Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

privacy

Ricerca scientifica e protezione dati: le raccomandazioni dell’EDPS

In una recente Opinion, l’autorità europea che vigila sul rispetto della protezione dei dati presso gli organi e le istituzioni dell’Ue (EDPS), ha affrontato le tematiche legate al binomio ricerca scientifica-protezione dei dati personali. Vediamo alcuni tra i punti principali trattati e le raccomandazioni dell’Autorità

28 Gen 2020
Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza


Lo European Data Protection Supervisor (EDPS), l’autorità europea che vigila sul rispetto della protezione dei dati presso gli organi e le istituzioni dell’Unione Europea, ha varato un’interessante Opinion[1] sull’ancora acerbo “binomio” ricerca scientifica-protezione dei dati personali. Vediamo quali sono le tematiche più importanti affrontate dall’EDPS, a quasi due mesi dall’insediamento del nuovo presidente Wojciech Wiewiórowski[2].

La ricerca scientifica: una visione d’insieme dell’Edps

Per l’EDPS, la ricerca scientifica – allorché comporti un trattamento di dati personali (a volte, concetto quasi pleonastico in taluni settori) – è soggetta a normative come il GDPR – Regolamento UE 2016/679, nonché a normative come il Regolamento UE 2018/1725, che disciplina il trattamento dei dati personali da parte di istituzioni, organi e organismi dell’Unione Europea. Il GDPR disciplina un regime speciale che offre un certo grado di flessibilità per progetti di ricerca scientifica operanti in un dato “quadro etico”. L’EDPS afferma che vi sono due correnti di pensiero: quella per cui il GDPR offra molta flessibilità in campo scientifico, e quella per cui tale Regolamento addirittura minaccerebbe l’attività di ricerca.

Nell’Opinion in oggetto, l’EDPS afferma che la digitalizzazione ha reso la diffusione dei dati personali più facile e meno costosa che mai, trasformando il modo in cui le attività di ricerca vengono condotte: secondo l’EDPS, il confine tra ricerca privata e ricerca accademica tradizionale è più sfumato che mai, ed è sempre più difficile distinguere la ricerca che avvantaggi la società tutta, da quella preordinata principalmente al raggiungimento di interessi privati. A detta dell’Autorità di Wiewiórowski, il segreto aziendale – in particolare nel settore tecnologico – è un ostacolo importante alla ricerca nel campo delle scienze sociali, ove hanno “sede” i dati più preziosi (non solo personali) per la comprensione dell’impatto della digitalizzazione e dei fenomeni specifici come la “dissimulazione della disinformazione”. In particolare, nel campo sanitario, la ricerca medica e le sperimentazioni cliniche si svolgono generalmente in un quadro stabilito di standard etici professionali, anche internazionali (ad esempio, le GCP). L’interazione tra questo quadro – peraltro consolidato da decenni – e il GDPR è oggetto di discussione in seno allo European Data Protection Board. Il GDPR guarda a capisaldi come i principi di liceità e di limitazione delle finalità nonché ai diritti degli interessati, consentendo – tuttavia – alcune deroghe agli obblighi dei titolari del trattamento dei dati (il soggetto che determina finalità e modalità del trattamento). Ciò include la presunzione di compatibilità del trattamento a fini di ricerca scientifica dei dati raccolti in contesti commerciali e di altro tipo, a condizione che siano previste adeguate garanzie. Questa flessibilità è concessa partendo dal presupposto che la ricerca che si svolge in un quadro etico conserva, in linea di principio, l’interesse pubblico. Il principio di accountability (o di “responsabilizzazione”, Art. 5.2 del GDPR) è quindi fondamentale, in quanto richiede che i titolari del trattamento valutino “onestamente” e gestiscano in modo responsabile i rischi inerenti ai loro progetti di ricerca. Tali rischi possono essere molto elevati quando, ad esempio, si tratta di elaborare dati relativi alla salute degli interessati, ovvero le opinioni politiche o religiose di questi ultimi. Il consenso come base giuridica per il trattamento dei dati deve essere libero, specifico, informato e inequivocabile (oltre che, in taluni casi, espresso).

