La “legge europea” 2017 (legge 20 novembre 2017 n. 167) ha introdotto, tra l’altro, con l’Art. 28 modifiche al codice in materia di protezione dei dati personali.
In particolare è previsto ora che il titolare del trattamento dei dati personali può avvalersi, per il trattamento di dati anche sensibili, di soggetti esterni in qualità di responsabili del trattamento.
E’ però ora specificato che i titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante».
Inoltre è previsto che per il riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici, caso molto frequente nella PA e nelle università, può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.
La norma, onestamente, sembra introdurre un’autorizzazione finora non prevista, anche se la formulazione è introdotta dal verbo “potere”, che sembra più indicare una facoltà. In effetti il termine “autorizzazione” mal si concilia con il termine “può”.
A rafforzare l’idea che sia un obbligo, il comma successivo stabilisce che il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza