venerdì, Luglio 19, 2024
Uncategorized

Le osservazioni del Garante per la privacy al Piano generale del censimento e del Piano statistico nazionale approvati dall’Istat

 a cura di Ramona Cavalli dottoranda di ricerca in Scienze Giuridiche e Politiche, Università G. Marconi

 

1. Il Piano statistico nazionale (PSN) e il Piano generale di censimento (PGC) dell’Istat              

In generale, si può affermare che l’attività di ricerca dell’Istat si riflette, principalmente, da un lato nel Programma Statistico Nazionale (PSN) [1], che è l’atto normativo deliberato dal Comstat (Comitato di indirizzo e coordinamento dell’informazione statistica), in cui vengono stabilite nell’arco di un triennio le rilevazioni statistiche di interesse pubblico, affidandole al Sistan, e dall’altro nel Censimento generale della popolazione e delle abitazioni, che raccoglie soprattutto informazioni numeriche sulla popolazione residente, sulle abitazioni e sugli edifici con riferimento ad un decennio[2].

Occorre premettere che, nel settembre del 2018, è entrato in vigore il decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”. La modifica e l’aggiornamento del quadro normativo in materia di trattamento dei dati personali è stato, altresì, completato con la pubblicazione in Gazzetta Ufficiale delle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale” (G.U. del 14 gennaio 2019, n. 11)[3].

In tale contesto normativo, per il triennio 2017-2019[4] l’Istituto Nazionale di Statistica ha predisposto il Programma statistico nazionale, da ultimo aggiornato nella versione 2018-2019, e dunque antecedente delle disposizioni appena citate.

Il Programma statistico nazionale (PSN) illustra le finalità perseguite, oltre alle garanzie previste per il trattamento dei dati personali nell’ambito delle rilevazioni statistiche d’interesse pubblico, affidate al Sistema statistico nazionale[5].

Infatti il PSN è l’atto programmatorio della statistica ufficiale, che viene adottato, con riferimento ai dati personali, sensibili e giudiziari, sentito il Garante per la protezione dei dati personali, ai sensi dell’art. 154 del decreto legislativo 30 giugno 2003, n. 196.

In particolare, nel Programma sono indicati i dati sensibili e giudiziari di cui all’art. 4, comma 1, lett. d) ed e) del d. lgs. 30 giugno 2003, n.196, nonché le rilevazioni per le quali essi sono trattati e le modalità di trattamento in ossequio all’art. 4-bis del “Codice di deontologia e di buona condotta”. Il medesimo Programma provvede, inoltre, ad individuare le variabili che, in deroga alle norme in materia di tutela del segreto statistico, possono essere diffuse in forma disaggregata, ove ciò risulti necessario per soddisfare particolari esigenze conoscitive, anche di carattere internazionale o europeo ai sensi dell’art. 13, comma 3- bis, del d. lgs. 6 settembre 1989, n. 322 e dell’art. 4, comma 2, del “Codice di deontologia e di buona condotta”.

Il Programma statistico nazionale consente, altresì, di ottemperare all’obbligo di informativa previsto dall’art. 13 del d. lgs. n. 196 del 2003 qualora i dati non siano raccolti presso l’interessato e il conferimento dell’informativa a quest’ultimo richieda uno sforzo sproporzionato rispetto al diritto tutelato secondo quanto prescritto dall’art. 6, comma 2, del Codice[6].

Il Programma stesso precisa le regole generali che disciplinano i trattamenti di dati personali effettuati nell’ambito dei lavori compresi nel PSN. In primo luogo, per ogni ricerca i soggetti del Sistema statistico nazionale hanno fornito informazioni sulle modalità di trattamento dei dati personali, sia per gli individui e le famiglie, che costituiscono le unità di analisi tipiche delle statistiche sociali e demografiche, sia per le persone fisiche che svolgono, ad esempio, attività d’impresa e che, in quanto tali, rientrano invece, insieme ad altre categorie di soggetti, nel campo di osservazione proprio delle statistiche economiche. Anche per i lavori realizzati attraverso l’uso congiunto di dati personali e di dati non personali (dati anonimi, in forma individuale o aggregata, o dati riferiti a persone giuridiche, enti e associazioni), viene indicata la relativa fonte, oltre alla denominazione e all’unità di analisi o di archivio.

Il responsabile del trattamento dei dati personali sottoscrive un’apposita dichiarazione con cui attesta il rispetto dei principi di necessità, pertinenza e non eccedenza di cui agli artt. 3 e 11 del d. lgs. 30 giugno 2003, n. 196 ed, inoltre, certifica  per ciascun lavoro statistico, la veridicità e la completezza di tutte le informazioni inserite nella relativa scheda identificativa sintetizzata nei prospetti pubblicati nel presente volume del Programma statistico nazionale.

Durante la fase della raccolta dei dati sensibili e giudiziari per finalità statistiche, la volontarietà del conferimento degli stessi da parte dell’interessato è garantita dall’adozione di specifiche misure organizzative [7]. Nell’ipotesi in cui l’interessato non aderisca al trattamento dei propri dati sensibili e/o giudiziari, il titolare del lavoro compreso nel Programma statistico nazionale potrà acquisire i dati sensibili e/o giudiziari esclusivamente in forma anonima, ossia con modalità che non consentano di associarli ad un interessato identificato o identificabile.

Nei prospetti identificativi dei lavori statistici sono indicate le diverse modalità previste per la comunicazione dei dati personali trattati di cui agli artt. 7 ed 8 del Codice.  Tale indicazione assolve alla funzione di integrare e di sostituire, ove ricorrano le condizioni stabilite dal comma 2 dell’art. 6 del Codice, l’informativa nei confronti degli interessati relativamente a “i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati” (art. 13, d. lgs. n. 196 del 2003). Inoltre, per i dati sensibili e giudiziari, la suddetta indicazione assolve anche alla funzione di indicare le rispettive “modalità di trattamento” di cui all’art. 4 del Codice, nonché alla funzione di fornire specifica legittimazione per l’esecuzione di tutte quelle ipotesi di comunicazione che non risultino già autorizzate e disciplinate da espresse disposizioni di legge ai sensi dell’art. 20, commi 1 e 2, e dell’art. 21 del d. lgs. n. 196 del 2003.

