GDPR: nel Sistema Statistico Nazionale

GDPR: per fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico Nazionale

Pier Paolo Muià Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Provvedimento del Garante Privacy del 19 dicembre 2018

Come abbiamo già avuto modo di dire nei precedenti articoli sugli altri codici di deontologia e buona condotta che erano stati adottati ai sensi dell’art. 12 del codice privacy, il Decreto legislativo 101/2018 ha previsto che, rispetto al codice per il trattamento dei dati personali per fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale (allegato A3 al Codice privacy), adottato con Provvedimento del Garante n. 13 del 31 luglio 2002, il Garante, entro il 18 dicembre, avrebbe dovuto verificare la conformità delle disposizioni ivi contenute alla nuova disciplina in materia di privacy e rinominare “regole deontologiche” ai sensi dell’art. 2-quater del nuovo codice privacy quelle conformi, pubblicandole in G.U.

Il provvedimento n. 514 del 19 dicembre 2018

Ebbene, con provvedimento del 19.12.2018, il Garante per la protezione dei dati personali ha sottoposto detto Codice alla verifica di conformità con il Regolamento Ue 2016/679 sulla protezione dei dati personali, individuando le disposizioni ritenute non conformi al Regolamento e riportando in allegato le disposizioni conformi, ridenominate regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale. Dalla pubblicazione delle predette regole nella Gazzetta Ufficiale, il codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifici (allegato A.3 del codice privacy) cesserà di produrre effetti ai sensi dell’art. 20, comma 3, del d.lgs. 101 del 2018 e sarà quindi sostituito dalle disposizioni allegate al provvedimento in esame.

È utile ricordare, inoltre, che, secondo quanto previsto dall’art. 2-quater del Codice privacy, successivamente, il Garante potrà promuovere la modifica delle suddette disposizioni sottoponendo detta modifica a consultazione pubblica, per almeno sessanta giorni.

Le regole deontologiche nel Sistema Statistico Nazionale

Tornando al provvedimento in esame, il Garante ha preliminarmente evidenziato che, oltre al rispetto dei principi generali e degli obblighi previsti dal GDPR e dal Decreto attutativo, coloro i quali sono obbligati ad applicare le regole deontologiche in esame debbono anche rispettare il principio di imparzialità e di non discriminazione nei confronti di altri utilizzatori, in particolare nell’ambito della comunicazione per scopi statistici di dati depositati in archivi pubblici e trattati da enti pubblici o sulla base di finanziamenti pubblici. Inoltre, il Garante ha confermato che il rispetto delle regole deontologiche in esame costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali (avendo cura altresì di precisare che, al contrario, il mancato rispetto delle stesse comporta l’applicazione della sanzione amministrativa pecuniaria fino a 20 milioni di euro o, per le imprese, se superiore, fino al 4% del fatturato mondiale dell’anno precedente).

Per quanto riguarda le disposizioni ritenute non conformi, il Garante ha, in primo luogo, ritenuto:

  • all’art. 3 (“Identificabilità dell’interessato”), di sostituire la parola “identificativi” con la frase “che … identificano” l’unità statistica, al comma 1, lett. a), ciò in considerazione del fatto che la definizione di “dati identificativi” contenuta nel Codice privacy è stata abrogata dal d.lgs. n. 101 del 2018 e non è più prevista dal Regolamento; inoltre, di abrogare il comma 1, lett. c), in quanto incompatibile con il GDPR poiché, per la valutazione del rischio di identificabilità degli interessati, prevedeva dei parametri predefiniti che non tenevano conto del fatto che il GDPR richiede che per l’identificabilità si tengano in considerazione “tutti i mezzi” di cui il titolare può ragionevolmente avvalersi;
  • all’art. 4 “Criteri per la valutazione del rischio di identificazione”, di aggiungere la parola “anche” (al primo comma, tra le parole “tiene conto” e “dei seguenti”), in modo da chiarire i parametri ivi indicati sono meramente esemplificativi e soprattutto non alternativi rispetto al nuovo quadro giuridico introdotto dal GDPR;
  • l’art. 5, comma 2, lett. c), incompatibile con la nuova normativa privacy, poiché prevedeva la preventiva autorizzazione del Garante per il trattamento delle particolari categorie di dati da parte di soggetti privati che partecipano al Sistema statistico nazionale, mentre con il GDPR l’autorizzazione del Garante è prevista solo in casi limitati;
  • l’art. 6 incompatibile con l’art. 13 e l’art.14 del GDPR, poiché, rispettivamente
  • consentiva al titolare di fornire agli interessati un‘informativa differita per la parte riguardante le specifiche finalità e modalità del trattamento, mentre il citato art. 13 non ammette alcuna ipotesi di informativa semplificata;
  • nel caso di impossibilità di fornire l’informativa direttamente agli interessati quando i dati sono raccolti presso terzi, stabiliva che il titolare dovesse preventivamente comunicare al Garante le modalità individuate per dare pubblicità all’informativa, mentre il citato art. 14 non prevede più il coinvolgimento del Garante;
  • l’art. 7, commi 2, 3 e 4, e l’art. 8, incompatibili con gli artt. 6 del GDPR e 2-ter del Codice privacy, in quanto ammettevano la comunicazione di dati personali a ricercatori di università o a istituti o enti di ricerca a soci di società scientifiche, non facenti parte del Sistema statistico nazionale e la comunicazione dei dati tra soggetti del Sistema statistico nazionale, mentre le suddette nuova disposizioni in materia di privacy impongono che tale comunicazione sia prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento;
  • l’art. 11 comma 1, incompatibile con l’art. 5 del Regolamento, in quanto stabiliva delle ipotesi di deroga al principio di limitazione della conservazione, mentre il GDPR ammette deroghe soltanto se, oltre a una valutazione del rischio, caso per caso, il titolare individua delle misure tecniche e organizzative adeguate a tutela dell’interessato;
  • l’art. 12 “Misure di sicurezza”, incompatibile con il principio di accountability e con quelli di privacy by default e by design introdotti dal GDPR, in quanto dette misure di sicurezza oggi sono disciplinate proprio dal GDPR;
  • l’art. 13 “Esercizio dei diritti” comma 1, incompatibile con l’art. 89 del GDPR, in quanto consentiva al titolare la possibilità di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate.

Per quanto riguarda le altre disposizioni del Codice, il Garante le ha ritenute conformi al GDPR e alla normativa italiana in materia di privacy e conseguentemente non le ha modificate.

Volume consigliato

La tutela della privacy in ambito sanitario

La tutela della privacy in ambito sanitario

Pier Paolo Muià, 2018,

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro...



© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it