Ciò differisce concettualmente e operativamente dal “consenso informato” per la partecipazione alla ricerca. Tuttavia il “consenso informato” per la partecipazione alla ricerca può comunque servire come salvaguardia nei casi in cui il consenso “privacy” non sia appropriato in qualità di base giuridica per il trattamento dei dati. A detta dell’EDPS la ricerca scientifica svolge una funzione preziosa in una società democratica, essendo diventato sempre più importante, lì dove vi è concentrazione del controllo sui flussi di informazioni (dati personali e non) nelle mani di poche società private globali. Sempre secondo l’EDPS, gli obblighi in materia di protezione dei dati non dovrebbero essere utilizzati in modo improprio, ossia per consentire a determinati attori del settore di sfuggire dagli obblighi di trasparenza e di accountability. I ricercatori che operano all’interno di quadri di governance etica dovrebbero quindi essere in grado di accedere a tutti i dati necessari, con una base giuridica valida, rispettando il principio di proporzionalità e adottando adeguate salvaguardie. La disamina iniziale dell’Opinion termina con l’EDPS che raccomanda i seguenti passi: intensificazione del dialogo tra le autorità di protezione dei dati UE e i comitati etici per una comprensione comune di quali attività si qualificano come ricerca vera e propria e quali no; creazione di codici di condotta per la ricerca scientifica; un più stretto allineamento tra i programmi quadro di ricerca dell’Unione Europea e gli standard di protezione dei dati; nonché l’inizio di un dibattito sulle circostanze in cui l’accesso dei ricercatori ai dati detenuti da imprese private possa avere come base giuridica l’interesse pubblico.

Ricerca sanitaria e trial clinici

Saltando ad argomenti d’orbita sanitaria-scientifica, esaminiamo la parte dell’Opinion che riguarda il consenso informato alla ricerca, nonché il settore dei trial clinici. L’EDPS introduce l’argomento del presente capitolo sottolineando che la dignità umana e il diritto all’integrità della persona sono riconosciuti dagli Artt. 1 e 3 della Carta dei Diritti Fondamentali dell’Unione Europea. La ricerca sanitaria – o medica – sull’uomo (nota anche come ricerca biomedica o medicina sperimentale) è rigorosamente soggetta a norme e controlli etici. Ai sensi dell’Art. 3.2 lett. a) della Carta, il “consenso libero e informato dell’interessato” deve essere rispettato nel campo della biologia e della medicina. L’EDPS incalza affermando che nel settore sanitario esiste un “imperativo etico e scientifico” di condividere i dati personali a fini di ricerca. Esaminiamo ora il consenso informato per la partecipazione alla ricerca, “gemello diverso” della più “famosa” base giuridica del GDPR.

Il consenso informato per la partecipazione alla ricerca

Nell’Opinion si legge che gli Stati membri dell’Unione Europea richiedono generalmente un consenso informato preventivo del partecipante a un progetto di ricerca per il trattamento dei dati sanitari (N.d.A. qui entriamo in zona GDPR), con – tuttavia – disposizioni nazionali che variano da un paese all’altro. I ricercatori – secondo l’EDPS – si affidano sempre più spesso a un “ampio consenso” all’uso dei dati per ulteriori progetti di ricerca scientifica che non sono noti al momento della raccolta, in quanto i rischi associati sarebbero molto bassi. Ad esempio per il personal genome testing, è stato proposto un “consenso a più livelli” (o multistrato), in cui i partecipanti sono invitati a scegliere tra una serie di opzioni. Nel campo delle biobanche è stato sperimentato un “consenso dinamico”, in cui si chiede ai partecipanti di acconsentire a diverse attività nel corso del tempo tramite un’interfaccia informatica. Secondo l’EDPS, in situazioni critiche di assistenza, ad esempio quando una persona è incosciente e i suoi parenti non sono contattabili, il consenso alla ricerca in caso di uno studio osservazionale – nel quale i dati vengono estrapolati dalla cartella clinica del paziente o da campioni di tessuto mentre lo stesso interessato sta ricevendo le cure necessarie – non può essere ottenuto né dal paziente né dal suo rappresentante legale. In tali casi, le questioni etiche riguardanti, ad esempio, l’opportunità di un “consenso differito”, oppure il consenso di un medico indipendente, sono oggetto di discussione all’interno della comunità medica europea.

