Università degli Studi di Perugia

Trattamenti di categorie particolari di dati personali

La normativa prevede, in linea di principio, che sia "vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona" (art. 9 del GDPR). E' analogamente previsto che il trattamento dei dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sia consentito solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 10 GDPR e art. 2-octies del D.Lgs. n. 196/2003).

Sono previste delle deroghe, in virtù delle quali l'Università può effettuare operazioni di trattamento su categorie particolari di dati personali solo per motivi di interesse pubblico rilevante, previsti da norma di legge o di regolamento dell’ordinamento europeo o nazionale, che specifichino i dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate, specifiche e proporzionate alla finalità perseguita, per tutelare gli interessi e i diritti fondamentali dell'interessato. La definizione di interesse pubblico rilevante è data all’art. 2-sexies del D.Lgs. 196/2003 (Codice per la protezione dati personali) per il quale “si considera  rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri” in un varie materie, tra cui quelle “di istruzione e formazione in ambito scolastico, professionale, superiore o universitario, nonché (…) di archiviazione nel pubblico interesse, di ricerca storica (…), per fini di ricerca scientifica, per instaurazione, gestione ed estinzione di rapporti di lavoro” (punti bb), cc) e dd)).

Occorre, in ogni caso, applicare ai trattamenti misure di sicurezza opportune a garantire la minimizzazione dei dati e il rispetto di diritti e libertà per gli interessati, avendo cura di utilizzare la pseudonimizzazione e l’anonimizzazione dei dati, se le finalità da perseguire lo consentono.

Al di fuori di queste condizioni l’Università, per trattare legittimamente categorie particolari di dati personali, deve sicuramente richiedere il consenso dell’interessato e in alcuni casi, anche in presenza di una base legittima rientrante nei casi su esposti, possono sussistere altre condizioni che rendano obbligatorio il consenso (ad esempio la ricerca in ambito medico o correlata a scopo di salute).

Trattamenti per finalità di ricerca scientifica

Nessuno può essere obbligato a partecipare ad un progetto di ricerca scientifica, salvo che sia previsto da una norma di legge; qualunque ricerca scientifica dovrebbe essere condotta, se possibile, su dati anonimi, così collocandosi al di fuori dell’ambito di applicazione della normativa sulla protezione dei dati (e quindi dalla richiesta di consenso). In tal caso deve potersi affermare che i dati siano raccolti in modo da impedire o non consentire più l’identificazione dell’interessato, anche ricorrendo a correlazioni con altre banche dati (vedi parere WP216 sulle tecniche di anonimizzazione, aprile 2015 WP29 e regole deontologiche del Garante docweb 9069637, art.4).

Quando le finalità non possono essere perseguite con il trattamento di dati anonimi, in linea generale è possibile trattare i dati particolari o relativi a condanne penali e reati a scopo di ricerca scientifica o statistica solo quando l’interessato ha espresso liberamente il proprio consenso sulla base degli elementi previsti nell’informativa. Occorre prestare molta attenzione alla dimostrabilità che il consenso sia stato liberamente espresso, specie in tutti quei casi in cui il rapporto tra l’interessato e il titolare della ricerca sia “squilibrato” (p.e. il titolare è l’azienda sanitaria o l’Università, oppure il soggetto è vulnerabile per il proprio stato di salute).

Nei casi in cui non sia possibile individuare pienamente le finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati (consenso specifico), dovrebbe essere consentito agli interessati di prestare il proprio consenso soltanto a determinati settori di ricerca, o parti di progetti di ricerca, nella misura consentita dalla finalità prevista (cfr. Considerando 33 del GDPR) oppure il titolare deve individuare altri modi per garantire all’interessato l’esercizio di un consenso specifico pertanto valido. Può, per esempio:

  • portare a conoscenza dell’interessato gli scopi generali della ricerca e le informazioni già conosciute per fasi specifiche, oltre al piano della ricerca completa che – attraverso il chiarimento dei metodi di lavoro – può compensare la mancanza di specifiche finalità;
  • permettere all’interessato di fornire un consenso “progressivo per fasi”, cioè sarà possibile, mano a mano che la ricerca avanza, chiedere uno specifico consenso per la fase successiva del progetto prima dell’inizio della fase corrispondente.

In ogni caso, il consenso dovrebbe essere in linea con le norme deontologiche e gli standard etici applicabili alla ricerca scientifica, espresso in conformità alle caratteristiche riportate nella scheda del “Consenso” e richiesto nell’ambito di un’informativa che descriva il progetto, le modalità di trattamento dei dati e le finalità che intende perseguire.

Il consenso prestato nelle ricerche scientifiche è sempre revocabile, pur se la revoca potrebbe compromettere la stessa ricerca scientifica. Il titolare deve comunque provvedere immediatamente, se possibile, dal momento della richiesta di revoca, a rendere anonimi i dati personali dell’interessato al fine di poter proseguire nella ricerca o, se non è possibile, a cancellarli.

Casi di non obbligatorietà del consenso nei trattamenti a scopi di ricerca scientifica

Ferma restando la diffusa opinione della comunità di ricerca sulla necessità del consenso informato in tutti i casi di sperimentazione clinica e ricerca biomedica (vedi CNR – Consenso informato), fintantoché sussistono garanzie adeguate quali i requisiti di cui all’art. 89 par.1 GDPR e il trattamento è corretto, lecito, trasparente e conforme alle norme sulla minimizzazione dei dati e ai diritti individuali, la ricerca potrebbe basare la legittimazione dei trattamenti sull’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (vedi doc. WP259 “linee guida sul consenso” del WP29, adottate ad aprile 2018), rendendosi possibile non richiedere il consenso. In questi casi sarà necessaria l’applicazione di altre misure di protezione dell’interessato, eventualmente subordinate al parere del comitato etico e al preventivo parere dell’Autorità Garante.

Specificatamente a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, è previsto che “il consenso dell’interessato per il trattamento dei dati relativi alla salute non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea […] ovvero a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca” (art. 110 del D.Lgs. n. 196/2003). In tali casi, il titolare del trattamento, per poter utilizzare i risultati della ricerca senza ricorrere al consenso dell’interessato, oltre ad adottare misure appropriate per tutelare i diritti, le libertà ed i legittimi interessi dell’interessato, dovrà condurre e rendere pubblica una valutazione d’impatto ai sensi degli artt. 35 e 36 del GDPR, dovrà sottoporre il programma di ricerca al parere del competente Comitato etico territoriale ed ottenere un motivato parere favorevole, nonché, infine, sottoporre lo stesso programma di ricerca a preventiva consultazione del Garante, secondo quanto previsto dall’art. 36 del GDPR.

Anche quando è possibile documentare scientificamente che i risultati del progetto di ricerca potrebbero essere compromessi dalla revoca anticipata del consenso, quando prevalgono gli interessi generali dello scopo della ricerca (comportamento criminale, abuso su minori,..) o i partecipanti potrebbero essere esposti ad un rischio di stress, ansia o umiliazione con la richiesta del consenso, è possibile evitare di richiederlo impegnandosi ad applicare altre misure di protezione, sulla base di valutazioni etiche, giuridiche e derivanti da disposizioni di carattere nazionale e internazionale.

Consenso per il trattamento di dati di minori di età

Fermo restando quanto riportato in generale sul consenso, le norme di diritto internazionale e la Costituzione italiana (1) affermano il diritto del minore ad essere ascoltato, ad esprimere la propria opinione e ad essere coinvolto in tutte le situazioni che lo riguardano, al di là del fatto che i firmatari del consenso informato siano i titolari della responsabilità genitoriale.

Nell’ambito dei servizi della società dell'informazione (ovvero resi a distanza, per via elettronica, attraverso strumenti informatici), l’art. 2 quinquies del D.Lgs. n. 196/2003 ha previsto che l’età per esprimere il consenso al trattamento dei dati personali del minore sia fissata in 14 anni; sotto tale soglia il trattamento dei dati personali del minore è lecito solo se il consenso sia stato prestato da chi esercita la responsabilità genitoriale.

Al di fuori dell’ambito dei servizi della società dell’informazione, per effettuare trattamenti di dati personali dei minori di 18 anni di età occorre acquisire il consenso di chi esercita la potestà genitoriale, il quale solo ha il potere di rappresentare il minore nel compimento di atti giuridici.

L’informativa deve essere redatta in linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, che renda facilmente accessibile e comprensibile dal minore le informazioni e le comunicazioni relative al trattamento che lo riguarda, al fine di rendere legittimo il consenso richiesto ed eventualmente prestato. E’ consigliabile l’utilizzo di immagini, illustrazioni o fumetti per rendere più accessibile il contenuto rivolto ad una fascia di età particolarmente bassa, per esempio quando occorre informare genitori e bambini della scuola elementare, richiedendo il consenso alla somministrazione di un questionario per un progetto di ricerca.

Resta inteso che, là ove il minore possa rendere il consenso in autonomia, deve essergli parimenti garantito in autonomia l’esercizio dei diritti previsti dagli artt. 15 e seguenti del GDPR, in particolare consentendogli di revocare il consenso con la stessa facilità con cui lo ha prestato.

Nell’ambito dei progetti di ricerca, le stesse norme sottolineano che gli Stati devono promuovere e sostenere la partecipazione dei minori a qualsiasi livello, tenendo nella massima considerazione la capacità di discernimento e la volontà dei minori in ragione del grado di maturità raggiunto. Andrà pertanto effettuata una attenta valutazione della loro effettiva disponibilità alla partecipazione al progetto di ricerca, bilanciandola con il rispetto del parere dei genitori previsto dalle norme. Le preferenze del minore risultano prevalenti in caso di rifiuto a prendere parte allo studio rispetto alla eventuale opposta volontà degli esercenti della potestà genitoriale, secondo la regola generale prevista per le persone incapaci, rispetto al consenso espresso dal proprio rappresentante legale, contenuta nel Reg. UE n. 536/2014 (art. 31).

Per questi motivi, in caso di partecipazione di minori ad un progetto di ricerca, il responsabile scientifico deve prevedere, nell’informativa e nel relativo modulo di consenso al trattamento dei dati personali, sia la firma del minore sia quella dell’esercente la potestà genitoriale.

 

(1) Tra queste si ricordano:

  • la UN Resolutionon the Rights of the Child, detta Omnibus Resolution, adottata dall’ONU nel 1989,
  • la Convenzione europea di Strasburgo per l’esercizio dei Diritti dei minori del 1996,
  • la Convenzione di Oviedo del 1997,
  • la Carta fondamentale dei Diritti dell’Unione Europea proclamata a Nizza nel 2000.
  • la Costituzione italiana, in particolare  gli artt. 2, 3, 13, 32.