RicercaGiuridica.com
Oltre 50.000 sentenze gratuite e social
Newsletter gratuita info e privacy:

Chi siamo

Follow on Twitter Facebook Telegram Scrivici Stampa    

A chi dare il proprio pc e il telefono in caso di emergenza?

Antonio: "E' proprio come me lo aspettavo. Molto chiaro e con molti spunti interessanti su come tutelarsi."

adv IusOnDemand



Codici:
Civile · 2018 · 2020
Procedura Civile · 2018 · 2020
Privacy 2018 · 2020 · GDPR
Consumo · 2018 · 2020
Turismo · 2018
Strada · 2018
Comunicazioni · 2018
Diritto d'autore
Proprietà Industriale · 2018 · 2020
Assicurazioni · 2018
Crisi Cod.2019 · L. Fall.
Insolvenza 2020 · TUF 2018
T.U. IVA · Terzo Settore 2020


Share link or Ogni parola frase esatta
Aggiornamenti: 2020=16.6.2020, 2018=2.3.2018, gli altri del 26.8.2014. GRATUITI E NON UFFICIALI da Normattiva





L'art. 15 «Misure di sicurezza» e' stato ritenuto incompatibile, in quanto gli aspetti relativi alla sicurezza dei dati sono oggetto ora di specifiche previsioni del Regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un di


L'art. 15 «Misure di sicurezza» e' stato ritenuto incompatibile, in quanto gli aspetti relativi alla sicurezza dei dati sono oggetto ora di specifiche previsioni del Regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un diverso approccio alle misure di sicurezza che devono esser individuate, fin dalla progettazione e per impostazione predefinita (articoli 24 e 25 del Regolamento), in conformita' all'art. 32 del Regolamento.



Codice Privacy 2020

TITOLO IV DISPOSIZIONI MODIFICATIVE, ABROGATIVE, TRANSITORIE E FINALI

 CAPO I AMBITO DI APPLICAZIONE E PRINCIPI GENERALI



L'art. 20,commi 3 e 4, del decreto legislativo 101 del 2018 ha conferito al garante il compito di verificare, nel termine di novanta giorni dalla sua entrata in vigore, la conformita' al regolamento delle disposizioni contenute nei codici di deontologia
Art. 3,«Identificabilita' dell'interessato», e' stato ritenuto necessario, in primo luogo, sostituire la parola «identificativi» con la seguente locuzione «che ... identificano» l'unita' statistica, al comma 1, lett. a, in quanto la definizione di «dati
L'art. 4,«Criteri per la valutazione del rischio di identificazione», e' stato mantenuto considerandosi, in via generale, compatibile con il regolamento, nella misura in cui si limita a fornire alcuni parametri, orientativi, non esaustivi, per la valutaz
L'art. 5,comma 2, lett. c, e' stato considerato incompatibile nella parte in cui, tra i presupposti del trattamento delle particolari categorie di dati da parte di soggetti privati che partecipano al Sistema statistico nazionale, prevedeva la preventiva
L'art. 6disciplina le ipotesi di impossibilita' di fornire le informazioni direttamente agli interessati quando i dati sono raccolti presso terzi. Tale articolo e' stato considerato incompatibile nella parte in cui, al comma 2, disponeva che il titolare
L'art. 7,commi 2, 3 e 4, relativo alla comunicazione di dati personali a ricercatori di universita' o a istituti o enti di ricerca a soci di societa' scientifiche, non facenti parte del Sistema statistico nazionale, e l'art. 8, sulla comunicazione dei da
L'art. 12,«Misure di sicurezza», e' stato ritenuto incompatibile, in quanto gli aspetti ivi disciplinati sono oggetto ora di specifiche previsioni del regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un diverso approcci
L'art. 13,«Esercizio dei diritti», comma 1, e' stato considerato incompatibile, in quanto, consentirebbe al titolare la possibilita' di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, come richiesto, invece, dall'art.
Art. 1.Ambito di applicazione
Art. 2Definizioni
Art. 3Identificabilita' dell'interessato
Art. 4Criteri per la valutazione del rischio di identificazione
Art. 4-bisTrattamento di particolari categorie di dati e di dati relativi a condanne penali e reati, nell'ambito del Programma statistico nazionale
Art. 5Trattamento di particolari categorie di dati di cui all'art. 9, par. 1, del regolamento, da parte di soggetti privati
L'art. 20,commi 3 e 4, del decreto legislativo 101 del 2018 ha conferito al garante il compito di verificare, nel termine di 90 giorni dalla sua entrata in vigore, la conformita' al regolamento delle disposizioni contenute nei codici di deontologia e buo
L'art. 4,«Identificabilita' dell'interessato», e' stato ritenuto necessario, in primo luogo, sostituire la parola «identificativi», al comma 1, lettera a, con la seguente locuzione «dati che ... identificano» l'unita' statistica in quanto la definizione
L'art. 5,«Criteri per la valutazione del rischio di identificazione», e' stato mantenuto considerandosi, in via generale, compatibile con il Regolamento, nella misura in cui si limita a fornire alcuni parametri, orientativi, non esaustivi, per la valutaz
L'art. 6,«Informazioni agli interessati», il comma 2 e' risultato incompatibile con il Regolamento nella parte in cui prevedeva alcune deroghe all'obbligo di informativa in caso di raccolta dei dati presso gli interessati. In particolare, tale comma e' s
L'art. 6,comma 3, che consente ad un soggetto di rispondere in nome e per conto di un altro, e' stato considerato compatibile con il Regolamento e con l'art. 105, comma 3, del Codice, in quanto definisce le specifiche circostanze in cui tale modalita' di
L'art. 7«Consenso» e' stato eliminato perche' le condizioni di liceita' del trattamento, ed in particolare le condizioni per il consenso, sono disciplinate nel Regolamento articoli 6 e 7.
L'art. 8«Comunicazione e diffusione dei dati» e' stato considerato incompatibile in quanto i presupposti di liceita' di tali operazioni di trattamento sono adesso individuate nel Regolamento articoli 6, 9 e 10 e nel Codice articoli 2-ter, 2-sexies, 2-sep
L'art. 9,commi 4, lettera c, 5 e 6, e' stato, invece, considerato incompatibile laddove individuava condizioni di liceita' del trattamento per i dati sensibili o giudiziari differenti rispetto a quelle previste ora dal Regolamento e dal Codice.
L'art. 10«Dati genetici» e' stato considerato incompatibile in quanto il trattamento di tali dati deve essere effettuato in conformita' all'art. 9 del Regolamento, all'art. 2-sexies, alle prescrizioni individuate dal garante ai sensi dell'art. 21, del de
L'art. 11«Disposizioni particolari per la ricerca medica, biomedica ed epidemiologica» e' stato modificato al comma 4 al solo fine di confermare le tutele assicurate in tale contesto agli interessati, cosi' come individuate dal richiamo, effettuato per r
L'art. 11,comma 5, e' stato, invece, considerato incompatibile, in quanto le circostanze in cui non e' necessario acquisire il consenso dell'interessato sono state individuate nel provvedimento prescrittivo adottato dal garante ai sensi dell'art. 21 del
L'art. 14«Conservazione dei dati» e' stato aggiornato al primo comma con il rinvio al principio di limitazione della conservazione di cui all'art. 5, § 1, lettera e del Regolamento. Le parti successive sono state eliminate in quanto sono risultate incomp
L'art. 15«Misure di sicurezza» e' stato ritenuto incompatibile, in quanto gli aspetti relativi alla sicurezza dei dati sono oggetto ora di specifiche previsioni del Regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un di
L'art. 16«Esercizio dei diritti dell'interessato», al comma 1, e' stato considerato incompatibile, in quanto consentirebbe al titolare la possibilita' di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, come richiesto,
Art. 1.Definizioni
Art. 2Ambito di applicazione
Art. 3Presupposti dei trattamenti
Art. 4Identificabilita' dell'interessato
Art. 5Criteri per la valutazione del rischio di identificazione