I dati personali raccolti ai fini dell’esecuzione dei lavori compresi nel PSN sono tutelati dal segreto statistico, e non possono essere diffusi al di fuori del Sistema statistico nazionale se non in forma aggregata, in modo tale che non se ne possa trarre alcun riferimento individuale (art. 9 del decreto legislativo n. 322/1989). Tuttavia, sono fatte salve le ipotesi degli estremi identificativi di persone o di atti, gli atti certificativi di rapporti, provenienti da pubblici registri, elenchi, atti o documenti, conoscibili da chiunque di cui all’art. 9 del decreto legislativo n. 322 del 1989 e della diffusione di variabili in forma disaggregata di cui all’art. 13, comma 3-bis, dello stesso decreto.

Come indicato nei prospetti identificativi del Programma, i dati personali possono essere resi anonimi subito dopo la loro raccolta o al termine del lavoro, ovvero possono essere conservati anche dopo la conclusione di quest’ultimo qualora siano necessari per ulteriori trattamenti statistici del titolare. I dati identificativi possono essere conservati, invece, solo nel caso di indagini continue e longitudinali, indagini di controllo, di qualità e copertura, definizione di disegni campionari e selezione di unità di rilevazione, costituzione di archivi delle unità statistiche e di sistemi informativi, altri casi in cui risulti essenziale e adeguatamente documentato per le finalità perseguite come previsto dall’art. 11 del Codice.

Qualora siano conservati, i dati identificativi sono custoditi separatamente da ogni altro dato salvo che ciò, in base a un atto motivato per iscritto, risulti impossibile in ragione delle particolari caratteristiche del trattamento, ovvero comporti l’impiego di mezzi manifestamente sproporzionati. L’eventualità che i dati identificativi non siano conservati separatamente dagli altri dati personali, oltre alle ragioni che impediscono tale separazione, sono esplicitate nei prospetti identificativi. In attuazione dell’art. 22, comma 7, del d. lgs. n. 196/2003, infine, i dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I tempi di conservazione dei dati personali trattati nel PSN sono riportati in appendice allo stesso.

Altro atto di rilievo è il Piano generale del Censimento Permanente della popolazione e delle abitazioni (Pcg), approvato dal Consiglio d’Istituto nella seduta del 26 marzo 2018 [8].

Si tratta di un atto programmatorio di natura generale che detta le linee di indirizzo in merito alla pianificazione, l’organizzazione e l’esecuzione delle operazioni relative al Censimento permanente della popolazione e delle abitazioni, mentre la disciplina degli aspetti di dettaglio e operativi del censimento è rinviata ad ulteriori atti e circolari[9]. Il PGC ha durata quadriennale e viene aggiornato per esigenze metodologiche e organizzative.

Il Censimento permanente della popolazione e delle abitazioni (CP) viene effettuato allo scopo di assolvere agli obblighi di rilevazione stabiliti dal Regolamento CE n. 763/2008 del Parlamento europeo e del Consiglio del 9 luglio 2008, relativo ai censimenti della popolazione e delle abitazioni e dai relativi Regolamenti di attuazione; di produrre un quadro informativo statistico sulle principali caratteristiche strutturali della popolazione a livello nazionale, regionale e locale; di determinare la popolazione legale nel territorio di ciascun Comune come previsto dalla Legge n. 205 del 27 dicembre 2017, articolo 1, comma 236; di fornire dati e informazioni utili all’aggiornamento e alla revisione delle anagrafi comunali della popolazione residente (art. 46 del D.P.R. 30 maggio 1989, n. 223) e dell’Anagrafe nazionale della popolazione residente, ANPR (art. 62 del decreto legislativo 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale); ed, altresì, di produrre informazioni sulla consistenza numerica delle abitazioni e sulle caratteristiche di quelle occupate.

La strategia del CP è basata sull’integrazione di dati amministrativi e di dati da indagini statistiche campionarie, con l’obiettivo di produrre informazioni ogni anno e contenere i costi e il disturbo statistico sulle famiglie. In particolare, l’obiettivo primario dell’impianto metodologico del Censimento permanente è quello di mantenere l’elevato livello di dettaglio classificatorio, garantito tradizionalmente dal Censimento decennale, per un insieme di variabili fondamentali di natura demografica, sociale ed economica, aumentando, altresì, la frequenza temporale dell’informazione prodotta e la tempestività della sua diffusione.

Il passaggio a un nuovo modello di Censimento è reso possibile dall’acquisizione, dal trattamento e dall’utilizzo a fini statistici di fonti amministrative che generano, mediante processi di validazione dei dati, registri statistici aggiornati con elevata frequenza temporale[10]. Il CP si avvale sia delle informazioni prodotte dai Registri statistici che compongono il Sistema integrato di registri (SIR), sia di quelle rilevate attraverso apposite indagini periodiche.

Il Sistema Integrato dei Registri (SIR), finalizzato esclusivamente alla produzione dell’informazione statistica, è l’infrastruttura logica progettata e realizzata dell’Istat allo scopo di massimizzare il potenziale informativo delle fonti amministrative mediante un processo di integrazione statistica delle unità. Il sistema è basato su un insieme di relazioni che collegano solo logicamente le fonti utilizzate. In particolare, sono due le specifiche indagini campionarie periodiche a supporto del CP: una Areale (A) e una da Lista (L), che verranno realizzate tutti gli anni in alcuni Comuni (autorappresentativi – AR), e a rotazione negli anni per altri Comuni (non autorappresentativi – NAR)[11]. Tali indagini hanno lo scopo di coprire il fabbisogno informativo della diffusione censuaria che non può essere generato dal SIR e di migliorare la qualità dei registri stessi.

Il passaggio alla nuova strategia censuaria comporta che molte informazioni vengano desunte direttamente dai dati amministrativi opportunamente integrati nel Sistema integrato dei registri dell’Istat. Ciò implica che non tutte le unità di rilevazione necessarie a comporre il quadro informativo sono oggetto di rilevazione annuale[12]. La data di riferimento delle rilevazioni del Censimento permanente è fissata alla prima domenica di ottobre di ciascun anno.

Le operazioni censuarie vengono gestite con l’ausilio del Sistema di gestione delle indagini (SGI), realizzato dall’Istat, e accessibile da web. Il sistema permette di monitorare tutte le fasi del processo ai vari livelli di operatività della rete di rilevazione, ivi compresa l’acquisizione dei questionari. In particolare, SGI consentirà di seguire le fasi della rilevazione prima, durante e dopo la raccolta dei dati.

Mediante successivi atti e specifiche circolari attuative, l’Istat fornirà istruzioni complete circa le modalità e i tempi di conduzione delle operazioni delle rilevazioni, Areale e da Lista.

