Diritti interna

Doveri interna

ricerca avanzata

Parere sullo schema di “Linee guida per l’accesso a fini scientifici ai dati elementari del Sistan” - 21 giugno 2018 [9023239]

VEDI ANCHE Newsletter del 31 luglio 2018

[doc. web n. 9023239]

Parere sullo schema di “Linee guida per l’accesso a fini scientifici ai dati elementari del Sistan” - 21 giugno 2018

Registro dei provvedimenti
n. 388 del 21 giugno 2018 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (di seguito RGPD); 

Visto il decreto legislativo 14 marzo 2013, n. 33, recante il Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, così come modificato dal decreto legislativo 25 maggio 2016, n. 97 “Revisione e semplificazione delle disposizioni in materia di prevenzione della corruzione, pubblicità e trasparenza, correttivo della legge 6 novembre 2012, n. 190 e del decreto legislativo 14 marzo 2013, n. 33, ai sensi dell’articolo 7 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche”;

Visto, in particolare, l’art. 5-ter del predetto decreto legislativo che individua i criteri per consentire l’“Accesso per fini scientifici ai dati elementari raccolti per finalità statistiche”; 

Visto il decreto legislativo 6 settembre 1989, n. 322, recante “Norme sul Sistema statistico nazionale e sulla riorganizzazione dell’Istituto nazionale di statistica, ai sensi dell’art. 24 della L. 23 agosto 1988, n. 400”;

Visto il Decreto del Presidente della Repubblica 7 settembre 2010, n. 166, recante il “Regolamento recante il riordino dell’Istituto nazionale di statistica”;

Vista la richiesta di parere, inviata dall’Istituto Nazionale di Statistica -Istat- sullo schema di “Linee guida per l’accesso a fini scientifici ai dati elementari del Sistan” -Sistema statistico nazionale- elaborate dal Comitato di indirizzo e coordinamento dell’informazione statistica -COMSTAT- (note del 7 aprile 2017, prot. n. UP/338005; del 23 giugno 2017, prot. n. 723493; 5 febbraio 2018, prot. n. 245620);

Visti gli atti d’ufficio;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO:

1. Il quadro normativo di riferimento

Il d.lgs. 14 marzo 2013, n. 33, all’articolo 5-ter, prevede specifiche condizioni per l’accesso per fini scientifici, da parte di ricercatori, ai dati elementari -privi di riferimenti che permettano l’identificazione diretta delle unità statistiche- raccolti per finalità statistiche. In particolare, il richiamato decreto prevede che:

• l’ente di appartenenza dei ricercatori sia riconosciuto dal Comstat come Ente di ricerca sulla base di criteri dallo stesso prestabiliti in apposite Linee guida o faccia parte dell’elenco degli Enti di ricerca riconosciuti da Eurostat (Regolamento (UE) n. 557/2013);

• i ricercatori dell’Ente di ricerca riconosciuto presentino una proposta di ricerca per il cui svolgimento è necessario ricorrere a dati elementari e sottoscrivano una dichiarazione individuale di riservatezza. La proposta di ricerca è valutata dall’ente del Sistan titolare del trattamento dei dati (di seguito ente Sistan) sulla base dei criteri stabiliti dal Comstat;

• la proposta di ricerca approvata consenta ai ricercatori indicati nella stessa proposta di accedere:

a) ai dati elementari ai quali sono stati applicati metodi di controllo per la tutela della riservatezza (file per la ricerca, di seguito file MFR);

b) ai dati elementari ai quali non sono stati applicati metodi di controllo per la tutela della riservatezza, nell’ambito di appositi laboratori, accessibili anche da remoto, per l’analisi di dati elementari (di seguito laboratori).

L’accesso ai dati elementari cui non sono stati applicati metodi di controllo per la tutela della riservatezza può, inoltre, essere consentito ai ricercatori di un Ente riconosciuto sulla base di un protocollo di ricerca sottoscritto con l’ente Sistan, dati per la realizzazione di un progetto di ricerca congiunto.

