Provvedimento del Garante Privacy del 19 dicembre 2018
Come abbiamo già avuto modo di dire nei precedenti articoli sugli altri codici di deontologia e buona condotta che erano stati adottati ai sensi dell’art. 12 del codice privacy, il Decreto legislativo 101/2018 ha previsto che, rispetto al codice per il trattamento dei dati personali per scopi statistici e scientifici (allegato A4 al Codice privacy), adottato con Provvedimento del Garante n. 2 del 16 giugno 2004, il Garante, entro il 18 dicembre, avrebbe dovuto verificare la conformità delle disposizioni ivi contenute alla nuova disciplina in materia di privacy e rinominare “regole deontologiche” ai sensi dell’art. 2-quater del nuovo codice privacy quelle conformi, pubblicandole in G.U.
Ebbene, con provvedimento del 19.12.2018, il Garante per la protezione dei dati personali ha sottoposto detto Codice alla verifica di conformità con il Regolamento Ue 2016/679 sulla protezione dei dati personali, individuando le disposizioni ritenute non conformi al Regolamento e riportando in allegato le disposizioni conformi, ridenominate “regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica”, che, una volta pubblicate in G.U., inizieranno a produrre effetti al posto del codice deontologico.
Le disposizioni non conformi secondo il Garante
Per quanto riguarda le disposizioni ritenute non conformi, il Garante ha, in primo luogo, ritenuto:
- all’art. 1 di eliminare la definizione di “dato identificativo indiretto”, in quanto tale definizione è stata ritenuta incompatibile con il GDPR;
- all’art. 4 (“Identificabilità dell’interessato”), di sostituire la parola “identificativi” con la frase “che … identificano” l’unità statistica, ciò in considerazione del fatto che la definizione di “dati identificativi” contenuta nel Codice privacy è stata abrogata dal d.lgs. n. 101 del 2018 e non è più prevista dal Regolamento; inoltre, di abrogare il comma 1, lett. c), in quanto incompatibile con il GDPR poiché, per la valutazione del rischio di identificabilità degli interessati, prevedeva dei parametri predefiniti che non tenevano conto del fatto che il GDPR richiede che per l’identificabilità si tengano in considerazione “tutti i mezzi” di cui il titolare può ragionevolmente avvalersi;
- all’art. 5 “Criteri per la valutazione del rischio di identificazione”, di aggiungere la parola “anche” (al primo comma, tra le parole “tiene conto” e “dei seguenti”), in modo da chiarire che i parametri ivi indicati sono meramente esemplificativi e soprattutto non alternativi rispetto al nuovo quadro giuridico introdotto dal GDPR;
- l’art. 6, comma 2, lett. c), incompatibile con la nuova normativa privacy, poiché prevedeva la possibilità di effettuare un’informativa differita all’interessato nel caso di raccolta di dati presso il medesimo, mentre l’art. 13 del GDPR non ammette alcuna ipotesi di informativa differita;
- l’art. 6, comma 3, compatibile soltanto a condizione che, nel rispetto del principio di accountability, il titolare del trattamento ponga in essere specifiche misure per verificare, ed essere in grado di dimostrare, che il soggetto che ha risposto in nome e per conto di un terzo sia effettivamente legittimato a fornire i dati di detto terzo;
- l’art. 6, comma 4, incompatibile con il GDPR in quanto stabiliva che il titolare dovesse preventivamente comunicare al Garante le modalità individuate per dare pubblicità all’informativa, mentre il GDPR non prevede più il coinvolgimento del Garante;
- l’art. 6, comma 5, incompatibile perché prevedeva che, in caso di raccolta di dati presso terzi, il titolare potesse individuare idonee forme di pubblicità da comunicare preventivamente al Garante per informare l’interessato, mentre il GDPR prevede che la comunicazione all’interessato possa essere omessa nel caso in cui la essa risultasse impossibile o implicherebbe uno sforzo sproporzionato oppure rischierebbe di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento (però, in tali casi, il titolare del trattamento è tenuto comunque ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato);
- l’art. 7 “Consenso” incompatibile, in quanto le condizioni di liceità del trattamento ed in particolare le condizioni per il consenso sono disciplinate direttamente dal GDPR;
- l’art. 8 “Comunicazione e diffusione dei dati” incompatibile, in quanto le condizioni di liceità della comunicazione e della diffusione dei dati sono disciplinate direttamente dal GDPR;
- l’art. 9, commi 2 e 3, incompatibile, in quanto stabiliva delle ipotesi di minimizzazione, mentre il GDPR richiede, oltre a una valutazione del rischio, anche l’individuazione di misure tecniche e organizzative adeguate a tutela dell’interessato;
- l’art. 9, commi 4, lett. c), 5 e 6, incompatibile in quanto stabiliva delle condizioni di liceità del trattamento per i dati sensibili o giudiziari diverse rispetto a quelle previste ora dal GDPR e dal Codice;
- l’art. 10 “Dati genetici” incompatibile, in quanto il trattamento di tali dati oggi deve essere effettuato secondo quanto previsto dall’art. 9 del GDPR, dall’art. 2-sexies del codice privacy e alle specifiche misure di garanzia che il Garante adotterà ai sensi dell’art. 2-septies del Codice;
- l’art. 14 “Conservazione dei dati”, nei commi successivi al primo, incompatibile in quanto il principio di limitazione della conservazione di cui all’art. 5, § 1, lett. e) del GDPR impone al titolare nuovi adempimenti per la valutazione del rischio, al fine di individuare, di volta in volta, adeguate misure, tecniche e organizzative, a garanzia degli interessati;
- l’art. 15 “Misure di sicurezza” incompatibile, in quanto gli aspetti relativi alla sicurezza dei dati sono oggetto ora di specifiche previsioni del GDPR;.
- l’art. 16 “Esercizio dei diritti dell’interessato”, al comma 1, incompatibile, in quanto consentirebbe al titolare la possibilità di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, mentre il GDPR richiede tali misure.
Per quanto riguarda le altre disposizioni del Codice, il Garante le ha ritenute conformi al GDPR e alla normativa italiana in materia di privacy e conseguentemente non le ha modificate.
Volume consigliato
Il nuovo regolamento privacyAggiornato con lo schema di decreto per l’adeguamento della normativa nazionale alle disposizioni UE (approvato in CdM il 21 marzo 2018)La data del 25 maggio 2018 segna l’entrata in vigore del nuovo Regolamento UE 2016/679 ma non fuga dubbi interpretativi e di ordine pratico della nuova disciplina. Strutturato in forma di quesiti, il testo, in oltre 200 domande e risposte, esplica termini, modalità e obblighi derivanti dalla nuova disciplina, con qualche anticipazione su aspetti di rilievo contenuti nello schema di decreto legislativo recante le disposizioni per l’adeguamento della normativa nazionale al Regolamento. Completa il volume l’appendice normativa contenente i “considerando” e l’intero Regolamento.CARLO NOCERAAvvocato in Roma, dopo avere maturato un’esperienza accademica di oltre un lustro in “Diritto dell’informazione e della comunicazione” si occupa da diversi anni di questioni legali in materia di trattamento e protezione dei dati personali e di reati informatici. Collabora stabilmente con i più prestigiosi quotidiani giuridico-economici e svolge assidua attività di formazione per primarie Società di formazione nonché per Ordini professionali ed Enti istituzionali. Carlo Nocera | 2018 Maggioli Editore 22.00 € 20.90 € |
Scrivi un commento
Accedi per poter inserire un commento