Quando la ricerca scientifica, per raggiungere le sue finalità, raccoglie e/o tratta dati di persone fisiche identificabili, deve conformarsi alla normativa in materia di protezione dei dati personali(*).
Per stabilire l’identificabilità di una persona vanno considerati anche i mezzi di cui è ragionevolmente possibile avvalersi per risalire alla sua identità, tra cui i dati di contesto della ricerca - ad esempio scuole, luoghi di studio o di lavoro, riferimento a parentele o altri criteri associativi derivabili dal contesto - l'eventuale scarsa numerosità del campione, la disponibilità di altre fonti di informazione correlabili, il tempo e i costi necessari per risalire all’identificazione.
La normativa non si applica ai dati anonimi, perseguendo lo scopo di proteggere le persone fisiche rispetto ai danni potenzialmente derivabili dalle pur lecite finalità di utilizzo dei dati personali. Infatti, “Una violazione dei dati personali può…provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie…, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata” (Considerando 85 GDPR).
Indicazioni in breve qui
Documenti di particolare interesse
- Ethics and data protection - Commissione Europea (versione italiana qui)
- A Preliminary Opinion on data protection and scientific research - EDPS
Quali sono i ruoli e le responsabilità nei progetti di ricerca Unipg?
L'indagine o il progetto di ricerca ha un ciclo di vita, durante il quale vanno presi in seria considerazione i rischi di violazione della riservatezza, integrità e disponibilità dei dati trattati, con riguardo alle conseguenze che, da tali violazioni, potrebbero ricadere sugli interessati.
Per tale motivo ciascun ruolo assume delle responsabilità nell'assicurare un corretto utilizzo dei dati personali trattati.
Il responsabile scientifico (in seguito PI “Principal investigator”)
Quale designato per il trattamento dei dati personali effettuato per gli scopi del progetto, il PI redige la scheda di progetto che è tenuto a conservare per cinque anni dal termine della ricerca, adotta misure di sicurezza adeguate per garantire la protezione dei dati personali trattati, individua il periodo di conservazione dei dati e le azioni da compiere alla scadenza di tale termine.
Assicura la conformità di tali trattamenti alla normativa in materia di protezione dati personali e alle istruzioni impartite dal Titolare, con compiti precisi e responsabilità conseguenti, vigilando sulle attività svolte dal gruppo di ricerca nei trattamenti dei dati personali raccolti o trattati per tale finalità.
Team di ricerca
All’interno del gruppo di ricerca, il PI individua uno o più soggetti autorizzati al trattamento dei dati personali e provvede ad autorizzarli al trattamento dei dati personali, con la sottoscrizione delle istruzioni da rispettare. Spetterà solo ai ricercatori “autorizzati”, e non agli altri membri del gruppo, procedere al trattamento dei dati personali e dare applicazione alle relative misure di sicurezza.
Partner di un progetto di ricerca congiunto
Ciascun partner può assumere i seguenti ruoli:
- contitolare del trattamento, quando determina le finalità e i mezzi del trattamento congiuntamente all’altro partner. In tal caso, dovrà essere sottoscritto un accordo interno di contitolarità dei dati tra i due o più contitolari;
- titolare autonomo, quando ciascun partner persegue finalità autonome nell’ambito del progetto, sebbene i trattamenti abbiano origine comune. Non è applicabile quando i partner utilizzano una piattaforma comune per la condivisione dei dati;
- responsabile del trattamento, quando un partner effettua il trattamento dei dati per conto dell’altro, ossia esclusivamente in base alle sue istruzioni e non per finalità proprie. In tal caso, dovrà essere sottoscritto un apposito contratto o altro atto giuridico di nomina a Responsabile del trattamento dell’Università (o del partner interessato), come previsto dall’art. 28 del GDPR.
Tali ruoli possono essere ricoperti alternativamente o, in progetti più complessi, anche contemporaneamente, individuandosi nelle attività di progetto alcune finalità come proprie di un partner e solo altre definite congiuntamente o svolte per conto di un diverso partner.
I ruoli vanno adeguatamente definiti negli accordi di progetto insieme alle responsabilità e tutele che ciascun gruppo assume nei confronti dei diritti degli interessati. A tal fine occorre specificare negli accordi un “data protection agreement” diverso e complementare a quello solitamente già presente, che è invece finalizzato alla tutela dei diritti di ciascun partner sui risultati raggiunti. Occorrerà porre attenzione alle modalità di comunicazione dei dati tra i diversi partner.
Fermo restando il rispetto degli standard etici e metodologici richiesti nel settore specifico d’indagine, in taluni casi è indispensabile richiedere all’interessato il consenso al trattamento dei dati per le finalità del progetto. È possibile chiedere il consenso per determinate aree della ricerca scientifica o per parti di progetti di ricerca, se non è possibile identificare pienamente tali finalità. L’interessato potrà essere ricontattato affinché possa esprimere, se lo riterrà opportuno, un nuovo specifico consenso per una nuova ricerca sui propri dati.
Il consenso al trattamento dei dati personali costituisce una condizione di liceità del trattamento, al quale ricorrere in mancanza di altre basi giuridiche o nei casi di trattamenti di dati particolari. Esso consiste in una manifestazione di volontà libera, specifica e informata dell'interessato, con la quale egli acconsente a che i dati personali che lo riguardano siano oggetto di trattamento ai fini della ricerca, secondo le modalità descritte nell’informativa e che comprendono i diritti esercitabili sui suoi dati (cfr consenso).
E’ diverso dal consenso informato, che consente ad un individuo di partecipare ad una ricerca scientifica condotta sulla persona, ai sensi della L. 219/2017, nel quale può essere integrato. Tale consenso risponde sia al diritto dei partecipanti di essere informati sullo svolgimento delle attività di ricerca, sia al dovere del ricercatore di informarli adeguatamente su come la ricerca sarà condotta, per le attività di ricerca e sperimentazione condotte con o su di essi (non solo con i loro dati).
Qualora il consenso informato, ai sensi della L.219/2017, non contenesse le informazioni obbligatorie ai sensi degli artt. 13 e 14 GDPR e, se richiesto, il consenso al trattamento dei dati personali, il parere positivo del Comitato etico eventualmente ottenuto sarebbe invalido, essendo la documentazione non conforme alla normativa in materia di protezione dati personali.
Materiale e modelli di supporto agli adempimenti sono disponibili in Area Riservata, sezione Documentazione - Protezione dati personali "Ricerca scientifica"
Per dubbi o chiarimenti scrivere a rpd@unipg.it
-
(*)Con tale terminologia si indica l’insieme di atti normativi e di soft law, comprendenti il Regolamento UE 2016/679 “GDPR”, D.Lgs. 196/2003 e ss.mm.ii “Codice privacy”, le Linee guida e le indicazioni dell’Europea Data Protection Board (EDPB), le Regole deontologiche e provvedimenti dell’Autorità garante nazionale per la protezione dati “Garante privacy”, soprattutto in tema di ricerca scientifica.