In an early effort to adapt Italian privacy law to the GDP, in November 2017, a new Article 110bis was approved for introduction in the Italian Privacy Code, redrafting the discipline concerning the re-use of data for scientific research or statistical purposes.
The new Article 110bis, Italian Privacy Code, (Legislative Decree n. 196/2003) introduced three changes that might have harmful consequences for scientific developments.
First. It restricts the possibility to process personal data for compatible secondary purposes, such as scientific research, without the Italian Data Protection Authority’s (DPA) consent or authorization. This seems contrary to the principles included in the GDPR. See Whereas 33, 50, 159 and Article 89, GDPR.
Second. The DPA may authorize the processing of data for research purposes provided that they are anonymized and their processing is minimized, basically applying the GDPR to data that can’t be related to an identified or identifiable natural person.
Third. If the Italian DPA doesn’t authorize the processing within 45 days, the request will be considered as denied, putting a considerable time limit for the Authority’s action.
Section 28, Law n. 167/2017 introducing new Article 110bis, Italian Privacy Code is available (in Italian) at http://www.gazzettaufficiale.it…
[UPDATE: This has been changed by the DECRETO LEGISLATIVO 10 agosto 2018, n. 101}
For more information on the Italian privacy regulation, Francesca Giannoni-Crystal and Federica Romanelli.
—
This was (in Italian) the text of Article 110bis
«Art. 110-bis. (Riutilizzo dei dati per finalita' di ricerca scientifica o per scopi statistici). - 1. Nell'ambito delle finalita' di ricerca scientifica ovvero per scopi statistici puo' essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell'ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza».
Follow us on& Like us on