horizon europe

Ricerca scientifica e data protection, le raccomandazioni del Garante europeo

La Ue sta predisponendo il framework di utilizzo del nuovo Horizon Europe per il settennio 2021-2027: i dati saranno grandi protagonisti della scena e saranno pertanto diversi gli strumenti legislativi che interverranno nella regolamentazione, primo fra tutti il GDPR

21 Gen 2020
Stefano Posti

Responsabile della Protezione Dati e del Sistema di Gestione Qualità


Con il ciclo settennale di bandi di Horizon 2020 in via di esaurimento, il Parlamento europeo sta approvando il nuovo Programma di finanziamento Horizon Europe per il settennio 2021-2027.

Particolarmente focalizzato sull’innovazione digitale, cambiamenti climatici, sostenibilità ed economia circolare, il nuovo Programma intende rafforzare la competitività e la partecipazione degli Enti europei mediante nuovi framework, attualmente in fase di elaborazione; l’esigenza di sicurezza, al passo con l’evoluzione tecnologica, è sempre maggiore, e non a caso in questo periodo assistiamo ad uno sviluppo di strumenti legislativi e regolatori particolarmente vivace.

Rispetto a Horizon 2020, che per quanto attiene alla protezione dati, essendo nato nel grembo della Direttiva 45/96/CE, ha “scoperto” il GDPR soltanto nella piena maturità, Horizon Europe potrà infatti contare anche su altri strumenti legislativi. Vediamo come inquadrare meglio sia il supporto fornito, sia alcune insidie a cui anche il Garante Europeo, con una recente pubblicazione (6 gennaio 2020), invita a prestare attenzione.

Gli strumenti legislativi a supporto di Horizon Europe

  • il Regolamento (UE) 2018/1807 sulla libera circolazione dei dati non personali nell’Unione europea;
  • la direttiva relativa al “secondary use” delle informazioni nel settore pubblico (Direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio);
  • il recentissimo Regolamento (UE) 2019/881, più noto come Cybersecurity Act, che prevede anche nuovi modelli di certificazione, e che, insieme al Regolamento ePrivacy di prossima adozione, potrà influire sui framework di gestione dei progetti di ricerca con eventuali requisiti di sicurezza ICT.

Inoltre il 6 gennaio 2020 lo European Data Protection Supervisor ha pubblicato una Preliminary Opinion on data protection and scientific research, nell’ambito della propria responsabilità e del rispettivo potere di fornire indicazioni alle istituzioni UE su ogni fattispecie relativa alla protezione dei dati personali. Pubblicazione molto importante, perché non limitata al regime di applicabilità del Regolamento 2018/1725 che governa la protezione dati degli Organismi dell’Unione Europea.

Tale pubblicazione, sebbene ribadisca che per la ricerca scientifica sussistono, in presenza di opportune misure di garanzia, alcune deroghe agli obblighi previsti dal GDPR per i Titolari del trattamento, pone l’attenzione sui seguenti punti:

  • La digitalizzazione e le tecniche di elaborazione dati rendono sempre più veloce ed efficace la ricerca scientifica, sia per l’analisi che per la disseminazione dei risultati; di conseguenza, l’esposizione a minacce cresce in maniera esponenziale ed i presidi di sicurezza dei trattamenti devono essere adeguati alla sensibilità delle informazioni;
  • E’ sempre più labile il confine fra ricerca scientifica di natura accademica e quella privata, con interessi che sempre più intersecano l’interesse pubblico con gli scopi commerciali di sponsor o partners di natura privatistica, e il segreto aziendale spesso inficia sulla finalità più “etica” della ricerca;
  • Il GDPR e gli altri strumenti regolatori già prevedono misure per il rispetto dei principi applicabili ai trattamenti di dati personali, anche sfruttando la “presunzione di compatibilità”, soprattutto nel campo medico scientifico, nei trial clinici, etc.; l’EPDB, gli Stati Membri, come le Autorità di controllo, dovrebbero da un lato vigilare su una corretta ed etica applicazione delle regolamentazioni, soprattutto per l’ambito correlato alle reali finalità delle ricerche (trasparenza, basi giuridiche, proprietà intellettuale, diversità del consenso informato dal consenso al trattamento dati, etc.), con attenzione al potere delle realtà private, soprattutto di quelle tecnologiche che detengono la gestione di quantità sempre crescenti di dati; dall’altro dovrebbero collaborare con la comunità scientifica ed i comitati etici nel supportare lo sviluppo di standard per la sicurezza, meccanismi di certificazione e codici di condotta per garantire la necessaria fiducia, soprattutto per realizzare concreti presidi di privacy by design nella ricerca, e agevolare i trasferimenti internazionali di dati.

