AGCM - AGCOM - ANAC - Garante Privacy

Garante per la protezione dei dati personali (1/2019)

Aggiornato al 31/3/2019

Rubrica a cura di Giovanna De Minico

Scheda di Miriam Viggiano

Nel periodo di riferimento considerato (Dicembre 2018-Marzo 2019) si registrano i seguenti provvedimenti di carattere generale del Garante per la protezione dei dati personali (di seguito ‘Garante’)[1]:

1) Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101[2].

2) Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101[3];

3) Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101[4];

4) Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101[5];

 

Si tratta di provvedimenti approvati in ragione della disposizione contenuta nel citato art. 20, comma 4, del d. lgs. 101/2018 di adeguamento della disciplina nazionale vigente in materia di protezione dei dati personali alle nuove disposizioni previste dal Regolamento (UE) 2016/679, la quale al riguardo prevede la necessità che il Garante verifichi la conformità delle disposizioni dei codici di deontologia e di buona condotta precedentemente approvati e allegati al Codice in materia di protezione dei dati personali (d. lgs. 30/6/2003 n. 196) con la nuova normativa europea e, una volta determinate le disposizioni ritenute compatibili, le rinomini «regole deontologiche»[6] e ne disponga la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana[7].

Le disposizioni contenute nelle nuove regole deontologiche integrano la disciplina in materia di protezione dei dati personali e relativa violazione costituisce parametro di legittimità per i trattamenti di dati personali effettuato.

Nell’economia delle presenti note, rinviando nel merito al più specifico contenuto delle singole disposizioni, si evidenziano soltanto le principali modifiche apportate ai singoli provvedimenti rispetto alla precedente versione.

In particolare con riferimento alle Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria, oltre all’aggiornamento dei richiami e della terminologia utilizzata in maniera conforme alle novità legislative intervenute[8], è stato eliminato il preambolo nonché «la previsione riguardante il monitoraggio periodico del codice di deontologia e di buona condotta».

In relazione alle Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica oltre agli aggiornamenti normativi, sono stati riformulati alcuni titoli e rubriche «al fine di prevenire sovrapposizioni tra le presenti regole deontologiche con i futuri codici di condotta, che potranno essere adottati ai sensi degli artt. 40 e ss. RGPD» (cfr. Titolo dei Capi II e III, rubrica dell’art. 9). Fra le altre modifiche di rilievo si segnala la modifica all’art. 8 dove «è stata eliminata la disposizione che consentiva al titolare del trattamento di fornire un’“informativa semplificata” in caso di trattamento di fonti orali; ciò, in quanto il Regolamento [(UE) 2016/679] non prevede alcuna forma di deroga o semplificazione agli obblighi informativi, quando i dati sono raccolti presso gli interessati», nonché l’eliminazione dell’art. 11, comma 5, del codice di deontologia che «nell’esonerare dall’obbligo di fornire l’informativa agli interessati nei casi di raccolta di dati personali presso soggetti terzi, quando ciò risulti impossibile o comporti uno sforzo sproporzionato - non prevedeva misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, come richiesto dall’art. 14, par. 5 lett. b), del Regolamento [europeo]».

Quanto alle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico nazionale si segnala la modifica introdotta che ha sostituito all’art. 3 «la parola “identificativi” con la seguente locuzione “che … identificano” l’unità statistica». Ciò poiché il Garante ha ritenuto che la «definizione di “dati identificativi” di cui all’art. 4, comma 1, lett. c), del Codice è stata abrogata dal d.lgs. n. 101 del 2018» e il Regolamento (UE) 2016/679 non la prevede. Inoltre la precedente versione dell’articolo è stata ritenuta «incompatibile nella misura in cui introduceva, per la valutazione del rischio di identificabilità degli interessati, dei parametri predefiniti che non sono in linea con il quadro giuridico introdotto dal Regolamento [europeo]», laddove è previsto che «per l’identificabilità di una persona indica, in particolare, che si tengano in considerazione “tutti i mezzi” di cui il titolare può ragionevolmente avvalersi» (cfr. considerando 26).

Altre diposizioni ritenute incompatibili hanno interessato, fra l’altro, l’art. 5, comma 2, lett. c), che prevedeva la necessità dell’autorizzazione del Garante, nonché l’art. 6 nella parte in cui «disponeva che il titolare dovesse preventivamente comunicare al Garante le modalità individuate per dare pubblicità all’informativa [nel caso di impossibilità di fornire le informazioni direttamente agli interessati quando i dati sono raccolti presso terzi], il quale avrebbe potuto prescrivere eventuali misure e accorgimenti», nonché «nella parte in cui consentiva al titolare di fornire agli interessati un’informativa differita per la parte riguardante le specifiche finalità e modalità del trattamento, qualora ciò risultasse necessario per il raggiungimento dell’obiettivo dell’indagine».

Analogamente sono risultate incompatibili le disposizioni (art. 6, comma 4) che sancivano «la possibilità che il titolare possa raccogliere dati personali presso un soggetto rispondente in nome e per conto di un altro (cd. proxy)», senza prevedere «le specifiche circostanze in cui tale modalità di raccolta era ammessa (art. 105, comma 3, del Codice)», nonché l’art. 7, commi 2, 3 e 4, «relativo alla comunicazione di dati personali a ricercatori di università o a istituti o enti di ricerca a soci di società scientifiche, non facenti parte del Sistema statistico nazionale, e l’art. 8, sulla comunicazione dei dati tra soggetti del Sistema statistico nazionale», in quanto l’art 2-ter del Codice privacy prevede ora la necessità di una norma di legge o, nei casi previsti dalla legge, di regolamento «per la comunicazione di dati tra soggetti pubblici o tra soggetti che svolgono compiti di interesse pubblico, quali sono i soggetti del Sistema statistico nazionale».

