Garante per la protezione dei dati personali: provvedimento n. 146 del 5 giugno 2019
Premessa
L’art. 21 del recente decreto legislativo n. 101/2018, dando attuazione a quanto previsto dalle disposizioni del Regolamento europeo sulla protezione dei dati personali, dopo aver abrogato le autorizzazioni generali che erano già state adottate in precedenza dal Garante privacy, ha affidato al Garante privacy il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute in dette autorizzazioni generali relative alle situazioni di trattamento dei dati necessari per adempiere un obbligo legale al quale è soggetto il titolare del trattamento e quelli necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento nonché di trattamento dei dati necessari per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale e dei dati genetici, biometrici o relativi alla salute ed infine i trattamenti di cui al Capo IX del Regolamento europeo (cioè i trattamenti effettuati a scopi giornalistici o di espressione accademica, artistica o letteraria; i trattamenti per l’accesso ai documenti amministrativi; i trattamenti del numero di identificazione nazionale; il trattamento dei dati nell’ambito dei rapporti di lavoro; i trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici).
Al fine di dare concreta applicazione al suddetto articolo, il Garante privacy ha adottato il provvedimento in esame, il quale reca appunto le prescrizioni relative ad alcune delle situazioni di trattamento di cui si è appena detto. In particolare, oggetto del presente commento sono le prescrizioni relative al trattamento di dati personali effettuato per scopi di ricerca scientifica (già oggetto della autorizzazione generale del garante privacy n. 9/2016).
Ambito di applicazione
In primo luogo, il provvedimento del Garante si occupa dell’ambito di applicazione delle suddette prescrizioni.
In particolare, il provvedimento stabilisce che dette prescrizioni si applicano a:
- università, altri enti o istituti di ricerca e società scientifiche, nonché ai ricercatori che operano nell’ambito di tali istituti e ai soci delle società scientifiche;
- esercenti la professione sanitaria e organismi sanitari;
- persone fisiche o giuridiche, enti, associazioni e organismi privati nonché soggetti che sono preposti maniera specifica al trattamento quali designati o responsabili del trattamento (per esempio, ricercatori, commissioni di esperti, organizzazioni di ricerca a contratto, laboratori di analisi, ecc.).
Tipologie di ricerche e finalità
Il secondo aspetto preso in esame dal provvedimento del Garante riguarda le tipologie di ricerche per cui vengono trattati i dati e con quali finalità.
In particolare, viene previsto che le prescrizioni oggetto di esame si applicano ai trattamenti di dati personali effettuati per le ricerche di carattere medico, biomedico ed epidemiologico, soltanto per le seguenti finalità:
- quando il trattamento è necessario per condurre degli studi attraverso l’impiego di dati che erano stati raccolti in precedenza con finalità di cura del soggetto o per eseguire precedenti progetti di ricerca oppure di dati che siano stati ricavati da campioni biologici prelevati in precedenza con finalità di cura del soggetto o per eseguire precedenti progetti di ricerca;
- quando il trattamento è necessario per condurre degli studi attraverso l’utilizzo di dati relativi a persone che, per il loro grave stato clinico, non sono in grado di comprendere l’informativa privacy fornita e quindi di rendere in maniera valida il proprio consenso.
Il consenso
Le prescrizioni contenute nel provvedimento in oggetto si occupano anche del consenso dell’interessato, stabilendo, preliminarmente, che questo non è necessario quando la ricerca viene effettuata in virtù di disposizioni di legge o di regolamento o di diritto dell’unione europea.
In tutti gli altri casi, invece, è necessario il consenso e qualora non sia possibile acquisirlo, all’interno del progetto di ricerca, il titolare del trattamento deve documentare le ragioni particolari o eccezionali per cui non è stato possibile informare gli interessati oppure per cui tale informativa richiedeva uno sforzo sproporzionato o rischiava di rendere impossibile o di pregiudicare gravemente il raggiungimento degli obiettivi della ricerca.
Il provvedimento si preoccupa anche di indicare, in maniera esemplificativa, alcuni casi in cui non sarebbe necessario il consenso dell’interessato; in particolare:
- in presenza di motivi etici connessi al fatto che l’interessato non conosce la propria condizione di salute (in questo caso il garante far rientrare tutte le ipotesi in cui la conoscenza del trattamento rivelerebbe all’interessato delle notizie da cui potrebbe derivargli un danno materiale o psicologico);
- in presenza di motivi di impossibilità organizzativa;
- in presenza di motivi di salute connessi alla gravità dello stato clinico in cui si trova l’interessato e che gli impedirebbero di comprendere l’informativa privacy e conseguentemente di fornire un valido consenso.