I trial clinici

Le sperimentazioni cliniche (Trial Clinici o Clinical Trials) – che, secondo l’EDPS, contribuiscono a una ricerca medica “più ampia” – si basano sull’applicando Regolamento UE sulla sperimentazione clinica di medicinali per uso umano 536/2014, sebbene – specifica l’Autorità di Wiewiórowski – esistano anche altri strumenti generali che disciplinano le informazioni del settore pubblico, l’accesso ai documenti pubblici, i testi e i dati protetti da copyright e, naturalmente, il GDPR.

Il Regolamento UE 536/2014 mira ad armonizzare le norme applicabili introducendo una procedura di autorizzazione basata su un’unica “presentazione” attraverso un unico portale dell’UE, nonché una procedura di valutazione che porta ad un’unica decisione, il tutto associato a norme sulla protezione delle persone e ai requisiti circa il consenso informato (alla ricerca) e il principio di trasparenza. Il Regolamento UE 536/2014 definisce i Trial Clinici come un “sottoinsieme” degli Studi Clinici, intendendo con ciò qualsiasi indagine in relazione all’uomo che abbiano come obiettivo l’accertamento della sicurezza e/o l’efficacia dei medicinali. Il Regolamento UE 536/2014 amplia le norme etiche stabilendo obblighi per i responsabili della sperimentazione clinica, denominati sponsor (o promotori della ricerca), i quali possono essere un individuo, una società, un’istituzione o un’organizzazione. Il Regolamento 536, entrato in vigore nel giugno 2014, non è ancora applicabile in quanto è necessaria la presenza e la piena funzionalità di un portale e di una banca dati comunitaria per le sperimentazioni cliniche, da sottoporre a un audit indipendente e a un avviso di conferma pubblicato dalla Commissione Europea. Quest’anno dovrebbe essere quello giusto, ma il condizionale viene utilizzato da quasi un lustro.

Il Consenso informato nel Regolamento UE 536/2014

Il Regolamento sui Trial Clinici specifica i requisiti per il consenso, che è definito – all’Art. 2.2 n. 21) come l’espressione libera e volontaria di un soggetto della propria disponibilità a partecipare a una determinata sperimentazione clinica, dopo essere stato informato di tutti gli aspetti della sperimentazione clinica rilevanti per la decisione del soggetto di partecipare oppure, nel caso dei minori e dei soggetti incapaci, l’autorizzazione o l’accordo dei rispettivi rappresentanti legalmente designati a includerli nella sperimentazione clinica. Inoltre, in base alla prima parte dell’Art. 29.1, il consenso informato è scritto, datato e firmato dalla persona che tiene il colloquio […] e dal soggetto o, qualora il soggetto non sia in grado di fornire un consenso informato, dal suo rappresentante legalmente designato, dopo essere stato debitamente informato.

Il partecipante alla ricerca deve ricevere informazioni comprensibili durante un colloquio preliminare e deve essere in grado di porre domande in qualsiasi momento. Inoltre, il partecipante deve disporre di tempo sufficiente per prendere in considerazione la sua decisione. Devono essere prese in considerazione tutte le circostanze che potrebbero influenzare la decisione di partecipare a uno studio clinico, compreso lo status economico e sociale dell’interessato.

