Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

le linee guida

Ricerca scientifica e protezione dati: guida pratica alle novità EDPB

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Le Linee guida EDPB 1/2026 chiariscono i principali nodi del rapporto tra GDPR e ricerca scientifica. Dal broad consent alle basi giuridiche, fino a banche dati, anonimizzazione e pseudonimizzazione, emerge un quadro molto più definito per operatori pubblici e privati

Pubblicato il 21 apr 2026
Silvia Stefanelli

Studio Legale Stefanelli & Stefanelli

L'elogio della ricerca di base: i vantaggi della serendipità in ambito Stem
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il 15 aprile 2026 il Comitato europeo per la protezione dei dati (EDPB) ha adottato le Linee guida 1/2026 sul trattamento dei dati personali a fini di ricerca scientifica, oggi aperte alla consultazione pubblica fino al 25 giugno 2026.

Si tratta — senza dubbio — del documento più atteso e più importante in materia di protezione dei dati e ricerca scientifica dal 2018 ad oggi.

Trattamento dei dati nella ricerca: l’Italia sbaglia approccio

L’EDPB affronta infatti in modo sistematico il tema e scioglie una serie di dubbi e questioni che hanno paralizzato, o quanto meno fortemente condizionato, la ricerca scientifica europea — e quella italiana in particolare.

Dalla definizione di finalità di ricerca scientifica alla presunzione di compatibilità ex art. 5, par. 1, lett. b) GDPR, dalla liceità dell’ulteriore trattamento alla disciplina del consenso generico (c.d. broad consent), dalle basi giuridiche per gli enti privati al trattamento di categorie particolari, fino ad un’analisi sulle problematiche della anonimizzazione e pseudonimizzazione.

Il documento si compone di 171 paragrafi distribuiti in otto sezioni (67 pagine).

Senza pretesa in questa sede di ripercorrerlo in modo esaustivo (avremo altre occasioni), ci si concentrerà oggi, a caldo, sui passaggi più innovativi e di maggior impatto sugli operatori del settore sanitario, life science e digital health.

La nozione di ricerca scientifica nelle linee guida EDPB 1/2026

Il GDPR non contiene una definizione di ricerca scientifica.

Il considerando 159 ne parla in termini ampi («sviluppo e dimostrazione tecnologici, ricerca fondamentale, ricerca applicata e ricerca finanziata con fondi privati»), ma senza fornire criteri operativi utilizzabili dal titolare del trattamento.

Da qui un costante problema di qualificazione: quando un’attività di analisi dati è «ricerca scientifica» ai sensi del GDPR — e quindi beneficia delle disposizioni di favore sparse nel Regolamento — e quando invece non lo è?

L’EDPB scioglie il nodo. Riprendendo le proprie Linee guida 5/2020 sul consenso, e integrando fonti quali il Manuale di Frascati dell’OCSE, la Raccomandazione ONU sui dati sanitari e il Codice europeo di condotta per l’integrità della ricerca (ECCRI), il Comitato individua sei fattori indicativi chiave (par. 11): se l’attività li soddisfa tutti, si può ritenere che costituisca ricerca scientifica; se ne manca qualcuno, il titolare deve giustificare e dimostrare perché l’attività debba comunque essere qualificata come tale.

I sei fattori indicativi individuati dall’EDPB

I sei fattori sono i seguenti:

  1. approccio sistematico secondo la metodologia del settore, con piano di ricerca completo, ipotesi o obiettivo dichiarato;
  2. rispetto degli standard etici del settore di riferimento;
  3. verificabilità e trasparenza, con condivisione dei risultati — tramite pubblicazione o altra forma di diffusione, anche futura — fatte salve le legittime limitazioni legate alla proprietà intellettuale e ai segreti commerciali;
  4. autonomia e indipendenza del gruppo di ricerca, che possiede qualifiche accademiche o scientifiche nel settore pertinente;
  5. obiettivi orientati alla crescita della conoscenza generale e del benessere della società — e l’EDPB chiarisce che ciò «non esclude che la ricerca possa anche mirare a promuovere interessi commerciali»;
  6. potenziale di contribuire alle conoscenze scientifiche esistenti o di applicarle in modi innovativi, valutabile da esperti o comitati indipendenti.

