Come abbiamo già avuto modo di dire nei precedenti articoli sugli altri codici di deontologia e buona condotta che erano stati adottati ai sensi dell’art. 12 del codice privacy, il Decreto legislativo 101/2018 ha previsto che, rispetto al codice per il trattamento dei dati personali per fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale (allegato A3 al Codice privacy), adottato con Provvedimento del Garante n. 13 del 31 luglio 2002, il Garante, entro il 18 dicembre, avrebbe dovuto verificare la conformità delle disposizioni ivi contenute alla nuova disciplina in materia di privacy e rinominare “regole deontologiche” ai sensi dell’art. 2-quater del nuovo codice privacy quelle conformi, pubblicandole in G.U.
Il provvedimento n. 514 del 19 dicembre 2018
Ebbene, con provvedimento del 19.12.2018, il Garante per la protezione dei dati personali ha sottoposto detto Codice alla verifica di conformità con il Regolamento Ue 2016/679 sulla protezione dei dati personali, individuando le disposizioni ritenute non conformi al Regolamento e riportando in allegato le disposizioni conformi, ridenominate regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale. Dalla pubblicazione delle predette regole nella Gazzetta Ufficiale, il codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifici (allegato A.3 del codice privacy) cesserà di produrre effetti ai sensi dell’art. 20, comma 3, del d.lgs. 101 del 2018 e sarà quindi sostituito dalle disposizioni allegate al provvedimento in esame.
È utile ricordare, inoltre, che, secondo quanto previsto dall’art. 2-quater del Codice privacy, successivamente, il Garante potrà promuovere la modifica delle suddette disposizioni sottoponendo detta modifica a consultazione pubblica, per almeno sessanta giorni.
Le regole deontologiche nel Sistema Statistico Nazionale
Tornando al provvedimento in esame, il Garante ha preliminarmente evidenziato che, oltre al rispetto dei principi generali e degli obblighi previsti dal GDPR e dal Decreto attutativo, coloro i quali sono obbligati ad applicare le regole deontologiche in esame debbono anche rispettare il principio di imparzialità e di non discriminazione nei confronti di altri utilizzatori, in particolare nell’ambito della comunicazione per scopi statistici di dati depositati in archivi pubblici e trattati da enti pubblici o sulla base di finanziamenti pubblici. Inoltre, il Garante ha confermato che il rispetto delle regole deontologiche in esame costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali (avendo cura altresì di precisare che, al contrario, il mancato rispetto delle stesse comporta l’applicazione della sanzione amministrativa pecuniaria fino a 20 milioni di euro o, per le imprese, se superiore, fino al 4% del fatturato mondiale dell’anno precedente).
Per quanto riguarda le disposizioni ritenute non conformi, il Garante ha, in primo luogo, ritenuto:
- all’art. 3 (“Identificabilità dell’interessato”), di sostituire la parola “identificativi” con la frase “che … identificano” l’unità statistica, al comma 1, lett. a), ciò in considerazione del fatto che la definizione di “dati identificativi” contenuta nel Codice privacy è stata abrogata dal d.lgs. n. 101 del 2018 e non è più prevista dal Regolamento; inoltre, di abrogare il comma 1, lett. c), in quanto incompatibile con il GDPR poiché, per la valutazione del rischio di identificabilità degli interessati, prevedeva dei parametri predefiniti che non tenevano conto del fatto che il GDPR richiede che per l’identificabilità si tengano in considerazione “tutti i mezzi” di cui il titolare può ragionevolmente avvalersi;
- all’art. 4 “Criteri per la valutazione del rischio di identificazione”, di aggiungere la parola “anche” (al primo comma, tra le parole “tiene conto” e “dei seguenti”), in modo da chiarire i parametri ivi indicati sono meramente esemplificativi e soprattutto non alternativi rispetto al nuovo quadro giuridico introdotto dal GDPR;
- l’art. 5, comma 2, lett. c), incompatibile con la nuova normativa privacy, poiché prevedeva la preventiva autorizzazione del Garante per il trattamento delle particolari categorie di dati da parte di soggetti privati che partecipano al Sistema statistico nazionale, mentre con il GDPR l’autorizzazione del Garante è prevista solo in casi limitati;
- l’art. 6 incompatibile con l’art. 13 e l’art.14 del GDPR, poiché, rispettivamente
- consentiva al titolare di fornire agli interessati un‘informativa differita per la parte riguardante le specifiche finalità e modalità del trattamento, mentre il citato art. 13 non ammette alcuna ipotesi di informativa semplificata;
- nel caso di impossibilità di fornire l’informativa direttamente agli interessati quando i dati sono raccolti presso terzi, stabiliva che il titolare dovesse preventivamente comunicare al Garante le modalità individuate per dare pubblicità all’informativa, mentre il citato art. 14 non prevede più il coinvolgimento del Garante;
- l’art. 7, commi 2, 3 e 4, e l’art. 8, incompatibili con gli artt. 6 del GDPR e 2-ter del Codice privacy, in quanto ammettevano la comunicazione di dati personali a ricercatori di università o a istituti o enti di ricerca a soci di società scientifiche, non facenti parte del Sistema statistico nazionale e la comunicazione dei dati tra soggetti del Sistema statistico nazionale, mentre le suddette nuova disposizioni in materia di privacy impongono che tale comunicazione sia prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento;
- l’art. 11 comma 1, incompatibile con l’art. 5 del Regolamento, in quanto stabiliva delle ipotesi di deroga al principio di limitazione della conservazione, mentre il GDPR ammette deroghe soltanto se, oltre a una valutazione del rischio, caso per caso, il titolare individua delle misure tecniche e organizzative adeguate a tutela dell’interessato;
- l’art. 12 “Misure di sicurezza”, incompatibile con il principio di accountability e con quelli di privacy by default e by design introdotti dal GDPR, in quanto dette misure di sicurezza oggi sono disciplinate proprio dal GDPR;
- l’art. 13 “Esercizio dei diritti” comma 1, incompatibile con l’art. 89 del GDPR, in quanto consentiva al titolare la possibilità di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate.
Per quanto riguarda le altre disposizioni del Codice, il Garante le ha ritenute conformi al GDPR e alla normativa italiana in materia di privacy e conseguentemente non le ha modificate.
Volume consigliato
La tutela della privacy in ambito sanitarioL’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici. Pier Paolo Muià | 2018 20.00 € 19.00 € |
Scrivi un commento
Accedi per poter inserire un commento