Il decreto rinvia, quindi, a specifiche Linee guida adottate dal Comstat (con il supporto dell’Istat e sentito il Garante) per la definizione, in particolare:

a) dei criteri per il riconoscimento degli enti legittimati ad accedere ai dati elementari che non siano già inseriti nell’elenco redatto dall’autorità statistica dell’Unione europea (Eurostat), avuto riguardo agli scopi istituzionali perseguiti, all’attività svolta e all’organizzazione interna, in relazione all’attività di ricerca, nonché alle misure adottate per garantire la sicurezza dei dati;

b) dei criteri di ammissibilità dei progetti di ricerca, avuto riguardo allo scopo della ricerca, alla necessità di disporre dei dati richiesti, ai risultati e benefici attesi e ai metodi impiegati per la loro analisi e diffusione;

c) delle modalità di organizzazione e funzionamento dei laboratori fisici e virtuali costituiti dal titolare dei trattamenti statistici cui afferiscono i dati;

d) dei criteri per l’accreditamento dei gestori dei laboratori virtuali, avuto riguardo agli scopi istituzionali, all’adeguatezza della struttura organizzativa e alle misure adottate per la gestione e la sicurezza dei dati;

e) delle conseguenze di eventuali violazioni degli impegni assunti dall’Ente di ricerca e dai singoli ricercatori.

2. Le “Linee guida per l’accesso a fini scientifici ai dati elementari del Sistan”

L’Istat ha inoltrato la richiesta di parere sullo schema di “Linee guida per l’accesso a fini scientifici ai dati elementari del Sistan” (di seguito Linee Guida) elaborato dal Comstat che, oltre a definire i criteri e le modalità indicate ai precedenti punti da a) ad e), si correda di un glossario e di 7 allegati, contenenti, rispettivamente:

• la domanda di riconoscimento dell’Ente (Allegato 1); 

• l’impegno di riservatezza dell’Ente che richiede il riconoscimento (Allegato 2); 

• il modulo per la proposta di ricerca (Allegato 3);

• la dichiarazione individuale di riservatezza del Ricercatore responsabile del progetto di ricerca (Allegato 4);

• la dichiarazione individuale di riservatezza degli altri ricercatori (Allegato 5);

• l’attestazione integrativa in caso di progetti congiunti (Allegato 6);

•  le regole per il rilascio dell’output (Allegato 7). 

Nel glossario sono, tra l’altro, individuate le definizioni dei principali soggetti coinvolti nell’attività di rilascio e accesso ai dati e nell’attività di ricerca, sui quali gravano specifiche responsabilità e obblighi di segretezza (Referente per le richieste di utilizzo dei dati elementari; Ricercatore; Ricercatore responsabile del progetto di ricerca; Ricercatore citato nella Proposta di ricerca; Soggetto abilitato a rappresentare l’organizzazione che richiede il riconoscimento; Soggetto accreditato; Staff del Laboratorio; Referente del Laboratorio; Referente per la sicurezza e la gestione informatica dell’accesso ai dati).

2.1 Riconoscimento degli enti di ricerca.

Le Linee Guida individuano, da un punto di vista soggettivo, nelle università, negli enti di ricerca, nonché nelle istituzioni pubbliche o private, o loro strutture interne di ricerca, le organizzazioni che possono essere prese in considerazione per il riconoscimento quale “Ente di ricerca”. Ad esse si aggiungono i soggetti già inseriti negli elenchi degli enti riconosciuti, pubblicati sui siti istituzionali degli enti del Sistan e sul portale del Sistan.

Da un punto di vista oggettivo, viene previsto che, per la valutazione volta al riconoscimento, venga accertato che lo scopo istituzionale dell’Ente faccia riferimento, anche implicitamente, all’attività di ricerca e sia individuato in specifici atti.

L’attività di ricerca deve essere valutata tenendo conto della reputazione dell’Ente e dei suoi ricercatori, dei lavori svolti in passato e dei criteri di diffusione assicurati ai risultati della ricerca.