Interessante il fattore della verificabilità e trasparenza: l’EDPB afferma che costituisce indice di scientificità la condivisione dei risultati con altre parti — tramite pubblicazione o altra forma di diffusione, anche futura — fatte salve le legittime limitazioni legate alla protezione della proprietà intellettuale e ai segreti commerciali.

La pubblicità dei risultati non è dunque un accessorio ma diventa un elemento costitutivo della ricerca scientifica.

Chi analizza dati personali per finalità puramente interne, senza alcuna intenzione — presente o futura — di sottoporre i risultati al vaglio della comunità scientifica, non fa ricerca scientifica ai sensi del GDPR.

Il punto è cruciale per molti progetti di business intelligence che si autoqualificano come «ricerca», o anche per attività come la PMS per i dispositivi medici, che faranno fatica a farsi rientrare nella nozione di ricerca scientifica.

L’ulteriore trattamento dei dati

    Anche qui, finalmente, qualche chiarimento.

    La sezione 3 delle Linee guida affronta in modo sistematico uno dei nodi interpretativi più complessi del GDPR: il rapporto tra presunzione di compatibilità delle finalità e principio di liceità del trattamento quando i dati personali vengono trattati — successivamente alla loro raccolta — per finalità di ricerca scientifica.

    Più esattamente, al paragrafo 17 l’EDPB definisce tre contesti:

    — il titolare raccoglie dati personali per trattarli a fini specifici di ricerca scientifica: tali fini sono considerati la finalità primaria del trattamento;
    — il titolare ha raccolto i dati per fini specifici di ricerca scientifica e successivamente intende trattarli per un altro scopo di ricerca scientifica non contemplato dallo scopo iniziale: si tratta di ulteriore trattamento per un altro scopo (di ricerca);
    — il titolare raccoglie e tratta i dati per scopi non scientifici, ma in seguito decide di trattarli per scopi di ricerca scientifica: si tratta di ulteriore trattamento per scopi di ricerca scientifica di dati inizialmente raccolti per altro (es. raccolti per diagnosi e cura e poi trattati per ricerca).

    In relazione a questi tre contesti richiama la presunzione di compatibilità dell’art. 5, par. 1, lett. b) GDPR affermando dunque che «in caso di ulteriore trattamento dei dati personali a fini di ricerca scientifica, non è necessario effettuare la verifica di compatibilità, ai sensi dell’articolo 6, paragrafo 4, del GDPR» (par. 19).

    Tale compatibilità non fa però venire meno la necessità di una base giuridica autonoma.

    L’EDPB afferma infatti che: «La questione della compatibilità delle finalità non deve essere confusa con il principio di liceità» (par. 21, che rimanda al Parere congiunto EDPB-GEPD 2/2026).

    Di conseguenza: «la possibilità di fare affidamento sulla base giuridica su cui si fondava il trattamento iniziale richiede una valutazione di liceità per determinare se tale base giuridica sia idonea anche per il trattamento successivo dei dati personali a fini di ricerca scientifica».

    Tradotto: presunta la compatibilità, resta fermo l’obbligo del titolare di individuare una base giuridica idonea ex art. 6, par. 1 (e, per le categorie particolari, una deroga idonea ex art. 9, par. 2) per il nuovo trattamento.

    Sul punto, al paragrafo 22, l’EDPB precisa che in molti casi il titolare potrà avvalersi della stessa base giuridica dell’operazione iniziale: ciò accade «quando un titolare del trattamento ha inizialmente trattato dati personali sulla base di un interesse pubblico o legittimo», basi giuridiche strutturalmente compatibili con l’evoluzione della finalità nel tempo.

    Non è invece sempre possibile avvalersi della stessa base giuridica quando il trattamento iniziale si fondava sul consenso o su un obbligo legale.

    La ragione è strutturale: una modifica delle finalità può eccedere la specificità del consenso prestato — che copre solo le operazioni e le finalità indicate nella dichiarazione — o l’ambito dell’obbligo normativo.