In particolare, la Rilevazione Areale (A) è un’indagine annuale che coinvolge le aree di rilevazione campionate, estratte dal Registro Base dei Luoghi, facente parte del SIR, che corrispondono in alcuni casi a sezioni di Censimento (porzioni di territorio comunale), e in altri casi a specifici indirizzi. La rilevazione prevede l’utilizzo della sola tecnica Computer Assisted Personal Interviewing (CAPI), pertanto le famiglie saranno intervistate da un rilevatore munito di dispositivo mobile[13].

Diversamente, per la rilevazione da lista (L), l’unità finale di campionamento è costituita dalle famiglie estratte dal RBI; nelle occasioni di indagine in cui è necessario aggiornare anche i dati sulle convivenze, si estrae sempre dallo stesso registro la lista delle convivenze anagrafiche. L’acquisizione dei dati prevede una pluralità di canali per la compilazione del questionario elettronico (restituzione multi-canale).

La strategia di rilevazione prevede due fasi. Nella prima le unità di rilevazione possono compilare il questionario utilizzando esclusivamente le seguenti modalità di restituzione:  – questionario CAWI (Computer Assisted Web Interviewing) accessibile tramite portale Istat che potrà essere compilato dalle famiglie autonomamente oppure recandosi presso i Centri comunali di rilevazione appositamente istituiti dai comuni (si veda infra, par. 3) dove sarà possibile fruire dell’assistenza di operatori comunali; – intervista telefonica, chiamando il Numero verde appositamente attivato dall’Istat.

Nella seconda fase, invece, per le unità di rilevazione che nella prima fase non hanno compilato il questionario alle modalità di restituzione già previste nella fase 1 si aggiungono due nuove modalità: intervista telefonica, effettuata dagli operatori comunali; intervista faccia a faccia CAPI (Computer Assisted Personal Interviewing) effettuata da un rilevatore munito di tablet.

Sul piano territoriale, le fasi delle rilevazioni censuarie vengono organizzate con riferimento a quattro livelli territoriali: nazionale, regionale, provinciale e comunale. Esse sono affidate all’Istat, all’Ufficio di statistica del Ministero dell’Interno, ai Responsabili Istat Territoriali (RIT) che operano nelle sedi regionali dell’Istat, agli Uffici di statistica delle province autonome di Trento e di Bolzano e della Regione autonoma Valle d’Aosta, nonché agli Uffici Provinciali di Censimento (UPC) e agli Uffici Comunali di Censimento (UCC).

I dati raccolti in occasione del Censimento sono coperti dal segreto d’ufficio e dal segreto statistico, in conformità agli articoli 8 e 9 del d. lgs. 6 settembre 1989, n. 322 e successive modificazioni e integrazioni.

Ai sensi dell’art. 1, comma 232, lett. c) della Legge 205 del 27 dicembre 2017 la comunicazione dei dati elementari, privi di identificativi, è rivolta agli enti ed organismi coinvolti nelle rilevazioni censuarie, anche se non facenti parte del Sistan, per i trattamenti statistici strumentali al perseguimento delle rispettive finalità istituzionali, nel rispetto della normativa vigente in tema di tutela della protezione dei dati personali e del segreto statistico, di cui alla normativa citata.

L’Istat procederà annualmente all’integrazione e alla validazione nell’ambito del RBI dei risultati delle indagini periodiche A e L e delle informazioni desumibili dalle fonti amministrative o di altre fonti utili ai fini censuari. Per i Comuni non coinvolti nelle indagini periodiche l’Istat procederà, ogni anno, all’integrazione e alla validazione nel RBI delle informazioni desumibili dalle fonti amministrative o da altre fonti utili ai fini censuari.

A conclusione dei risultati validati nell’ambito del RBI, l’Istat rilascerà agli Uffici di anagrafe dei Comuni, ai sensi dell’art. 46 del vigente Regolamento anagrafico, i dati necessari per effettuare la revisione delle anagrafi, con modalità e tempi definiti di intesa con il Ministero dell’Interno.

Per facilitare ai Comuni l’operazione di revisione e aggiornamento delle anagrafi comunali, l’Istat predisporrà una apposita piattaforma informatica che consentirà di registrare on line le operazioni di revisione, secondo modalità standardizzate e tempi definiti che saranno comunicati dall’Istituto con apposite circolari, d’intesa con il Ministero dell’Interno, entro la data di avvio delle operazioni censuarie presso i Comuni.

2.  Le criticità sollevate dal Garante della Privacy sulla non corretta protezione dei dati del Pcg e del Psn approvati dall’Istat

Con nota del 19 dicembre 2019, l’Istat ha trasmesso al Garante lo schema di Programma statistico nazionale 2017-2019, Aggiornamento 2019 per la formulazione del parere di competenza al Garante per la protezione dei dati personali, ai sensi dell’art. 6- bis del d.lgs. 322 del 1989, inserito dall’art. 9, comma 6-bis, lett. c), d.l. 28 gennaio 2019, n. 4, convertito, con modificazioni, dalla l. 28 marzo 2019, n. 26 e dell’art. 58, par. 3, lett. b) del Regolamento[14]. In seguito, il Garante con il parere emesso il 13 febbraio 2020[15] ha preliminarmente considerato la circostanza che i complessi lavori di preparazione del PSN risultavano già in fase avanzata nel momento in cui sono state appropriate modifiche normative alla disciplina sulla protezione dei dati personali.

Sebbene il Garante abbia apprezzato, in ossequio al principio di trasparenza, sia la  maggiore organicità del documento suddiviso in cinque macro-aree[16], sia l’indicazione dei dati di contatto del titolare del trattamento, nonché dei dati di contatto del responsabile della protezione dei dati, nel Paragrafo 2 del Volume II del PSN con una apposita scheda, tuttavia si rilevano diverse criticità che incidono proprio sull’applicazione di tale principio.

In primo luogo, viene valutata come “estremamente complessa la consultazione del documento, e meno intellegibile l’informativa, in relazione alle modalità di comunicazione all’interessato dei tempi di conservazione dei dati raccolti e successivamente trattati per scopi statistici, indicati in un’apposita appendice al Vol. 2 del PSN piuttosto che all’interno dei singoli prospetti dei lavori statistici[17].

Infatti, per ogni lavoro statistico l’appendice, che comunque è destinata a confluire nei prospetti identificativi dei lavori statistici, individua le fonti dalle quali sono estratti i dati e i tempi di conservazione per ciascuno di essi (o categoria di essi) sebbene, per un medesimo lavoro statistico, sono talvolta indicati tempi di conservazione dei dati differenti, in ragione della fonte amministrativa dalla quella essi sono raccolti[18]. In tal modo l’appendice non è né chiara né intellegibile, non essendo di facile comprensione (artt. 5 par. 1, lett. a) e 12, par. 1, del Regolamento).