 ^  L'art. 20, commi 3 e 4, del decreto legislativo 101 del 2018 ha conferito al garante il compito di verificare, nel termine di novanta giorni dalla sua entrata in vigore, la conformita' al regolamento delle disposizioni contenute nei codici di deontologia

1. Modifiche generali Preliminarmente, si osserva che si e' reso necessario aggiornare i riferimenti normativi presenti nel Codice di deontologia e la semantica utilizzata rispetto al rinnovato quadro normativo europeo e nazionale di riferimento.
Si e' reso necessario, inoltre, eliminare il preambolo del Codice di deontologia, dovendosi, in base al richiamato art. 20 del decreto legislativo 101 del 2018, ridenominare solo le disposizioni dello stesso.
Cionondimeno, i principi e le fonti di diritto sovranazionale ivi richiamati, sono in ogni caso da ritenersi a fondamento dei trattamenti di dati personali effettuati per scopi statistici o di ricerca scientifica nell'ambito del Sistema statistico nazionale.
2. Disposizioni ritenute incompatibili


 ^  Art. 3, «Identificabilita' dell'interessato», e' stato ritenuto necessario, in primo luogo, sostituire la parola «identificativi» con la seguente locuzione «che ... identificano» l'unita' statistica, al comma 1, lett. a, in quanto la definizione di «dati

Art. 3, «Identificabilita' dell'interessato», e' stato ritenuto necessario, in primo luogo, sostituire la parola «identificativi» con la seguente locuzione «che ... identificano» l'unita' statistica, al comma 1, lett. a), in quanto la definizione di «dati identificativi» di cui all'art. 4, comma 1, lett. c), del Codice e' stata abrogata dal decreto legislativo n. 101 del 2018, e non e' piu' prevista dal regolamento; in secondo luogo, il comma 1, lett. c), e' stato ritenuto incompatibile nella misura in cui introduceva, per la valutazione del rischio di identificabilita' degli interessati, dei parametri predefiniti che non sono in linea con il quadro giuridico introdotto dal regolamento. Rispetto alle indicazioni fornite dal considerando 26, che per l'identificabilita' di una persona indica, in particolare, che si tengano in considerazione «tutti i mezzi» di cui il titolare puo' ragionevolmente avvalersi, la disposizione in esame poneva come parametri predefiniti la tipologia di dati comunicati o diffusi, la proporzione tra i mezzi per l'identificazione e la lesione o il pericolo di lesione dei diritti degli interessati, cio' anche alla luce del vantaggio che ne poteva trarre il titolare. Tale disposizione, quindi, nel fornire ai titolari delle coordinate per valutare l'identificabilita' dell'interessato attualmente superate, manifestava anche un approccio alla definizione e valutazione del rischio piu' circoscritte rispetto a quella del regolamento in cui tale valutazione deve tener conto delle nuove tecnologie utilizzate, della natura, dell'oggetto, del contesto e delle finalita' di ogni tipo di trattamento (cfr. anche cons., 84, 89, 93 e 95 e artt. 5, § 1, lett. e), 24, 35 e 36 del regolamento).


 ^  L'art. 4, «Criteri per la valutazione del rischio di identificazione», e' stato mantenuto considerandosi, in via generale, compatibile con il regolamento, nella misura in cui si limita a fornire alcuni parametri, orientativi, non esaustivi, per la valutaz

L'art. 4, «Criteri per la valutazione del rischio di identificazione», e' stato mantenuto considerandosi, in via generale, compatibile con il regolamento, nella misura in cui si limita a fornire alcuni parametri, orientativi, non esaustivi, per la valutazione del rischio di identificazione degli interessati. Al fine di assicurarne un'applicazione conforme al regolamento, si e', tuttavia, ritenuto necessario modificarlo con l'aggiunta di un «anche» (al primo comma, tra le parole «tiene conto» e «dei seguenti»), affinche' sia chiaro che i parametri ivi indicati devono, comunque, considerarsi meramente esemplificativi e soprattutto non alternativi rispetto al nuovo quadro giuridico introdotto dal regolamento sopra descritto.
Parimenti, e' risultato compatibile con il regolamento -salvi i necessari aggiornamenti ai riferimenti normativi- l'art. 4-bis ,»Trattamento di dati personali, sensibili e giudiziari, nell'ambito del programma statistico nazionale» in base a quale, «nel Programma statistico nazionale sono illustrate le finalita' perseguite e le garanzie previste dal D.LGS. 6 settembre 1989, n. 322 e dal D.LGS. 30 giugno 2003, n. 196 e successive modificazioni e integrazioni e dalle presenti regole deontologiche. Il Programma indica, altresi', i dati di cui agli artt. 9, § 1, e 10 del regolamento, le rilevazioni per le quali i dati sono trattati e le modalita' di trattamento. Il Programma e' adottato, con riferimento ai dati personali, sensibili e giudiziari, sentito il garante per la protezione dei dati personali, ai sensi dell'art. 58, § 3 lett. b) del regolamento».
Giova, infatti, evidenziare che tale norma e' stata introdotta nel Codice di deontologia di cui trattasi con provvedimento del garante 170 del 24 luglio 2014, su sollecitazione dell'Istat, a seguito dell'abrogazione dell'art. 6-bis, comma 2, del decreto legislativo n. 322 del 1989 (cfr. art. 8-bis, D.L. 31 agosto 2013, n. 101, convertito con modificazioni in Legge 30 ottobre 2013, n. 125), che aveva un contenuto sostanzialmente analogo.
Resta fermo che tale disposizione non e', in ogni caso, da sola, sufficiente a legittimare il trattamento, nell'ambito del Piano statistico nazionale, delle particolari categorie di dati e dei dati relativi a condanne penali e reati. La base giuridica e le condizioni di liceita' per il trattamento di tali dati, nell'ambito del Piano statistico nazionale, e', infatti, costituita anche, per le categorie particolari di dati, dall'art. 9 del regolamento e dagli articoli 2-sexies e 107 del codice, e, per i dati relativi a condanne penali e reati, dall'art. 10 del regolamento e dagli articoli 2-sexies e 2-octies del Codice.