    Tenuto conto però dell’apertura al broad consent, la necessità di qualificare il successivo trattamento come “ulteriore” si pone in termini meno pressanti.

    La presunzione di compatibilità vale poi anche per le categorie particolari di dati, ma «il titolare del trattamento deve comunque valutare quale deroga al divieto di trattare categorie particolari di dati personali, ai sensi dell’articolo 9, paragrafo 2, del GDPR, si applichi in caso di trattamento successivo di tali dati per finalità di ricerca scientifica».

    In sostanza anche qui il titolare che intende avvalersi della stessa deroga utilizzata per il trattamento iniziale, deve verificarne l’idoneità anche per il nuovo trattamento.

    Infine, il par. 26 chiarisce cosa fare quando il titolare A trasmette dati personali al titolare B che intende trattarli per i propri fini di ricerca scientifica.

    In relazione a tale ipotesi l’EDPB chiarisce due aspetti: (a) la trasmissione dal titolare A costituisce un trattamento successivo se la finalità di ricerca del titolare B non era tra le finalità primarie al momento della raccolta; (b) per entrambi non occorre la valutazione di compatibilità, ma entrambi devono determinare autonomamente una base giuridica adeguata ex art. 6, par. 1, individuare l’eventuale deroga ex art. 9, par. 2 e verificare le condizioni o limitazioni aggiuntive eventualmente imposte ex art. 9, par. 4.

    Quindi; A può trasmettere a B, ma ognuno dovrà avere la propria base giuridica.

    Le basi giuridiche del trattamento a fini di ricerca scientifica

      E veniamo ad una serie di novità di estremo rilievo.

      Il broad consent

      Finalmente sdoganata la possibilità di raccogliere il consenso per settori di ricerca.

      Al paragrafo 40 l’EDPB si riconosce che «nel campo della ricerca scientifica, i titolari del trattamento possono avvalersi del consenso dell’interessato per raccogliere e trattare dati personali in un determinato settore della ricerca scientifica, qualora le finalità della ricerca non siano pienamente note al momento della raccolta dei dati».

      Si aprono dunque le porte al broad consent, istituto da tempo noto nella letteratura internazionale ma che in Italia ha trovato una lettura molto restrittiva.

      Secondo l’EDPB il broad consent si fonda su due pilastri: il primo è la delimitazione del settore di ricerca (par. 45): la finalità può essere circoscritta ad un ambito disciplinare (ad esempio, l’oncologia, la criminologia, la genetica medica) o in funzione dei risultati attesi (ad esempio, lo sviluppo di nuovi metodi terapeutici); il secondo pilastro è l’adozione di garanzie supplementari ai sensi dell’art. 89, par. 1 GDPR, richiamate ai paragrafi 48-50: informazioni dettagliate e aggiornate messe a disposizione dell’interessato (pagina web dedicata, newsletter, comunicazioni individuali), misure per il controllo dell’uso e dell’accesso (amministratore indipendente dei dati, validità temporale limitata del consenso, organismo di controllo indipendente), strumenti tecnici — privacy dashboard, consent receipt — che consentano all’interessato di esercitare la propria libertà di scelta sui singoli progetti.

      Alternativa è il consenso dinamico: il titolare chiede all’interessato di acconsentire separatamente a ciascun singolo progetto (o parte di esso) non appena le finalità diventano note (par. 41).

      I due approcci non si escludono: possono essere combinati.

      La scelta deve essere documentata prima del trattamento, in linea con il principio di responsabilità (par. 42), ed è particolarmente adatta ai progetti a lungo termine in cui i ricercatori hanno un rapporto stretto e continuativo con i partecipanti.

      Interesse pubblico ed esercizio di pubblici poteri (art. 6, par. 1, lett. e) GDPR)

      Sull’interesse pubblico c’è un chiarimento importante per il privato.

      Il paragrafo 58 l’EDPB dichiara che «il ricorso all’esecuzione di un compito di interesse pubblico o all’esercizio di pubblici poteri come base giuridica non è limitato agli enti pubblici che conducono ricerche scientifiche. Anche gli enti privati possono avvalersi di tale base giuridica, se l’atto giuridico in questione riguarda le loro attività».