L’organizzazione dell’Ente deve, inoltre, essere improntata al principio di separatezza tra le strutture gestionali e amministrative e quella che svolge attività di ricerca, che deve essere contraddistinta da autonomia nelle conclusioni scientifiche.

L’organizzazione richiedente deve garantire, infine, specifiche misure per la sicurezza dei dati.

Le Linee Guida indicano la procedura per l’inoltro della domanda di riconoscimento da presentare all’ente Sistan cui l’organizzazione intende accedere. Una nuova procedura di riconoscimento è necessaria qualora l’Ente riconosciuto subisca modifiche che compromettano il soddisfacimento dei criteri soggettivi e oggettivi sopra richiamati.

Il Comstat effettua verifiche, anche a campione, sul rispetto da parte degli enti riconosciuti dei predetti criteri, e può disporre la revoca del riconoscimento e la conseguente eliminazione dell’Ente riconosciuto dall’elenco pubblicato sul portale del Sistan (punto 2).

2.2 La proposta di ricerca

Come prevede il d.lgs. 33 del 2013, la proposta di ricerca può contenere la richiesta di accesso a file di dati elementari, privi di riferimenti che permettano l’identificazione diretta delle unità statistiche ai quali:

• sono stati applicati metodi di controllo per la tutela della riservatezza (file MFR);

• non sono stati applicati tali metodi. In questo caso l’accesso ai file di dati elementari può avvenire nell’ambito di appositi laboratori.

Il progetto di ricerca viene considerato ammissibile da parte dell’ente Sistan se lo scopo perseguito risulta pertinente rispetto alle finalità di ricerca indicate dall’Ente e se sia chiaramente motivata l’impossibilità di conseguire lo scopo della ricerca con dati anonimi.

La proposta, nel caso di richiesta di file MFR, deve recare, inoltre, la descrizione dei metodi impiegati per l’analisi dei dati con l’indicazione delle misure tecniche e organizzative adottate per garantirne la sicurezza in tutte le fasi del trattamento.

L’ente Sistan deve verificare l’interesse pubblico e i benefici attesi, in termini di conoscenza, perseguiti con la ricerca e tenere conto della facilità di accesso ai risultati della ricerca e dell’ampiezza della loro diffusione.

Anche per la presentazione della domanda è prevista una specifica procedura ed è indicata la documentazione da presentare all’ente Sistan (cfr. Allegati 3, 4, 5 e 6 alle Linee Guida).

Nella proposta, corredata di tutti gli elementi necessari per l’ammissibilità della ricerca, deve essere evidenziata la durata del periodo per cui si chiede l’accesso ai dati. Ciò anche al fine di consentire all’ente Sistan di assicurare la disponibilità dei file di dati elementari, nonché degli elaborati prodotti dal ricercatore, nel caso di accesso tramite laboratorio.

Devono essere, inoltre, presentate le Dichiarazioni individuali di riservatezza sottoscritte dal Ricercatore responsabile del progetto e da ciascuno dei ricercatori per i quali si chiede l’accesso ai dati elementari (art. 5-ter, comma 1, lett. c), del d.lgs. 33 del 2013).

L’ente Sistan valuta la proposta di ricerca comunicandone l’esito, positivo o negativo, ovvero l’esigenza di eventuali integrazioni formali al Ricercatore responsabile del progetto e al Referente per le richieste di utilizzo dei dati elementari.

Una nuova richiesta deve essere presentata in caso di modifiche al progetto ovvero di necessità di accesso ad altri dati. Modifiche che incidono, invece, solo sulla durata del progetto, ovvero sui ricercatori coinvolti, possono avere luogo con il semplice consenso dell’ente Sistan.

In base alle regole speciali per la presentazione di progetti congiunti, è previsto, in particolare, che tutti gli enti partecipanti siano enti riconosciuti e tra essi deve sussistere uno specifico rapporto contrattuale o comunque un accordo formale (punto 3).