 ^  L'art. 5, comma 2, lett. c, e' stato considerato incompatibile nella parte in cui, tra i presupposti del trattamento delle particolari categorie di dati da parte di soggetti privati che partecipano al Sistema statistico nazionale, prevedeva la preventiva

L'art. 5, comma 2, lett. c), e' stato considerato incompatibile nella parte in cui, tra i presupposti del trattamento delle particolari categorie di dati da parte di soggetti privati che partecipano al Sistema statistico nazionale, prevedeva la preventiva autorizzazione del garante. Cio', in quanto, nel nuovo quadro normativo, risulta molto circoscritto l'ambito di applicazione dell'istituto dell'autorizzazione del garante (cfr. art. 36, § 5, del regolamento, art. 110-bis del Codice e art. 21 del decreto legislativo n. 101 del 2018).
Sono stati modificati il titolo del capo II da «informativa, comunicazione e diffusione» in «informazioni agli interessati, comunicazione e diffusione» e la rubrica dell'art. 6 da «Informativa» a «Informazioni agli interessati», ai sensi degli artt. 13 e 14 del regolamento.


 ^  L'art. 6 disciplina le ipotesi di impossibilita' di fornire le informazioni direttamente agli interessati quando i dati sono raccolti presso terzi. Tale articolo e' stato considerato incompatibile nella parte in cui, al comma 2, disponeva che il titolare

L'art. 6 disciplina le ipotesi di impossibilita' di fornire le informazioni direttamente agli interessati quando i dati sono raccolti presso terzi. Tale articolo e' stato considerato incompatibile nella parte in cui, al comma 2, disponeva che il titolare dovesse preventivamente comunicare al garante le modalita' individuate per dare pubblicita' all'informativa, il quale avrebbe potuto prescrivere eventuali misure e accorgimenti. Cio', in quanto, in conformita' all'art. 14 del regolamento, il coinvolgimento del garante non e' piu' richiesto.
La disposizione e' risultata, inoltre, incompatibile con il regolamento nella parte in cui consentiva al titolare di fornire agli interessati un'informativa differita per la parte riguardante le specifiche finalita' e modalita' del trattamento, qualora cio' risultasse necessario per il raggiungimento dell'obiettivo dell'indagine (art. 6, comma 3). L'art. 13 del regolamento, infatti, non prevede alcuna forma di deroga o semplificazione agli obblighi informativi quando i dati sono raccolti presso gli interessati.
E' stato, altresi', considerato incompatibile il comma 4 dell'articolo in esame, in quanto, nel prevedere la possibilita' che il titolare possa raccogliere dati personali presso un soggetto rispondente in nome e per conto di un altro (cd. proxy), non prevedeva le specifiche circostanze in cui tale modalita' di raccolta era ammessa (art. 105, comma 3, del codice).


 ^  L'art. 7, commi 2, 3 e 4, relativo alla comunicazione di dati personali a ricercatori di universita' o a istituti o enti di ricerca a soci di societa' scientifiche, non facenti parte del Sistema statistico nazionale, e l'art. 8, sulla comunicazione dei da

L'art. 7, commi 2, 3 e 4, relativo alla comunicazione di dati personali a ricercatori di universita' o a istituti o enti di ricerca a soci di societa' scientifiche, non facenti parte del Sistema statistico nazionale, e l'art. 8, sulla comunicazione dei dati tra soggetti del Sistema statistico nazionale, sono stati considerati non conformi al rinnovato quadro normativo in quanto, ai sensi degli artt. 6, § 3, del regolamento e 2-ter del codice, si richiede una norma di legge o, nei casi previsti dalla legge, di regolamento per la comunicazione di dati tra soggetti pubblici o tra soggetti che svolgono compiti di interesse pubblico, quali sono i soggetti del Sistema statistico nazionale. Cio', tenuto anche conto delle condizioni individuate nello specifico quadro normativo di settore in materia accesso per fini scientifici ai dati elementari raccolti per finalita' statistiche, di cui all'art. 5-ter del decreto legislativo n. 33 del 2013, che, di recente, ha trovato piena applicazione con l'approvazione da parte del Comstat delle linee guida per l'accesso a fini scientifici ai dati elementari del Sistema statistico nazionale (Gazzetta Ufficiale n. 287 dell'11 dicembre 2018).
E' stato modificato il titolo del capo III da «sicurezza e regole di condotta» in «disposizioni finali».
All'art. 11, «Conservazione dei dati», e' stato ritenuto necessario abrogare al comma 1, dalle parole «in tali casi» alle parole «finalita' perseguite», in quanto tali previsioni individuano predefiniti e specifici casi di deroga al principio di limitazione della conservazione di cui all'art. 5, § 1, lett. e), del regolamento che, pur ammettendo deroghe per i trattamenti effettuati a fini statistici e di ricerca scientifica, richiede, oltre a una valutazione del rischio, caso per caso, a cura del titolare (artt. 24 e 35 del regolamento), l'individuazione di misure tecniche e organizzative adeguate a tutela dell'interessato. Cio' vale anche per il comma 2, poiche' anche le garanzie previste dall'art. 6-bis, comma 6, del D.LGS. 6 settembre 1989, n. 322, devono essere applicate alla luce delle predette considerazioni.


 ^  L'art. 12, «Misure di sicurezza», e' stato ritenuto incompatibile, in quanto gli aspetti ivi disciplinati sono oggetto ora di specifiche previsioni del regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un diverso approcci

L'art. 12, «Misure di sicurezza», e' stato ritenuto incompatibile, in quanto gli aspetti ivi disciplinati sono oggetto ora di specifiche previsioni del regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un diverso approccio alle misure di sicurezza che devono esser individuate, fin dalla progettazione e per impostazione predefinita (artt. 24 e 25 del regolamento), in conformita' all'art. 32 del regolamento. L'articolo, inoltre, forniva specifiche indicazioni per l'individuazione dei diversi livelli di accesso (natura dei dati e funzioni dei soggetti coinvolti) ai dati da parte dei soggetti legittimati che attualmente devono essere definiti alla luce dei, piu' ampi, criteri di cui all'art. 25, par. 2, del regolamento, in omaggio ai richiamati principi di privacy by default e by design.