      Questa previsione (anticipata in Italia con l’art. 8 della legge 132/2025 sull’AI) consente al privato che collabora con la PA e che in qualche modo rientra nello svolgimento di un’attività di rilevanza pubblicistica, magari in forza di un atto di amministrazione generale ex art. 2-sexies Codice Privacy, di trattare tranquillamente i dati sulla base dell’interesse pubblico.

      Legittimo interesse e ricerca scientifica

      Al paragrafo 61 si afferma che: «la ricerca scientifica e il trattamento dei dati personali ad essa connesso possono costituire un interesse legittimo ai sensi dell’articolo 6, paragrafo 1, lettera f), del GDPR, indipendentemente dal fatto che siano svolti a fini non lucrativi o commerciali».

      La natura commerciale della ricerca non è, di per sé, ostativa all’applicazione della base giuridica.

      L’EDPB aggiunge che, alla ricerca scientifica, viene «generalmente attribuita un’importanza particolare in quanto attività benefica per la società».

      Di conseguenza, nel test di bilanciamento di cui all’art. 6, par. 1, lett. f), il titolare «può spesso attribuire un peso significativo al trattamento dei dati personali per finalità di ricerca scientifica, in relazione agli interessi o ai diritti e alle libertà fondamentali degli interessati».

      Si tratta di un’indicazione che — correttamente applicata — tende ad agevolare le iniziative di ricerca fondate sul legittimo interesse, anche in capo a soggetti privati.

      Restano fermi i passaggi obbligatori del test di bilanciamento delineati nelle Linee guida 1/2024: individuazione di un interesse legittimo, necessità del trattamento, prevalenza dell’interesse sui diritti e libertà fondamentali.

      Il trattamento di categorie particolari di dati personali (art. 9 GDPR)

      L’EDPB dedica alle deroghe rilevanti per la ricerca scientifica la sezione 4.4, con un’analisi di tre percorsi: il consenso esplicito (lett. a), i dati manifestamente resi pubblici dall’interessato (lett. e), le deroghe previste dal diritto dell’Unione o degli Stati membri (lettere g, i, j).

      Sul consenso esplicito ex art. 9, par. 2, lett. a) — che può essere broad o dinamico (par. 67) — valgono le considerazioni già svolte sopra in generale per il consenso, precisando che la manifestazione deve essere attiva e inequivoca, il che esclude forme implicite o inferite.

      Sui dati manifestamente resi pubblici ex art. 9, par. 2, lett. e), l’EDPB adotta un’interpretazione restrittiva.

      Il termine «manifestamente» implica una soglia elevata e richiede «una chiara azione affermativa» dell’interessato volta a rendere i dati accessibili al pubblico (par. 69).

      Un post sui social media con impostazioni di privacy predefinite non integra la fattispecie: il titolare deve verificare le impostazioni disponibili sulla piattaforma e accertarsi che la pubblicazione sia avvenuta a seguito di una scelta attiva, consapevole della sua dimensione pubblica.

      Va considerato anche il contesto: categorie particolari pubblicate attivamente dall’interessato stesso (un influencer, un videoblogger) possono integrare la fattispecie, mentre la pubblicazione da parte di terzi (ad esempio, foto pubblicate da un amico o un parente) no.

      Infine, al paragrafo 72, l’EDPB ribadisce che il fatto che un interessato abbia reso pubbliche categorie particolari in un determinato momento non significa che abbia reso pubbliche altre informazioni della stessa categoria, sulla scorta della sentenza CGUE Schrems c. Meta Platforms Ireland (C-446/21).

      Sulle deroghe nazionali o UE previste dall’art. 9, par. 2, lett. g), i) e j), l’EDPB ribadisce i requisiti di sistema: la norma deve «rispettare l’essenza dei diritti fondamentali e osservare il principio di proporzionalità» (par. 73) e prevedere misure adeguate e specifiche di salvaguardia dei diritti e degli interessi fondamentali dell’interessato.

      Nella nota 115 l’EDPB include, tra gli esempi di deroghe nazionali e UE rilevanti, l’art. 110 del Codice italiano in materia di protezione dei dati personali e l’art. 57, par. 1, lett. a), punto i) del Regolamento (UE) 2025/327 sullo Spazio europeo dei dati sanitari (EHDS).

      Al successivo paragrafo 75, inoltre, l’EDPB segnala specificamente l’art. 53, par. 1, lett. e) EHDS come deroga ex art. 9, par. 2, utilizzabile dal titolare che tratta dati sanitari per ricerca scientifica sulla base del legittimo interesse (art. 6, par. 1, lett. f).

      Banche dati e infrastrutture di ricerca

      E veniamo ora ad un tema nuovo: quello delle banche dati e infrastrutture di ricerca.

      Le Linee Guida dell’EDPB forniscono una serie di indicazioni – un po’ sparse in tutto il documento – che, se messe insieme, ci danno il quadro operativo sulle c.d. banche dati sanitarie: in Italia ne avevamo bisogno, perché c’è veramente un po’ di confusione.

      Le Linee Guida EDPB 1/2026 sul trattamento di dati personali per finalità di ricerca scientifica (adottate il 15 aprile 2026, versione per consultazione pubblica) dedicano alle research data infrastructures una sezione autonoma (§ 13) e tre esempi chiave — Example 8, 22 e 25 — che tracciano la cornice per biobanche, registri, data repository ospedalieri e database federati di consorzio.

      Il paragrafo 13 delle Linee Guida definisce la research data infrastructure come repository o database destinato a rendere i dati disponibili per futuri progetti di ricerca in una specifica area.

      Perché il trattamento rientri nella nozione di ricerca del GDPR, il titolare deve valutare le operazioni di gestione dell’infrastruttura alla luce dei sei fattori indicativi sopra illustrati.

      Il gestore (titolare del trattamento) deve inoltre fissare i criteri di raccolta, di ammissione dei progetti, di qualifica scientifica dei ricercatori e, per le categorie particolari, di aderenza a standard etici.

      Per le banche dati le Linee Guida confermano il consenso ampio come strumento tipico per l’alimentazione quando le finalità future non sono determinabili al momento della raccolta (par. 43-47).

      Il par. 47 chiarisce poi che il broad consent copre raccolta, curation, conservazione e messa a disposizione dei dati — anche tramite secure processing environment — e i successivi trattamenti nei singoli progetti, purché restino dentro l’area di ricerca comunicata e nelle ragionevoli aspettative dell’interessato.

      Il par. 43 — letto con il Considerando 33 GDPR e il Considerando 26 del Regolamento (UE) 2022/868 (Data Governance Act) — ammette che più titolari possano fondarsi sul medesimo broad consent.

      Pare a chi scrive che sia la chiave per i database di rete tra strutture sanitarie, università e sponsor industriali.

      A compensare la minore determinatezza, il par. 49 impone misure di garanzia aggiuntive: pagina web dedicata, newsletter, independent data trustee, consenso a durata limitata, oversight body con rappresentanti degli interessati, esperti e DPO.

      Quando i progetti futuri sono ipotizzabili si ricorre al consenso dinamico.

      Gli esempi operativi richiamati dalle linee guida

      Le Linee Guida presentano poi anche alcune ipotesi, che spiegano il funzionamento concreto.

      Ad esempio: l’università pubblica che costituisce un database sanitario raccogliendo i dati pseudonimizzati dagli ospedali è titolare autonomo per la gestione del database; l’azienda farmaceutica che vi accede per la propria R&D è titolare autonomo del proprio trattamento: due titolari, due basi giuridiche, due informative.

      Altro esempio: un consorzio di ricerca con protocollo comune e database federato; in questo caso tutti i partner (pharma, università, istituti di ricerca) sono contitolari ex art. 26 GDPR per il trattamento nel database e per lo studio osservazionale.

      Gli ospedali restano invece titolari autonomi per la cura.

      Quindi, se (come credo) queste prescrizioni saranno confermate cosa occorre fare?

