IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella seduta odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto l’art. 27 della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, secondo cui gli Stati membri e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire, in funzione delle specificità settoriali, alla corretta applicazione delle disposizioni nazionali di attuazione della direttiva adottate dagli Stati membri;

Visto l’art. 12 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), il quale attribuisce al Garante il compito di promuovere nell’ambito delle categorie interessate, nell’osservanza del principio di rappresentatività e tenendo conto dei criteri direttivi delle raccomandazioni del Consiglio d’Europa sul trattamento dei dati personali, la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, verificarne la conformità alle leggi e ai regolamenti anche attraverso l’esame di osservazioni di soggetti interessati e contribuire a garantirne la diffusione e il rispetto;

Visto l’art. 106, comma 1, del Codice il quale demanda al Garante il compito di promuovere la sottoscrizione di uno o più codici di deontologia e di buona condotta per i soggetti pubblici e privati, ivi comprese le società scientifiche e le associazioni professionali, interessati al trattamento dei dati per scopi statistici o scientifici;

Visto l’art. 106, comma 2, del medesimo Codice relativo a taluni profili che, sulla base di alcune garanzie, devono essere individuati dal codice di deontologia e di buona condotta per i trattamenti di dati per scopi statistici e scientifici;

Visto il provvedimento 10 febbraio 2000 del Garante per la protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale della Repubblica italiana 25 febbraio 2000, n. 46, con il quale il Garante ha promosso la sottoscrizione di uno o più codici di deontologia e di buona condotta relativi del trattamento di dati personali per scopi statistici e di ricerca scientifica ed ha invitato tutti i soggetti aventi titolo a partecipare all’adozione dei medesimi codici in base al principio di rappresentatività a darne comunicazione al Garante;

Viste le comunicazioni pervenute al Garante in risposta al citato provvedimento del 10 febbraio 2000, con le quali diversi soggetti pubblici e privati, società scientifiche ed associazioni professionali hanno manifestato la volontà di partecipare all’adozione dei codici e fra i quali è stato conseguentemente costituito un apposito gruppo di lavoro, composto, in particolare, da rappresentanti dei seguenti soggetti: Conferenza dei rettori delle università italiane; Associazione italiana di epidemiologia; Associazione italiana di sociologia; Consiglio italiano per le scienze sociali; Società italiana degli economisti; Società italiana di biometria; Società italiana di demografia storica; Società italiana di igiene, medicina preventiva e sanità pubblica; Società italiana di statistica; Società italiana di statistica medica ed epidemiologia clinica; Associazione tra istituti di ricerche di mercato, sondaggi di opinione, ricerca sociale;

Considerato che il testo del codice è stato oggetto di ampia diffusione anche attraverso la sua pubblicazione sul sito Internet di questa Autorità, resa nota tramite avviso sulla Gazzetta Ufficiale della Repubblica italiana 20 maggio 2004, n. 117, al fine di favorire il più ampio dibattito e di permettere la raccolta di eventuali osservazioni e integrazioni al testo medesimo da parte di tutti i soggetti interessati;

Viste le osservazioni pervenute secondo quanto disposto dal citato avviso;

Rilevato che il rispetto delle disposizioni contenute nel codice di deontologia e di buona condotta costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici (art. 12, comma 3, del Codice);

Constatata la conformità del codice di deontologia e di buona condotta alle leggi e ai regolamenti in materia di protezione dei dati personali, anche in relazione a quanto previsto dagli artt. 12 e 104 e seguenti del Codice;

Considerato che, ai sensi dell’art. 12, comma 2, del Codice, il codice di deontologia e di buona condotta deve essere pubblicato nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante e, con decreto del Ministro della giustizia, riportato nell’Allegato A) al medesimo Codice;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 162 del 13 luglio 2000;

Relatore il prof. Gaetano Rasi;

DISPONE:

la trasmissione del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, che figura in allegato, all’Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonché al Ministro della giustizia per essere riportato nell’Allegato A) al Codice.

Roma, 16 giugno 2004

IL PRESIDENTE
Rodotà

IL RELATORE
Rasi

Il SEGRETARIO GENERALE
Buttarelli

------------------------------------------------------------------------

CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI

sottoscritto da:

* Conferenza dei rettori delle università italiane
* Associazione italiana di epidemiologia
* Associazione italiana di sociologia
* Consiglio italiano per le scienze sociali
* Società italiana degli economisti
* Società italiana di biometria
* Società italiana di demografia storica
* Società italiana di igiene, medicina preventiva e sanità pubblica
* Società italiana di statistica
* Società italiana di statistica medica ed epidemiologia clinica
* Associazione tra istituti di ricerche di mercato, sondaggi di opinione, ricerca sociale

PREAMBOLO

I sottoindicati soggetti pubblici e privati sottoscrivono il presente codice, adottato sulla base di quanto previsto dall’art. 106 del decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito denominato "decreto"), sulla base delle seguenti premesse:

1) Le disposizioni del presente codice di deontologia e di buona condotta sono volte ad assicurare l’equilibrio tra i diritti e le libertà fondamentali della persona, in particolare il diritto alla protezione dei dati personali e il diritto alla riservatezza, con le esigenze della statistica e della ricerca scientifica, quali risultano dal principio della libertà di ricerca costituzionalmente garantito, presupposto per lo sviluppo della scienza, per il miglioramento delle condizioni di vita degli individui e per la crescita di una società democratica;

2) i ricercatori, singoli o associati, che operano nell’ambito di università, enti ed istituti di ricerca e società scientifiche, conformano al presente codice ogni fase dei trattamenti di dati personali effettuati a fini statistici o scientifici, indipendentemente dalla sottoscrizione del codice stesso da parte dei rispettivi enti e società scientifiche;

3) nell’applicazione del presente codice, i soggetti che ne sono destinatari osservano i princìpi contenuti nella Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali del 1950, ratificata con legge 4 agosto 1955, n. 848, nella direttiva 95/46/CE del Parlamento europeo e del Consiglio dell’Unione europea, nelle Raccomandazioni del Consiglio d’Europa n. R(83)10 adottata il 23 settembre del 1983 e n. R(97)18 adottata il 30 settembre 1997, nonché nelle altre disposizioni normative comunitarie e internazionali relative al trattamento dei dati personali a fini statistici e scientifici. Essi operano nel rispetto dei princìpi di pertinenza e di non eccedenza, intesa come non ridondanza del trattamento progettato rispetto agli scopi perseguiti, avuto riguardo ai dati disponibili ed ai trattamenti già effettuati dallo stesso titolare;

4) per quanto non disciplinato nel presente codice, si applicano le disposizioni previste dalla normativa in materia di dati personali, anche in relazione alla natura pubblica o privata del soggetto titolare del trattamento (artt. 18 e s. e 23 e s. del decreto). In particolare, i dati personali trattati per scopi statistici o scientifici non possono essere utilizzati per prendere decisioni o provvedimenti relativamente all’interessato, né per trattamenti di dati per scopi di altra natura;

5) per trattamento per scopi statistici si intende qualsiasi trattamento effettuato per le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici (art. 4 del decreto);

6) per trattamento per scopi scientifici si intende qualsiasi trattamento effettuato per le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore (art. 4 del decreto);

7) gli enti e i soggetti che applicano il presente codice osservano il principio di imparzialità e di non discriminazione nei confronti degli altri soggetti che trattano i dati per scopi statistici o scientifici. La sottoscrizione del presente codice è effettuata avendo riguardo, in particolare, alla rilevanza di tale principio in materia di comunicazione per scopi statistici o scientifici di dati depositati in archivi pubblici o che sono stati trattati sulla base di finanziamenti pubblici;

8) il decreto e il presente codice non si applicano ai dati anonimi;

9) ai trattamenti finalizzati alla realizzazione di attività di informazione commerciale e di comunicazione commerciale, nonché alle correlate ricerche di mercato si applicano le disposizioni dei codici di deontologia e di buona condotta previsti dagli articoli 118 e 140 del decreto.