 ^  L'art. 13, «Esercizio dei diritti», comma 1, e' stato considerato incompatibile, in quanto, consentirebbe al titolare la possibilita' di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, come richiesto, invece, dall'art.

L'art. 13, «Esercizio dei diritti», comma 1, e' stato considerato incompatibile, in quanto, consentirebbe al titolare la possibilita' di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, come richiesto, invece, dall'art. 89 del regolamento.
E' stata, infine, riformulata, la rubrica dell'art. 14, in «Disposizioni finali», onde evitare ambiguita' rispetto alle regole deontologiche di cui all'art. 2-quater del codice e con i futuri codici di condotta, di cui all'art. 40 del regolamento.
3. Regole deontologiche I predetti elementi, relativi all'aggiornamento della disciplina in materia, sono recepiti nelle «Regole deontologiche per il trattamento a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale» in ragione di quanto disposto dall'art. 20, comma 4, del decreto legislativo n. 101/2018 e riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante.
Tali «Regole deontologiche» sono volte a disciplinare i trattamenti in questione in attesa di un auspicabile aggiornamento delle stesse ai sensi degli artt. 2-quater e 106 e seguenti del Codice. Pertanto, si dispone la trasmissione delle suddette «Regole deontologiche» all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la relativa pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell'allegato A) al Codice.
Tutto cio' premesso il Garante Ai sensi dell'art. 20, comma 4, del decreto legislativo n. 101/2018, verificata la conformita' al regolamento delle disposizioni del Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale, allegato A.3 al Codice, dispone che le medesime, riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante, siano pubblicate come «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale» e ne dispone, altresi', la trasmissione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell'allegato A) al Codice.
Roma, 19 dicembre 2018
Il presidente:
Soro Il relatore:
Califano Il segretario generale:
Busia REGOLE DEONTOLOGICHE PER TRATTAMENTI A FINI STATISTICI O DI RICERCA SCIENTIFICA EFFETTUATI NELL'AMBITO DEL SISTEMA STATISTICO NAZIONALE.))


 ^  Art. 1. Ambito di applicazione

Art. 1.
((Ambito di applicazione))
((1. Le regole deontologiche si applicano ai trattamenti di dati personali per scopi statistici effettuati da:
a) enti ed uffici di statistica che fanno parte o partecipano al Sistema statistico nazionale, per l'attuazione del programma statistico nazionale o per la produzione di informazione statistica, in conformita' ai rispettivi ambiti istituzionali;
b) strutture diverse dagli uffici di cui alla lettera a), ma appartenenti alla medesima amministrazione o ente, qualora i relativi trattamenti siano previsti dal programma statistico nazionale e gli uffici di statistica attestino le metodologie adottate, osservando le disposizioni contenute nel D.LGS. 6 settembre 1989, n. 322, nel regolamento, nel Codice e successive modificazioni e integrazioni, nonche' nelle presenti regole deontologiche)).


 ^  Art. 2 Definizioni

Art. 2
((Definizioni))
((1. Ai fini delle presenti regole deontologiche si applicano le definizioni elencate nell'art. 4 del regolamento. Ai fini medesimi, si intende inoltre per:
a) «trattamento per scopi statistici», qualsiasi trattamento effettuato per finalita' di indagine statistica o di produzione, conservazione e diffusione di risultati statistici in attuazione del programma statistico nazionale o per effettuare informazione statistica in conformita' agli ambiti istituzionali dei soggetti di cui all'art. 1;
b) «risultato statistico», l'informazione ottenuta con il trattamento di dati personali per quantificare aspetti di un fenomeno collettivo;
c) «variabile pubblica», il carattere o la combinazione di caratteri, di tipo qualitativo o quantitativo, oggetto di una rilevazione statistica che faccia riferimento ad informazioni presenti in pubblici registri, elenchi, atti, documenti o fonti conoscibili da chiunque;
d) «unita' statistica», l'entita' alla quale sono riferiti o riferibili i dati trattati)).


 ^  Art. 3 Identificabilita' dell'interessato

Art. 3
((Identificabilita' dell'interessato))
((1. Agli effetti dell'applicazione delle presenti regole:
a) un interessato si ritiene identificabile quando, con l'impiego di mezzi ragionevoli, e' possibile stabilire un'associazione significativamente probabile tra la combinazione delle modalita' delle variabili relative ad una unita' statistica e i dati che la identificano;
b) i mezzi ragionevolmente utilizzabili per identificare un interessato afferiscono, in particolare, alle seguenti categorie: risorse economiche; risorse di tempo; archivi nominativi o altre fonti di informazione contenenti dati identificativi congiuntamente ad un sottoinsieme delle variabili oggetto di comunicazione o diffusione; archivi, anche non nominativi, che forniscano ulteriori informazioni oltre a quelle oggetto di comunicazione o diffusione; risorse hardware e software per effettuare le elaborazioni necessarie per collegare informazioni non nominative ad un soggetto identificato, tenendo anche conto delle effettive possibilita' di pervenire in modo illecito alla sua identificazione in rapporto ai sistemi di sicurezza ed al software di controllo adottati; conoscenza delle procedure di estrazione campionaria, imputazione, correzione e protezione statistica adottate per la produzione dei dati)).


 ^  Art. 4 Criteri per la valutazione del rischio di identificazione

Art. 4
((Criteri per la valutazione del rischio di identificazione))
((1. Ai fini della comunicazione e diffusione di risultati statistici, la valutazione del rischio di identificazione tiene conto anche dei seguenti criteri:
a) si considerano dati aggregati le combinazioni di modalita' alle quali e' associata una frequenza non inferiore a una soglia prestabilita, ovvero un'intensita' data dalla sintesi dei valori assunti da un numero di unita' statistiche pari alla suddetta soglia. Il valore minimo attribuibile alla soglia e' pari a tre;
b) nel valutare il valore della soglia si deve tenere conto del livello di riservatezza delle informazioni;
c) i risultati statistici relativi a sole variabili pubbliche non sono soggetti alla regola della soglia;
d) la regola della soglia puo' non essere osservata qualora il risultato statistico non consenta ragionevolmente l'identificazione di unita' statistiche, avuto riguardo al tipo di rilevazione e alla natura delle variabili associate;
e) i risultati statistici relativi a una stessa popolazione possono essere diffusi in modo che non siano possibili collegamenti tra loro o con altre fonti note di informazione, che rendano possibili eventuali identificazioni;
f) si presume che sia adeguatamente tutelata la riservatezza nel caso in cui tutte le unita' statistiche di una popolazione presentino la medesima modalita' di una variabile.
2. Nel programma statistico nazionale sono individuate le variabili che possono essere diffuse in forma disaggregata, ove cio' risulti necessario per soddisfare particolari esigenze conoscitive anche di carattere internazionale o comunitario.
3. Nella comunicazione di collezioni campionarie di dati, il rischio di identificazione deve essere per quanto possibile contenuto. Tale limite e la metodologia per la stima del rischio di identificazione sono individuati dall'Istat che, attenendosi ai criteri di cui all'art. 3 definisce anche le modalita' di rilascio dei dati dandone comunicazione alla Commissione per la garanzia dell'informazione statistica)).