Anche con riferimento ai tempi di “ulteriore” conservazione dei dati il Garante non rileva dati coerenti[19].

Con riferimento alle indicazioni delle misure adottate per tutelare i diritti fondamentali e le libertà degli interessati, nonché delle misure tecniche e organizzative idonee a garantire la liceità e la correttezza del trattamento, con particolare riguardo al principio di minimizzazione dei dati, il Garante rileva che le descrizioni fornite dai vari titolari di lavori statistici, inseriti nel PSN, differiscono eccessivamente tra loro. Alcune, infatti, si rilevano estremamente dettagliate (cfr. GSE gestore dei servizi energetici) e altre, al contrario, eccessivamente generiche.

Si rileva poi che, nell’appendice sono scarsamente tenuti in considerazione gli obblighi di indicare le misure adottate per tutelare i diritti e le libertà fondamentali degli interessati, nonché  le misure tecniche e organizzative volte a garantire il rispetto di principi applicabili al trattamento dei dati personali, anche nelle ipotesi di trattamenti ulteriori di dati, quali ad esempio il principio di minimizzazione (artt. 5 e 89 del Regolamento). Si rileva infine come, in relazione a tale ultimo profilo, risultino spesso confusi i concetti di “crittografia”, “pseudonimizzazione” e “anonimizzazione” dei dati[20].

Tuttavia, le osservazioni critiche più rilevanti del Garante riguardano la modalità di utilizzo dei dati all’interno dell’Istituto, attraverso una infrastruttura tecnologica costruita in base a specifiche logiche statistiche denominata “Sistema integrato di microdati amministrativi” (SIM) e contrassegnato nel PSN dal codice IST-02270 (di seguito anche solo “Sistema” o “SIM”)[21].

Occorre precisare che il SIM, sovente utilizzato nei registri statistici, è un’infrastruttura “intermedia” di supporto ai lavori, deputata alla centralizzazione dell’acquisizione di fonti amministrative e alla gestione dei dati.

Attraverso tale Sistema, l’Istat mira a creare un ambiente unico e sicuro per l’acquisizione, la gestione e l’archiviazione dei dati amministrativi raccolti per finalità statistiche. A ogni singola unità statistica è attribuito un codice (c.d. “SIM”), che consente il collegamento di varie basi di dati, attraverso specifiche attività di record linkage. I dati, così strutturati, sono poi resi accessibili agli utenti interni autorizzati.

Attraverso un portale denominato ARCAM, l’Istat fa confluire nel Sistema le fonti amministrative che le varie direzioni statistiche indicano come necessarie per il perseguimento dei propri scopi statistici.

Inoltre, l’Istituto di Statistica acquisisce dalle fonti amministrative solo le variabili utili alle finalità statistiche definite dal PSN o da Regolamenti comunitari. Successivamente, la selezione delle variabili avviene nella fase di Programmazione annuale delle acquisizioni dei dati amministrativi in carico al Servizio Acquisizione dati amministrativi e integrazione delle fonti (RDD) della Direzione centrale per la raccolta dati (DCRD). In tal modo, i dati amministrativi acquisiti sono dei sotto-insiemi delle informazioni presenti negli archivi di proprietà degli Enti, concordati in base alla programmazione annuale delle statistiche dell’Istat. Infatti, non si acquisisce l’intero archivio amministrativo ma solo le variabili, riferite ad uno specifico intervallo temporale, che consentono all’Istituto di svolgere un determinato processo di produzione statistico.

La c.d. “simmizzazione” dei dati avviene attraverso la conversione di una serie di variabili in un codice SIM. Il codice, del quale tuttavia non è stata descritta la modalità di generazione, è univoco e stabile nel tempo. Per ciascun codice SIM vi sono poi diverse variabili.

Con riferimento ai tempi di conservazione, nella valutazione di impatto è dichiarato che i dati sono conservati nel SIM per un periodo di 20 anni ai fini della realizzazione di analisi longitudinali e serie storiche.

A fronte di tali criticità, il Garante si è espresso in senso non favorevole verso tale Sistema dapprima con il parere del 9 maggio 2018, con cui ha richiesto un approfondimento istruttorio, e successivamente con il provvedimento n. 10 del 23 gennaio 2020 in relazione al Piano Generale di Censimento[22]. Infatti, l’Autorità ha autorizzato lo svolgimento dei lavori statistici necessari per la realizzazione del censimento permanente che prevedevano, appunto, l’utilizzo del sistema in esame, tuttavia “prescrivendo all’Istat di implementare le effettive misure di pseudonimizzazione, idonee a prevenire rischi di trattamenti di dati personali non pertinenti e in violazione del principio di limitazione della conservazione (ad esempio, attraverso l’assegnazione di diversi codici pseudonimi, ciascuno con una validità limitata, non solo nel tempo, ma anche in relazione alla specifica finalità perseguita, secondo una logica gerarchica che consenta, ove se ne ravvisi la necessità, di ricongiungere i vari pseudonimi al medesimo interessato)”.[23]

In particolare, il Garante rileva che il c.d. SIM, qualificato nel PSN come un lavoro statistico soggetto ad una specifica logica statistica (Statistica da fonti amministrative organizzate, c.d. SDA), per sua stessa natura, non può essere ritenuto direttamente volto alla produzione di un output statistico, in quanto i dati che vi confluiscono sono oggetto di operazioni di trattamento prodromiche e funzionali alla razionalizzazione dei trattamenti necessari per lo svolgimento di diversi lavori statistici.

Se, da un lato, il Garante ha autorizzato l’utilizzo di tale sistema, perché questa gestione unitaria e organica della raccolta, codifica e conservazione dei dati, rende sicuramente più razionale il funzionamento delle attività statistiche dell’Istituto, anche nell’ottica dell’applicazione dei principi di esattezza e accuratezza del dato, dall’altro ritiene che vi siano alcuni aspetti che richiedono ulteriori approfondimenti, tra cui la gestione dei dati da parte degli utenti autorizzati, ai tempi e alle modalità di conservazione, alla modalità di generazione del codice SIM, alla realizzazione di specifici lavori statistici anche in contitolarità con altri soggetti (cfr. IST-02753 Sistema informativo statistico del lavoro). Sostanzialmente, con riferimento al trattamento di dati personali nell’ambito del SIM l’Autorità, nel parere di gennaio 2020, ha rilevato la necessità che vengano introdotti meccanismi di disaccoppiamento gerarchico dei codici nelle varie basi di dati e di rotazione degli stessi nel tempo[24], mentre nel parere di febbraio 2020 si è riservata di svolgere ulteriori approfondimenti nell’ambito della propria autonomia istruttoria. In entrambi i casi, tuttavia, viene evidenziata la necessità che vengano individuate specifiche misure di pseudonimizzazione per il trattamento e la conservazione dei dati nell’ambito dei registri che cumulano trattamenti primari e secondari di dati personali per scopi statistici[25].

