Garante per i dati personali - 19/12/2018 - n. 514 art. 1IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale; Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE (regolamento generale sulla protezione dei dati) (di seguito «regolamento» e «RGPD»); Visto il decreto legislativo 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE; Visto il Codice in materia di protezione dei dati personali, decreto legislativo 30 giugno 2003, n. 196 (di seguito Codice), cosi' come modificato dal predetto decreto legislativo n. 101 del 2018; Visto il decreto legislativo 6 settembre 1989, n. 322, recante norme sul Sistema statistico nazionale e sulla riorganizzazione dell'Istituto nazionale di statistica, ai sensi dell'art. 24 della legge 23 agosto 1988, n. 400; Visto l'art. 5-ter del decreto legislativo 14 marzo 2013, n. 33, recante Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicita', trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, relativo all'accesso per fini scientifici ai dati elementari raccolti per finalita' statistiche; Visto il Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifici effettuati nell'ambito del Sistema statistico nazionale, allegato A.3 al codice; Vista la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del garante n. 1/2000; Relatore la prof.ssa Licia Califano; Premesso L'art. 20, commi 3 e 4, del decreto legislativo 101 del 2018 ha conferito al garante il compito di verificare, nel termine di novanta giorni dalla sua entrata in vigore, la conformita' al regolamento delle disposizioni contenute nei codici di deontologia e buona condotta di cui agli allegati A.1, A.2, A.3, A.4 e A.6 al Codice. Le disposizioni ritenute compatibili, ridenominate regole deontologiche, dovranno essere pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministero della giustizia, saranno successivamente riportate nell'allegato A al codice. Il Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifici effettuati nell'ambito del Sistema statistico nazionale cessa di produrre effetti dalla pubblicazione delle predette regole nella Gazzetta Ufficiale (art. 20, comma 3, del decreto legislativo 101 del 2018). Successivamente, il garante potra' promuovere la revisione di tali regole, secondo la procedura di cui all'art. 2-quater del Codice, in base alla quale lo schema delle regole deontologiche, nell'osservanza del principio di rappresentativita', deve essere sottoposto a consultazione pubblica, per almeno sessanta giorni. A regime, l'art. 106 del Codice, cosi' come novellato dall'art. 8 dal decreto legislativo n. 101/2018, prevede specificamente che le regole deontologiche individuino garanzie adeguate per i diritti e le liberta' dell'interessato e si applicano ai soggetti i soggetti pubblici e privati, ivi comprese le societa' scientifiche e le associazioni professionali, interessati al trattamento dei dati per fini statistici o di ricerca scientifica ricompresi nell'ambito del Sistema statistico nazionale. Osserva Nell'ambito del presente provvedimento sono individuate le disposizioni del Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale, allegato A.3 al Codice, adottato con provvedimento del garante n. 13 del 31 luglio 2002, ritenute non conformi al regolamento e, in allegato, sono riportate le disposizioni conformi, ridenominate regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale. I soggetti tenuti all'applicazione delle allegate regole osservano, altresi', il principio di imparzialita' e di non discriminazione nei confronti di altri utilizzatori, in particolare nell'ambito della comunicazione per scopi statistici di dati depositati in archivi pubblici e trattati da enti pubblici o sulla base di finanziamenti pubblici. Cio', fermo restando il rispetto dei principi, delle garanzie e degli specifici adempimenti richiesti dal regolamento e dal Codice. L'osservanza delle disposizioni contenute nelle regole deontologiche costituisce condizione essenziale per la liceita' e correttezza del trattamento dei dati personali e il mancato rispetto delle stesse comporta l'applicazione della sanzione di cui all'art. 83, paragrafo 5, del regolamento (artt. 2-quater, comma 4, e 166, comma 2, del codice). In via generale, si rappresenta che si e' tenuto conto dell'esigenza di contemperare il diritto alla liberta' di ricerca scientifica e statistica nell'ambito del Sistema statistico nazionale, in ossequio al principio di proporzionalita' (cons. 4 del regolamento), verificando la conformita' delle disposizioni del Codice di deontologia, in particolare, ai principali considerando e agli articoli dedicati alla ricerca statistica e scientifica (cons. 26, 50, 52, 53, 62, 156, 157, 159, 162, 163, art. 5, comma 1 lett. b) ed e), art. 9, art. 10, e art. 89 § 1, del regolamento). L'attivita' istruttoria in ordine alla verifica della conformita' al regolamento delle disposizioni del Codice di deontologia allegato A,3 al Codice ha reso, talvolta, necessari degli interventi di revisione e aggiornamento volti, da un lato, ad assicurare una maggiore aderenza della norma al regolamento e al Codice e, dall'altro, a preservare regole che gli operatori del settore hanno, a suo tempo, condiviso e sulle quali fondano i trattamenti di dati personali inerenti alle proprie attivita'. 