2.3 I laboratori per l’accesso ai dati elementari 

L’accesso ai dati elementari, a cui non sono stati applicati metodi di controllo per la tutela della riservatezza, può essere accordato dall’ente Sistan nell’ambito di appositi ambienti fisici/virtuali (laboratori), a condizione che, nella richiesta, siano motivate la necessità di questo accesso e l’impossibilità di conseguire altrimenti i risultati della ricerca (art. 5-ter, comma 2, del d.lgs. 33 del 2013).

L’ente Sistan, prima di costituire un laboratorio per consentire l’accesso ai dati elementari, effettua una valutazione d’impatto sulla protezione dei dati, finalizzata a determinare i rischi che tale modalità di accesso può presentare per i diritti e le libertà delle unità statistiche alle quali i dati si riferiscono e le misure tecniche e organizzative, anche di sicurezza, da adottare per attenuarli (artt. 35 e 36 RGPD).

Nell’ambito dei laboratori devono essere comunque rispettate le modalità di organizzazione e di funzionamento e i requisiti tecnologici e di sicurezza dei dati previsti dalle Linee Guida, con particolare riferimento all’individuazione dei soggetti autorizzati all’accesso, alle operazioni consentite e al controllo dell’output (art. 5-ter, comma 3, lett. c) del d.lgs. 33 del 2013).

A tal fine, l’ente costituisce un apposito staff di laboratorio cui sono conferiti specifici compiti di controllo, vigilanza, rendicontazione (es. degli accessi al laboratorio, inconvenienti tecnologici, data breach) nonché di collaborazione con i ricercatori.

Per garantire che in nessun caso l’output della ricerca statistica possa consentire l’identificazione delle unità statistiche, l’Istat ha definito le Regole per il rilascio dell’output (Allegato 7) per gli enti del Sistan che consentono l’accesso ai propri dati elementari nell’ambito di un laboratorio che dovranno essere tenute in considerazione nell’ambito della valutazione d’impatto sulla protezione dei dati.

Le Linee Guida recano, poi, specifiche indicazioni in ordine alle caratteristiche dell’infrastruttura tecnologica e alle misure tecniche e organizzative che l’ente Sistan deve adottare affinché, nell’ambito del sistema informatico utilizzato dal laboratorio, si prevengano e riducano al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di diffusione o accesso non autorizzato o di trattamento non consentito o non conforme alle finalità del progetto di ricerca per la realizzazione del quale l’accesso è stato autorizzato (punto 4).

2.4. Criteri di accreditamento per la gestione dell’accesso da remoto

Ai fini dell’accreditamento, l’ente Sistan deve effettuare una valutazione dell’idoneità del soggetto che intende accedere ai dati da remoto.

Ciò impone, in particolare, la valutazione dello scopo scientifico perseguito dal soggetto da accreditare, dell’adeguatezza della sua struttura organizzativa e delle misure adottate per la gestione e la sicurezza dei dati.

Per la verifica della sicurezza del laboratorio, nonché dell’onere organizzativo e finanziario che l’accesso da remoto comporta, ciascun ente Sistan può condurre una sperimentazione delle Linee guida, individuando uno o più soggetti con cui collaborare sulla base dei criteri sopra elencati e delle caratteristiche tecnologiche, logistiche e scientifiche del soggetto stesso.

Sulla base dei risultati della sperimentazione, l’ente Sistan individua gli eventuali limiti derivanti dalla sostenibilità tecnica, organizzativa ed economica dei Laboratori e definisce le modalità e i tempi per l’attivazione dei Laboratori per l’accesso da remoto ai propri dati elementari. I rapporti tra l’ente Sistan e il soggetto accreditato per la gestione del Laboratorio per l’accesso ai dati da remoto sono disciplinati da un apposito accordo (punto 5).

2.5. I file per la ricerca (MFR)

I dati elementari possono essere messi a disposizione di ricercatori sotto forma di file per la ricerca cui sono stati applicati metodi di controllo per la tutela della riservatezza (MFR), pur assicurando il mantenimento di un elevato contenuto informativo.

