le
liberta' dell'interessato e si applicano ai soggetti pubblici e
privati, ivi comprese le societa' scientifiche e le associazioni
professionali, interessati al trattamento dei dati a fini di
archiviazione nel pubblico interesse o di ricerca storica.
Osserva:
Nell'ambito del presente provvedimento sono individuate le
disposizioni del codice di deontologia e di buona condotta per i
trattamenti di dati personali per scopi storici, allegato A2 al
Codice, adottato con provvedimento del Garante n. 8 del 14 marzo
2001, ritenute non conformi al regolamento e, in allegato sono
riportate le disposizioni conformi, ridenominate regole deontologiche
per il trattamento a fini di archiviazione nel pubblico interesse o
di ricerca storica.
Le regole si applicano ai trattamenti di dati personali effettuati
a fini di archiviazione nel pubblico interesse o di ricerca storica,
fermo restando il rispetto dei principi e degli specifici adempimenti
richiesti dal regolamento e dal Codice.
Il rispetto delle disposizioni contenute nelle regole deontologiche
costituisce condizione essenziale per la liceita' e correttezza del
trattamento dei dati personali e il mancato rispetto delle stesse
comporta l'applicazione della sanzione di cui all'art. 83, paragrafo
5 del regolamento (articoli 2-quater, comma 4, e 166, comma 2, del
Codice).
L´osservanza di tali regole non deve, in ogni caso, pregiudicare
l´indagine, la ricerca, la documentazione e lo studio ovunque svolti,
in relazione a figure, fatti e circostanze del passato.
In via generale, si rappresenta che si e' tenuto conto
dell'esigenza di contemperare il diritto alla liberta' di ricerca
storica con altri diritti fondamentali dell'individuo, in ossequio al
principio di proporzionalita' (cons. 4 RGPD), verificando la
conformita' delle disposizioni del codice di deontologia, in
particolare, ai considerando e agli articoli dedicati alla ricerca
storica e all'archiviazione nel pubblico interesse (cons. 156, art.
5, comma 1, lettera b) ed e), art. 9, art. 10, e art. 89, par. 1
RGPD).
1. Modifiche generali
Preliminarmente, si osserva che si e' reso necessario aggiornare i
riferimenti normativi presenti nel codice di deontologia e la
semantica utilizzata rispetto al rinnovato quadro normativo europeo e
nazionale di riferimento.
Si e' reso necessario, inoltre, eliminare il preambolo del codice
di deontologia, dovendosi, in base al richiamato art. 20 del decreto
legislativo 101 del 2018, ridenominare solo le disposizioni dello
stesso. Il preambolo, invece, nel sintetizzare le condizioni di
liceita' del trattamento, evidenziava, altresi', i presupposti della
sottoscrizione del codice di deontologia avvenuta nel 2001, nel
rispetto del principio di rappresentativita', che, comunque, rimane
alla base delle presenti regole.
Cionondimeno, i principi e le fonti di diritto sovranazionale ivi
richiamati, sono in ogni caso da ritenersi a fondamento dei
trattamenti di dati personali effettuati nell'ambito degli archivi e
della ricerca storica.
2. Disposizioni ritenute incompatibili
Si e' ritenuto di riformulare il Titolo del Capo II in
«Disposizioni generali per gli archivisti e liceita' dei relativi
trattamenti» e la rubrica dell'art. 3 in «Disposizioni generali»,
nonche' il titolo del Capo III in «Disposizioni generali per gli
utenti e condizioni per la liceita' dei relativi trattamenti» e la
rubrica dell'art. 9 in «Disposizioni generali», al fine di prevenire
sovrapposizioni tra le presenti regole deontologiche con i futuri
codici di condotta, che potranno essere adottati ai sensi degli
articoli 40 e ss. RGPD.
Parimenti, e' stata aggiornata la rubrica dell'art. 7 da
«Aggiornamento dei dati» in «Esercizio dei diritti», tenuto conto che
l'art. 16 del Regolamento ricomprende il diritto di aggiornamento nel
diritto di rettifica e integrazione di cui all'art. 16 RGPD.
All'art. 8, «Fonti orali», e' stata eliminata la disposizione che
consentiva al titolare del trattamento di fornire un'«informativa
semplificata» in caso di trattamento di fonti orali; cio', in quanto
il regolamento non prevede alcuna forma di deroga o semplificazione
agli obblighi informativi, quando i dati sono raccolti presso gli
interessati (cfr. art. 13 RGPD).
Parimenti, e' stata rilevata la non conformita' al regolamento
dell'art. 11, comma 5, del codice di deontologia che - nell'esonerare
dall'obbligo di fornire l'informativa agli interessati nei casi di
raccolta di dati personali presso soggetti terzi, quando cio' risulti
impossibile o comporti uno sforzo sproporzionato - non prevedeva
misure appropriate per tutelare i diritti, le liberta' e i legittimi
interessi dell'interessato, come richiesto dall'art. 14, par. 5
lettera b), del regolamento.
Sono state, altresi', modificate le rubriche degli articoli 12 e
13, rispettivamente, come segue «Applicazione delle regole
deontologiche» e «Violazione delle regole deontologiche».
3. Regole deontologiche
I predetti elementi, relativi all'aggiornamento della disciplina in
materia, sono recepiti nelle «Regole deontologiche per il trattamento
a fini di archiviazione nel pubblico interesse o di ricerca storica»
in ragione di quanto disposto dall'art. 20, comma 4, del decreto
legislativo n. 101/2018 e riportate nell'allegato 1 al presente
provvedimento e che ne forma parte integrante. Tali «Regole
deontologiche» sono volte a disciplinare i trattamenti in questione
in attesa di un auspicabile aggiornamento delle stesse ai sensi degli
articoli 2-quater e 101 e ss. del Codice. Pertanto, si dispone la
trasmissione delle suddette «Regole deontologiche» all´Ufficio
pubblicazione leggi e decreti del Ministero della giustizia per la
relativa pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana, nonche' al Ministero della giustizia per essere riportato
nell´Allegato A) al Codice.
Tutto cio' premesso
il Garante:
Ai sensi dell'art. 20, comma 4, del decreto legislativo n.
101/2018, verificata la conformita' al regolamento delle disposizioni
del codice di deontologia e di buona condotta per i trattamenti di
dati personali per scopi storici, allegato A.2 al Codice, dispone che
le medesime, riportate nell'allegato 1 al presente provvedimento e
che ne forma parte integrante, siano pubblicate come «Regole
deontologiche per il trattamento a fini di archiviazione nel pubblico
interesse o di ricerca storica» e ne dispone, altresi', la
trasmissione all´Ufficio pubblicazione leggi e decreti del Ministero
della giustizia per la sua pubblicazione nella Gazzetta Ufficiale
della Repubblica italiana, nonche' al Ministero della giustizia per
essere riportato nell´allegato A) al Codice.
Roma, 19 dicembre 2018
Il presidente
Soro
Il relatore
Iannini
Il segretario generale
Busia