Questo il testo della norma in questione, da cui credo si debba partire: «Art. 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici). - 1. Nell'ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell'ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza». La norma parla innanzitutto di “riutilizzo”, occorrerà quindi che il trattamento originario abbia un fondamento giuridico legittimante. Ad una prima lettura risulta tuttavia non facile cogliere il senso della disposizione, perché fa riferimento a dati anonimizzati, che quindi - in quanto tali - sono fuori dall’ambito operativo delle disposizioni in materia di data protection. Non a caso l’art. 89 del Regolamento (EU) 2016/679 (GDPR) concerne dati personali o pseudonimizzati (non anonimi o anonimizzati) e per questi prevede eccezioni. Se dunque il riuso è subordinato alla condizione che “siano adottate forme preventive […] di anonimizzazione”, ne consegue che questi sono dati anonimi, esclusi così dall’ambito operativo sia della normativa nazionale che di quella comunitaria. Non a caso i dati genetici sono esclusi, così come dovrebbero esserlo i biometrici per evidenti limiti di procedere all’anonimizzazione degli stessi. Stante il testo, il senso attribuibile alla norma viene dunque ad essere quello di prevedere un intervento del Garante a garanzia dell’adozione di un livello adeguato di anonimizzazione, in linea con il GDPR, che non considera più il binomio dati personali/dati anonimi come un bianco/nero. In termini generali, forse una simile norma avrebbe avuto miglior collocazione e più completa chiarificazione nell’atteso intervento normativo di adeguazione globale della legislazione italiana in materia. Un saluto, Alessandro -- Alessandro Mantelero Politecnico di Torino http://staff.polito.it/alessandro.mantelero | @mantelero On Tue, 5 Dec 2017 18:28:05 +0100 Stefano Leucci <stefanoleucci@gmail.com> wrote:
Ciao Monica, assolutamente in linea con il tuo ragionamento.
Penso sia però preoccupante l'efficacia reale di queste misure viste le grandi doti dello strumento in questione, nonchè quel principio di "correttezza" dell'art. 5 del GDPR rimasto ancora solo sulla carta.
Rivenderanno le analisi prodotte sulla base di questi dati o saranno solo utilizzate a meri fini scientifici? Ne beneficeremo davvero noi singoli cittadini?
Un abbraccio a te, Stefano
Il giorno 5 dicembre 2017 17:39, avv. Monica A. Senor < senor@penalistiassociati.it> ha scritto:
Caro Stefano,
credo che l’autorizzazione del Garante prevista dal novello art.110 bis D. Lgs. 196/03 sia precipuamente finalizzata a tutelare gli interessati dai rischi che tu paventi: in tal modo le “adeguate garanzie per i diritti e le libertà dell’interessato” di cui all’art.89 GDPR non vengono lasciate all’interpretazione del titolare ma riservate all’occhio vigile dell’Autorità di Controllo (in un’attività di intervento preventivo che, se non erro, nel GDPR è ormai relegato al solo art.36 in tema di DPIA)
A ciò si aggiunge il fatto che la norma in questione prevede che il trattamento a fini scientifici venga effettuato rispettando i principi di minimizzazione e anonimizzazione, laddove l’art.89 prescrive, di regola, minimizzazione e pseudonimizzazione e, solo in deroga, l’anonimizzazione.
Concordi?
Un abbraccio,
Monica
*Da:* nexa [mailto:nexa-bounces@server-nexa.polito.it] *Per conto di *Stefano Leucci *Inviato:* martedì 5 dicembre 2017 17:14 *A:* NEXA_lista *Oggetto:* Re: [nexa] R: Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia"
Lucidissimo punto di vista.
Mi interessa molto il rischio di "function creep" o di "repurposing". In altre parole, delle tentazioni nelle mani di chi gestisce quei dati.
A lor favore, ad Abilitando (http://abilitando.it/2017/) sono emersi gli infiniti benefici dell'analisi massiva di questi dati tramite Watson Health. E chiaramente la norma apre (già in linea con GDPR) ad IBM come a tanti altri concorrenti.
Speriamo comunque che il Garante mantenga il suo occhio (sempre più) attento su questi soggetti.
Il giorno 5 dicembre 2017 16:48, avv. Monica A. Senor < senor@penalistiassociati.it> ha scritto:
IMHO è un'anticipazione di quanto previsto dagli artt.5, 1° co., lett.b), 9, 2° co. lett.j) e 89 GDPR. Cosa mi sfugge? Lo chiedo senza alcuna vena polemica, davvero solo per capire.
Un caro saluto a tutti, Monica
-----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Marco Ciurcina Inviato: martedì 5 dicembre 2017 16:29 A: nexa@server-nexa.polito.it Oggetto: Re: [nexa] Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia"
Da portare alla Corte Costituzionale. m.c.
In data martedì 5 dicembre 2017 16:04:35 CET, J.C. DE MARTIN ha scritto:
*Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia** * /Compare a sorpresa nella legge europea 2017, pubblicata il 28 novembre in Gazzetta Ufficiale, la possibilità di usare i dati personali degli italiani, senza consenso, a scopo di ricerca scientifica. In ballo ci sono grossi interessi delle multinazionali tecnologiche, come risulta dal recente accordo tra il Governo e Ibm// / di ALESSANDRO LONGO
[…]
Continua qui:
http://www.repubblica.it/economia/2017/12/05/news/dati_sanitari_alle_m
ultina zionali_senza_consenso_passa_la_norma-183005262/
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Prof. Avv. Alessandro Mantelero Politecnico di Torino Computer Law and Security Review | Member of the Editorial Board European Data Protection Law Review | Associate Editor http://staff.polito.it/alessandro.mantelero | @mantelero EMAIL POLICY: once a day (Mon-Fri) "In libertate fortitudo" ________________________________________ Le informazioni trasmesse sono indirizzate esclusivamente alla persona o al soggetto destinatario e sono da intendersi confidenziali e riservate. Ogni trasmissione, inoltro, diffusione o altro uso di queste informazioni a terzi differenti dal destinatario è proibita. Se ricevete questa comunicazione per errore, contattate il mittente e cancellate le informazioni da ogni computer. The information transmitted is intended only for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, retransmission, dissemination or other use of, or taking of any action in reliance upon this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from any computer.