Capo I - AMBITO DI APPLICAZIONE E PRINCIPI GENERALI

Art. 1. Definizioni

1. Ai fini del presente codice si applicano le definizioni elencate nell’art. 4 del decreto con le seguenti integrazioni:

a) "risultato statistico", l’informazione ottenuta con il trattamento di dati personali per quantificare aspetti di un fenomeno collettivo;

b) "unità statistica", l’entità alla quale sono riferiti o riferibili i dati trattati;

c) "dato identificativo indiretto", un insieme di modalità di caratteri associati o associabili ad una unità statistica che ne consente l’identificazione con l’uso di tempi e risorse ragionevoli, secondo i princìpi di cui all’art. 4;

d) "variabile pubblica", il carattere o la combinazione di caratteri, di tipo qualitativo o quantitativo, oggetto di una rilevazione statistica che faccia riferimento ad informazioni presenti in pubblici registri, elenchi, atti, documenti o fonti conoscibili da chiunque;

e) "istituto o ente di ricerca", un organismo pubblico o privato per il quale la finalità di statistica o di ricerca scientifica risulta dagli scopi dell’istituzione e la cui attività scientifica è documentabile;

f) "società scientifica", un’associazione che raccoglie gli studiosi di un ambito disciplinare, ivi comprese le relative associazioni professionali.

2. Salvo quando diversamente specificato, il riferimento a trattamenti per scopi statistici si intende comprensivo anche dei trattamenti per scopi scientifici.

Art. 2. Ambito di applicazione

1. Il presente codice si applica all’insieme dei trattamenti effettuati per scopi statistici e scientifici —conformemente agli standard metodologici del pertinente settore disciplinare —, di cui sono titolari università, altri enti o istituti di ricerca e società scientifiche, nonché ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e soci di dette società scientifiche.

2. Il presente codice non si applica ai trattamenti per scopi statistici e scientifici connessi con attività di tutela della salute svolte da esercenti professioni sanitarie od organismi sanitari, ovvero con attività comparabili in termini di significativa ricaduta personalizzata sull’interessato, che restano regolati dalle pertinenti disposizioni.

Art. 3. Presupposti dei trattamenti

1. La ricerca è effettuata sulla base di un progetto redatto conformemente agli standard metodologici del pertinente settore disciplinare, anche al fine di documentare che il trattamento sia effettuato per idonei ed effettivi scopi statistici o scientifici.

2. Il progetto di ricerca di cui al comma 1, inoltre:

a) specifica le misure da adottare nel trattamento di dati personali, al fine di garantire il rispetto del presente codice, nonché della normativa in materia di protezione dei dati personali;

b) individua gli eventuali responsabili del trattamento;

c) contiene una dichiarazione di impegno a conformarsi alle disposizioni del presente codice sottoscritta dai soggetti coinvolti. Un’analoga dichiarazione è sottoscritta anche dai soggetti - ricercatori, responsabili e incaricati del trattamento- che fossero coinvolti nel prosieguo della ricerca, e conservata conformemente a quanto previsto al comma 3.

3. Il titolare deposita il progetto presso l’università o ente di ricerca o società scientifica cui afferisce, la quale ne cura la conservazione, in forma riservata (essendo la consultazione del progetto possibile ai soli fini dell’applicazione della normativa in materia di dati personali), per cinque anni dalla conclusione programmata della ricerca.

4. Nel trattamento di dati idonei a rivelare lo stato di salute, i soggetti coinvolti osservano le regole di riservatezza e di sicurezza cui sono tenuti gli esercenti le professioni sanitarie o regole di riservatezza e sicurezza comparabili.