      Io credo che chi gestisce biobanche, registri, data repository ospedalieri o database federati farebbe bene a cominciare a ragionare sui seguenti aspetti: verificare la qualificazione dell’infrastruttura secondo i criteri sopra indicati; revisionare informative e moduli di broad consent adeguandoli all’area di ricerca; rivedere gli accordi tra sponsor, università, strutture sanitarie e CRO valutando i diversi ruoli soggettivi.

      Anonimizzazione e pseudonimizzazione

      E veniamo ora al tema dell’anonimizzazione e della pseudonimizzazione.

      Anche qui le Linee guida ci forniscono regole che fanno veramente chiarezza su molti aspetti da sempre fonte di dubbi e posizioni divergenti.

      Partendo dall’art. 89 GDPR secondo il quale ove le finalità di ricerca scientifica «possano essere realizzate mediante un ulteriore trattamento che non consenta o non consenta più l’identificazione degli interessati, tali finalità devono essere realizzate in tal modo» l’EDPB afferma che, se possibile, i dati devono essere resi anonimi.

      Se l’anonimizzazione non è possibile — perché, ad esempio, il titolare mira ad analizzare sviluppi relativi a un individuo nel tempo, il che richiede un identificativo, o perché l’anonimizzazione non è tecnicamente realizzabile — i dati devono essere pseudonimizzati (par. 157).

      E fino a qui nulla di nuovo.

      La vera novità sta nella base giuridica.

      La domanda che ci siamo sempre fatti è la seguente: occorre una base giuridica per anonimizzare i dati?

      L’EDPB risponde con una formulazione operativamente fondamentale: «un titolare del trattamento può avvalersi della stessa base giuridica sia per il processo di anonimizzazione che per le operazioni di trattamento precedenti, qualora tali operazioni facciano parte di un insieme di operazioni svolte per gli stessi fini di ricerca scientifica».

      In sostanza, l’anonimizzazione non richiede una base giuridica autonoma se è parte integrante del processo di ricerca (regola coerente con la sentenza CGUE C-77/21).

      Analogamente per quanto attiene pseudonimizzazione.

      Anche qui la regola EDPB è netta: «se un titolare del trattamento tratta dati personali a fini di ricerca scientifica e applica la pseudonimizzazione, la base giuridica per il trattamento dei dati personali si estende a tutte le operazioni di trattamento necessarie per applicare la trasformazione di pseudonimizzazione».

      Un elemento nuovo è invece quello della valutazione sul formato dei dati nel momento in cui il titolare elabora il piano di trattamento: in altre parole si stabilisce che la valutazione sulla forma del dato da trattare nella ricerca «dovrebbe essere effettuata nell’ambito di un’analisi dei rischi o, se del caso, di una valutazione d’impatto sui dati personali (DPIA)».

      La scelta fra anonimizzazione, pseudonimizzazione e dati direttamente identificativi, dunque, non è un dettaglio tecnico da rimandare all’implementazione: è decisione che deve essere assunta e documentata al momento della progettazione del trattamento.

      Ovviamente poi «dovrebbe esserci un processo continuo di verifica dell’efficacia delle misure attuate per garantire l’anonimizzazione o la pseudonimizzazione nel corso di un progetto di ricerca, o fintantoché i dati siano altrimenti conservati, in particolare se i set di dati vengono combinati, il che può aumentare il rischio di reidentificazione».

      Formati dei dati e trasparenza

      Le operazioni di trattamento a fini di ricerca possono poi essere effettuate su dati personali in diversi formati: e qui vengono valorizzati i contratti tra le parti come misure organizzative.

      Il titolare che riceve i dati, se non ha bisogno di identificare gli interessati, deve ricevere dati anonimi.

      Il titolare che li fornisce, a sua volta, può conservare una copia pseudonimizzata o direttamente identificabile per proprie finalità — la riproducibilità dei risultati della ricerca, la revisione dei dati.

      Il modello è lineare: ciascun attore detiene il formato minimo necessario alle proprie finalità.

      In relazione a questa (diffusa) ipotesi il paragrafo 163 integra il quadro sul piano degli obblighi legali e contrattuali.

      I divieti contrattuali di reidentificazione — da inserire in ogni accordo di trasmissione — «possono, in quanto misure organizzative, integrare l’anonimizzazione o la pseudonimizzazione tecnica, in particolare quando le serie di dati vengono condivise tra partner di ricerca o altri destinatari».

      Gli obblighi contrattuali devono inoltre garantire che, a seguito di una richiesta dell’interessato che esercita i propri diritti, il titolare che ha pseudonimizzato i dati possa fornire le informazioni necessarie per reidentificarlo ai titolari o responsabili che trattano i dati pseudonimizzati a fini di ricerca, oppure — in alternativa — garantire che il titolare originario consenta l’esercizio pratico dei diritti.

      Trasparenza e informativa nella ricerca scientifica

      Chiude il paragrafo 164, che contiene un’indicazione destinata a correggere una prassi italiana molto diffusa.

      Gli interessati devono essere informati «in che misura i loro dati personali siano trattati a fini di ricerca in una forma che consenta l’identificazione e, qualora i dati personali siano messi a disposizione di altri destinatari, a chi».

      E in particolare «non si dovrebbe dare agli interessati l’impressione che i loro dati personali saranno resi anonimi se, in realtà, i dati saranno trattati in forma pseudonimizzata e gli interessati saranno ancora identificabili, sebbene indirettamente».

      In sostanza va valutato all’inizio della ricerca se i dati saranno anonimizzati o pseudonimizzati e va comunicato ciò che avviene con chiarezza all’interessato.

      Un ultimo avvertimento, sempre dal paragrafo 164: gli interessati vanno informati, prima del trattamento, che non sarà possibile recuperare i loro dati da un insieme aggregato o nell’ambito dei risultati della ricerca dopo l’anonimizzazione.

      Dopo l’anonimizzazione, cioè, non potranno più ricevere informazioni individuali sul trattamento dei loro dati — ad esempio, i risultati di esami clinici — poiché questi non costituiranno più dati personali: ciò non pregiudica la possibilità di ricevere informazioni generali e aggregate sullo sviluppo dei progetti o sui loro risultati.

      Conclusioni sulle linee guida EDPB 1/2026 ricerca scientifica

      Le Linee guida EDPB 1/2026 oggi sono aperte alla consultazione pubblica fino al 25 giugno.

      Però il quadro generale appare già da ora molto più chiaro.

      La qualificazione delle attività che possono considerarsi ricerca scientifica, la legittimazione degli enti privati, il broad consent, la distinzione tra compatibilità e liceità dell’ulteriore trattamento, la disciplina delle banche dati, la gerarchia tra anonimizzazione, pseudonimizzazione e dati identificativi sono tutti temi che sono stati fonti di dubbi e di interpretazioni contraddittorie.

      Sul piano di sistema, il documento segnala una direzione chiara: la ricerca scientifica è un bene sociale che merita un regime unitario, indipendentemente dalla natura pubblica o privata dell’ente che la conduce e dalla finalità commerciale o meno del progetto.

      È una direzione che il Garante Italiano dovrà prima o poi confrontare con le proprie scelte interne.

      @RIPRODUZIONE RISERVATA

      Valuta la qualità di questo articolo

      La tua opinione è importante per noi!

      S
      Silvia Stefanelli
      Studio Legale Stefanelli & Stefanelli
      Seguimi su

      Leggi anche:

      guest

      0 Commenti
      Più recenti
      Più votati
      Inline Feedback
      Vedi tutti i commenti

      Argomenti

      Canali

      InnovAttori

      Vedi tutti gli approfondimenti >

      Articoli correlati

      • cybersecurity italia

      • Browser e privacy

        Il consenso online diventa automatico: cosa cambia in Europa

        19 Feb 2026

        di Francesca Niola

        Condividi
      • eIDAS 2

      • guida

        eIDAS 2: tutto su identità digitale europea, IT wallet, servizi fiduciari

        23 Apr 2025

        di Giovanni Manca

        Condividi
      • tecnocontrollo digitale ia e discriminazione di genere chat control Sicurezza Predittiva

      • stato di diritto

        Algoritmi predittivi: il futuro della sicurezza passa dal diritto

        05 Feb 2026

        di Marco Martorana

        Condividi
      0
      Lascia un commento, la tua opinione conta.x