I criteri di protezione statistica sono stabiliti, a seguito di una valutazione d’impatto sulla protezione dei dati finalizzata a determinare i rischi per i diritti e le libertà delle unità statistiche, tenuto conto dell’eventuale coesistenza di rilasci di altri file di dati elementari che contengono dati riferiti alla stessa unità statistica -anche se già trattati ai fini della riservatezza- o di altre fonti liberamente accessibili, considerato che dal confronto tra più dataset potrebbero ottenersi informazioni sui rispondenti, tali da invalidare le misure di protezione adottate.

Le Linee Guida prevedono, inoltre, specifiche e ulteriori garanzie per le particolari categorie di dati personali di cui all’art. 9 del RGPD e per quelli relativi a condanne penali e reati di cui all’art. 10 del RGPD, in base alle quali, qualora i file MFR, pur in presenza di un rischio solo residuale di re-identificazione dei rispondenti, contengano variabili idonee a rivelare tali informazioni, devono essere adottate apposite tecniche, quali la casualizzazione, per assicurare l’anonimia delle variabili riservate.

L’ente Sistan che mette a disposizione i file MFR deve documentare le misure di protezione adottate. La suddetta documentazione deve essere rese disponibile alla Commissione per la garanzia della qualità dell’informazione statistica, qualora ne faccia richiesta (punto 6).

2.6. I protocolli di ricerca

Le Linee Guida individuano le condizioni per l’accesso ai dati elementari ai quali non siano stati applicati metodi di controllo per la riduzione del rischio di identificazione delle unità statistiche nell’ambito di progetti di ricerca svolti congiuntamente dagli enti del Sistan e dagli Enti riconosciuti, sulla base di appositi protocolli di ricerca sottoscritti dagli enti, qualora i suddetti dati siano necessari per le finalità della ricerca e quest’ultima sia finalizzata anche al perseguimento dei compiti istituzionali dell’ente Sistan (art. 5-ter, comma 1, lett. c), del d.lgs. 33 del 2013).

A tal fine, è previsto, in particolare, che il Protocollo di ricerca sia sottoscritto, oltre che dall’ente Sistan e dall’Ente riconosciuto, da tutti i ricercatori che partecipano al progetto di ricerca che hanno accesso ai dati elementari e che contenga un espresso richiamo alle norme in materia di segreto statistico e di protezione dei dati personali, in quanto vincolanti per tutti i ricercatori che partecipano al progetto di ricerca, e che individui i responsabili della protezione dei dati (punto 7).

2.7. Misure per la violazione degli impegni assunti dall’Ente di ricerca e dai ricercatori

Le Linee Guida prevedono, infine, che l’ente Sistan debba assumere specifici provvedimenti nei confronti del soggetto abilitato a rappresentare l’Ente di ricerca riconosciuto, del ricercatore responsabile del progetto, del referente per l’utilizzo dei dati elementari nonché di ogni ricercatore che abbia agito in violazione degli impegni assunti tramite la specifica documentazione sottoscritta e allegata alla domanda di riconoscimento e alla proposta di ricerca. Ciò ferme restando le sanzioni amministrative per i casi di violazione del divieto di effettuare trattamenti dei dati elementari diversi da quelli previsti nel progetto di ricerca, di conservare i dati elementari oltre i termini di durata del progetto, di comunicare i medesimi dati a terzi e di diffonderli (art. 5-ter, comma 1, lett. c), del d.lgs. 33 del 2013), nonché le altre sanzioni stabilite in caso di violazione delle disposizioni in materia di protezione dei dati personali dalla normativa di settore, le sanzioni previste dal codice civile e dal codice penale (punto 8).

OSSERVA

Il presente parere è reso su una versione aggiornata dello schema di Linee Guida che pur tenendo conto, nei termini di seguito evidenziati, di gran parte delle osservazioni formulate dall’Ufficio del Garante nel corso di contatti anche informali con i rappresentati dell’Istat, presenta talune criticità con riferimento alla disciplina in materia di protezione dei dati personali.