Modalità di trattamento
Un ulteriore argomento disciplinato dal provvedimento del Garante riguarda le modalità del trattamento.
In particolare, viene previsto che, nel caso in cui l’identificazione, anche temporanea, degli interessati sia necessaria per raggiungere gli scopi della ricerca, nel trattamento successivo alla raccolta dei dati, debbono essere adottate delle tecniche di cifratura o di pseudonimizzazione oppure delle altre soluzioni (per es. l’uso di codici) idonee a rendere i dati non direttamente riconducibili agli interessati (tenuto conto del volume dei dati trattati, della loro natura e oggetto nonché del contesto e delle finalità del trattamento); ciò, in modo che gli interessati possano essere identificati soltanto in caso di necessità.
Nel caso in cui sia necessario abbinare i dati identificativi dell’interessato al materiale della ricerca, ciò deve avvenire in maniera temporanea e deve essere motivata per iscritto.
Comunicazione e diffusione
Per quanto riguarda la comunicazione e la diffusione dei dati, il provvedimento in esame stabilisce che i titolari del trattamento possono comunicare tra loro i dati personali in esame soltanto nel caso in cui rivestano il ruolo di promotore, di centro coordinatore o di centro partecipante alla ricerca e sempre che detta comunicazione sia indispensabile per lo svolgimento della ricerca.
Inoltre, viene vietata, oltre alla diffusione dei dati relativi alla salute degli interessati come prevista dal codice privacy, anche la diffusione dei dati relativi alla vita sessuale, all’orientamento sessuale e alla origine razziale ed etnica che siano stati utilizzati per effettuare la ricerca.
Conservazione dei dati e campioni
Per quanto riguarda, invece, la conservazione dei dati personali e dei campioni, viene previsto che i dati e i campioni biologici utilizzati per l’esecuzione della ricerca devono essere conservati attraverso tecniche di cifratura oppure utilizzando dei codici identificativi o comunque altre soluzioni che non li rendano direttamente riconducibili agli interessati. Inoltre, tale conservazione è ammessa soltanto per il tempo necessario a raggiungere gli scopi per cui i dati sono stati originariamente raccolti o successivamente trattati.
Custodia e sicurezza
Infine, l’ultimo aspetto di cui si occupa il provvedimento del Garante riguarda la custodia e la sicurezza dei dati.
In particolare, viene previsto che i titolari del trattamento, sia durante la fase di memorizzazione o archiviazione dei dati che in quella successiva di elaborazione di dette informazioni e di loro trasmissione, debbano adottare delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio nonché impiegare delle specifiche misure e degli accorgimenti tecnici per incrementare il livello di sicurezza dei dati che sono trattati per svolgere la ricerca.
Il provvedimento individua, poi, in maniera specifica quali siano dette misure tecniche e organizzative:
- accorgimenti adeguati a garantire la qualità dei dati e la corretta attribuzione agli interessati;
- idonei accorgimenti per garantire che i dati siano protetti da rischi di accesso abusivo, furto o smarrimento dei supporti di memorizzazione;
- canali di trasmissione protetti qualora i dati devono essere comunicati ad altri soggetti per condurre la ricerca;
- tecniche di etichettatura nella conservazione e nella trasmissione dei campioni biologici, attraverso l’uso di codici identificativi o di altre soluzioni che impediscano di ricondurre direttamente agli interessati i campioni stessi;
- l’adozione, con riferimento alle operazioni di elaborazione dei dati memorizzati in una banca dati centralizzata, di idonei sistemi di autenticazione e di autorizzazione del personale che svolge il trattamento (diversificate a seconda dei ruoli e delle esigenze di accesso alla banca dati e prevedendo dei limiti temporali di validità di tali sistemi), procedure per la verifica periodica delle credenziali di autenticazione ed infine sistemi di audit log per controllare gli accessi al database e rilevare eventuali anomalie.
Volume consigliato
Il nuovo codice della privacyIl 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni. Pier Paolo Muià | 2019 Maggioli Editore 19.00 € 15.20 € |
Scrivi un commento
Accedi per poter inserire un commento