 ^  Art. 4-bis Trattamento di particolari categorie di dati e di dati relativi a condanne penali e reati, nell'ambito del Programma statistico nazionale

Art. 4-bis
((Trattamento di particolari categorie di dati e di dati relativi a condanne penali e reati, nell'ambito del Programma statistico nazionale))
((Nel Programma statistico nazionale sono illustrate le finalita' perseguite e le garanzie previste dal D.LGS. 6 settembre 1989, n. 322 e dal D.LGS. 30 giugno 2003, n. 196 e successive modificazioni e integrazioni e dalle presenti regole deontologiche. Il Programma indica altresi' i dati di cui agli artt. 9, par. 1, e 10 del regolamento, le rilevazioni per le quali i dati sono trattati e le modalita' di trattamento. Il Programma e' adottato, con riferimento ai dati personali, di cui agli art. 9 e 10 del regolamento, sentito il garante per la protezione dei dati personali, ai sensi dell'art. 58, par. 3, lett. b) regolamento)).


 ^  Art. 5 Trattamento di particolari categorie di dati di cui all'art. 9, par. 1, del regolamento, da parte di soggetti privati

Art. 5
((Trattamento di particolari categorie di dati di cui all'art. 9, par. 1, del regolamento, da parte di soggetti privati))
((1. I soggetti privati che partecipano al Sistema statistico nazionale ai sensi della Legge 28 aprile 1998, n. 125, raccolgono o trattano ulteriormente particolari categorie di dati per scopi statistici di regola in forma anonima, fermo restando quanto previsto dall'art. 6-bis, comma 1, del D.LGS. 6 settembre 1989, n. 322, come introdotto dal D.LGS. 30 luglio 1999, n. 281, e successive modificazioni e integrazioni.
2. In casi particolari in cui scopi statistici, legittimi e specifici, del trattamento delle particolari categorie di dati non possono essere raggiunti senza l'identificazione anche temporanea degli interessati, per garantire la legittimita' del trattamento medesimo e' necessario che concorrano i seguenti presupposti:
a) l'interessato abbia espresso liberamente il proprio consenso sulla base degli elementi previsti nelle informazioni sul trattamento di dati personali di cui all'art. 13 del regolamento;
b) il titolare adotti specifiche misure per mantenere separati i dati identificativi gia' al momento della raccolta, salvo che cio' risulti irragionevole o richieda uno sforzo manifestamente sproporzionato;
c) il trattamento sia compreso nel programma statistico nazionale.
3. Il consenso e' manifestato per iscritto. Qualora la raccolta delle particolari categorie di dati sia effettuata con particolari modalita', quali interviste telefoniche o assistite da elaboratore, il consenso, purche' espresso, puo' essere documentato per iscritto. In tal caso, la documentazione delle informazioni rese all'interessato e dell'acquisizione del relativo consenso e' conservata dal titolare del trattamento per tre anni)).


 ^  L'art. 20, commi 3 e 4, del decreto legislativo 101 del 2018 ha conferito al garante il compito di verificare, nel termine di 90 giorni dalla sua entrata in vigore, la conformita' al regolamento delle disposizioni contenute nei codici di deontologia e buo

1. Modifiche generali.
Preliminarmente, si osserva che si e' reso necessario aggiornare i riferimenti normativi presenti nel Codice di deontologia e la semantica utilizzata rispetto al rinnovato quadro normativo europeo e nazionale di riferimento.
Si e' reso necessario, inoltre, eliminare il preambolo del Codice di deontologia, dovendosi, in base al richiamato art. 20 del decreto legislativo n. 101 del 2018, ridenominare solo le disposizioni dello stesso.
Cionondimeno, i principi e le fonti di diritto sovranazionale ivi richiamati, sono, in ogni caso, da ritenersi a fondamento dei trattamenti di dati personali effettuati a fini di ricerca scientifica o statistici (cons. 159 e 162 del Regolamento).
2. Disposizioni ritenute incompatibili.
All'art. 1, comma 1, lettera c), e' stata eliminata la definizione di «dato identificativo indiretto», in quanto tale definizione e' stata ritenuta incompatibile con il Regolamento. Il legislatore nazionale, infatti, nell'adeguare il Codice al Regolamento, con il decreto legislativo n. 101 del 2018, ha abrogato l'art. 4, comma 1, lettera c), del Codice, che conteneva la definizione di «dati identificativi», da intendersi come i «dati personali che permettono l'identificazione diretta dell'interessato».
Resta, invece valida la definizione di «istituto o ente di ricerca», di cui alla lettera e), dell'articolo in esame, che deve esser interpretata alla luce del nuovo quadro normativo di settore di cui all'art. 5-ter del decreto legislativo 33 del 2013, che ha demandato al Comstat l'individuazione, sentito il garante, dei criteri per il riconoscimento degli enti di ricerca e delle strutture di ricerca di istituzioni pubbliche e private, avuto riguardo agli scopi istituzionali perseguiti, all'attivita' svolta e all'organizzazione interna in relazione all'attivita' di ricerca, nonche' alle misure adottate per garantire la sicurezza dei dati. Tali criteri sono stati di recente individuati nelle linee guida per l'accesso a fini scientifici ai dati elementari del Sistema statistico nazionale (Gazzetta Ufficiale n. 287 dell'11 dicembre 2018).


 ^  L'art. 4, «Identificabilita' dell'interessato», e' stato ritenuto necessario, in primo luogo, sostituire la parola «identificativi», al comma 1, lettera a, con la seguente locuzione «dati che ... identificano» l'unita' statistica in quanto la definizione

L'art. 4, «Identificabilita' dell'interessato», e' stato ritenuto necessario, in primo luogo, sostituire la parola «identificativi», al comma 1, lettera a), con la seguente locuzione «dati che ... identificano» l'unita' statistica in quanto la definizione di «dati identificativi» di cui all'art. 4, comma 1, lettera c), del Codice e' stata abrogata dal decreto legislativo n. 101 del 2018, e non e' piu' prevista dal Regolamento; in secondo luogo, il comma 1, lettera c), e' stato ritenuto incompatibile nella misura in cui introduceva, per la valutazione del rischio di identificabilita' degli interessati, dei parametri predefiniti che non sono in linea con il quadro giuridico introdotto dal Regolamento. Rispetto alle indicazioni fornite dal considerando 26, che per l'identificabilita' di una persona indica, in particolare, che si tengano in considerazione «tutti i mezzi» di cui il titolare puo' ragionevolmente avvalersi, la disposizione in esame poneva come parametri predefiniti la tipologia di dati comunicati o diffusi, la proporzione tra i mezzi per l'identificazione e la lesione o il pericolo di lesione dei diritti degli interessati, cio' anche alla luce del vantaggio che ne poteva trarre il titolare. Tale disposizione, quindi, nel fornire ai titolari delle coordinate per valutare l'identificabilita' dell'interessato attualmente superate, manifestava anche un approccio alla definizione e valutazione del rischio piu' circoscritte rispetto a quella del Regolamento in cui tale valutazione deve tener conto delle nuove tecnologie utilizzate, della natura, dell'oggetto, del contesto e delle finalita' di ogni tipo di trattamento, (cfr. anche cons. 84, 89, 93 e 95 e articoli 5, § 1, lettera e), 24, 35 e 36 del Regolamento).