Il Garante rileva, inoltre, che con riferimento alle cc.dd. “statistiche da indagine” deve essere segnalata la logica di tale trattamento nell’ambito delle informazioni rese agli interessati, ai sensi dell’art. 13 del Regolamento[26].

Infine, l’Autorità ritiene opportuno sospendere provvisoriamente la diffusione, in forma disaggregata, delle variabili riferite ad alcuni lavori[27], fintantoché l’Istituto non abbia reso noto all’Autorità medesima come intende integrare il documento “diffusione di variabili in forma disaggregata”, secondo le indicazioni richiamate. In particolare, l’Istat non sembra aver adottato specifiche misure, volte a garantire adeguatamente il rischio di reidentificazione dei singoli interessati, neppure con riferimento al lavoro MUR 00026, dove è chiarito che “le variabili che si intende diffondere non sono idonee a rivelare informazioni riservate o sensibili”, tuttavia non viene specificato dall’Istituto “né che i risultati verranno diffusi in modo da escludere l’identificazione di singoli interessati, tenendo conto dell’insieme di diversi fattori obiettivi e delle risorse ragionevolmente disponibili (cons. 26 del Regolamento), anche attraverso la modifica, laddove necessario, delle variabili oggetto di diffusione, né, in subordine, sono state fornite adeguate e circostanziate motivazioni che giustifichino una tale forma di disaggregazione dei dati”[28].

Nel precedente parere del 9 maggio 2018, il Garante si è espresso in termini negativi in ordine ai lavori statistici necessari alla realizzazione del censimento permanente, tra cui quelli relativi al settore popolazione e famiglia, condizioni di vita e partecipazione sociale del PSN, in quanto non era possibile comprendere dai prospetti informativi le finalità e le modalità di trattamento, nonché il processo decisionale automatizzato e la logica utilizzati per l’individuazione del campione. Con il provvedimento emesso a febbraio 2020, l’Autorità ha valutato come superate le criticità emerse anche nel provvedimento n. 10 del 23 gennaio 2020, in ossequio al quale l’Istat ha adottato specifiche prescrizioni sia per integrare il Piano generale di censimento con l’indicazione delle modalità di restituzione, in forma aggregata, ai comuni delle informazioni raccolte nell’ambito del Censimento, sia per  integrare la valutazione di impatto sulla protezione dei dati personali relativa ai lavori statistici correlati alla realizzazione del Censimento permanente con l’indicazione delle probabilità, attraverso specifiche metriche, di reidentificazione degli interessati[29].

Infine si ritiene di dover provvisoriamente sospendere, per una specifica istruttoria ulteriore, i lavori inerenti al Consorzio interuniversitario AlmaLaurea e al Lavoro di titolarità di Crea – Consiglio per la ricerca in agricoltura e l’analisi dell’economia agraria, soprattutto per le molteplici criticità relative ai principi di liceità e trasparenza.

In conclusione, il Garante esprime parere favorevole sullo schema di Programma statistico nazionale 2017-2019 – Aggiornamento 2019, ad eccezione di alcuni lavori statistici, e richiede che le informative agli interessati relative alle statistiche da indagine vengano integrate secondo le indicazioni riportate.

[1] PSN 2017-2019. Aggiornamento 2018-2019, in https://www.sistan.it/index.php?id=551.

[2]Si veda Piano generale del censimento permanente della popolazione e delle abitazioni, in https://www.istat.it/it/files/2016/03/PGC-CENSIMENTO-POPOLAZIONE-E-ABITAZIONI.pdf

[3] Decreto Legislativo 10 agosto 2018, n. 101, pubblicato su GU Serie Generale n.205 del 04-09-2018, in https://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg.

[4] Il Programma statistico nazionale è approvato con decreto del Presidente della Repubblica, previo parere della  Conferenza  unificata, della Commissione per la  garanzia  della  qualità dell’informazione statistica, del Garante per la protezione  dei  dati  personali, cui segue la deliberazione del  Comitato  interministeriale  per  la programmazione economica (art. 13 d.lgs. n. 322/1989, come modificato dall’art. 8-bis del d.l. n. 101/2013 inserito dalla legge di conversione n. 125/2013). Con lo stesso decreto sono altresì approvati l’elenco delle rilevazioni, comprese nel Programma stesso, rispetto alle quali sussiste l’obbligo di risposta per i soggetti privati, i criteri utilizzati per individuare le unità statistiche per le quali la mancata risposta comporta l’applicazione di una sanzione pecuniaria amministrativa e il correlato elenco delle rilevazioni soggette a sanzione (art. 13, comma 3-ter, decreto legislativo n. 322 del 1989). Nel Programma statistico nazionale 2017-2019  sono presenti 830 lavori, classificati in statistiche da indagine (Sdi), statistiche da fonti amministrative organizzate (Sda), statistiche derivate (Sde), studi progettuali (Stu) e sistemi informativi (Sis); di questi 377 trattano dati personali, compresi quelli sensibili/giudiziari.

[5] Si legga l’art. 4-bis del “Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale”, Allegato A.3 del decreto legislativo 30 giugno 2003, n.196 “Codice in materia di protezione dei dati personali”.

[6] L’art. 6-bis del d.lgs. 322 del 1989 richiede inoltre che nel PSN siano indicati, in particolare: i) i tipi di dati; ii) le operazioni eseguibili; iii) le misure adottate per tutelare i diritti fondamentali e le libertà degli interessati; iv) le misure tecniche e organizzative idonee a garantire la liceità e la correttezza del trattamento, con particolare riguardo al principio di minimizzazione dei dati. Inoltre per ciascun trattamento vanno indicati: a) le modalità; b) le categorie dei soggetti interessati; c) le finalità perseguite; d) le fonti utilizzate; e) le principali variabili acquisite; f) i tempi di conservazione; g) le categorie dei soggetti destinatari dei dati.