Art. 4. Identificabilità dell’interessato

1. Agli effetti dell’applicazione del presente codice:

a) un interessato si ritiene identificabile quando, con l’impiego di mezzi ragionevoli, è possibile stabilire un’associazione significativamente probabile tra la combinazione delle modalità delle variabili relative ad una unità statistica e i dati identificativi della medesima;

b) i mezzi ragionevolmente utilizzabili per identificare un interessato afferiscono, in particolare, alle seguenti categorie:

* risorse economiche;

* risorse di tempo;

* archivi nominativi o altre fonti di informazione contenenti dati identificativi congiuntamente ad un sottoinsieme delle variabili oggetto di comunicazione o diffusione;

* archivi, anche non nominativi, che forniscano ulteriori informazioni oltre quelle oggetto di comunicazione o diffusione;

* risorse hardware e software per effettuare le elaborazioni necessarie per collegare informazioni non nominative ad un soggetto identificato, tenendo anche conto delle effettive possibilità di pervenire in modo illecito alla sua identificazione in rapporto ai sistemi di sicurezza ed al software di controllo adottati;

* conoscenza delle procedure di estrazione campionaria, imputazione, correzione e protezione statistica adottate per la produzione dei dati;

c) n caso di comunicazione e di diffusione, l’interessato può ritenersi non identificabile se il rischio di identificazione, in termini di probabilità di identificare l’interessato stesso tenendo conto dei dati comunicati o diffusi, è tale da far ritenere sproporzionati i mezzi eventualmente necessari per procedere all’identificazione rispetto alla lesione o al pericolo di lesione dei diritti degli interessati che può derivarne, avuto altresì riguardo al vantaggio che se ne può trarre.

Art. 5. Criteri per la valutazione del rischio di identificazione

1. Ai fini della comunicazione e diffusione di dati, la valutazione del rischio di identificazione tiene conto dei seguenti criteri:

a) si considerano dati aggregati le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un'intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia. Il valore minimo attribuibile alla soglia è pari a tre;

b) nel valutare il valore della soglia si deve tenere conto del livello di riservatezza delle informazioni;

c) i risultati statistici relativi a sole variabili pubbliche non sono soggette alla regola della soglia;

d) la regola della soglia può non essere osservata qualora il risultato statistico non consenta ragionevolmente l’identificazione di unità statistiche, avuto riguardo al tipo di rilevazione e alla natura delle variabili associate;

e) i risultati statistici relativi a una stessa popolazione possono essere diffusi in modo che non siano possibili collegamenti tra loro o con altre fonti note di informazione, che rendano possibili eventuali identificazioni;

f) si presume adeguatamente tutelata la riservatezza nel caso in cui tutte le unità statistiche di una popolazione presentano la medesima modalità di una variabile.

Capo II - INFORMATIVA, COMUNICAZIONE E DIFFUSIONE

Art. 6. Informativa

1. Nella raccolta di dati per uno scopo statistico, nell’ambito delle informazioni di cui all’art. 13 del decreto è rappresentata all’interessato l’eventualità che i dati personali possono essere conservati e trattati per altri scopi statistici o scientifici, per quanto noto adeguatamente specificati anche con riguardo alle categorie di soggetti ai quali i dati potranno essere comunicati.

2. Nella raccolta di dati per uno scopo statistico, l’informativa alla persona presso la quale i dati sono raccolti può essere differita per la parte riguardante le specifiche finalità e le modalità del trattamento cui sono destinati i dati, qualora ciò risulti necessario per il raggiungimento dell’obiettivo dell’indagine -in relazione all’argomento o alla natura della stessa- e il trattamento non riguardi dati sensibili o giudiziari. In tali casi, l’informativa all’interessato è completata non appena cessano i motivi che ne avevano ritardato la comunicazione, a meno che ciò risulti irragionevole o comporti un impiego di mezzi manifestamente sproporzionato. Il soggetto responsabile della ricerca redige un documento -successivamente conservato per tre anni dalla conclusione della raccolta e reso disponibile agli interessati che esercitano i diritti di cui all’art. 7 del decreto-, in cui sono indicate le specifiche motivazioni per le quali si è ritenuto di differire l’informativa, la parte di informativa differita, nonché le modalità seguite per informare gli interessati quando sono venuti meno i motivi che avevano giustificato il differimento, ovvero le ragioni portate per il mancato completamento dell’informativa.