 ^  L'art. 5, «Criteri per la valutazione del rischio di identificazione», e' stato mantenuto considerandosi, in via generale, compatibile con il Regolamento, nella misura in cui si limita a fornire alcuni parametri, orientativi, non esaustivi, per la valutaz

L'art. 5, «Criteri per la valutazione del rischio di identificazione», e' stato mantenuto considerandosi, in via generale, compatibile con il Regolamento, nella misura in cui si limita a fornire alcuni parametri, orientativi, non esaustivi, per la valutazione del rischio di identificazione degli interessati. Al fine di assicurarne un'applicazione conforme al Regolamento, si e', tuttavia, ritenuto necessario modificarlo con l'aggiunta di un «anche» (al primo comma, tra le parole «tiene conto» e «dei seguenti»), affinche' sia chiaro che i parametri ivi indicati devono, comunque, considerarsi meramente esemplificativi e, soprattutto, non alternativi rispetto al nuovo quadro giuridico introdotto dal Regolamento sopra descritto.
Sono stati modificati il titolo del Capo II da «Informativa, comunicazione e diffusione» in «Informazioni agli interessati, comunicazione e diffusione» e la rubrica dell'art. 6 da «Informativa» a «Informazioni agli interessati», per omogeneita' con il Regolamento.


 ^  L'art. 6, «Informazioni agli interessati», il comma 2 e' risultato incompatibile con il Regolamento nella parte in cui prevedeva alcune deroghe all'obbligo di informativa in caso di raccolta dei dati presso gli interessati. In particolare, tale comma e' s

L'art. 6, «Informazioni agli interessati», il comma 2 e' risultato incompatibile con il Regolamento nella parte in cui prevedeva alcune deroghe all'obbligo di informativa in caso di raccolta dei dati presso gli interessati. In particolare, tale comma e' stato eliminato, che consentiva di fornire un'informativa differita, per la parte riguardante le specifiche finalita' e modalita' del trattamento, qualora cio' risultasse necessario per il raggiungimento dell'obiettivo dell'indagine. Cio', in quanto l'art. 13 del Regolamento non prevede alcuna forma di deroga o semplificazione agli obblighi informativi quando i dati sono raccolti presso gli interessati.


 ^  L'art. 6, comma 3, che consente ad un soggetto di rispondere in nome e per conto di un altro, e' stato considerato compatibile con il Regolamento e con l'art. 105, comma 3, del Codice, in quanto definisce le specifiche circostanze in cui tale modalita' di

L'art. 6, comma 3, che consente ad un soggetto di rispondere in nome e per conto di un altro, e' stato considerato compatibile con il Regolamento e con l'art. 105, comma 3, del Codice, in quanto definisce le specifiche circostanze in cui tale modalita' di raccolta e' possibile. Sul punto, tuttavia, deve precisarsi che, il principio di responsabilizzazione impone, in ogni caso, al titolare del trattamento di porre in essere specifiche misure per verificare, ed essere in grado di dimostrare, che il rispondente sia effettivamente legittimato a fornire i dati di un terzo.
E' stato altresi' ritenuto incompatibile l'art. 6, comma 4, che individuava alcuni casi di deroga all'obbligo di fornire, informazioni agli interessati quando i dati sono raccolti presso terzi, disponendo che il titolare dovesse dare preventiva informazione al garante delle modalita' prescelte, tra quelle indicate a titolo esemplificativo dalla norma. Parimenti, e' stato considerato incompatibile il comma 5 dell'articolo in esame, nella parte in cui, qualora il titolare avesse ritenuto di non utilizzare le forme di pubblicita' indicate al comma 4, poteva individuare idonee forme di pubblicita' da comunicare preventivamente al garante, che poteva prescrivere eventuali misure e accorgimenti. L'art. 14, § 5, lettera b), del Regolamento ora prevede, infatti, che le informazioni in caso di raccolta di dati presso terzi possano essere omesse nel caso in cui la comunicazione di tali informazioni risultasse impossibile o implicherebbe uno sforzo sproporzionato. Con particolare riferimento ai trattamenti a fini di ricerca scientifica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'art. 89, § 1, non vi e', inoltre, l'obbligo di informare l'interessato nella misura in cui cio' rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalita' di tale trattamento. In tali casi, il titolare del trattamento e' tenuto comunque ad adottare misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni.


 ^  L'art. 7 «Consenso» e' stato eliminato perche' le condizioni di liceita' del trattamento, ed in particolare le condizioni per il consenso, sono disciplinate nel Regolamento articoli 6 e 7.

L'art. 7 «Consenso» e' stato eliminato perche' le condizioni di liceita' del trattamento, ed in particolare le condizioni per il consenso, sono disciplinate nel Regolamento (articoli 6 e 7).


 ^  L'art. 8 «Comunicazione e diffusione dei dati» e' stato considerato incompatibile in quanto i presupposti di liceita' di tali operazioni di trattamento sono adesso individuate nel Regolamento articoli 6, 9 e 10 e nel Codice articoli 2-ter, 2-sexies, 2-sep

L'art. 8 «Comunicazione e diffusione dei dati» e' stato considerato incompatibile in quanto i presupposti di liceita' di tali operazioni di trattamento sono adesso individuate nel Regolamento (articoli 6, 9 e 10) e nel Codice (articoli 2-ter, 2-sexies, 2-septies e 2-octies).
L'articolo in esame e' stato, inoltre, considerato incompatibile nella parte in cui, al comma 4, ultimo alinea, e al comma 5 disciplinava il trasferimento di dati personali verso paesi terzi, adesso normato agli articoli 44 e seguenti del Regolamento.
E' stata modificata la rubrica dell'art. 9 da «Trattamento di dati sensibili o giudiziari» in «Trattamento di categorie particolari di dati personali e di dati relativi a condanni penali e reati».
Fermi restando i presupposti di liceita' del trattamento dei dati indicati nella rubrica dell'articolo in esame, nel Regolamento (articoli 6, e 9 e 10) e nel Codice (articoli 2-ter, 2-sexies, 2-septies e 2-octies), l'art. 9, commi 2 e 3, e' stato considerato incompatibile con il Regolamento nella misura in cui tali previsioni individuano predefiniti e specifici casi di applicazione del principio di minimizzazione di cui all'art. 5, § 1, lettera c), del Regolamento che pur tendo conto della specificita' dei trattamenti effettuati a fini statistici e di ricerca scientifica, richiede, oltre a una valutazione del rischio, caso per caso a cura del titolare, l'individuazione di misure tecniche e organizzative adeguate a tutela dell'interessato (articoli 24 e 35 del Regolamento).