[7] Cfr. Programma Statistico Nazionale, cit. Ai sensi dell’art. 7, comma 1, del decreto legislativo n. 322 del 1989, le amministrazioni, gli enti e gli organismi pubblici hanno l’obbligo di fornire i dati e le notizie che vengono loro richiesti per l’esecuzione dei lavori compresi nel Programma statistico nazionale (Sdi e Sda) nei quali siano coinvolti in qualità di rispondenti; l’esistenza del predetto obbligo non è, pertanto, richiamata nei prospetti identificativi di tali lavori. La medesima disposizione normativa stabilisce che, per i soggetti privati, l’obbligo di risposta sussiste, invece, limitatamente ai lavori del Programma statistico nazionale inseriti in un apposito elenco approvato ai sensi dell’art. 13 comma 3-ter del decreto legislativo n. 322 del1989; i prospetti identificativi dei lavori che hanno come rispondenti soggetti privati contengono indicazioni esplicite circa la previsione o meno di tale obbligo. Indipendentemente dalla natura giuridica pubblica o privata dei rispondenti, l’obbligo di risposta non sussiste per i dati sensibili e giudiziari di cui all’art. 4, comma 1, lettere d) ed e) del decreto legislativo n. 196 del 2003 (art. 7, comma 2, d.lgs. n. 322 del 1989), a meno che esso non sia previsto da un’espressa disposizione normativa, opportunamente richiamata nel prospetto identificativo del lavoro. In assenza del richiamo della predetta disposizione normativa e, dunque, dell’obbligo di fornire i propri dati, gli interessati potranno decidere se fornire o meno i propri dati sensibili e/o giudiziari. Quando i dati sono raccolti direttamente presso l’interessato sarà l’intervistatore a evidenziare la facoltà di non rispondere ai quesiti dai quali possono essere desunte informazioni sensibili e/o giudiziarie. Nel caso in cui la raccolta dei dati non sia effettuata presso l’interessato (statistiche da fonte amministrativa o indagini presso terzi), la facoltatività del conferimento dei dati sensibili e giudiziari è, invece, evidenziata nel prospetto informativo con la formula seguente “Dati personali sensibili e/o giudiziari – Facoltatività del conferimento da parte dell’interessato o del soggetto pubblico/privato che ne detiene i dati: Si, l’interessato è libero di aderire al trattamento statistico dei propri dati sensibili e/o giudiziari (i dati sono trattati secondo le modalità indicate al capitolo 1, par. 1.2.2 del volume 2)”.

[8] Testo approvato dal Consiglio d’Istituto nella seduta del 26 marzo 2018 con deliberazione n. CDLIII, giusta Intesa Conferenza Unificata del 21 marzo 2018.

[9] Il Censimento permanente trova la sua fonte, a livello europeo, nel Regolamento (CE) 9 luglio 2008 n. 763/2008 del Parlamento europeo e del Consiglio, che ne ha disposto l’effettuazione da parte di tutti gli Stati membri e ne ha indicato le modalità di svolgimento, sottolineandone l’obbligatorietà, nonché nei tre Regolamenti di attuazione: Regolamento (CE) n. 2017/543 della Commissione del 22 Marzo 2017 che ha stabilito le specifiche tecniche delle variabili e delle loro classificazioni; Regolamento (CE) n. 2017/712 della Commissione del 20 Aprile 2017 che ha stabilito il programma dei dati e dei metadati; Regolamento (CE) n. 2017/881 della Commissione del 23 Maggio 2017 che ha stabilito le modalità e la struttura dei report sulla qualità e il formato tecnico per la trasmissione dei dati. A livello nazionale l’art. 1 commi da 227 a 237 della L. 27 dicembre 2017, n. 205 recante il Bilancio di previsione dello Stato per l’anno finanziario 2018 e Bilancio pluriennale per il triennio 2018-2020 ha indetto, con un unico atto legislativo, il Censimento permanente della popolazione e delle abitazioni, i Censimenti economici permanenti delle imprese, delle istituzioni non profit e delle istituzioni pubbliche, il 7° Censimento generale dell’agricoltura e il Censimento permanente dell’agricoltura, regolamentandone i principali profili ed effetti giuridici. In particolare, il Censimento permanente della popolazione e delle abitazioni è stato indetto ai sensi dell’art. 3 del D.L. 18-10-2012 n. 179, convertito con modificazioni in legge n. 221 del 17.12.2012, e del D.P.C.M. 12 maggio 2016 in materia di Censimento della popolazione e Archivio nazionale dei numeri civici e delle strade urbane (ANNCSU), con il quale sono stati fissati i tempi di realizzazione del medesimo Censimento permanente.

[10] CALZARONI  M.,  Le fonti amministrative nei processi e nei prodotti della statistica ufficiale, in https://www.istat.it/it/files/2011/02/Calzaroni.pdf., dove si rileva che i registri sono “liste esaustive e aggiornate di unità appartenenti a popolazioni di interesse statistico. I registri statistici, corredati da un insieme di attributi caratteristici, costituiscono la base dei sistemi informativi di un Ins e garantiscono la coerenza complessiva delle informazioni prodotte”. Il ruolo strategico dei registri si rileva anche in ordine alla riduzione del c.d. fastidio statistico e dei costi.

[11] Cfr. Piano censimento permanente, cit. La componente A – basata su un campione areale di sezioni di Censimento e/o di indirizzi selezionati dal Registro base dei luoghi (RBL) – è disegnata per stimare la qualità del Registro base degli individui (RBI) a livello nazionale e sub-nazionale, per diversi profili di sotto-popolazioni, definite da variabili quali sesso, età e cittadinanza (italiana o straniera). La componente L – basata su un campione di famiglie e (in alcune annualità) sulla lista delle convivenze anagrafiche estratte dal RBI – è disegnata con lo scopo di rilevare informazioni che non sono presenti nel SIR o non sono adeguate a garantire la qualità richiesta dei dati censuari.

[12] Cfr. Piano censimento permanente, cit. Le unità di rilevazione del Pcg sono attualmente: la famiglia anagrafica; le convivenze anagrafiche; l’insieme di persone normalmente coabitanti per motivi religiosi, di cura, di assistenza, militari, di pena e simili, aventi dimora abituale nello stesso comune, secondo quanto previsto dall’articolo 5 del Regolamento Anagrafico (D.P.R. 30 maggio 1989, n. 223); le abitazioni occupate e non occupate; gli altri tipi di alloggio occupati; le strutture residenziali collettive occupate; gli indirizzi.