Uso dei dati delle sperimentazioni cliniche da parte di altri istituti di ricerca

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Le università e gli altri istituti di ricerca possono, in conformità alle norme sulla protezione dei dati (GDPR e normative nazionali applicabili), raccogliere dati provenienti da sperimentazioni cliniche per utilizzarli – al di fuori del protocollo della sperimentazione clinica – ad esempio a fini di ricerca nel campo delle scienze mediche, naturali o sociali, conformemente alla normativa in materia di protezione dei dati personali. N.B. Nel Regolamento 536/2014, all’Art. 28.2 e altrove, si fa riferimento alla defunta Direttiva “Madre” 95/46/CE; è tuttavia necessario riferirsi sempre al GDPR e alla normativa nazionale applicabile, per quanto nel 2014 il GDPR fosse ancora in gestazione. Infine, il partecipante alla ricerca deve dare il proprio consenso all’utilizzo dei propri dati al di fuori della sperimentazione clinica e tale consenso può essere revocato in qualsiasi momento. È sempre necessario un esame preliminare sull’adeguatezza di tali ricerche su esseri umani, ad esempio sugli aspetti etici.

Sperimentazioni cliniche e GDPR

Un anno fa, nel gennaio 2019, l’EDPB (European Data Protection Board, che riunisce tutti i “garanti” privacy nazionali più l’EDPS) emise un’Opinion[3] sulla liceità del trattamento dei dati nell’ambito del Regolamento UE sulle sperimentazioni cliniche 536/2014, informando la Commissione Europea, nell’aprile 2019, circa la necessaria revisione del Regolamento UE 536/2014 in merito all’interazione con il GDPR. Al momento il 536/2014 rimane ancora “non aggiornato” sul punto (oltre a essere, come accennato, ancora non applicabile).

Gdpr e ricerca scientifica: alcuni punti affrontati dall’Edps

Per l’EDPS l’obiettivo principe della normativa europea in materia di protezione dei dati (GDPR) è stato sempre quello di facilitare la libera circolazione dei dati all’interno dell’Unione Europea, salvaguardando al contempo i diritti fondamentali delle persone fisiche. Vediamo alcuni tra i punti più importanti affrontati dall’Autorità di Wiewiórowski.

I principi di liceità del trattamento

Il GDPR stabilisce sei principi applicabili al trattamento di dati personali: liceità-correttezza-trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, nonché integrità e riservatezza. A questi principi si aggiunge, afferma l’EDPS, un settimo – accountability o responsabilizzazione – che vede l’obbligo per il titolare del trattamento di essere in grado di dimostrare il rispetto dei sei principi di cui sopra.

Ciascuno dei principi di cui all’Art. 5 del GDPR si applica a tutti i trattamenti di dati, compresi quelli a fini di ricerca. Per l’EDPS, prima del GDPR, la Direttiva 95/46/CE riconosceva la ricerca come un importante settore di interesse pubblico che giustificava deroghe alle “norme generali”. Infatti, tale Direttiva delegava – in gran parte – la tematica della protezione dei dati nei settori della sanità e della ricerca medica agli Stati Membri UE. Gli obblighi di protezione dei dati aumentano in funzione del rischio che le attività di trattamento comportano per l’individuo persona fisica. Il GDPR riconosce altri diritti e interessi, tra cui la ricerca, che possono giustificare adeguamenti o deroghe ai principi generali. Nel caso della ricerca scientifica, il GDPR presuppone l’esistenza di norme etiche e professionali accettate e di lunga durata che disciplinano la ricerca sull’uomo.