1. Modifiche generali Preliminarmente, si osserva che si e' reso necessario aggiornare i riferimenti normativi presenti nel Codice di deontologia e la semantica utilizzata rispetto al rinnovato quadro normativo europeo e nazionale di riferimento. Si e' reso necessario, inoltre, eliminare il preambolo del Codice di deontologia, dovendosi, in base al richiamato art. 20 del decreto legislativo 101 del 2018, ridenominare solo le disposizioni dello stesso. Cionondimeno, i principi e le fonti di diritto sovranazionale ivi richiamati, sono in ogni caso da ritenersi a fondamento dei trattamenti di dati personali effettuati per scopi statistici o di ricerca scientifica nell'ambito del Sistema statistico nazionale. 2. Disposizioni ritenute incompatibili Art. 3, «Identificabilita' dell'interessato», e' stato ritenuto necessario, in primo luogo, sostituire la parola «identificativi» con la seguente locuzione «che ... identificano» l'unita' statistica, al comma 1, lett. a), in quanto la definizione di «dati identificativi» di cui all'art. 4, comma 1, lett. c), del Codice e' stata abrogata dal decreto legislativo n. 101 del 2018, e non e' piu' prevista dal regolamento; in secondo luogo, il comma 1, lett. c), e' stato ritenuto incompatibile nella misura in cui introduceva, per la valutazione del rischio di identificabilita' degli interessati, dei parametri predefiniti che non sono in linea con il quadro giuridico introdotto dal regolamento. Rispetto alle indicazioni fornite dal considerando 26, che per l'identificabilita' di una persona indica, in particolare, che si tengano in considerazione «tutti i mezzi» di cui il titolare puo' ragionevolmente avvalersi, la disposizione in esame poneva come parametri predefiniti la tipologia di dati comunicati o diffusi, la proporzione tra i mezzi per l'identificazione e la lesione o il pericolo di lesione dei diritti degli interessati, cio' anche alla luce del vantaggio che ne poteva trarre il titolare. Tale disposizione, quindi, nel fornire ai titolari delle coordinate per valutare l'identificabilita' dell'interessato attualmente superate, manifestava anche un approccio alla definizione e valutazione del rischio piu' circoscritte rispetto a quella del regolamento in cui tale valutazione deve tener conto delle nuove tecnologie utilizzate, della natura, dell'oggetto, del contesto e delle finalita' di ogni tipo di trattamento (cfr. anche cons., 84, 89, 93 e 95 e artt. 5, § 1, lett. e), 24, 35 e 36 del regolamento). L'art. 4, «Criteri per la valutazione del rischio di identificazione», e' stato mantenuto considerandosi, in via generale, compatibile con il regolamento, nella misura in cui si limita a fornire alcuni parametri, orientativi, non esaustivi, per la valutazione del rischio di identificazione degli interessati. Al fine di assicurarne un'applicazione conforme al regolamento, si e', tuttavia, ritenuto necessario modificarlo con l'aggiunta di un «anche» (al primo comma, tra le parole «tiene conto» e «dei seguenti»), affinche' sia chiaro che i parametri ivi indicati devono, comunque, considerarsi meramente esemplificativi e soprattutto non alternativi rispetto al nuovo quadro giuridico introdotto dal regolamento sopra descritto. Parimenti, e' risultato compatibile con il regolamento -salvi i necessari aggiornamenti ai riferimenti normativi- l'art. 4-bis ,»Trattamento di dati personali, sensibili e giudiziari, nell'ambito del programma statistico nazionale» in base a quale, «nel Programma statistico nazionale sono illustrate le finalita' perseguite e le garanzie previste dal decreto legislativo 6 settembre 1989, n. 322 e dal decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni e integrazioni e dalle presenti regole deontologiche. Il Programma indica, altresi', i dati di cui agli artt. 9, § 1, e 10 del regolamento, le rilevazioni per le quali i dati sono trattati e le modalita' di trattamento. Il Programma e' adottato, con riferimento ai dati personali, sensibili e giudiziari, sentito il garante per la protezione dei dati personali, ai sensi dell'art. 58, § 3 lett. b) del regolamento». Giova, infatti, evidenziare che tale norma e' stata introdotta nel Codice di deontologia di cui trattasi con provvedimento del garante 170 del 24 luglio 2014, su sollecitazione dell'Istat, a seguito dell'abrogazione dell'art. 6-bis, comma 2, del decreto legislativo n. 322 del 1989 (cfr. art. 8-bis, decreto-legge 31 agosto 2013, n. 101, convertito con modificazioni in legge 30 ottobre 2013, n. 125), che aveva un contenuto sostanzialmente analogo. Resta fermo che tale disposizione non e', in ogni caso, da sola, sufficiente a legittimare il trattamento, nell'ambito del Piano statistico nazionale, delle particolari categorie di dati e dei dati relativi a condanne penali e reati. La base giuridica e le condizioni di liceita' per il trattamento di tali dati, nell'ambito del Piano statistico nazionale, e', infatti, costituita anche, per le categorie particolari di dati, dall'art. 9 del regolamento e dagli articoli 2-sexies e 107 del codice, e, per i dati relativi a condanne penali e reati, dall'art. 10 del regolamento e dagli articoli 2-sexies e 2-octies del Codice. L'art. 5, comma 2, lett. c), e' stato considerato incompatibile nella parte in cui, tra i presupposti del trattamento delle particolari categorie di dati da parte di soggetti privati che partecipano al Sistema statistico nazionale, prevedeva la preventiva autorizzazione del garante. Cio', in quanto, nel nuovo quadro normativo, risulta molto circoscritto l'ambito di applicazione dell'istituto dell'autorizzazione del garante (cfr. art. 36, § 5, del regolamento, art. 110-bis del Codice e art. 21 del decreto legislativo n. 101 del 2018). Sono stati modificati il titolo del capo II da «informativa, comunicazione e diffusione» in «informazioni agli interessati, comunicazione e diffusione» e la rubrica dell'art. 6 da «Informativa» a «Informazioni agli interessati», ai sensi degli artt. 13 