3. Quando, con riferimento a parametri scientificamente attendibili, gli obiettivi dell’indagine, la natura dei dati e le circostanze della raccolta sono tali da consentire ad un soggetto di rispondere in nome e per conto di un altro in quanto familiare o convivente, l’informativa all’interessato può essere data per il tramite del soggetto rispondente, purché il trattamento non riguardi dati sensibili o giudiziari.

4. Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l’informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta forme di pubblicità con le seguenti modalità:

* per trattamenti riguardanti insiemi numerosi di soggetti distribuiti sull’intero territorio nazionale, inserzione su almeno un quotidiano di larga diffusione nazionale o annuncio presso un’emittente radiotelevisiva a diffusione nazionale;

* per trattamenti riguardanti insiemi numerosi di soggetti distribuiti su un’area regionale (o provinciale), inserzione su un quotidiano di larga diffusione regionale (o provinciale) o annuncio presso un’emittente radiotelevisiva a diffusione regionale (o provinciale);

* per trattamenti riguardanti insiemi di specifiche categorie di soggetti, identificate da particolari caratteristiche demografiche e/o da particolari condizioni formative o occupazionali o analoghe, inserzione in strumenti informativi di cui gli interessati sono normalmente destinatari.

Della modalità di pubblicità adottata, il titolare dà preventiva informazione al Garante.

5. Qualora il titolare ritenga di non utilizzare le forme di pubblicità di cui al comma 4, anche in considerazione della natura dei dati raccolti o delle modalità del trattamento, ovvero degli oneri che comportano rispetto al tipo di ricerca svolta, il titolare medesimo può individuare idonee forme di pubblicità da comunicare preventivamente al Garante, il quale può, in ogni caso, prescrivere eventuali misure ed accorgimenti.

Art. 7. Consenso

1. Il trattamento per scopi statistici o scientifici può essere effettuato da un soggetto privato senza il consenso dell’interessato qualora non riguardi dati sensibili o giudiziari e l’informativa ai sensi dell’art. 13 del decreto, nella parte riguardante la natura obbligatoria o meno del conferimento dei dati, evidenzi in dettaglio e specificamente le ragioni per le quali il conferimento è facoltativo.

Art. 8. Comunicazione e diffusione dei dati

1. È consentito diffondere anche mediante pubblicazione risultati statistici soltanto in forma aggregata ovvero secondo modalità che non rendano identificabili gli interessati neppure tramite dati identificativi indiretti, salvo che la diffusione riguardi variabili pubbliche.

2. I dati personali trattati per un determinato scopo statistico possono essere comunicati, privi di dati identificativi, a un’università o istituto o ente di ricerca o a un ricercatore per altri scopi statistici chiaramente determinati per iscritto nella richiesta dei dati. Il soggetto richiedente, nel predisporre il pertinente progetto di ricerca ai sensi dell’art. 3, si impegna a non effettuare trattamenti per fini diversi da quelli indicati nella richiesta e a non comunicare ulteriormente i dati a terzi; allega inoltre al progetto copia della richiesta di comunicazione. Il soggetto richiesto, titolare del trattamento originario, deposita la richiesta di comunicazione e il connesso progetto presso l’università o ente di ricerca o società scientifica cui afferisce, la quale ne cura la conservazione, in forma riservata, per cinque anni dalla conclusione programmata della ricerca.

3. Nel caso in cui il richiedente dichiari che non è possibile conseguire altrimenti il risultato statistico di interesse, dandone espressa motivazione nella richiesta di cui al procedente comma 2, è consentita anche la comunicazione dei dati identificativi. Il soggetto richiesto, valutata la motivazione, fornisce i dati nel rispetto del principio di pertinenza e di stretta necessità. Resta fermo quanto previsto dall’art. 9.

4. Le disposizioni di cui ai commi 2 e 3 si applicano anche alla comunicazione, e al conseguente trasferimento anche temporaneo, di dati personali a università o istituti o enti di ricerca o ricercatori residenti in un Paese appartenente all’Unione europea o il cui ordinamento assicuri comunque un livello di tutela delle persone adeguato.