[13] Cfr. Piano censimento permanente, cit.  Sono previste tre diverse fasi di indagine:  1. ricognizione preliminare dell’area di rilevazione;  2. rilevazione porta a porta;  3. verifica delle incoerenze tra le unità rilevate e quelle presenti nel RBI.  L’obiettivo principale di tale indagine consiste nella valutazione della qualità delle liste anagrafiche e del Registro di base degli individui attraverso il confronto con una misurazione indipendente della popolazione abitualmente dimorante ottenuta direttamente sul campo. I rilevatori pertanto, nella fase “porta a porta”, dovranno procedere alla rilevazione senza disporre di elenchi di popolazione preesistenti.

[14] Il PSN tiene in considerazione non solo di quanto rilevato dal Garante nel parere formulato in relazione allo schema di Programma statistico nazionale 2017-2019, Aggiornamento 2018-2019 ma anche delle osservazioni emerse nel corso di numerosi contatti intercorsi, anche informalmente, con l’Ufficio. Cfr. Parere sullo schema di Programma statistico nazionale 2017-2019, Aggiornamento 2018-2019 – 9 maggio 2018, Registro dei provvedimenti
n. 271 del 9 maggio 2018, in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9001732.

[15] Cfr. Parere sullo schema di Programma statistico nazionale 2017-2019 – Aggiornamento 2019, Parere sullo schema di Programma statistico nazionale 2017-2019 – Aggiornamento 2019, 13 febbraio 2020, in  https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9283929.

[16] Parere della Commissione per la garanzia della qualità dell’informazione statistica sul Programma Statistico nazionale 2017-2019. Aggiornamento 2019 deliberato nella riunione del 28 settembre 2018. Le cinque macroaree sono le: statistiche sociali e giudiziarie; statistiche economiche; statistiche territoriali e ambientali; contabilità nazionale e analisi integrate; valutazione delle politiche e del benessere.

[17] Parere sullo schema di Programma statistico nazionale 2017-2019, Aggiornamento 2018-2019 – 9 maggio 2018, cit.

[18] Si citano a titolo esemplificativo i seguenti lavori statistici: IST-02638 – Registro dei redditi e integrazione redditi, consumi, ricchezza; IST-02629 – Sviluppo di indicatori di morbosità diagnosticata; IST-02646 – Differenze socio-economiche nella mortalità; IST-01940 – Indagine sull’inserimento professionale dei dottori di ricerca; IST-00220 – Indagine sull’inserimento professionale dei laureati, IST-00706 – Indagine sui percorsi di studio e di lavoro dei diplomati delle scuole secondarie di II grado; PUI-00014 – Analisi del percorso formativo e degli esiti occupazionali dei diplomati e dei laureati; IST-00925 – Rilevazione sulle forze di lavoro (Rfl); IST-02634 – Registro esteso dell’occupazione nelle imprese (Asia occupazione).

[19] Si ricorda che il principio di limitazione della conservazione può essere derogato, laddove i dati siano conservati per fini statistici, conformemente alle garanzie di cui all’articolo 89, par. 1 del Regolamento. Inoltre, in base alla specifica disciplina di settore “i dati personali raccolti specificamente per uno scopo statistico possono essere trattati dai soggetti di cui al comma 1 (i soggetti che fanno parte o partecipano al Sistan, ndr.) per altri scopi statistici di interesse pubblico (…), quando questi ultimi sono chiaramente determinati e di limitata durata. Tale eventualità, (…), è chiaramente rappresentata agli interessati al momento della raccolta o, quando ciò non è possibile, è resa preventivamente nota al pubblico e al Garante nei modi e nei termini previsti dal codice di deontologia e di buona condotta” (art. 6-bis, comma 4 del d.lgs. 6 settembre 1989, n. 322).

[20] Si ricorda che, in attuazione dell’art. 6, par. 3 del Regolamento, il PSN deve contenere contenga specifiche indicazioni in ordine, in particolare, alle misure adottate per tutelare i diritti fondamentali e le libertà degli interessati e alle misure tecniche e organizzative idonee a garantire la liceità e la correttezza del trattamento, con particolare riguardo al principio di minimizzazione dei dati. Ciò, in aggiunta agli elementi riguardanti ciascuno specifico trattamento relativi a: i tipi di dati; le operazioni eseguibili; le modalità; le categorie dei soggetti interessati; le finalità perseguite; le fonti utilizzate; le principali variabili acquisite; i tempi di conservazione e le categorie dei soggetti destinatari dei dati (art. 6-bis del d.lgs. 322 del 1989).

[21] Al fine di ridurre il carico statistico generato dalle rilevazioni dirette e aumentare l’efficienza complessiva del sistema, alla luce di quanto indicato dalle raccomandazioni degli organismi comunitari e internazionali , l’uso dei dati amministrativi per le finalità statistiche è una precisa indicazione presente nel “Codice delle Statistiche europee”, Adottato dal Comitato del sistema statistico europeo, Eurostat, 16 novembre 2017 – https://ec.europa.eu/eurostat/documents/4031688/9394142/KS-02-18-142-IT-N.pdf/2d3874da-4253-4f20-9cfd-304f48a5ed1a.

[22] Si veda Parere sullo schema di Programma statistico nazionale 2017-2019, Aggiornamento 2018-2019 – 9 maggio 2018 [9001732], in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9001732, e Provvedimento del 23 gennaio 2020 [9261093], in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9261093. Per il Piano generale del censimento permanente della popolazione e delle abitazioni (edizione 2018-2021), si veda https://www.istat.it/it/censimenti-permanenti/popolazione-e-abitazioni/documentazione.

[23] Si veda il Provvedimento del 23 gennaio 2020 [9261093], cit.

[24] Cfr. Provvedimento del 23 gennaio 2020 [9261093], cit. Il Garante, in particolare, osserva che l’attribuzione di un codice univoco alle singole unità statistiche nella fase di raccolta e prima elaborazione dei dati per le operazioni censuarie in esame costituisce una misura adeguata a rafforzare la confidenzialità dei dati trattati e a ricondurre ad un unico interessato i dati raccolti attraverso diverse fonti amministrative, a garanzia dell’accuratezza del dato.
Sul punto l’Autorità, che si riserva di verificare la modalità di generazione di tale codice, il quale non deve essere sequenziale, né contenere elementi semanticamente riconducibili all’identità degli interessati, rileva, tuttavia, l’inidoneità di tale unica misura a garantire un’efficace attuazione degli altri principi applicabili al trattamento dei dati personali.
Con riferimento al principio di minimizzazione dei dati trattati e di limitazione della conservazione il processo presenta specifiche criticità, perché “il codice Sim è un codice univoco che identifica l’individuo nell’ambito delle banche dati Istat provenienti da fonti amministrative e destinate alla raccolta e al trattamento delle informazioni statistiche sugli individui”.
Infatti, tale meccanismo di codifica “conferisce ai dati personali una struttura rigida, esponendo al rischio che, nel selezionare i dati personali necessari per un qualsiasi lavoro statistico, vengano trattate anche informazioni riferite ad un singolo interessato non pertinenti rispetto allo scopo perseguito. Ciò, in quanto l’assegnazione di un codice invariante nelle diverse basi dati non è in grado di offrire quella flessibilità necessaria a selezionare, di volta in volta, le informazioni effettivamente pertinenti rispetto alla specifica finalità statistica perseguita.
Diversamente, l’assegnazione di diversi codici pseudonimi, ciascuno con una validità limitata alla specifica finalità perseguita, equivale ad una forma di disaccoppiamento logico tra basi dati, rappresentando, in questo contesto, una modalità assai più efficace per attuare il principio di minimizzazione dei dati.
Tale disaccoppiamento non preclude, in ogni caso, la possibilità -ove se ne ravvisi la necessità- di ricongiungere i diversi pseudonimi al medesimo interessato attraverso una strutturazione gerarchica di tali pseudonimi. In tal modo, viene, inoltre, favorita l’efficace attuazione del principio di minimizzazione anche sotto il profilo organizzativo, richiedendo tale ricongiungimento specifici livelli di autorizzazione e di accesso”.
Inoltre, il mantenimento di tale codice univoco nel tempo impedisce di differenziare i tempi di conservazione dei dati in relazione alle diverse finalità statistiche perseguite. Infatti, il codice essendo invariato condiziona le scelte del titolare rispetto alla conservazione o cancellazione del dato, consentendogli esclusivamente due opzioni: quella del mantenimento del codice univoco con tutte le informazioni ad esso associate, oppure la cancellazione di tali informazioni. Al contrario, “l’introduzione di plurimi codici pseudonimi consente una attuazione più efficace del principio di limitazione della conservazione”, in quanto a ciascuno di essi può essere associato uno specifico periodo di validità, allo scadere del quale si può, in ragione delle esigenze statistiche, provvedere alla loro rigenerazione o alla cancellazione dei codici e dei dati ad esso associati.
Si rende, quindi, necessaria l’introduzione di un meccanismo di disaccoppiamento gerarchico dei codici nelle varie basi di dati e di rotazione degli stessi nel tempo.
A tale riguardo, è opportuno tenere presente che i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e) del Regolamento). I dati poi, “possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato” (art. 5, par. 1, lett. e) del Regolamento).
La previsione della rotazione del codice pseudonimo nel tempo si rende, quindi, necessaria anche al fine di conformare la conservazione dei dati raccolti a scopi censuari per gli ulteriori fini statistici sopra richiamati, per un periodo di 120 anni, venendo a costituire una misura a tutela dei diritti degli interessati, ai sensi dell’art. 89 del Regolamento, nei casi di deroga al principio di limitazione della conservazione.
Tutto ciò premesso, si ritiene, pertanto, necessario che l’Istat implementi effettive misure di pseudonimizzazione, idonee a prevenire i richiamati rischi di trattamenti di dati personali non pertinenti e in violazione del principio di limitazione della conservazione. Ciò, ad esempio, attraverso l’assegnazione di diversi codici pseudonimi ciascuno con una validità limitata alla specifica finalità perseguita secondo una logica gerarchica che consenta ove se ne ravvisi la necessità di ricongiungere i vari pseudonimi al medesimo interessato. Tali codici, inoltre, dovranno avere tempi di validità differenziati in ragione dei diversi scopi perseguiti, allo scadere dei quali, essi dovranno essere rigenerati o cancellati unitamente ai dati ad essi associati.

Si prescrive, pertanto, all’Istat di far conoscere a questa Autorità entro 120 giorni dalla notifica del presente provvedimento, le tecniche di pseudonimizzazione adottate o che si intendono adottare per garantire l’effettività dei principi di minimizzazione dei dati e di limitazione della conservazione.

[25] Per l’uso primario e secondario dei dati in ambito statistico, si veda, tra glia altri, il Parere 3/2019 relativo alle domande e risposte sull’interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (articolo 70, paragrafo 1, lettera b)), adottato il 23 gennaio 2019, in

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_opinionctrq_a_final_it.pdf.

[26] Si veda Provvedimento del 23 gennaio 2020 [9261093], cit. Le “statistiche da indagine” comportano sovente che i dati rilevati direttamente presso gli interessati siano successivamente elaborati, anche con quelli che l’Istat già possiede, ovvero raccoglie presso altri soggetti Sistan o altre fonti amministrative (es. IST-00220 Indagine sull’inserimento professionale dei laureati; IST-00925 Rilevazione sulle forze di lavoro (Rfl)).

[27] Si veda Parere sullo schema di Programma statistico nazionale 2017-2019 – Aggiornamento 2019 – 13 febbraio 2020, cit. I lavori sospesi sono: MUR 00026 IST-02493: Popolazione e famiglia, condizioni di vita e partecipazione sociale; IST-02494: Popolazione e famiglia, condizioni di vita e partecipazione sociale; IST-02647: Salute, sanità e assistenza sociale; IST-02777: Ambiente e territorio).

[28] Si veda il Provvedimento del 23 gennaio 2020 [9261093], cit.

[29] Ivi.  Infatti nel parere del 23 gennaio 2020, l’Autorità rileva che dal PGC trasmesso non risulta che l’Istat abbia definito le modalità di restituzione, in forma aggregata, ai comuni delle informazioni raccolte nell’ambito del Censimento, secondo quanto prescritto, invece, dall’art. 1, comma 233 della legge di bilancio. Inoltre viene dato atto che, nella documentazione trasmessa a margine del PGC sono indicate le tavole di diffusione pubblicate per il Censimento del 2011, le quali lasciano intendere che le tecniche di aggregazione utilizzate in occasione del Censimento permanente in esame siano le medesime. Anche in tal caso, le tecniche di aggregazione non sono supportate da adeguate argomentazioni (misure e indicatori di prestazione) circa la probabilità di reidentificazione degli interessati. Altresì, viene prescritto di integrare la valutazione d’impatto sulla protezione dei dati personali con l’indicazione delle probabilità, attraverso specifiche metriche, di reidentificazione degli interessati.

Lascia un commento