Scientific research in Italy may be slowed down by new data processing rules

In an early effort to adapt Italian privacy law to the GDP, in November 2017, a new Article 110bis was approved for introduction in the Italian Privacy Code, redrafting the discipline concerning the re-use of data for scientific research or statistical purposes.

The new Article 110bis, Italian Privacy Code, (Legislative Decree n. 196/2003) introduced three changes that might have harmful consequences for scientific developments.

First. It restricts the possibility to process personal data for compatible secondary purposes, such as scientific research, without the Italian Data Protection Authority’s (DPA) consent or authorization. This seems contrary to the principles included in the GDPR. See Whereas 33, 50, 159 and Article 89, GDPR.

Second. The DPA may authorize the processing of data for research purposes provided that they are anonymized and their processing is minimized, basically applying the GDPR to data that can’t be related to an identified or identifiable natural person.

Third. If the Italian DPA doesn’t authorize the processing within 45 days, the request will be considered as denied, putting a considerable time limit for the Authority’s action.

Section 28, Law n. 167/2017 introducing new Article 110bis, Italian Privacy Code is available (in Italian) at http://www.gazzettaufficiale.it…

[UPDATE: This has been changed by the  DECRETO LEGISLATIVO 10 agosto 2018, n. 101}

For more information on the Italian privacy regulation, Francesca Giannoni-Crystal and Federica Romanelli.

 

This was (in Italian) the text of Article 110bis

  «Art. 110-bis.  (Riutilizzo  dei  dati  per  finalita'  di  ricerca
scientifica o per scopi statistici). - 1. Nell'ambito delle finalita'
di ricerca  scientifica  ovvero  per  scopi  statistici  puo'  essere
autorizzato dal Garante il riutilizzo dei dati, anche  sensibili,  ad
esclusione di quelli genetici, a condizione che siano adottate  forme
preventive di minimizzazione e di anonimizzazione dei  dati  ritenute
idonee a tutela degli interessati. 
  2. Il Garante comunica la decisione  adottata  sulla  richiesta  di
autorizzazione  entro  quarantacinque  giorni,  decorsi  i  quali  la
mancata  pronuncia  equivale  a  rigetto.  Con  il  provvedimento  di
autorizzazione o  anche  successivamente,  sulla  base  di  eventuali
verifiche, il Garante stabilisce le condizioni e le misure necessarie
ad  assicurare  adeguate  garanzie   a   tutela   degli   interessati
nell'ambito del riutilizzo dei dati, anche  sotto  il  profilo  della
loro sicurezza».

 

Follow us on& Like us on