5. Quando il trattamento per un determinato scopo statistico comporta il trasferimento anche temporaneo dei dati personali in un Paese, non appartenente all’Unione europea, il cui ordinamento non assicura un livello di tutela delle persone adeguato, il trasferimento è consentito sulla base di garanzie per i diritti dell’interessato comparabili a quelle del presente codice, prestate dall’ente o dal ricercatore destinatario del trasferimento medesimo tramite un contratto redatto secondo una tipologia autorizzata dal Garante ai sensi dell’art. 40 del decreto, anche su proposta di enti e società scientifiche.

Art. 9. Trattamento dei dati sensibili o giudiziari

1. I dati sensibili o giudiziari trattati per scopi statistici e scientifici devono essere di regola in forma anonima.

2. Quando gli scopi statistici e scientifici, legittimi e specifici, del trattamento di dati sensibili o giudiziari non possono essere raggiunti senza l’identificazione anche temporanea degli interessati, il titolare adotta specifiche misure per mantenere separati i dati identificativi già al momento della raccolta, salvo ciò risulti impossibile in ragione delle particolari caratteristiche del trattamento o richieda un impiego di mezzi manifestamente sproporzionato.

3. Quando i dati di cui al comma 1 sono contenuti in elenchi, registri o banche dati tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente non intelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.

4. I soggetti di cui all’art. 2, comma 1, aventi natura privata possono trattare dati sensibili per scopi statistici e scientifici quando:

a) l’interessato ha espresso liberamente il proprio consenso sulla base degli elementi previsti per l’informativa;

b) il consenso è manifestato per iscritto. Quando la raccolta dei dati sensibili è effettuata con modalità —quali interviste telefoniche o assistite da elaboratore o simili— che rendono particolarmente gravoso per l’indagine acquisirlo per iscritto, il consenso, purché esplicito, può essere documentato per iscritto. In tal caso, la documentazione dell’informativa resa all’interessato e dell’acquisizione del relativo consenso è conservata dal titolare del trattamento per tre anni;

c) il trattamento risulti preventivamente autorizzato dal Garante, a seguito di specifica richiesta ai sensi dell’art. 26, comma 1, del decreto ovvero sulla base di un’autorizzazione generale relativa a determinate categorie di titolari o di trattamenti, rilasciata ai sensi dell’art. 40 del decreto, anche su proposta di enti e società scientifiche.

5. Il trattamento di dati giudiziari da parte dei soggetti di cui all’art. 2, comma 1, aventi natura privata è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante emanato ai sensi dell’art. 27 del decreto.

6. I soggetti cui all’art. 2, comma 1, aventi natura pubblica possono trattare dati sensibili o giudiziari:

a) per scopi scientifici, nel rispetto dell’art. 22 del decreto, qualora provvedano con atto di natura regolamentare ad individuare e rendere pubblici i tipi di dati e di operazioni strettamente pertinenti e necessarie in relazione alle finalità perseguite nei singoli casi, aggiornando tale individuazione periodicamente, secondo quanto previsto dall’art. 20, commi 2 e 4, del decreto;

b) per scopi statistici, nel rispetto dell’art. 22 del decreto, qualora siano soddisfatte le condizioni di cui all’art. 20, commi 2, 3 e 4 del decreto medesimo.

Art. 10. Dati genetici

1. Il trattamento di dati genetici è consentito nei soli casi e modi previsti da apposita autorizzazione del Garante ai sensi dell’art. 90 del decreto.

Art. 11. Disposizioni particolari per la ricerca medica, biomedica ed epidemiologica

1. La ricerca medica, biomedica ed epidemiologica è sottoposta all’applicazione del presente codice nei limiti di cui all’art. 2, comma 2.

