GDPR: in caso di scopi statistici e scientifici nel settore privato

GDPR: in caso di scopi statistici e scientifici nel settore privato

Pier Paolo Muià Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

Provvedimento del Garante Privacy del 19 dicembre 2018

Come abbiamo già avuto modo di dire nei precedenti articoli sugli altri codici di deontologia e buona condotta che erano stati adottati ai sensi dell’art. 12 del codice privacy, il Decreto legislativo 101/2018 ha previsto che, rispetto al codice per il trattamento dei dati personali per scopi statistici e scientifici (allegato A4 al Codice privacy), adottato con Provvedimento del Garante n. 2 del 16 giugno 2004, il Garante, entro il 18 dicembre, avrebbe dovuto verificare la conformità delle disposizioni ivi contenute alla nuova disciplina in materia di privacy e rinominare “regole deontologiche” ai sensi dell’art. 2-quater del nuovo codice privacy quelle conformi, pubblicandole in G.U.

Ebbene, con provvedimento del 19.12.2018, il Garante per la protezione dei dati personali ha sottoposto detto Codice alla verifica di conformità con il Regolamento Ue 2016/679 sulla protezione dei dati personali, individuando le disposizioni ritenute non conformi al Regolamento e riportando in allegato le disposizioni conformi, ridenominate “regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica”, che, una volta pubblicate in G.U., inizieranno a produrre effetti al posto del codice deontologico.

Le disposizioni non conformi secondo il Garante

Per quanto riguarda le disposizioni ritenute non conformi, il Garante ha, in primo luogo, ritenuto:

  • all’art. 1 di eliminare la definizione di “dato identificativo indiretto”, in quanto tale definizione è stata ritenuta incompatibile con il GDPR;
  • all’art. 4 (“Identificabilità dell’interessato”), di sostituire la parola “identificativi” con la frase “che … identificano” l’unità statistica, ciò in considerazione del fatto che la definizione di “dati identificativi” contenuta nel Codice privacy è stata abrogata dal d.lgs. n. 101 del 2018 e non è più prevista dal Regolamento; inoltre, di abrogare il comma 1, lett. c), in quanto incompatibile con il GDPR poiché, per la valutazione del rischio di identificabilità degli interessati, prevedeva dei parametri predefiniti che non tenevano conto del fatto che il GDPR richiede che per l’identificabilità si tengano in considerazione “tutti i mezzi” di cui il titolare può ragionevolmente avvalersi;
  • all’art. 5 “Criteri per la valutazione del rischio di identificazione”, di aggiungere la parola “anche” (al primo comma, tra le parole “tiene conto” e “dei seguenti”), in modo da chiarire che i parametri ivi indicati sono meramente esemplificativi e soprattutto non alternativi rispetto al nuovo quadro giuridico introdotto dal GDPR;
  • l’art. 6, comma 2, lett. c), incompatibile con la nuova normativa privacy, poiché prevedeva la possibilità di effettuare un’informativa differita all’interessato nel caso di raccolta di dati presso il medesimo, mentre l’art. 13 del GDPR non ammette alcuna ipotesi di informativa differita;
  • l’art. 6, comma 3, compatibile soltanto a condizione che, nel rispetto del principio di accountability, il titolare del trattamento ponga in essere specifiche misure per verificare, ed essere in grado di dimostrare, che il soggetto che ha risposto in nome e per conto di un terzo sia effettivamente legittimato a fornire i dati di detto terzo;
  • l’art. 6, comma 4, incompatibile con il GDPR in quanto stabiliva che il titolare dovesse preventivamente comunicare al Garante le modalità individuate per dare pubblicità all’informativa, mentre il GDPR non prevede più il coinvolgimento del Garante;
  • l’art. 6, comma 5, incompatibile perché prevedeva che, in caso di raccolta di dati presso terzi, il titolare potesse individuare idonee forme di pubblicità da comunicare preventivamente al Garante per informare l’interessato, mentre il GDPR prevede che la comunicazione all’interessato possa essere omessa nel caso in cui la essa risultasse impossibile o implicherebbe uno sforzo sproporzionato oppure rischierebbe di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento (però, in tali casi, il titolare del trattamento è tenuto comunque ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato);
  • l’art. 7 “Consenso” incompatibile, in quanto le condizioni di liceità del trattamento ed in particolare le condizioni per il consenso sono disciplinate direttamente dal GDPR;
  • l’art. 8 “Comunicazione e diffusione dei dati” incompatibile, in quanto le condizioni di liceità della comunicazione e della diffusione dei dati sono disciplinate direttamente dal GDPR;
  • l’art. 9, commi 2 e 3, incompatibile, in quanto stabiliva delle ipotesi di minimizzazione, mentre il GDPR richiede, oltre a una valutazione del rischio, anche l’individuazione di misure tecniche e organizzative adeguate a tutela dell’interessato;
  • l’art. 9, commi 4, lett. c), 5 e 6, incompatibile in quanto stabiliva delle condizioni di liceità del trattamento per i dati sensibili o giudiziari diverse rispetto a quelle previste ora dal GDPR e dal Codice;
  • l’art. 10 “Dati genetici” incompatibile, in quanto il trattamento di tali dati oggi deve essere effettuato secondo quanto previsto dall’art. 9 del GDPR, dall’art. 2-sexies del codice privacy e alle specifiche misure di garanzia che il Garante adotterà ai sensi dell’art. 2-septies del Codice;
  • l’art. 14 “Conservazione dei dati”, nei commi successivi al primo, incompatibile in quanto il principio di limitazione della conservazione di cui all’art. 5, § 1, lett. e) del GDPR impone al titolare nuovi adempimenti per la valutazione del rischio, al fine di individuare, di volta in volta, adeguate misure, tecniche e organizzative, a garanzia degli interessati;
  • l’art. 15 “Misure di sicurezza” incompatibile, in quanto gli aspetti relativi alla sicurezza dei dati sono oggetto ora di specifiche previsioni del GDPR;.
  • l’art. 16 “Esercizio dei diritti dell’interessato”, al comma 1, incompatibile, in quanto consentirebbe al titolare la possibilità di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, mentre il GDPR richiede tali misure.

Per quanto riguarda le altre disposizioni del Codice, il Garante le ha ritenute conformi al GDPR e alla normativa italiana in materia di privacy e conseguentemente non le ha modificate.

Volume consigliato

Il nuovo regolamento privacy

Il nuovo regolamento privacy

Carlo Nocera, 2018, Maggioli Editore

L’avvento del nuovo GDPR rappresenta una svolta epocale per il mondo della privacy, soprattutto in virtù del ripensato approccio alla materia, che prevede il passaggio da un regime autorizzatorio a quello di responsabilizzazione dei diversi attori operanti sulla scena del...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!