Perché questa sezione?
Il ruolo fondamentale che la ricerca scientifica riveste nel progresso dell'umanità non può prescindere dal rispetto dei diritti delle persone che partecipano alla ricerca, tra cui il diritto al corretto trattamento dei loro dati personali.
Se tali dati consentono l'identificabilità della persona, la ricerca deve attenersi alle prescrizioni del Regolamento UE 2016/679 "General Data Protection Regulation (GDPR)" e del D.Lgs. 196/2003 "Codice privacy", alle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica - allegato A al Codice privacy e, se del caso, alle Prescrizioni relative al trattamento di categorie particolari di dati effettuato per scopi di ricerca scientifica - allegati 4 e 5 al provvedimento del 5 giugno 2019 (doc. web 9124510).
Tale normativa non si applica ai dati anonimi, perseguendo lo scopo di proteggere le persone fisiche con riguardo ai trattamenti dei loro dati personali.
Per stabilire l’identificabilità di una persona occorre considerare anche i mezzi di cui è ragionevolmente possibile avvalersi per risalire alla sua identità, tra cui: i dati di contesto della ricerca - ad esempio scuole, luoghi di studio o di lavoro, riferimento a parentele o altri criteri associativi derivabili dal contesto - l'eventuale scarsa numerosità del campione, la disponibilità di altre fonti di informazione correlabili, il tempo e i costi necessari per risalire all’identificazione.
Il principio di responsabilizzazione (accountability) è fondamentale per il GDPR e richiede al Responsabile del progetto di ricerca di stabilire e documentare i processi di conformità alla protezione dei dati e di adottare nei trattamenti di dati personali opportune misure di sicurezza, al fine di proteggerne la riservatezza, evitarne la perdita o usi impropri.
La lettura dei documenti Ethics and data protection della Commissione Europea (versione italiana qui) e A Preliminary Opinion on data protection and scientific research - del gruppo EDPS dei Garanti europei, introduce ai princìpi della norma in maniera agevole.
Quali sono i ruoli e le responsabilità nei progetti di ricerca Unipg?
Una schematizzazione dei princìpi generali e degli adempimenti è riportata qui.
In relazione ad essi, ciascun componente del team di progetto assume delle responsabilità, volte ad assicurare il corretto utilizzo dei dati personali trattati e la loro protezione dal rischio di violazione della riservatezza, integrità e disponibilità, per l'intero ciclo di vita dei dati e dei trattamenti ad essi applicati.
Il responsabile scientifico (in seguito PI “Principal investigator”)
Quale designato per il trattamento dei dati personali effettuato per gli scopi del progetto, il PI redige la scheda di progetto, che è tenuto a conservare per cinque anni dal termine della ricerca, adotta misure di sicurezza adeguate per garantire la protezione dei dati personali trattati, individua il periodo di conservazione dei dati e le azioni da compiere alla scadenza di tale termine.
Assicura la conformità dei trattamenti alla normativa in materia di protezione dati personali e alle istruzioni impartite dal Titolare, con compiti precisi e responsabilità conseguenti, vigilando sulle attività svolte dal gruppo di ricerca, nei trattamenti dei dati personali raccolti o trattati per tale finalità.
Team di ricerca
All’interno del gruppo di ricerca, il PI individua uno o più soggetti autorizzati al trattamento dei dati personali e provvede ad autorizzarli al trattamento dei dati personali, con la sottoscrizione delle istruzioni da rispettare. Spetterà solo ai ricercatori “autorizzati” (eventualmente anche tutti), procedere al trattamento dei dati personali e dare applicazione alle relative misure di sicurezza.
Partner di un progetto di ricerca congiunto
Ciascun partner può assumere i seguenti ruoli:
- contitolare del trattamento, quando determina le finalità e i mezzi del trattamento congiuntamente all’altro partner. In tal caso, dovrà essere sottoscritto un accordo interno di contitolarità dei dati tra i due o più contitolari;
- titolare autonomo, quando ciascun partner persegue finalità autonome nell’ambito del progetto, sebbene i trattamenti abbiano origine comune. Non è applicabile quando i partner utilizzano una piattaforma comune per la condivisione dei dati;
- responsabile del trattamento, quando un partner effettua il trattamento dei dati per conto dell’altro, ossia esclusivamente in base alle sue istruzioni e non per finalità proprie. In tal caso, dovrà essere sottoscritto un apposito contratto o altro atto giuridico di nomina a Responsabile del trattamento dell’Università (o del partner interessato), come previsto dall’art. 28 del GDPR.
Tali ruoli possono essere ricoperti alternativamente o, in progetti più complessi, anche contemporaneamente, individuandosi nelle attività di progetto alcune finalità come proprie di un partner e solo altre definite congiuntamente o svolte per conto di un diverso partner.
I ruoli vanno adeguatamente definiti negli accordi di progetto insieme alle responsabilità e tutele che ciascun gruppo assume nei confronti dei diritti degli interessati. A tal fine occorre specificare negli accordi un “data protection agreement”, diverso e complementare a quello solitamente già presente, che è invece finalizzato alla tutela dei diritti di ciascun partner sui risultati raggiunti. Occorrerà porre attenzione alle modalità di comunicazione dei dati tra i diversi partner.
Fermo restando il rispetto degli standard etici e metodologici richiesti nel settore specifico d’indagine, in taluni casi è indispensabile richiedere all’interessato il consenso al trattamento dei dati per le finalità del progetto. È possibile chiedere il consenso per determinate aree della ricerca scientifica o per parti di progetti di ricerca, se non è possibile identificare pienamente tali finalità. L’interessato potrà essere ricontattato affinché possa esprimere, se lo riterrà opportuno, un nuovo specifico consenso per una nuova ricerca sui propri dati.
Il consenso al trattamento dei dati personali costituisce una condizione di liceità del trattamento, al quale ricorrere in mancanza di altre basi giuridiche o nei casi di trattamenti di dati particolari. Esso consiste in una manifestazione di volontà libera, specifica e informata dell'interessato, con la quale egli acconsente a che i dati personali che lo riguardano siano oggetto di trattamento ai fini della ricerca, secondo le modalità descritte nell’informativa e che comprendono i diritti esercitabili sui suoi dati (cfr consenso).
E’ diverso dal consenso informato, che consente ad un individuo di partecipare ad una ricerca scientifica condotta sulla persona, ai sensi della L. 219/2017, nel quale può essere integrato. Tale consenso risponde sia al diritto dei partecipanti di essere informati sullo svolgimento delle attività di ricerca, sia al dovere del ricercatore di informarli adeguatamente su come la ricerca sarà condotta, per le attività di ricerca e sperimentazione condotte con o su di essi (non solo con i loro dati).
Qualora il consenso informato, ai sensi della L.219/2017, non contenesse le informazioni obbligatorie ai sensi degli artt. 13 e 14 GDPR e, se richiesto, il consenso al trattamento dei dati personali, il parere positivo del Comitato etico eventualmente ottenuto sarebbe invalido, essendo la documentazione non conforme alla normativa in materia di protezione dati personali.
Materiale e modelli di supporto agli adempimenti sono disponibili in Area Riservata, sezione Documentazione - Protezione dati personali "Ricerca scientifica"
Per dubbi o chiarimenti scrivere a rpd@unipg.it