e 14 del regolamento. L'art. 6 disciplina le ipotesi di impossibilita' di fornire le informazioni direttamente agli interessati quando i dati sono raccolti presso terzi. Tale articolo e' stato considerato incompatibile nella parte in cui, al comma 2, disponeva che il titolare dovesse preventivamente comunicare al garante le modalita' individuate per dare pubblicita' all'informativa, il quale avrebbe potuto prescrivere eventuali misure e accorgimenti. Cio', in quanto, in conformita' all'art. 14 del regolamento, il coinvolgimento del garante non e' piu' richiesto. La disposizione e' risultata, inoltre, incompatibile con il regolamento nella parte in cui consentiva al titolare di fornire agli interessati un'informativa differita per la parte riguardante le specifiche finalita' e modalita' del trattamento, qualora cio' risultasse necessario per il raggiungimento dell'obiettivo dell'indagine (art. 6, comma 3). L'art. 13 del regolamento, infatti, non prevede alcuna forma di deroga o semplificazione agli obblighi informativi quando i dati sono raccolti presso gli interessati. E' stato, altresi', considerato incompatibile il comma 4 dell'articolo in esame, in quanto, nel prevedere la possibilita' che il titolare possa raccogliere dati personali presso un soggetto rispondente in nome e per conto di un altro (cd. proxy), non prevedeva le specifiche circostanze in cui tale modalita' di raccolta era ammessa (art. 105, comma 3, del codice). L'art. 7, commi 2, 3 e 4, relativo alla comunicazione di dati personali a ricercatori di universita' o a istituti o enti di ricerca a soci di societa' scientifiche, non facenti parte del Sistema statistico nazionale, e l'art. 8, sulla comunicazione dei dati tra soggetti del Sistema statistico nazionale, sono stati considerati non conformi al rinnovato quadro normativo in quanto, ai sensi degli artt. 6, § 3, del regolamento e 2-ter del codice, si richiede una norma di legge o, nei casi previsti dalla legge, di regolamento per la comunicazione di dati tra soggetti pubblici o tra soggetti che svolgono compiti di interesse pubblico, quali sono i soggetti del Sistema statistico nazionale. Cio', tenuto anche conto delle condizioni individuate nello specifico quadro normativo di settore in materia accesso per fini scientifici ai dati elementari raccolti per finalita' statistiche, di cui all'art. 5-ter del decreto legislativo n. 33 del 2013, che, di recente, ha trovato piena applicazione con l'approvazione da parte del Comstat delle linee guida per l'accesso a fini scientifici ai dati elementari del Sistema statistico nazionale (Gazzetta Ufficiale n. 287 dell'11 dicembre 2018). E' stato modificato il titolo del capo III da «sicurezza e regole di condotta» in «disposizioni finali». All'art. 11, «Conservazione dei dati», e' stato ritenuto necessario abrogare al comma 1, dalle parole «in tali casi» alle parole «finalita' perseguite», in quanto tali previsioni individuano predefiniti e specifici casi di deroga al principio di limitazione della conservazione di cui all'art. 5, § 1, lett. e), del regolamento che, pur ammettendo deroghe per i trattamenti effettuati a fini statistici e di ricerca scientifica, richiede, oltre a una valutazione del rischio, caso per caso, a cura del titolare (artt. 24 e 35 del regolamento), l'individuazione di misure tecniche e organizzative adeguate a tutela dell'interessato. Cio' vale anche per il comma 2, poiche' anche le garanzie previste dall'art. 6-bis, comma 6, del decreto legislativo 6 settembre 1989, n. 322, devono essere applicate alla luce delle predette considerazioni. L'art. 12, «Misure di sicurezza», e' stato ritenuto incompatibile, in quanto gli aspetti ivi disciplinati sono oggetto ora di specifiche previsioni del regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un diverso approccio alle misure di sicurezza che devono esser individuate, fin dalla progettazione e per impostazione predefinita (artt. 24 e 25 del regolamento), in conformita' all'art. 32 del regolamento. L'articolo, inoltre, forniva specifiche indicazioni per l'individuazione dei diversi livelli di accesso (natura dei dati e funzioni dei soggetti coinvolti) ai dati da parte dei soggetti legittimati che attualmente devono essere definiti alla luce dei, piu' ampi, criteri di cui all'art. 25, par. 2, del regolamento, in omaggio ai richiamati principi di privacy by default e by design. L'art. 13, «Esercizio dei diritti», comma 1, e' stato considerato incompatibile, in quanto, consentirebbe al titolare la possibilita' di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, come richiesto, invece, dall'art. 89 del regolamento. E' stata, infine, riformulata, la rubrica dell'art. 14, in «Disposizioni finali», onde evitare ambiguita' rispetto alle regole deontologiche di cui all'art. 2-quater del codice e con i futuri codici di condotta, di cui all'art. 40 del regolamento. 