Il PI è tenuto, anche con il supporto dei suoi collaboratori, a:

  1. redigere il Progetto di ricerca in conformità agli standard metodologici del pertinente settore disciplinare e in modalità atta a documentare che il trattamento sia effettuato per idonei ed effettivi scopi statistici e scientifici (cfr art. 3 Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica del Garante privacy). Il progetto e la relativa documentazione privacy devono essere conservati, in forma riservata, per cinque anni dalla conclusione programmata della ricerca

  2. autorizzare e istruire i ricercatori e gli altri soggetti che tratteranno i dati al corretto trattamento degli stessi, vincolandoli al rispetto delle su menzionate regole deontologiche;

  3. garantire che al momento della raccolta dei dati, sia resa all’interessato la dovuta informativa, ai sensi degli artt. 13 e 14 del GDPR;

  4. garantire che il consenso, se richiesto, sia liberamente prestato, documentabile e revocabile dall’interessato, con la stessa semplicità con la quale lo ha fornito;

  5. collaborare con il RPD per la corretta gestione delle richieste di esercizio dei diritti degli interessati;

  6. segnalare con tempestività al RPD eventuali anomalie, incidenti, furti, perdite di dati o altre eventuali violazioni della riservatezza, integrità e/o disponibilità di dati personali trattati (data breach);

  7. svolgere, con il supporto del RPD, la valutazione d’impatto (DPIA) quando il progetto di ricerca rientra nelle condizioni di cui all’art. 35 GDPR, all’art. 110 Codice privacy o specificate alla pagina https://www.garanteprivacy.it/Regolamentoue/DPIA. Nei casi previsti, il mancato svolgimento della DPIA costituisce violazione di un obbligo di legge. Ad esempio, le violazioni dell’articolo 110, comma 1 del Codice privacy sono sanzionabili ai sensi dell’art. 166 comma 1 dello stesso Codice.

Oltre al rispetto integrale “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica” di cui alla precedente lettera a., nel caso in cui il progetto tratterà dati particolari, il PI e il gruppo di ricerca sono tenuti al rispetto dell’Allegato 1, punti 4. e 5., del “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati”.

Una particolare attenzione meritano inoltre i seguenti articoli del Codice privacy:

  • art. 110 “ricerca medica, biomedica ed epidemiologica”: impone il consenso come base giuridica, stabilendo che qualora non sia possibile raccogliere il consenso dell’interessato occorre il parere del Comitato Etico e la Consultazione Preventiva del Garante ex art. 36 GDPR (a valle di una DPIA ex art. 35 GDPR). Una delle consultazioni che hanno ricevuto esito positivo è consultabile qui;
  • art. 110-bis “trattamento ulteriore dei dati da parte di terzi”: prevede l’autorizzazione del Garante, da emanarsi entro 45 ed il cui silenzio equivale a rifiuto, quando la casistica della ricerca non ricada nelle previsioni di cui alle Regole deontologiche citate al precedente punto a. o del Provvedimento recante prescrizioni relative al trattamento di categorie particolari di dati prima riportato.

In Area Riservata, sezione “Documentazione -Protezione dati personali – Ricerca” sono disponibili dei modelli di supporto agli adempimenti elencati e un documento che riassume la normativa applicabile ai vari ambiti di ricerca.

Condividi su