2. La ricerca di cui al comma 1 si svolge nel rispetto degli orientamenti e delle disposizioni internazionali e comunitarie in materia, quali la Convenzione sui diritti dell’uomo e sulla biomedicina del 4 aprile 1997, ratificata con legge 28 marzo 2001, n. 145, la Raccomandazione del Consiglio d’Europa n. R(97)5 adottata il 13 febbraio 1997 relativa alla protezione dei dati sanitari e la dichiarazione di Helsinki dell’Associazione medica mondiale sui princìpi per la ricerca che coinvolge soggetti umani.

3. Nella ricerca di cui al comma 1, l’informativa mette in grado gli interessati di distinguere le attività di ricerca da quelle di tutela della salute.

4. Nel manifestare il proprio consenso ad un’indagine medica o epidemiologica, l’interessato è richiesto di dichiarare se vuole conoscere o meno eventuali scoperte inattese che emergano a suo carico durante la ricerca. In caso positivo, l’interessato è informato secondo quanto previsto dall’art. 84 del decreto. Quando, per i motivi di cui al successivo comma 5, il consenso non può essere richiesto, tali eventi sono comunque comunicati all’interessato nel rispetto dell’art. 84 del decreto qualora rivestano un’importanza rilevante per la tutela della salute dello stesso.

5. Nella ricerca di cui al comma 1, il consenso dell’interessato non è necessario quando, ai sensi dell’art. 110 del decreto, sono soddisfatti i seguenti requisiti:

a) non è possibile informare l’interessato per motivi etici (ignoranza dell’interessato sulla propria condizione), ovvero per motivi metodologici (necessità di non comunicare al soggetto le ipotesi dello studio o la sua posizione di elezione), ovvero per motivi di impossibilità organizzativa;

b) il programma di ricerca è stato oggetto di motivato parere favorevole del competente comitato etico;

c) il trattamento è autorizzato dal Garante, anche ai sensi dell’art. 40 del decreto anche su proposta di enti e società scientifiche pertinenti.

Art. 12. Attività di controllo

1. Le università, gli altri istituti o enti di ricerca e le società scientifiche conservano la documentazione relativa ai progetti di ricerca presentati e agli impegni sottoscritti dai ricercatori ai sensi dell’art. 3, commi 1 e 2, e dell’art. 8, comma 2 del presente codice.

2. Gli enti di cui al comma 1:

a) assicurano la diffusione e il rispetto del presente codice fra tutti coloro che, all’interno o all’esterno dell’organizzazione, sono in qualunque forma coinvolti nel trattamento dei dati personali realizzato nell’ambito delle ricerche, anche adottando opportune misure sulla base dei propri statuti e regolamenti;

b) segnalano al Garante le violazioni del codice di cui vengono a conoscenza.

Capo III - SICUREZZA E REGOLE DI CONDOTTA

Art. 13. Raccolta dei dati

1. I soggetti di cui all’art. 2, comma 1, pongono specifica attenzione nella selezione del personale incaricato della raccolta dei dati e nella definizione dell’organizzazione e delle modalità di rilevazione, in modo da garantire il rispetto del presente codice e la tutela dei diritti degli interessati.

2. Il personale incaricato della raccolta si attiene alle disposizioni contenute nel presente codice e alle istruzioni ricevute. In particolare:

a) rende nota la propria identità, la propria funzione e le finalità della raccolta, anche attraverso adeguata documentazione;

b) fornisce le informazioni di cui all’art. 13 del decreto ed all’art. 6 del presente codice, nonché ogni altro chiarimento che consenta all’interessato di rispondere in modo adeguato e consapevole, evitando comportamenti che possano configurarsi come artifici ed indebite pressioni;

c) non svolge contestualmente presso gli stessi interessati attività di rilevazione di dati personali per conto di più titolari, salvo espressa autorizzazione;

d) provvede tempestivamente alla correzione degli errori e delle inesattezze delle informazioni acquisite nel corso della raccolta;

e) assicura una particolare diligenza nella raccolta di dati sensibili o giudiziari.