A) Osservazioni formulate dal Garante e recepite nello schema di Linee Guida

Nelle Linee Guida risultano recepite le indicazioni fornite al fine di assicurare che i trattamenti di dati personali effettuati per consentire l’accesso a fini scientifici di dati elementari statistici siano conformi al nuovo Regolamento generale sulla protezione dei dati.

Ci si riferisce, in particolare, a:

• gli adempimenti necessari a rispettare, e dimostrare di aver rispettato, la normativa in materia di protezione dei dati personali, anche con riferimento alle novità introdotte dal Regolamento;

• la previsione che le operazioni di trattamento dei dati effettuate dai ricercatori siano adeguatamente tracciate e riconducibili in modo univoco al singolo utente incaricato;

• la previsione che, nel caso di accesso ai dati da remoto, la soluzione di virtualizzazione prescelta, assicuri la completa separazione tra il desktop virtuale e la postazione fisica del ricercatore, non consenta di effettuare alcun tipo di scambio di file tra i due ambienti, di modificare le impostazioni della postazione fisica, del desktop virtuale o del server in modo da permettere detti scambi di file, e che sulla postazione fisica sia disabilitata la funzione di stampa dello schermo.

Tenuto conto delle intercorse modifiche al quadro normativo nazionale in materia di protezione dei dati personali ad opera del RGPD, si invita, invece, ad attualizzare l’indicazione del link al modello da utilizzare per la notifica delle violazioni di dati personali al Garante (data breach) (nota n. 9, punto 4.1.).

B) Caratteristiche del c.d. punto di accesso

Come già evidenziato in sede istruttoria, residua una criticità relativa alle misure tecniche e organizzative che devono assicurare la sicurezza, anche fisica, della postazione di lavoro per l’accesso ai dati statistici effettuati da remoto, disciplinate al punto 4.3. delle Linee Guida.

Infatti, mentre i dati devono rimanere nell’ambiente controllato dall’ente Sistan, è previsto che il ricercatore possa effettuare le elaborazioni e l’analisi sui dati da una postazione esterna, fisicamente collocata all’interno del Soggetto accreditato per la gestione del Laboratorio (c.d. punto di accesso). Tale punto di accesso, seppur dotato di attrezzature dedicate, fisiche o virtuali, non deve essere collocato in un locale dedicato, ma, secondo quando stabilito nelle Linee Guida, può trovarsi in una stanza con accesso limitato alle persone autorizzate “solo durante le sessioni di accesso ai dati elementari”.

Tale misura organizzativa, tuttavia, non risulta idonea ad escludere che, nel periodo durante il quale l’ente Sistan mette a disposizione dell’Ente riconosciuto i file di dati elementari, soggetti estranei alla ricerca possano transitare nel locale nonché, addirittura, utilizzare le medesime attrezzature esponendo, quindi, i dati elementari, consultabili attraverso il punto di accesso, a potenziali rischi, in particolare, di accesso non autorizzato e trattamento non consentito o non conforme alle finalità del progetto di ricerca

Poiché l’effettiva sicurezza dei dati trattati non può, infatti, essere affidata alla sola implementazione di misure logiche ma trova il suo primo presidio in specifiche misure organizzative e fisiche, appare necessario che le Linee Guida richiedano, per l’idoneità alla gestione e organizzazione dell’accesso da remoto ai dati elementari da parte dei soggetti accreditati, che i punti di accesso siano collocati in locali dedicati, nei quali possano fare ingresso i soli ricercatori autorizzati, con la registrazione degli accessi fisici.

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi dell’art. 5-ter del decreto legislativo 14 marzo 2013, n. 33, e dell’art. 58, par. 3, lett. b) del Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) esprime parere favorevole sullo schema di “Linee guida per l’accesso a fini scientifici ai dati elementari del Sistan” a condizione che le stesse prevedano, per l’idoneità alla gestione e organizzazione dell’accesso da remoto ai dati elementari da parte dei soggetti accreditati, che i punti di accesso siano collocati in locali dedicati, nei quali possano fare ingresso i soli ricercatori autorizzati, con la registrazione degli accessi fisici.

Roma, 21 giugno 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia