Art. 89 GDPR — Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici

Commento

Il regime speciale per archivi, ricerca, statistica

L'art. 89 GDPR disciplina il trattamento per finalità di archiviazione di interesse pubblico, ricerca scientifica o storica o fini statistici. Il par. 1 prevede che tale trattamento sia soggetto a garanzie adeguate per i diritti e le libertà dell'interessato in conformità con il GDPR. Le garanzie devono assicurare misure tecniche e organizzative, in particolare per garantire il rispetto del principio di minimizzazione. La logica è: ammettere trattamenti utili a interesse pubblico/scientifico con specifiche garanzie.

Garanzie ex art. 89, par. 1

Le garanzie ex art. 89, par. 1 includono: pseudonimizzazione ove possibile; minimizzazione; misure tecniche e organizzative adeguate; misure che non consentano (o consentano solo in casi limitati) l'identificazione dell'interessato. Il considerando 156 sottolinea che le finalità di ricerca devono essere interpretate in senso ampio: include ricerca fondamentale, applicata, finanziata privatamente, sviluppo tecnologico, dimostrazione, ricerca nell'interesse pubblico in ambito sanitario.

Deroghe ai diritti dell'interessato (par. 2-3)

Il par. 2 prevede deroghe per ricerca scientifica/storica e statistica: gli SM possono prevedere deroghe ai diritti di accesso (art. 15), rettifica (art. 16), limitazione (art. 18), opposizione (art. 21), nella misura in cui tali diritti rendano impossibile o pregiudichino gravemente il conseguimento delle finalità specifiche e tali deroghe siano necessarie. Le deroghe sono modulari.

Pseudonimizzazione e minimizzazione

Il par. 3 prevede deroghe analoghe per archiviazione di interesse pubblico, estese anche al diritto di portabilità (art. 20) e al diritto di non essere oggetto di decisioni automatizzate (art. 22, ove rilevante). Le deroghe sono ammesse purché le garanzie ex par. 1 siano in vigore. La logica è di facilitare la ricerca e la conservazione storica senza compromettere la sostanza dei diritti.

In Italia: regole deontologiche e provvedimenti

In Italia, le regole deontologiche e di garanzia per ricerca, archiviazione e statistica sono approvate dal Garante. Includono regole deontologiche per ricerca medica, regole deontologiche per archiviazione (artt. 100-101 D.Lgs. 196/2003), misure di garanzia per uso dati a fini statistici. Il sistema integra GDPR e specificità nazionali. I comitati etici hanno ruolo essenziale nella ricerca medica.

Coordinamento con altri articoli (5, 9, 17, 21, 85)

Il coordinamento con altri articoli è organico: l'art. 5, lett. b) (limitazione delle finalità) prevede compatibilità del riuso per ricerca; l'art. 9, par. 2, lett. j) ammette categorie particolari per ricerca con garanzie ex art. 89; l'art. 17, par. 3, lett. d) esclude diritto all'oblio se necessario per archiviazione/ricerca; l'art. 21, par. 6 limita opposizione per ricerca/statistica con interesse pubblico; l'art. 85 conicilia con espressione accademica e libertà di ricerca. L'art. 89 è cerniera del sistema.

Regola pratica e checklist operativa

Compliance art. 89: (i) DPIA per progetti di ricerca; (ii) consultazione comitato etico; (iii) pseudonimizzazione obbligatoria ove possibile; (iv) regole deontologiche del Garante; (v) integrazione con GDPR su consenso (art. 9, lett. a) o interesse pubblico (lett. j); (vi) documentazione delle deroghe applicate; (vii) trasparenza verso gli interessati.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.