Quando la ricerca scientifica, per raggiungere le sue finalità, raccoglie e/o tratta dati di persone fisiche identificabili, deve conformarsi alla normativa in materia di protezione dei dati personali. Con tale terminologia si indica l’insieme di atti normativi e di soft law, comprendenti il Regolamento UE 2016/679 “GDPR”, D.Lgs. 196/2003 e ss.mm.ii “Codice privacy”, le Linee guida e le indicazioni dell’Europea Data Protection Board (EDPB), le Regole deontologiche e provvedimenti dell’Autorità garante nazionale per la protezione dati “Garante privacy”, soprattutto in tema di ricerca scientifica.
Per stabilire l’identificabilità di una persona vanno considerati anche i mezzi di cui è ragionevolmente possibile avvalersi per risalire alla sua identità, tra cui i dati di contesto della ricerca (ad esempio scuole, luoghi di studio o di lavoro, riferimento a parentele o altri criteri associativi derivabili dal contesto, anche per la scarsa numerosità del campione), la disponibilità di altre fonti di informazione correlabili, il tempo e i costi necessari per risalire all’identificazione.
La normativa non si applica ai dati anonimi, perseguendo lo scopo di proteggere le persone fisiche rispetto ai danni potenzialmente derivabili dalle pur lecite finalità di utilizzo dei dati personali. Infatti, “Una violazione dei dati personali può…provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie…, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata” (Considerando 85 GDPR).
Definizioni utili
- Dati personali e categorie particolari di dati (ex dati sensibili), dati anonimi
- Trattamenti
- Soggetti e Ruoli del trattamento (titolare, interessato, designato,..)
Le responsabilità privacy nei progetti di ricerca
Il responsabile scientifico (in seguito PI “Principal investigator”)
Quale designato per il trattamento dei dati personali effettuato per gli scopi del progetto, il PI adotta misure di sicurezza adeguate per garantire la protezione dei dati personali trattati, individua il periodo di conservazione dei dati e le azioni da compiere alla scadenza di tale termine.
Assicura la conformità di tali trattamenti alla normativa privacy e alle istruzioni impartite dal Titolare, con compiti precisi e responsabilità conseguenti, vigilando sulle attività svolte dal gruppo di ricerca nei trattamenti dei dati personali raccolti o trattati per tale finalità.
Team di ricerca
All’interno del gruppo di ricerca, il PI individua uno o più soggetti autorizzati al trattamento dei dati personali e provvede ad autorizzarli al trattamento dei dati personali, con la sottoscrizione delle istruzioni da rispettare. Spetterà solo ai ricercatori “autorizzati”, e non agli altri membri del gruppo, procedere al trattamento dei dati personali e dare applicazione alle relative misure di sicurezza.
Partner di un progetto di ricerca congiunto
Ciascun partner può assumere i seguenti ruoli:
- contitolare del trattamento, quando determina le finalità e i mezzi del trattamento congiuntamente all’altro partner. In tal caso, dovrà essere sottoscritto un accordo interno di contitolarità dei dati tra i due o più contitolari;
- titolare autonomo, quando ciascun partner persegue finalità autonome nell’ambito del progetto, sebbene i trattamenti abbiano origine comune;
- responsabile del trattamento, quando un partner effettua il trattamento dei dati per conto dell’altro, ossia esclusivamente in base alle sue istruzioni e non per finalità proprie. In tal caso, dovrà essere sottoscritto un apposito contratto o altro atto giuridico di nomina a Responsabile del trattamento dell’Università (o del partner interessato), come previsto dall’art. 28 del GDPR.
Tali ruoli possono essere ricoperti alternativamente o, in progetti più complessi, anche contemporaneamente, individuandosi nelle attività di progetto alcune finalità come proprie di un partner e solo altre definite congiuntamente o svolte per conto di un diverso partner.
I ruoli vanno adeguatamente definiti negli accordi di progetto insieme alle responsabilità e tutele che ciascun gruppo assume nei confronti dei diritti degli interessati. A tal fine occorre specificare negli accordi un “data protection agreement” diverso e complementare a quello solitamente già presente, che è invece finalizzato alla tutela dei diritti di ciascun partner sui risultati raggiunti. Occorrerà porre attenzione alle modalità di comunicazione dei dati tra i diversi partner.
Fermo restando il rispetto degli standard etici e metodologici richiesti nel settore specifico d’indagine, in taluni casi è indispensabile richiedere all’interessato il consenso al trattamento dei dati per le finalità del progetto. È possibile chiedere il consenso per determinate aree della ricerca scientifica o per parti di progetti di ricerca, se non è possibile identificare pienamente tali finalità. L’interessato potrà essere ricontattato affinché possa esprimere, se lo riterrà opportuno, un nuovo specifico consenso per una nuova ricerca sui propri dati.
Il consenso al trattamento dei dati personali costituisce una condizione di liceità del trattamento, al quale ricorrere in mancanza di altre basi giuridiche o nei casi di trattamenti di dati particolari. Esso consiste in una manifestazione di volontà libera, specifica e informata dell'interessato, con la quale egli acconsente a che i dati personali che lo riguardano siano oggetto di trattamento ai fini della ricerca, secondo le modalità descritte nell’informativa e che comprendono i diritti esercitabili sui suoi dati (cfr consenso).
E’ diverso dal consenso informato, che consente ad un individuo di partecipare ad una ricerca scientifica condotta sulla persona, ai sensi della L. 219/2017, nel quale può essere integrato. Tale consenso risponde sia al diritto dei partecipanti di essere informati sullo svolgimento delle attività di ricerca, sia al dovere del ricercatore di informarli adeguatamente su come la ricerca sarà condotta, per le attività di ricerca e sperimentazione condotte con o su di essi (non solo con i loro dati).
Qualora il consenso informato, ai sensi della L.219/2017, non contenesse le informazioni obbligatorie ai sensi degli artt. 13 e 14 GDPR e, se richiesto, il consenso al trattamento dei dati personali, il parere positivo del Comitato etico eventualmente ottenuto sarebbe invalido, essendo la documentazione non conforme alla normativa in materia di protezione dati personali.
Uno schema di sintesi è riportato qui.
Materiale e modelli di supporto agli adempimenti sono disponibili in Area Riservata, sezione Documentazione - Protezione dati personali