 ^  L'art. 9, commi 4, lettera c, 5 e 6, e' stato, invece, considerato incompatibile laddove individuava condizioni di liceita' del trattamento per i dati sensibili o giudiziari differenti rispetto a quelle previste ora dal Regolamento e dal Codice.

L'art. 9, commi 4, lettera c), 5 e 6, e' stato, invece, considerato incompatibile laddove individuava condizioni di liceita' del trattamento per i dati sensibili o giudiziari differenti rispetto a quelle previste ora dal Regolamento e dal Codice.


 ^  L'art. 10 «Dati genetici» e' stato considerato incompatibile in quanto il trattamento di tali dati deve essere effettuato in conformita' all'art. 9 del Regolamento, all'art. 2-sexies, alle prescrizioni individuate dal garante ai sensi dell'art. 21, del de

L'art. 10 «Dati genetici» e' stato considerato incompatibile in quanto il trattamento di tali dati deve essere effettuato in conformita' all'art. 9 del Regolamento, all'art. 2-sexies, alle prescrizioni individuate dal garante ai sensi dell'art. 21, del decreto legislativo 101 del 2018 e alle specifiche misure di garanzia che l'Autorita' e' chiamata ad adottare ai sensi dell'art. 2-septies del Codice.


 ^  L'art. 11 «Disposizioni particolari per la ricerca medica, biomedica ed epidemiologica» e' stato modificato al comma 4 al solo fine di confermare le tutele assicurate in tale contesto agli interessati, cosi' come individuate dal richiamo, effettuato per r

L'art. 11 «Disposizioni particolari per la ricerca medica, biomedica ed epidemiologica» e' stato modificato al comma 4 al solo fine di confermare le tutele assicurate in tale contesto agli interessati, cosi' come individuate dal richiamo, effettuato per relationem, all'art. 84 del Codice, ora abrogato. Restano ferme, in ogni caso, le misure di garanzia che saranno individuate dal garante, ai sensi dell'art. 2-septies, comma 4, lettera c).


 ^  L'art. 11, comma 5, e' stato, invece, considerato incompatibile, in quanto le circostanze in cui non e' necessario acquisire il consenso dell'interessato sono state individuate nel provvedimento prescrittivo adottato dal garante ai sensi dell'art. 21 del

L'art. 11, comma 5, e' stato, invece, considerato incompatibile, in quanto le circostanze in cui non e' necessario acquisire il consenso dell'interessato sono state individuate nel provvedimento prescrittivo adottato dal garante ai sensi dell'art. 21 del decreto legislativo 101 del 2018 mentre le condizioni di liceita' del trattamento per le finalita' in esame sono previste dall'art. 110 del Codice.
E' stato modificato il titolo del Capo III da «Sicurezza e regole di condotta» in «Disposizioni finali».


 ^  L'art. 14 «Conservazione dei dati» e' stato aggiornato al primo comma con il rinvio al principio di limitazione della conservazione di cui all'art. 5, § 1, lettera e del Regolamento. Le parti successive sono state eliminate in quanto sono risultate incomp

L'art. 14 «Conservazione dei dati» e' stato aggiornato al primo comma con il rinvio al principio di limitazione della conservazione di cui all'art. 5, § 1, lettera e) del Regolamento. Le parti successive sono state eliminate in quanto sono risultate incompatibili con tale principio che unitamente al principio di responsabilizzazione , impone al titolare una nuova prospettiva e nuovi adempimenti per la valutazione del rischio, al fine di individuare, di volta in volta, adeguate misure, tecniche e organizzative, a garanzia degli interessati (articoli 24 e 35 del Regolamento).


 ^  L'art. 15 «Misure di sicurezza» e' stato ritenuto incompatibile, in quanto gli aspetti relativi alla sicurezza dei dati sono oggetto ora di specifiche previsioni del Regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un di

L'art. 15 «Misure di sicurezza» e' stato ritenuto incompatibile, in quanto gli aspetti relativi alla sicurezza dei dati sono oggetto ora di specifiche previsioni del Regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un diverso approccio alle misure di sicurezza che devono esser individuate, fin dalla progettazione e per impostazione predefinita (articoli 24 e 25 del Regolamento), in conformita' all'art. 32 del Regolamento.


 ^  L'art. 16 «Esercizio dei diritti dell'interessato», al comma 1, e' stato considerato incompatibile, in quanto consentirebbe al titolare la possibilita' di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, come richiesto,

L'art. 16 «Esercizio dei diritti dell'interessato», al comma 1, e' stato considerato incompatibile, in quanto consentirebbe al titolare la possibilita' di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, come richiesto, invece, dall'art. 89 del Regolamento. Il comma 2, e' stato riformulato per renderlo conforme al Regolamento.
E' stata, infine, aggiornata, la rubrica dell'art. 17, in «Disposizioni finali», onde evitare ambiguita' rispetto alle regole deontologiche di cui all'art. 2-quater del Codice e con i futuri codici di condotta, di cui all'art. 40 del Regolamento.
3. Regole deontologiche.
I predetti elementi, relativi all'aggiornamento della disciplina in materia, sono recepiti nelle «Regole deontologiche per il trattamento a fini statistici o di ricerca» in ragione di quanto disposto dall'art. 20, comma 4, del decreto legislativo n. 101/2018 e riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante.
Tali «Regole deontologiche» sono volte a disciplinare i trattamenti in questione in attesa di un auspicabile aggiornamento delle stesse ai sensi degli articoli 2-quater e 106 e seguenti del Codice. Pertanto, si dispone la trasmissione delle suddette «Regole deontologiche» all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la relativa pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell'Allegato A) al Codice.
Tutto cio' premesso il garante Ai sensi dell'art. 20, comma 4, del decreto legislativo n. 101/2018, verificata la conformita' al regolamento delle disposizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e di ricerca scientifica, allegato A.4 al Codice, dispone che le medesime, riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante, siano pubblicate come «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica» e ne dispone, altresi', la trasmissione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell'Allegato A) al Codice.
Roma, 19 dicembre 2018
Il presidente Soro Il segretario generale Busia Il relatore Bianchi Clerici REGOLE DEONTOLOGICHE PER TRATTAMENTi A FINI STATISTICI O DI RICERCA SCIENTIFICA))