3. Regole deontologiche I predetti elementi, relativi all'aggiornamento della disciplina in materia, sono recepiti nelle «Regole deontologiche per il trattamento a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale» in ragione di quanto disposto dall'art. 20, comma 4, del decreto legislativo n. 101/2018 e riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante. Tali «Regole deontologiche» sono volte a disciplinare i trattamenti in questione in attesa di un auspicabile aggiornamento delle stesse ai sensi degli artt. 2-quater e 106 e seguenti del Codice. Pertanto, si dispone la trasmissione delle suddette «Regole deontologiche» all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la relativa pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell'allegato A) al Codice. Tutto cio' premesso il Garante Ai sensi dell'art. 20, comma 4, del decreto legislativo n. 101/2018, verificata la conformita' al regolamento delle disposizioni del Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale, allegato A.3 al Codice, dispone che le medesime, riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante, siano pubblicate come «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale» e ne dispone, altresi', la trasmissione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell'allegato A) al Codice. InquadramentoAi sensi dell'art. 20, commi 3 e 4 d.lgs. n. 101/2018 (cd. «decreto legislativo di adeguamento») i codici di deontologia e buona condotta – che costituivano gli allegati del d.lgs. n. 196/2003 («codice privacy») prima della riforma operata dal citato decreto di adeguamento – hanno subito un processo di revisione e aggiornamento alla disciplina del Regolamento (UE) 2016/679 («GDPR»). Al termine del procedimento di verifica, il Garante ha adottato, tra gli altri, il provvedimento in commento in cui ha individuato le disposizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici nell'ambito del Sistema Statistico nazionale, (allegato A3 al codice privacy, adottato con provvedimento del Garante n. 13 del 31 luglio 2002) ritenute non conformi al citato Reg. (UE) 2016/679. Nello stesso provvedimento il Garante ha riportato le disposizioni conformi aggiornate che ha rinominato regole deontologiche. Le regole deontologiche sono state pubblicate nella Gazzetta Ufficiale della Repubblica italiana del 14 gennaio 2019, n. 11 e con decreto del Ministero della Giustizia del 15 marzo 2019 (G.U. n. 71 del 25 marzo 2019) e riportate nell'allegato A, al codice privacy (ex art 2-quater cod. privacy). A seguito della pubblicazione di tali regole deontologiche, il codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, allegato A.3, ha cessato di produrre effetti ai sensi dell'art. 20, comma 3 del d.lgs. n. 101/2018 (per una più ampia trattazione sulle regole deontologiche si veda: Bolognini, in Bolognini-Pelino, 48-52). Il rispetto delle regole deontologiche rappresenta una condizione di liceità e correttezza del trattamento (art. 2-quater, comma 4 cod. privacy). L'intervento di verifica del Garante, oltre ad aver apportato modifiche sostanziali ha comportato anche un aggiornamento normativo alla disciplina del Reg. (UE) 2016/679 e una verifica di omogeneità formale con lo stesso (ad esempio il termine «informativa» è stato eliminato e sostituito con l'espressione «informazioni», la parola «identificativi» è stata sostituita con la locuzione «che ... identificano», ecc.). Le regole deontologiche in esame sono previste ai sensi dell'art. 106 del cod. privacy che si riferisce a soggetti pubblici e privati, comprese le società scientifiche e le associazioni professionali, interessati al trattamento dei dati per fini statistici o di ricerca scientifica; nel caso in commento le regole deontologiche si applicano ai trattamenti di dati personali per scopi statistici effettuati da enti ed uffici di statistica che operano nell'ambito del Sistema Statistico Nazionale («SISTAN»). In conformità al citato art. 106 del cod. privacy, dette regole sono volte a individuare garanzie adeguate per i diritti e le libertà dell'interessato in base a quanto previsto dall'art. 89 e al considerando 156 del GDPR. Fermo restando il rispetto del Reg. (UE) 2016/679, il trattamento di dati personali da parte di soggetti che fanno parte del Sistema statistico nazionale è disciplinato, oltre che dalle presenti regole deontologiche, anche dal d.lgs. n. 322/1989 (recante norme sul sistema statistico nazionale e sulla riorganizzazione dell'Istituto nazionale di statistica, ai sensi dell'art. 24 l. n. 400/1988), segnatamente con riguardo al trattamento dei dati particolari (ex art. 9 GDPR) indicati nel programma statistico nazionale, all'informativa da rendere all'interessato, nonché all'esercizio dei relativi diritti e ai dati non tutelati dal segreto statistico ex art. 9.4 del predetto decreto legislativo (ex art. 108 del cod. privacy). Come osservato dal Garante nel provvedimento in commento, tali regole deontologiche sono volte ad assicurare il bilanciamento tra i diritti fondamentali e il diritto alla libertà di ricerca scientifica e statistica nell'ambito del Sistema Statistico Nazionale; tale equilibrio va garantito in accordo con il principio di proporzionalità (considerando 4 GDPR). Lo stesso Garante, nel provvedimento in esame, ha precisato che i soggetti a cui si rivolgono le presenti regole deontologiche sono tenuti al rispetto deiprincipi di imparzialità e non discriminazione verso tutti coloro che richiedono di accedere ai dati (i ricercatori), specie rispetto alla comunicazione, a fini statistici, di dati depositati in archivi pubblici e trattati da enti pubblici o sulla base di finanziamenti pubblici. È utile avvertire che il presente commento va considerato in connessione con l'analisi svolta in merito alle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica” pubblicate ai sensi dell'art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101” GPDP 19 dicembre 2018 a cui si rimanda per considerazioni meglio sviluppate in quella sede (ad esempio quella relativa alla valutazione del «rischio di identificabilità»); ciò in quanto numerose prescrizioni sono comuni ad entrambi i provvedimenti Ambito di applicazione (art. 1)Dal punto di vista soggettivo, le regole deontologiche in esame si applicano ai trattamenti di dati personali effettuati per finalità