Perché questa sezione?
La ricerca scientifica riveste un ruolo fondamentale nel progresso dell'umanità e deve tutelare i diritti delle persone che partecipano alla ricerca, tra cui il diritto al corretto trattamento dei dati personali.
Quando il progetto di ricerca tratta dati non anonimi, deve attenersi alle prescrizioni del Regolamento UE 2016/679 "General Data Protection Regulation (GDPR)" e del D.Lgs. 196/2003 "Codice privacy", alle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica - allegato A al Codice privacy e, se del caso, alle Prescrizioni relative al trattamento di categorie particolari di dati effettuato per scopi di ricerca scientifica - allegati 4 e 5 al provvedimento del 5 giugno 2019 (doc. web 9124510).
Un documento utile alla redazione di una policy privacy di un progetto di ricerca, che tratti dati identificativi di persone fisiche, è disponibile a questo indirizzo.
Per stabilire l’identificabilità di una persona occorre considerare anche i mezzi di cui è ragionevolmente possibile avvalersi per risalire alla sua identità, tra cui: i dati di contesto della ricerca - ad esempio scuole, luoghi di studio o di lavoro, riferimento a parentele o altri criteri associativi derivabili dal contesto - l'eventuale scarsa numerosità del campione, la disponibilità di altre fonti di informazione correlabili, il tempo e i costi necessari per risalire all’identificazione.
La lettura dei documenti Ethics and data protection della Commissione Europea (versione italiana qui) e A Preliminary Opinion on data protection and scientific research - del gruppo EDPS dei Garanti europei, introduce ai princìpi della norma in maniera agevole.
Quali sono i ruoli e le responsabilità nei progetti di ricerca Unipg?
Il principio di responsabilizzazione (accountability) è fondamentale per il GDPR e richiede al Responsabile del progetto di ricerca di stabilire e documentare i processi di conformità dei trattamenti alla protezione dei dati e le misure adottate al fine di proteggerli da accessi o utilizzi non autorizzati.
Una schematizzazione dei princìpi generali e degli adempimenti è riportata qui.
Il responsabile scientifico (in seguito PI “Principal investigator”)
Quale designato per il trattamento dei dati personali effettuato per gli scopi del progetto, il PI redige la scheda di progetto, che è tenuto a conservare per cinque anni dal termine della ricerca, adotta misure di sicurezza adeguate per garantire la protezione dei dati personali trattati, individua il periodo di conservazione dei dati e le azioni da compiere alla scadenza di tale termine. Assicura inoltre la conformità dei trattamenti alla normativa in materia di protezione dati personali e alle istruzioni impartite dal Titolare, con compiti precisi e responsabilità conseguenti, vigilando sulle attività svolte dal gruppo di ricerca, nei trattamenti dei dati personali raccolti o trattati per tale finalità.
Team di ricerca
All’interno del gruppo di ricerca, il PI individua uno o più soggetti autorizzati al trattamento dei dati personali e provvede ad autorizzarli al trattamento dei dati personali, con la sottoscrizione delle istruzioni da rispettare.
Partner di un progetto di ricerca congiunto
Ciascun partner può assumere i seguenti ruoli:
- contitolare del trattamento, quando determina le finalità e i mezzi del trattamento congiuntamente all’altro partner. In tal caso, dovrà essere sottoscritto un accordo interno di contitolarità dei dati tra i due o più contitolari;
- titolare autonomo, quando ciascun partner persegue finalità autonome nell’ambito del progetto, sebbene i trattamenti abbiano origine comune. Non è applicabile quando i partner utilizzano una piattaforma comune per la condivisione dei dati;
- responsabile del trattamento, quando un partner effettua il trattamento dei dati per conto dell’altro, ossia esclusivamente in base alle sue istruzioni e non per finalità proprie. In tal caso, dovrà essere sottoscritto un apposito contratto o altro atto giuridico di nomina a Responsabile del trattamento dell’Università (o del partner interessato), come previsto dall’art. 28 del GDPR.
Tali ruoli possono essere ricoperti alternativamente o, in progetti più complessi, anche contemporaneamente, individuandosi nelle attività di progetto alcune finalità come proprie di un partner e solo altre definite congiuntamente o svolte per conto di un diverso partner.
I ruoli vanno adeguatamente definiti negli accordi di progetto insieme alle responsabilità e tutele che ciascun gruppo assume nei confronti dei diritti degli interessati. A tal fine occorre specificare negli accordi un “data protection agreement”, diverso e complementare a quello solitamente già presente, che è invece finalizzato alla tutela dei diritti di ciascun partner sui risultati raggiunti. Occorrerà porre attenzione alle modalità di comunicazione dei dati tra i diversi partner.
Fermo restando il rispetto degli standard etici e metodologici richiesti nel settore specifico d’indagine, in taluni casi è indispensabile richiedere all’interessato il consenso al trattamento dei dati per le finalità del progetto. È possibile chiedere il consenso per determinate aree della ricerca scientifica o per parti di progetti di ricerca, se non è possibile identificare pienamente tali finalità. L’interessato dovrà essere ricontattato affinché possa esprimere, se lo riterrà opportuno, un nuovo specifico consenso per una nuova ricerca sui propri dati.
Il consenso al trattamento dei dati personali costituisce una condizione di liceità del trattamento, al quale ricorrere in mancanza di altre basi giuridiche o nei casi di trattamenti di dati particolari. Esso consiste in una manifestazione di volontà libera, specifica e informata dell'interessato, con la quale egli acconsente a che i dati personali che lo riguardano siano oggetto di trattamento ai fini della ricerca, secondo le modalità descritte nell’informativa e che comprendono i diritti esercitabili sui suoi dati (cfr consenso).
E’ diverso dal consenso informato ai sensi della L. 219/2017, che tutela il diritto dei partecipanti di essere informati sullo svolgimento delle attività di ricerca e sperimentazione condotte con o su di essi (non solo con i loro dati).Tale consenso può essere integrato con le informazioni dovute ai sensi della normativa in materia di protezione dei dati personali, che devono essere mantenute distinte dalle altre informazioni specie con riguardo ai diritti esercitabili dagli interessati.
Mancherebbe della conformità normativa il parere del Comitato etico richiesto in assenza della documentazione in materia di protezione dati personali.
Materiale e modelli di supporto agli adempimenti sono disponibili in Area Riservata, sezione Documentazione - Protezione dati personali "Ricerca scientifica". Per dubbi o chiarimenti scrivere a rpd@unipg.it