L’impatto del GDPR sui progetti di ricerca scientifica

Tenuto conto dell’Art. 179 del TFUE, che specifica che «l’Unione si propone l’obiettivo di rafforzare le sue basi scientifiche e tecnologiche con la realizzazione di uno spazio europeo della ricerca nel quale i ricercatori, le conoscenze scientifiche e le tecnologie circolino liberamente», il Regolamento (UE) 2016/679 ha sicuramente recepito le necessità di maggiore libertà nel riutilizzo di informazioni, anche di natura particolare, nei progetti di ricerca scientifica finalizzati al miglioramento delle condizioni umane; ad ogni modo, con maggiore attenzione nell’applicazione delle misure di sicurezza ai trattamenti, e con i necessari aspetti regolatori di accountability che ritroviamo in tutto il GDPR.

Sono numerosissimi i Considerando in cui si fa riferimento alla ricerca scientifica: 26,33, 50, 52, 53, 62, 65, 113, 156, 157, 159, 161, 162.

E troviamo un valido supporto negli Articoli 5, 9, 14, 17, 21, e nello specifico Articolo 89.

In Italia, con il Titolo VII del Codice Novellato (Artt. da 97 al 110 bis), sono state confermate le logiche di apertura già attuate da tempo nel nostro paese e, grazie alle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica (pubblicate nel gennaio 2019), e alle misure di garanzia indicate nel Provvedimento dell’Autorità Garante Privacy del 5 giugno 2019 (recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 1), il focus su minimizzazione dei dati e misure di pseudonimizzazione e crittografia per la riduzione dei rischi è ormai ben conosciuto da Università ed Enti di ricerca.

Tuttavia con l’avvento del GDPR, nei progetti che prevedono trattamenti di dati personali (anche se elaborati per successivi processi di anonimizzazione) con la necessità di formalizzare per gli enti partecipanti (Coordinatori, Partners, WP Leaders) sia le attività di trattamento nei Registri ex Art. 30 del Regolamento, sia i ruoli (Titolare, Responsabile, Contitolare, talvolta difficili da individuare nell’ambito del progetto), si sono inizialmente riscontrate alcune difficoltà; forse anche perché le previsioni normative sono state recepite, all’interno dello stesso framework Horizon 2020, come immediati vincoli per stabilire come gestire gli aspetti di protezione dati in documenti progettuali quali i templates di proposta del Model Grant Agreement (MGA) di Horizon 2020, il Consortium Agreement, e soprattutto per la valutazione dei rischi da realizzare, ove necessario, nel Documento di Progetto.

Fortunatamente, grazie alla crescente consapevolezza acquisita con lo spirito di innovazione (che certo non manca nel settore), ai percorsi formativi specifici e all’obbligo, per molte Organizzazioni, di dotarsi di un Data Protection Officer, man mano gli adempimenti sono diventati sempre meno complicati.

Soprattutto nei progetti di ricerca scientifica in campo medico, biomedico ed epidemiologico, il tema della complicata gestione del consenso, da considerarsi comunque base giuridica preferenziale, ha trovato, nel caso sia impossibile, estremamente difficile o non opportuno acquisirlo, conforto nelle disposizioni normative nazionali, e nella conferma delle misure di garanzia, che prevedono il ricorso al parere dei comitati etici, all’effettuazione di valutazioni di impatto e, in taluni casi, alla consultazione preventiva dell’Autorità Garante.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Non si vuole in questa sede dettagliare le condizioni di liceità e le ulteriori disposizioni, già analizzate in questo articolo.

Può essere invece utile fornire alcuni spunti di riflessione per evitare confusione in alcuni step operativi.

Eccone alcuni:

  • poiché i ruoli privacy degli Enti partecipanti vanno formalizzati, è essenziale che ciascun ente sia in grado di dimostrare le necessarie garanzie a tutela dei dati personali trattati; una piena comprensione dei principi e delle disposizioni del Regolamento e delle misure di sicurezza da applicare ai trattamenti è dunque obbligatoria per ogni addetto ai lavori, che dovrà essere opportunamente formato e istruito.
  • nello schematizzare le fasi progettuali in Working Packages è necessario definire le attività di trattamento coinvolte, anche solo a livello preliminare. Spesso ci si chiede se debbano tutte essere inserite nei registri delle attività di trattamento dell’Ente: il suggerimento che lo scrivente si sente di dare è il seguente: sicuramente servirà dettagliare maggiormente l’attività in quanto solo con una attenta analisi delle operazioni i ruoli e le finalità vengono chiarite, per cui il Registro ex Art. 30 potrebbe anche riportare soltanto il progetto nella sua globalità, rimandando le descrizioni più sistematiche dei trattamenti in altre evidenze (ad esempio il Registro delle Valutazioni di impatto, visto che di fatto il report DPIA è considerato ormai un deliverable di progetto quasi sempre obbligatorio.
  • elencare dunque le diverse attività di trattamento fornendo per ciascuna una descrizione sistematica, che risponda alle domande: “Quali sono i dati trattati? Quali sono le risorse di supporto ai dati? (Assets – PC – App – Servers – Documenti cartacei ..)? Quali sono le operazioni sui dati dell’attività di trattamento? Qual è il ciclo di vita del trattamento dei dati? ”

Delle tabelle come queste riportate di seguito (a livello molto semplificato) possono essere utili nella stesura del Data Management Plan:

Tipologia di dati personaliAssets a supportoSistemi di comunicazione
Ente partecipanteAttività svoltaGaranzie affidabilità
Tipologia di operazioni relative al trattamentoSelezioneDescrizione
Raccolta
Registrazione
Organizzazione e Strutturazione
Conservazione
Consultazione
Uso
Modifica
Estrazione
Elaborazione automatizzata
Elaborazione decisionale interamente automatizzata
Profilazione
Pseudonimizzazione
Anonimizzazione
Comunicazione mediante trasmissione
Diffusione
Raffronto o interconnessione
Limitazione
Cancellazione
Distruzione
Copia protetta / Backup
Ripristino

Inoltre, è bene documentare il flusso dei dati nell’ambito delle diverse fasi del progetto. Ecco un esempio di inizio flowchart:

Sicuramente documentare nel dettaglio tutti questi aspetti può essere considerato un esercizio oneroso, che viene svolto in genere a progetto approvato, ma aiuta a non confondere i ruoli nelle attività di trattamento, a non perdere di vista aspetti organizzativi e tecnologici (che possono incidere sui costi!), e soprattutto consente di fornire evidenze concrete a supporto della Valutazione di impatto sulla protezione dati.

Ultimo suggerimento, è quello di individuare una metodologia e uno strumento specifico per la valutazione del rischio, visto che quest’ultima deve essere inclusa nel Piano di progetto, e una metodologia per la Valutazione di impatto.

E’ opportuno documentare le scelte metodologiche in una Policy specifica, che possibilmente indichi anche gli strumenti da utilizzare, condivisibile con ogni partecipante e utile per la generale accountability dell’attività.

Anche perché nel Data Management Plan, a seconda della tipologia di progetto, il Project Officer della Commissione UE potrebbe richiedere documentazione aggiuntiva.

Esperienze, considerazioni e problematiche aperte

In un recente ciclo di incontri formativi svolti in APRE (Agenzia Promozione Ricerca Europea), nei quali lo scrivente è stato docente insieme a Renato Fa (Senior Innovation Manager di APRE) sul tema della protezione dati (Valutazione dei Rischi e Valutazione di Impatto, Processi e sicurezza dei trattamenti, implicazioni nei progetti di ricerca finanziati) diversi elementi e criticità sono emerse dal confronto molto costruttivo con i discenti (Responsabili di progetto del CNR e di diverse Università Italiane, Ricercatori, alcuni DPO di Ateneo); vale la pena evidenziarli perché molto importanti e devono far riflettere:

  • I ricercatori italiani sono bravissimi; e non si tirano affatto indietro agli oneri derivanti dal rispetto dei diritti e libertà fondamentali, sono consapevoli dell’importanza delle misure di tutela e delle previsioni regolatorie; sono altresì attenti ed efficaci nell’approccio basato sul rischio, curiosi e appassionati delle tecniche di protezione dati; quindi ben venga il dialogo richiesto dal Garante Europeo fra Autorità di Controllo e comunità scientifica;
  • Le Università, i Dipartimenti di ricerca, gli IRCCS, le Strutture Ospedaliere che partecipano ai progetti devono urgentemente disporre di più personale di riferimento per la protezione dati, opportunamente preparato; un DPO da solo non è sufficiente, perché ha oneri complessivi che non lasciano spazio ai deliverables richiesti dai progetti di ricerca (per i quali appunto i ricercatori o i responsabili di dipartimento si rivolgono, necessariamente, al DPO designato); questo è un problema molto, molto sentito;
  • I dipartimenti di ricerca spesso lamentano mancanza di collaborazione e di attenzione al tema della protezione dati da parte delle funzioni ICT (non di preparazione tecnica); questo aspetto è in realtà correlato al precedente: la ricerca necessita, spesso, di risorse “dedicate”; quindi, necessità evidenziata a livello quasi “corale”, è quella di formazione in materia, e collaborazione proattiva. In altri casi, ci è stato riferito che alcuni DPO hanno suggerito la non partecipazione a progetti di ricerca per l’obbligatorietà di effettuazione della Valutazione di impatto e consultazione preventiva all’Autorità Garante…
  • la “privacy by design” per la proposta di progetto di ricerca ha bisogno di standard. Poiché questa fase, non consuntivabile e quindi completamente a costo, non può dettagliare più di tanto gli aspetti di protezione dati (con una Valutazione di impatto, ad esempio), anche perché i diversi partners del progetto non sono certi, così come dal punto di vista privacy gli ambiti di trattamento non sono già ben definiti , servirebbero al più presto strumenti efficaci di garanzia.

Per questo ultimo punto, i meccanismi di certificazione ed i codici di condotta potrebbero davvero aiutare: si pensi ad esempio alla comodità di poter informare gli interessati sul progetto di ricerca in modo semplice: “La struttura ospedaliera condurrà il progetto di ricerca con il dipartimento di ricerca dell’Ateneo XXXX, ed entrambe aderiscono al codice di condotta ….. ; partecipa inoltre al progetto la società YYYY specializzata nel sequenziamento genomico, che effettua servizi certificati ai sensi dell’Art. 42 del GDPR”….

Sicuramente c’è molto da fare. Ma non si può restare indietro.

Se per il programma quadro Horizon 2020 sono stati stanziati circa 30 miliardi di euro, per il programma Horizon Europe si parla di un valore di circa 3 volte tanto.

Perché l’Italia non coglie le opportunità, con le indubbie capacità e competenze dei nostri validissimi elementi?

Si spera che i forti messaggi e le richieste della comunità scientifica e universitaria vengano presto ascoltate, e che il nostro paese possa davvero cavalcare l’onda dell’innovazione e della ricerca.

Conclusioni

Con il programma quadro di finanziamenti Horizon 2020 in chiusura, l’Unione Europea sta predisponendo il framework di utilizzo del nuovo Horizon Europe per il settennio 2021-2027, che vedrà i dati quali grandi protagonisti della scena.

Non soltanto dati personali, ed infatti sono diversi gli strumenti legislativi che interverranno nella regolamentazione.

Primo fra tutti, comunque, il GDPR, particolarmente rilevante per le finalità di ricerca scientifica in campo medico, biomedico ed epidemiologico, che intende, anche mediante le disposizioni normative di diritto nazionale e le misure di garanzia disposte dalle Autorità, fornire da un lato il pieno supporto alle attività di ricerca, dall’altro mettere al centro la sicurezza dei trattamenti.

A tal proposito, con la recente Preliminary Opinion on data protection and scientific research, il Garante Europeo ha sottolineato che il dibattito sul tema del presunto “intralcio” del GDPR alla ricerca scientifica va risolto con attenta applicazione degli strumenti regolatori e con un efficace dialogo degli Stati membri e delle Autorità di controllo con la comunità scientifica; al tempo stesso, è urgente incentivare il clima di fiducia e le garanzie, visto il connubio ormai sempre più evidente fra privato e pubblico nei progetti di ricerca. A tal fine, lo sviluppo di codici di condotta e di meccanismi di certificazione è ormai di importanza fondamentale.

L’Italia non deve perdere l’occasione di approfittare del nuovo programma quadro di finanziamenti dei progetti di ricerca per i prossimi sette anni, e può anzi ambire ad un ruolo di primo ordine, con le eccellenze che si ritrova (sia nel campo della ricerca scientifica, sia nella protezione dati).

Se però la comunità scientifica, le risorse per Università e ricerca, i collegi delle Autorità Garanti debbono attendere i mal di pancia della politica italiana, ci si espone alle solite circostanze di inadeguatezza che fanno tanto male al nostro paese.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 4