statistiche di cui siano titolarigli enti ed uffici di statistica che fanno parte o partecipano al Sistema Statistico Nazionale per l'attuazione del programma statistico nazionale o per la produzione di informazione statistica, in conformità ai rispettivi ambiti istituzionali, ovvero strutture diverse dagli uffici predetti, ma appartenenti alla medesima amministrazione o ente, a condizione che i relativi trattamenti siano previsti dal programma statistico nazionale e gli uffici di statistica attestino le metodologie adottate conformemente al d.lgs. n. 322/1989, al Reg. (UE) 2016/679, al codice privacy, nonché alle presenti regole deontologiche. Definizioni (art. 2)Le definizioni previste nell'articolo in commento integrano quelle presenti nel Reg. (UE) 2016/679. In particolare, occorre evidenziare come, ai sensi dello stesso regolamento, gli scopi statistici si riferiscono a tutte quelle operazioni di trattamento di dati personali necessarie alle indagini statistiche o alla produzione di risultati statistici (considerando 162 del GDPR). Tale definizione ha una portata maggiore (in termini di finalità) rispetto a quella contenuta nelle regole deontologiche in esame. Sotto questo aspetto, invero, va osservato che ai fini dell'applicazione delle regole deontologiche in oggetto, la definizione di «trattamento per scopi statistici» indicata all'art. 2.1.a) delle regole medesime va riferita solo ad una parte dei trattamenti tratteggiati dal considerando 162 del GDPR, segnatamente, quei trattamenti svolti in attuazione del programma statistico nazionale o per effettuare informazione statistica in conformità agli ambiti istituzionali dei soggetti predetti di cui all'art. 1. La definizione più restrittiva di cui all'art. 2.1.a) del provvedimento non appare, dunque, incoerente con il considerando 162 del GDPR. Identificabilità dell'interessato (art. 3)In merito al concetto di identificabilità dell'interessato valgono le stesse considerazioni rese con riguardo alle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica”, in particolare v. sub art. 4. Nell'ambito della valutazione del rischio di identificabilità degli interessati ( ex considerando 26 e artt. 25 e 32 del GDPR) sarà necessario considerare tutti i mezzi che possano essere ragionevolmente utilizzati (dal titolare o da terzi) per identificare gli interessati; ciò tenendo in conto, oltre che deiparametri individuati nel presente articolo alla lett. b ), anche della natura, del contesto e delle finalità del trattamento (per una più ampia trattazione sul punto si veda: Bolognini e Pelino, in Bolognini, Pelino, Bistolfi, 50 e ss.). Criteri per la valutazione del rischio di identificazione (art. 4)Rispetto al pregresso allegato A.3 al codice, l'articolo in commento è rimasto inalterato, essendo stato considerato dal Garante, in via generale, compatibile con ilReg. (UE) 2016/679. Il carattere di compatibilità si giustifica, secondo il Garante, in ragione del fatto che, con l'introduzione del termine «anche» al primo comma, l'articolo si limita a fornire alcuni criteri di natura tecnica esemplificativi – dunque, non esaustivi e soprattutto non alternativi rispetto al nuovo quadro giuridico introdotto dal citato Regolamento – di cui tener conto nella valutazione del rischio di identificazione degli interessati ai fini della comunicazione e diffusione dei risultati statistici aggregati (per maggiori approfondimenti in merito ai concetti di comunicazione e diffusione si veda: Pelino, in Bolognini, Pelino,16). Trattamento di particolari categorie di dati e di dati relativi a condanne penali e reatiNel Programma statistico nazionale sono illustrate le finalità perseguite e le garanzie previste dal d.lgs. n. 322/1989, dal codice privacy e dalle presenti regole deontologiche. Il Programma statistico indica altresì i dati di cui agli artt. 9.1, e 10 del GDPR, le rilevazioni per le quali i dati sono trattati e le modalità̀ di trattamento. Con riferimento ai dati personali di cui agli artt. 9 e 10 del GDPR, Il Programma statistico è adottato, sentito il Garante per la protezione dei dati personali, ai sensi dell'art. 58, par. 3, lett. b) del GDPR. L'articolo in esame rimane sostanzialmente invariato rispetto alla sua precedente formulazione contenuta nel codice deontologico, salvi i necessari aggiornamenti normativi. Si consideri che il Programma statistico predisposto dall'ISTAT stabilisce gli obiettivi delle rilevazioni statistiche di interesse pubblico affidate al Sistema statistico nazionale ed ha una durata di tre anni (art. 13 d.lgs. n. 322/1989). Come precisato dal Garante, la disposizione in commento è stata introdotta nell'allora codice di deontologia con provvedimento dell'autorità n. 170 del 24 luglio 2014 su sollecitazione dell'ISTAT; tale sollecitazione aveva lo scopo di mantenere i contenuti dell'art. 6-bis d.lgs. n. 322/1989 che era stato abrogato ad opera dell'art. 8-bis, d.l. n. 101/2013, convertito con modificazioni in l. n. 125/2013). Lo stesso Garante, infine, ha evidenziato come le prescrizioni indicate dall'articolo in commento non siano da sole sufficienti a legittimare il trattamento dei dati particolari e giudiziari per tali fini statistici o di ricerca scientifica effettuati nell'ambito del Piano Statistico nazionale, ma che la base di liceità di tali trattamenti vada rintracciata anche negli artt. 2- sexies e 107 del cod. privacy per i dati particolari, e negli artt. 10 del GDPR e 2- sexies e 2- octies del cod. privacy per quelli relativi a condanne penali e reati. Trattamento di particolari categorie di dati ex art. 9.1 GDPR, da parte di soggetti privati (art. 5)Il primo comma dell'art. 5 in esame prevede in capo ai soli soggetti privati che partecipano al Sistema statistico nazionale (ai sensi della l. n. 125/1988) l'obbligo specifico di raccogliere o trattare ulteriormente per scopi statistici dati particolari (ex art. 9 GDPR) in forma anonima, salvo che il trattamento di dati anonimi impedisca loro di raggiungere gli scopi statistici perseguiti ex art. 6-bis, comma 1 d.lgs. n.322/1989, come introdotto dal d.lgs. n. 281/1999 e s.m.i.. Al riguardo si evidenzia come i dati anonimi (o originariamente o attraverso un ulteriore trattamento di anonimizzazione) fuoriescano dall'ambito di applicazione della disciplina in materia di protezione dei dati (considerando 26 del GDPR). Tale prescrizione, nella parte in cui prevede il necessario trattamento di dati anonimi, purchè ciò non impedisca il conseguimento degli scopi statistici perseguiti, si basa sull'art. 89.1 GDPR, sebbene tale articolo non sia stato richiamato dal Garante. Al secondo comma dell'articolo 5 in esame è previsto che,nei casi in cui gli scopi statisticidel trattamento delle particolari categorie di dati non possano essere raggiuntisenza l'identificazione anche temporanea degli interessatiil trattamento dei dati personali potrà considerarsi lecito solo ove ricorrano i seguenti presupposti: a ) che si basi sul consenso informato degli interessati, da questi espresso in forma scritta (v. il terzo comma); b ) che il titolare adotti specifiche misure tecniche ed organizzative per mantenere separati i dati identificativi già al momento della raccolta (misure di pseudonimizzazione), salvo che ciò non risulti irragionevole o richieda uno sforzo manifestamente sproporzionato; c ) che il trattamento sia compreso nel programma statistico nazionale. Tali condizioni devono coesistere. Si osservi come per i trattamenti dei dati particolari effettuati dai soggetti privati che partecipano al SISTAN sia prevista un vincolo ulteriore rispetto all'art. 89.1 GDPR nella parte in cui viene previsto l'utilizzo di dati anonimi; invero, a tali soggetti è richiesto di raccogliere il consenso degli interessati e di adottare la misura della pseudonimizzazione già al momento della raccolta dei dati personali. A quest'ultimo riguardo la pseudonimizzazione non rappresenta un vicolo laddove risulti irragionevole o richieda una sforzo manifestamente sproporzionato; ciò a differenza di quanto previsto dal predetto art. 89 GDPR che deroga all'adozione di tale misura nel caso in cui questa impedisca il conseguimento delle finalità. Si consideri, inoltre, che nella precedente formulazione, l'articolo in commento prevedeva, come ulteriore condizione di liceità del trattamento delle particolari categorie di dati da parte di soggetti privati che partecipano al Sistema statistico nazionale, quella di ottenere l'autorizzazione preventiva del Garante. Come precisato dal Garante, tale condizione è stata considerata incompatibile con il nuovo assetto normativo in quanto, come precisato dal Garante, questo circoscrive solo ad alcuni specifici ambiti l'applicazione dell'istituto dell'autorizzazione del Garante (cfr. art. 36.5GDPR, art. 110-bis del cod. privacy e l'art. 21 del d.lgs. n. 101/2018). Il terzo comma dell'articolo in commento prevede modalità semplificate sotto il profilo probatorio per la prestazione del consenso esplicito degli interessati (ex art. 9.2. aGDPR) nei casi in cui i dati personali vengano raccolti attraverso interviste telefoniche o assistite da elaboratore; e che la documentazione dell'informativa resa all'interessato e l'acquisizione del relativo consenso sia conservata dal titolare del trattamento per tre anni. Le medesime prescrizioni possono essere rintracciate nelle regole deontologiche per trattamenti a fini statistici o di ricerca scientifica (art. 7). Pertanto, in merito alle disposizioni predette, si rinvia alle considerazioni già operate nel commento a tali regole deontologiche, v. sub “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica”. Informazioni agli interessati (art. 6)Al primo comma dell'articolo in commento è stabilito che i dati personali (anche appartenenti alla categoria dei dati giudiziari e particolari) raccolti per uno scopo statistico possono essere ulteriormente trattati per altri scopi statistici, e che tale eventualità debba essere chiaramente rappresentata ai soggetti presso i quali i dati personali sono raccolti (all'interessato al momento della raccolta dei dati o ad altre persone) nell'ambito delle informazioni di cui all'art. 13GDPR (ex art. 6-bis d.lgs. n. 322/1989). Tale prescrizione è in linea con il Reg. (UE) 2016/679 che introduce, all'art. 5.1.b) una presunzione di compatibilità tra le finalità iniziali del trattamento e quelle ulteriori laddove i dati, raccolti per una determinata finalità siano trattati ulteriormente (o dal medesimo titolare o da titolari diversi), tra gli altri, per scopi statistici e scientifici [EDPB, op. 3/2019, relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (art. 70, paragrafo 1, lett. b), 23 gennaio 2019, 9]. Più specificamente, tali scopi ulteriori non sono considerati a priori incompatibili con lo scopo iniziale della raccolta dei dati a condizione che ciò avvenga conformemente alle disposizioni dell'articolo 89 GDPR, che al riguardo prevede specifiche garanzie. In tal caso, dunque, il titolare può, a determinate condizioni, elaborare ulteriormente i dati senza la necessità di una nuova base giuridica (considerando 50 del GDPR), fermo restando l'obbligo di informare preventivamente l'interessato (ai sensi dell'art. 13.3, nel caso in