 ^  Art. 1. Definizioni

Art. 1.
((Definizioni))
((1. Ai fini delle presenti regole si applicano le definizioni elencate nell'art. 4 del Regolamento con le seguenti integrazioni:
a) «risultato statistico», l'informazione ottenuta con il trattamento di dati personali per quantificare aspetti di un fenomeno collettivo;
b) «unita' statistica», l'entita' alla quale sono riferiti o riferibili i dati trattati;
c) «variabile pubblica», il carattere o la combinazione di caratteri, di tipo qualitativo o quantitativo, oggetto di una rilevazione statistica che faccia riferimento ad informazioni presenti in pubblici registri, elenchi, atti, documenti o fonti conoscibili da chiunque;
d) «istituto o ente di ricerca», un organismo pubblico o privato per il quale la finalita' di statistica o di ricerca scientifica risulta dagli scopi dell'istituzione e la cui attivita' scientifica e' documentabile;
e) «societa' scientifica», un'associazione che raccoglie gli studiosi di un ambito disciplinare, ivi comprese le relative associazioni professionali.
2. Salvo quando diversamente specificato, il riferimento a trattamenti per scopi statistici si intende comprensivo anche dei trattamenti per scopi scientifici)).


 ^  Art. 2 Ambito di applicazione

Art. 2
((Ambito di applicazione))
((1. Le presenti regole deontologiche si applicano all'insieme dei trattamenti effettuati per scopi statistici e scientifici -conformemente agli standard metodologici del pertinente settore disciplinare-, di cui sono titolari universita', altri enti o istituti di ricerca e societa' scientifiche, nonche' ricercatori che operano nell'ambito di dette universita', enti, istituti di ricerca e soci di dette societa' scientifiche.
2. Le presenti regole deontologiche non si applicano ai trattamenti per scopi statistici e scientifici connessi con attivita' di tutela della salute svolte da esercenti professioni sanitarie od organismi sanitari, ovvero con attivita' comparabili in termini di significativa ricaduta personalizzata sull'interessato, che restano regolati dalle pertinenti disposizioni)).


 ^  Art. 3 Presupposti dei trattamenti

Art. 3
((Presupposti dei trattamenti))
((1. La ricerca e' effettuata sulla base di un progetto redatto conformemente agli standard metodologici del pertinente settore disciplinare, anche al fine di documentare che il trattamento sia effettuato per idonei ed effettivi scopi statistici o scientifici.
2. Il progetto di ricerca di cui al comma 1, inoltre:
a) specifica le misure da adottare nel trattamento di dati personali, al fine di garantire il rispetto delle presenti regole deontologiche, nonche' della normativa in materia di protezione dei dati personali;
b) individua gli eventuali responsabili del trattamento c) contiene una dichiarazione di impegno a conformarsi alle presenti regole deontologiche. Un'analoga dichiarazione e' sottoscritta anche dai soggetti -ricercatori, responsabili e persone autorizzate al trattamento- che fossero coinvolti nel prosieguo della ricerca, e conservata conformemente a quanto previsto al comma 3.
3. Il titolare deposita il progetto presso l'universita' o ente di ricerca o societa' scientifica cui afferisce, la quale ne cura la conservazione, in forma riservata (essendo la consultazione del progetto possibile ai soli fini dell'applicazione della normativa in materia di dati personali), per cinque anni dalla conclusione programmata della ricerca.
4. Nel trattamento di dati relativi alla salute, i soggetti coinvolti osservano le regole di riservatezza e di sicurezza cui sono tenuti gli esercenti le professioni sanitarie o regole di riservatezza e sicurezza comparabili)).


 ^  Art. 4 Identificabilita' dell'interessato

Art. 4
((Identificabilita' dell'interessato))
((1. Agli effetti dell'applicazione delle presenti regole:
a) un interessato si ritiene identificabile quando, con l'impiego di mezzi ragionevoli, e' possibile stabilire un'associazione significativamente probabile tra la combinazione delle modalita' delle variabili relative ad una unita' statistica e i dati che la identificano;
b) i mezzi ragionevolmente utilizzabili per identificare un interessato afferiscono, in particolare, alle seguenti categorie:
risorse economiche;
risorse di tempo;
archivi nominativi o altre fonti di informazione contenenti dati identificativi congiuntamente ad un sottoinsieme delle variabili oggetto di comunicazione o diffusione;
archivi, anche non nominativi, che forniscano ulteriori informazioni oltre quelle oggetto di comunicazione o diffusione;
risorse hardware e software per effettuare le elaborazioni necessarie per collegare informazioni non nominative ad un soggetto identificato, tenendo anche conto delle effettive possibilita' di pervenire in modo illecito alla sua identificazione in rapporto ai sistemi di sicurezza ed al software di controllo adottati;
conoscenza delle procedure di estrazione campionaria, imputazione, correzione e protezione statistica adottate per la produzione dei dati)).


 ^  Art. 5 Criteri per la valutazione del rischio di identificazione

Art. 5
((Criteri per la valutazione del rischio di identificazione))
((1. Ai fini della comunicazione e diffusione di risultati statistici, la valutazione del rischio di identificazione tiene conto anche dei seguenti criteri:
a) si considerano dati aggregati le combinazioni di modalita' alle quali e' associata una frequenza non inferiore a una soglia prestabilita, ovvero un'intensita' data dalla sintesi dei valori assunti da un numero di unita' statistiche pari alla suddetta soglia. Il valore minimo attribuibile alla soglia e' pari a tre;
b) nel valutare il valore della soglia si deve tenere conto del livello di riservatezza delle informazioni;
c) i risultati statistici relativi a sole variabili pubbliche non sono soggette alla regola della soglia;
d) la regola della soglia puo' non essere osservata qualora il risultato statistico non consenta ragionevolmente l'identificazione di unita' statistiche, avuto riguardo al tipo di rilevazione e alla natura delle variabili associate;
e) i risultati statistici relativi a una stessa popolazione possono essere diffusi in modo che non siano possibili collegamenti tra loro o con altre fonti note di informazione, che rendano possibili eventuali identificazioni;
f) si presume adeguatamente tutelata la riservatezza nel caso in cui tutte le unita' statistiche di una popolazione presentano la medesima modalita' di una variabile)).


Vai a





Testo vigente solo fino alla data indicata - Software, impaginazione ed elaborazioni IusOnDemand
Info legali - Privacy policy - Cookie IusOnDemand srl - P.IVA: 04446030969