Art. 14. Conservazione dei dati

1. I dati personali possono essere conservati per scopi statistici o scientifici anche oltre il periodo necessario per il raggiungimento degli scopi per i quali sono stati raccolti o successivamente trattati, in conformità all’art. 99 del decreto. In tali casi, i dati identificativi possono essere conservati fino a quando risultino necessari per:

a) indagini continue e longitudinali;

b) indagini di controllo, di qualità e di copertura;

c) definizione di disegni campionari e selezione di unità di rilevazione;

d) costituzione di archivi delle unità statistiche e di sistemi informativi;

e) altri casi in cui ciò risulti essenziale e adeguatamente documentato per le finalità perseguite.

2. Nei casi di cui al comma 1, i dati identificativi sono conservati separatamente da ogni altro dato, in modo da consentirne differenti livelli di accesso, salvo ciò risulti impossibile in ragione delle particolari caratteristiche del trattamento o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

Art. 15. Misure di sicurezza

1. Nell’adottare le misure di sicurezza dei dati e dei sistemi di cui agli artt. 31 e seguenti del decreto e al disciplinare tecnico contenuto nel relativo Allegato B), i titolari dei trattamenti di dati per scopi statistici curano anche i livelli di accesso ai dati personali con riferimento alla natura dei dati stessi ed alle funzioni dei soggetti coinvolti nei trattamenti.

Art. 16. Esercizio dei diritti dell’interessato

1. In caso di esercizio dei diritti di cui all’art. 7 del decreto in riferimento a dati trattati per scopi statistici e scientifici, l’interessato può accedere agli archivi che lo riguardano per chiederne l’aggiornamento, la rettifica o l’integrazione, sempre che tale operazione non risulti impossibile per la natura o lo stato del trattamento o comporti un impiego di mezzi manifestamente sproporzionato.

2. Qualora tali modifiche non producano effetti significativi sui risultati statistici connessi al trattamento, il responsabile del trattamento provvede ad annotare, in appositi spazi o registri, le modifiche richieste dall’interessato, senza variare i dati originariamente immessi nell’archivio.

Art. 17. Regole di condotta

1. I responsabili e gli incaricati del trattamento che, per motivi di lavoro e ricerca, abbiano legittimo accesso ai dati personali trattati per scopi statistici e scientifici, conformano il proprio comportamento anche alle seguenti disposizioni:

a) i dati personali possono essere utilizzati soltanto per gli scopi definiti nel progetto di ricerca di cui all’art. 3;

b) i dati personali devono essere conservati in modo da evitarne la dispersione, la sottrazione e ogni altro uso non conforme alla legge e alle istruzioni ricevute;

c) i dati personali e le notizie non disponibili al pubblico di cui si venga a conoscenza in occasione dello svolgimento dell’attività statistica o di attività ad essa strumentali non possono essere diffusi, né altrimenti utilizzati per interessi privati, propri o altrui;

d) il lavoro svolto è oggetto di adeguata documentazione;

e) le conoscenze professionali in materia di protezione dei dati personali sono adeguate costantemente all’evoluzione delle metodologie e delle tecniche;

f) la comunicazione e la diffusione dei risultati statistici sono favorite, in relazione alle esigenze conoscitive della comunità scientifica e dell’opinione pubblica, nel rispetto della disciplina sulla protezione dei dati personali;

g) i comportamenti non conformi alle regole di condotta dettate dal presente codice sono immediatamente segnalati al responsabile o al titolare del trattamento.

Art. 18. Adeguamento

1. La corrispondenza delle disposizioni del codice alla normativa, anche di carattere internazionale, introdotta in materia di protezione dei dati personali trattati a fini di statistica e di ricerca scientifica è verificata nel tempo anche su segnalazione dei soggetti che lo hanno sottoscritto. Ciò ai fini dell’introduzione nel codice medesimo delle modifiche necessarie al fine del coordinamento con dette fonti, ovvero, qualora tali modifiche incidano in maniera apprezzabile sulla disciplina del presente codice, del pronunciamento di un nuovo codice ai sensi dell’art. 12 del decreto.

Art. 19. Entrata in vigore

1. Il presente codice si applica a decorrere dal 1° ottobre 2004.