cui il trattamento ulteriore venga effettuato dal medesimo titolare, ovvero dall'art. 14.4. GDPR nel caso in cui il trattamento ulteriore venga effettuato da un titolare diverso), salvo che quest'ultimo disponga già delle informazioni (ex 13.4 e 14.5). Il secondo comma dell'articolo in esame, sulla base dell'artt. 14.5.b) del GDPR prevede che, nel caso in cui si vogliano trattare per scopi statistici e scientifici dati raccolti presso terzi e la comunicazione delle informazioni di cui all'art. 14 del GDPR agli interessati implicherebbe uno sforzo sproporzionato, tali informazioni si considerino rese, laddove il trattamento è incluso nel programma statistico nazionale ovvero è oggetto di pubblicità̀ con idonee modalità̀; fatte salve, in ogni caso, le condizioni e le garanzie di cui all'art. 89.1. GDPR (cfr. art. 105.4 cod. privacy). Su quest'ultimo punto, si osserva come il Garante introduca una condizione di deroga all'informativa aggiuntiva rispetto a quanto previsto dal citato art. 14.5 del GDPR; infatti, laddove il trattamento è incluso nel programma statistico nazionale, tali informazioni si considerano rese. Comunicazione a soggetti non facenti parte del Sistema statistico nazionale (art. 7)L'art. 7 in commento è dedicato alla comunicazione di dati personali da parte dei soggetti facenti parte del SISTAN a soggetti al di fuori di tale sistema. Il Garante ha ritenuto i commi 2, 3, 4 dell'art. 7 contenuto nell'Allegato A.3. al previgente Codice privacy (“Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale”), non conformi al rinnovato quadro normativo in quanto in quanto, ai sensi degli artt. 6, § 3, del Regolamento e 2-ter del Codice (così come recentemente modificato dal d.l. n. 139/2021), per la comunicazione di dati tra soggetti pubblici o tra soggetti che svolgono compiti di interesse pubblico, quali sono i soggetti del Sistema statistico nazionale si richiede una norma di legge o, nei casi previsti dalla legge, di regolamento o atti amministrativi generali ovvero la comunicazione deve essere necessaria per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri ad esse attribuiti (comma 1 e 1-bis). Ciò, tenuto anche conto delle condizioni individuate nello specifico quadro normativo di settore in materia accesso per fini scientifici ai dati elementari raccolti per finalità statistiche, di cui all'art. 5-ter del d.lgs. n. 33/2013, che, di recente, ha trovato piena applicazione con l'approvazione da parte del Comstat delle linee guida per l'accesso a fini scientifici ai dati elementari del Sistema statistico nazionale” (G.U. n. 287 del 11 dicembre 2018)”. Sul punto non appare chiara la giustificazione dell'eliminazione dei commi 2, 3 e 4 dell'art. 7 ritenedoli in contrasto con la sopravvenuta disciplina degli artt. 6.3 del GDPR e 2-ter del cod. privacy in materia di comunicazione di dati tra soggetti pubblici o tra soggetti che svolgono compiti di interesse pubblico. Al riguardo va osservato che tali commi, invero, stabilivano condizioni e divieti nella comunicazione dei dati che oggi risultano superati dal nuovo quadro normativo in materia di accesso per fini scientifici ai dati elementari raccolti per finalità statistiche, di cui all'art. 5-ter del d.lgs. n. 33/2013, come modificato dal d.lgs. n. 97/2016. Per il vero va detto che tale disciplina è stata richiamata dal Garante nelle premesse delle regole deontologiche in commento, senza tuttavia averla posta alla base dell'eliminazione dei predetti commi. In relazione a quest'ultimo punto, si ritiene che l'inserimento di un secondo comma all'art. 7 in commento, contenente un rinvio alla predetta disciplina in materia di accesso, avrebbe contribuito al rendere il quadro più chiaro. Con riguardo alla comunicazione dei dati tra i soggetti facenti parte del sistema statistico nazionale, precedentemente disciplinato dall'art. 8 dell'Allegato A.3. al previgente Codice privacy (“Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale”), il Garante, nel provvedimento in esame, ha chiarito come anche tali prescrizioni non appaiono conformi alla normativa del Regolamento (UE) 2016/679 e del codice privacy. Più specificamente, ai sensi dell'art. 2-ter (così come recentemente modificato dal d.l. n. 139/2021) tale comunicazione di dati tra soggetti pubblici o tra soggetti che svolgono compiti di interesse pubblico (quali sono i soggetti che fanno parte del SISTAN), deve essere prevista, ai sensi del comma 1, da una norma di legge o, nei casi previsti dalla legge, di Regolamento o da atti amministrativi generali ovvero deve essere necessariaai sensi del comma 1.bis per l'esercizio di pubblici poteri. Autorità di controllo (art. 8)La Commissione per la garanzia dell'informazione statistica, istituita ai sensi dell'art. 12 del d.lgs. n. 322/1989, presso la Presidenza del Consiglio dei Ministri, è un organismo autonomo e indipendente. Tra gli altri compiti che le sono stati assegnati dal citato art. 12, la Commissione deve vigilare sulla imparzialità, sulla completezza e sulla qualità dell'informazione statistica. Ad essa è richiesto di collaborare con il Garante riguardo al rispetto delle presenti regole deontologiche segnalando all'autorità i casi di inosservanza di cui venga a conoscenza. Raccolta dei dati (art. 9)L'articolo in commento definisce la figura del «preposto alla raccolta dei dati» stabilendo prescrizioni comportamentali che la stessa figura dovrà osservare per assicurare che il trattamento avvenga conformemente alle regole deontologiche e, più in generale, alla normativa in materia di protezione dei dati personali. Tale figura è riconducibile alla