In tal senso, anche con riferimento alle misure di sicurezza e all’esercizio dei diritti sono state ritenute incompatibili le disposizioni contenute negli artt. 12 e 13, in quanto ora oggetto di specifiche previsioni nel Regolamento (UE) 2016/679.

Con riferimento infine all’ultimo provvedimento relativo alle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, analogamente alle regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale, è stata parimenti sostituita all’art. 4 la parola “identificativi” con “dati che … identificano” l’unità statistica e sono state, inoltre, apportate le stesse modifiche con riferimento all’informativa agli interessati ritenendo incompatibili alcune deroghe anche con riferimento all’informativa differita.

Fra le principali modifiche si segnala inoltre l’eliminazione dell’art. 7 sul consenso in quanto «le condizioni di liceità del trattamento, ed in particolare le condizioni per il consenso, sono disciplinate nel Regolamento [UE 2016/679] (artt. 6 e 7)», nonché l’art. 8 sulla “Comunicazione e diffusione dei dati”, considerato non conforme alle previsioni contenute nel Regolamento europeo (artt. 6, 9 e 10) e nel Codice (artt. 2-ter, 2-sexies, 2-septies e 2-octies). In tal senso, anche l’art. 11, comma 5, è stato, ritenuto incompatibile, «in quanto le circostanze in cui non è necessario acquisire il consenso dell’interessato sono state individuate nel provvedimento prescrittivo adottato dal Garante ai sensi dell’art. 21 del d.lgs. 101 del 2018 mentre le condizioni di liceità del trattamento per le finalità in esame sono previste dall’art. 110 del Codice».

Si evidenzia inoltre l’incompatibilità di quelle previsioni che individuavano «condizioni di liceità del trattamento per i dati sensibili o giudiziari differenti rispetto a quelle previste ora dal Regolamento e dal Codice» (art. 9, commi 4, lett. c), 5 e 6); nonché quelle relative ai dati genetici (art. 10), per i quali il trattamento «deve essere effettuato in conformità all’art. 9 del Regolamento, all’art. 2-sexies, alle prescrizioni individuate dal Garante ai sensi dell’art. 21, del d.lgs. 101 del 2018 e alle specifiche misure di garanzia che l’Autorità è chiamata ad adottare ai sensi dell’art. 2-septies del Codice».

In tal senso, anche con riferimento alle misure di sicurezza e all’esercizio dei diritti sono state ritenute incompatibili le disposizioni contenute negli artt. 15 e 16, in quanto ora oggetto di specifiche previsioni nel Regolamento (UE) 2016/679.

 

[1] Sulla portata giuridica di provvedimenti prescrittivi di carattere generale approvati dal Garante privacy, si rinvia alle considerazioni già svolte, e alla bibliografia ivi citata, in M. Viggiano, Osservatorio Garante per la protezione dei dati personali (fasc. 1/2014), in www.osservatoriosullefonti.it, Archivio rubriche 2014, Garante privacy (url: http://www.osservatoriosullefonti.it/archivio-rubriche-2014/agcm-agcom-avcp-garante-privacy/976-garante-per-la-protezione-dei-dati-personali-12014).

[2] Provv. n. 512 del 19/12/2018, in G.U. n. 12 del 15/1/2019 e in www.gpdp.it, doc. web n. 9069653.

[3] Provv. n. 513 del 19/12/2018, in G.U. n. 12 del 15/1/2019 e in www.gpdp.it, doc. web n. 9069661.

[4] Provv. n. 514 del 19/12/2018, in G.U. n. 11 del 14/1/2019 e in www.gpdp.it, doc. web n. 9069677.

[5] Provv. n. 515 del 19/12/2018, in G.U. n. 11 del 14 gennaio 2019 e in www.gpdp.it, doc. web n. 9069637.

[6] Cfr. art. 2-quater, d. lgs. n. 196 del 2003, come modificato dal d. lgs. 10/8/2018, n. 101

[7] Le regole deontologiche sono state riportate nell’allegato A al Codice privacy (d. lgs n. 196/2003) con decreto del Ministro della Giustizia.

[8] Cfr. Regolamento (UE) 2016/679, nonché d.lgs. n. 101/2018 che ha aggiornato il d.lgs. n. 196/2003.

Osservatorio sulle fonti

Rivista telematica registrata presso il Tribunale di Firenze (decreto n. 5626 del 24 dicembre 2007). ISSN 2038-5633.

L’Osservatorio sulle fonti è stato riconosciuto dall’ANVUR come rivista scientifica e collocato in Classe A.

Contatti

Per qualunque domanda o informazione, puoi utilizzare il nostro form di contatto, oppure scrivici a uno di questi indirizzi email:

Direzione scientifica: direzione@osservatoriosullefonti.it
Redazione: redazione@osservatoriosullefonti.it

Il nostro staff ti risponderà quanto prima.

© 2017 Osservatoriosullefonti.it. Registrazione presso il Tribunale di Firenze n. 5626 del 24 dicembre 2007 - ISSN 2038-5633