persona “autorizzata al trattamento dei dati”, tratteggiata all'art. 2-quaterdecies del vigente cod. privacy. Tale soggetto (persona fisica) deve attenersi alle disposizioni contenute nelle presenti regole e alle istruzioni ricevute dal titolare o dal responsabile del trattamento, anche in linea con gli l'art. 29 del GDPR. A tal fine – anche in ottica di accountability ex art. 5.2 del GDPR – è necessario che il titolare o il responsabile adottino specifiche policies e procedure interne che stabiliscano gli strumenti e le modalità con cui tale raccolta dovrà essere svolta e che vincoli il personale a rispettarle (cfr. artt. 28, 29, 32 del Regolamento e 2-quaterdeciescod. privacy). Si osserva che le prescrizioni contenute nel presente articolo coincidono con quelle stabilite nelle regole deontologiche per trattamenti a fini statistici o di ricerca scientifica (art. 10); si rinvia, pertanto, alle considerazioni già operate in merito nel commento a tali regole deontologiche v. sub “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica”. Conservazione dei dati (art. 10)In virtù del principio di limitazione, i dati devono essere conservati (in un modo che consenta l'identificazione degli interessati) per un arco di tempo non superiore al conseguimento delle finalità̀ per le quali sono trattati ex art. 5.1.e) GDPR. Nell'ambito di questa norma, si ammette che i dati possano essere conservati oltre tale periodo nel caso in cui vengano (ulteriormente) trattati, tra gli altri, a fini statistici, fermo restando le garanzie di cui all'art. 89.1 del GDPR. La previsione in commento è evidentemente funzionale ad un eventuale “ri-uso” dei dati per ulteriori scopi (artt. 5.1.b e 5.1.e) del GDPR), in conformità̀ anche a quanto previsto dall'art. 6-bis del d.lgs. n. 322/1989. A quest'ultimo riguardo è il caso di osservare come il richiamo al rispetto congiunto dell'art. 5.1.e) GDPR e 6-bis del d.lgs. n. 322/1989 pone l'interrogativo circa la finalità del riuso dei dati, vale a dire solo per scopi statistici (come potrebbe risultare dall'applicazione congiunta dei predetti articoli) o anche per archiviazione nel pubblico interesse e per la ricerca scientifica e storica. La previsione in commento, infine, trova rispondenza nell'art. 99 del cod. privacy in materia di durata del trattamento. Esercizio dei diritti dell'interessato (art. 11)L'art. 11 in commento prescrive le modalità per la modifica dei dati trattati per scopi statistici a seguito dell'esercizio dei diritti degli interessati; ciò in attuazione a quanto previsto dal comma 8 dell'art. 6-bis del d.lgs. n. 322/1989. Nello specifico è previsto che le modifiche dei dati che si rendano necessarie a seguito delle richieste dagli interessati, devono essere annotate in appositi spazi o registri senza variare i dati originariamente immessi nell'archivio, qualora tali operazioni non producano effetti significativi sull'analisi statistica o sui risultati statistici connessi al trattamento. In particolare, non si procede alla variazione se le modifiche richieste contrastano con le classificazioni e con le metodologie statistiche adottate in conformità alle norme internazionali comunitarie e nazionali. A tal riguardo occorre fare riferimento all'art. 106, comma 2, lett. f) del cod. privacy (sebbene non richiamato) che prevedrebbe i casi e le garanzie in cui i diritti degli interessati, in particolare il diritto di rettifica (ex art. 16 GDPR), possono essere limitati ai sensi dell'art. 89.2 GDPR. Disposizioni finali (art. 12)L'articolo in commento fa riferimento a soggetti che hanno legittimo accesso ai dati personali trattati per scopi statistici. Al riguardo, conviene osservare come sebbene il Garante non fornisca ulteriori indicazioni sulla legittimità dell'accesso e sulle caratteristiche di tali soggetti, sembrerebbe che questi siano esterni al SISTAN e che la legittimità dell'accesso abbia come base giuridica l'art. 5-ter del d.lgs. n. 33/2013 (cfr. art. 7 del presente commento). Le regole deontologiche devono essere rispettate anche quando le persone che accedono ai dati non siano vincolate al rispetto del segreto d 'ufficio o del segreto professionale. In particolare, dovranno: i) trattare i dati ai soli fini (statistici) definiti all'atto della progettazione del trattamento (in ossequio al principio di limitazione delle finalità ex art. 5.1.b GDPR); ii) conservare i dati in modo da garantirne la riservatezza e l'integrità (conformemente al principio di cui all'art. 5.1.f GDPR); iii) non diffondere le informazioni non disponibili al pubblico di cui si venga a conoscenza in occasione dello svolgimento dell 'attività̀ statistica (o di attività̀ ad essa strumentali) e, comunque, non utilizzarle in alcun altro modo per interessi privati, propri o altrui; iv) documentare adeguatamente il lavoro svolto; v) aggiornare costantemente le conoscenze professionali in materia di protezione dei dati personali all'evoluzione delle metodologie e delle tecniche; v) favorire la comunicazione e la diffusione dei risultati statistici in relazione alle esigenze conoscitive della comunità̀ scientifica e dell 'opinione pubblica, nel rispetto della disciplina sulla protezione dei dati personali; vi) segnalare, i comportamenti non conformi alle presenti regole deontologiche, immediatamente dal momento in cui se ne ha conoscenza, al titolare o al responsabile che provvederanno a comunicarli al Garante (cfr. art. 9). BibliografiaBolognini, Pelino, Codice privacy: tutte le novità del D.lgs. n. 101/2018, Milano, 2018; Bolognini, Pelino, Bistolfi, Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016. |