Il ruolo dell’Art. 89 del GDPR

Per l’Art. 89 del GDPR – pp. 1 e 2 – il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l’interessato, tali finalità devono essere conseguite in tal modo. Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell’Unione o degli Stati membri può prevedere deroghe ai diritti di cui agli articoli 15 (Diritto di Accesso dell’interessato), 16 (Diritto di Rettifica), 18 (Diritto di Limitazione di trattamento) e 21 (Diritto di Opposizione), […] nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

Le categorie particolari di dati (già sensibili)

L’Art. 9.2 lett. da g) a j) del GDPR consente deroghe al divieto di trattamento di categorie particolari di dati. In particolare nella lett. j) leggiamo che non si applica il divieto di trattamento quando lo stesso è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. Gli Stati Membri UE possono inoltre, nel quadro del GDPR, mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute (Art. 9.4 del GDPR). Si tratta quindi di un settore nuovo e richiede l’adozione di normative comunitarie o nazionali prima che l’uso di categorie particolari di dati a fini di ricerca possa diventare pienamente operativo.

Il consenso “privacy” come base giuridica: le avvertenze dell’EDPS

In ambito di ricerca scientifica la base giuridica più utilizzata è il “sempreverde” consenso dell’interessato. Ai sensi dell’Art. 4 n. 11) del GDPR per consenso al trattamento dei dati si intende qualsiasi manifestazione di volontà libera (senza imposizioni da terzi, in piena coscienza e volontà), specifica (in relazione a una o più finalità del trattamento), informata (l’interessato deve essere informato sul trattamento dei suoi dati prima di acconsentire) e inequivocabile dell’interessato (non deve dare atto a fraintendimenti), con la quale lo stesso (interessato) manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile (non ammissibile il silenzio-assenso), che i dati personali che lo riguardano siano oggetto di trattamento. Inoltre, per il trattamento di particolari categorie di dati è necessario che il consenso sia anche espresso (es. dichiarazione scritta). Infine, il consenso deve essere sempre liberamente revocabile, facendo salve le operazioni di trattamento dei dati effettuate prima della revoca.

L’EDPS avverte che esiste una sorta di sovrapposizione tra il consenso informato per la partecipazione a progetti di ricerca che coinvolgono esseri umani e il consenso al trattamento dei dati previsto dal GDPR. Tuttavia, considerarli come un unicum, ossia come un tutt’uno, sarebbe semplicistico e fuorviante. Il consenso informato è anche una salvaguardia, un mezzo per dare agli individui più controllo e scelta e quindi per sostenere la fiducia della società nella scienza. Ci possono essere circostanze in cui il consenso non è la base giuridica più adatta per il trattamento dei dati, e dovrebbero essere presi in considerazione altre basi giuridiche, sia ai sensi dell’Art. 6 che dell’Art. 9 del GDPR. Tuttavia, specifica l’EDPS, anche quando il consenso non opera come la base giuridica più appropriata ai sensi del GDPR, il consenso informato alla ricerca potrebbe comunque servire come “adeguata salvaguardia” dei diritti della persona interessata. Non è ancora chiaro a quali condizioni tale consenso informato possa essere considerato una salvaguardia appropriata. Certamente, forme innovative di consenso nelle attività di ricerca, come il consenso “a livelli” e “dinamico”, sono pratiche promettenti che dovrebbero essere ulteriormente incoraggiate e sviluppate.

Le informazioni sul trattamento dei dati

I principi di correttezza e trasparenza del GDPR fanno eco in larga misura al principio fondamentale del consenso informato alla ricerca. L’aggettivo “informato” può includere lo scopo della ricerca, i metodi utilizzati, i possibili risultati della ricerca, nonché le richieste, i disagi, gli inconvenienti e i rischi che i partecipanti possono incontrare. Sull’altro lato della barricata, ai sensi dell’Art. 13 del GDPR, quando i dati sono raccolti presso l’interessato, costui deve essere informato – ad esempio – su chi raccoglie i suoi dati, come contattare il titolare del trattamento e il DPO, per quale finalità e con quale base giuridica i dati sono trattati, chi sono i destinatari della comunicazione, per quanto tempo saranno conservati e come è determinato tale periodo, nonché se siamo in presenza o meno di un processo decisionale automatizzato. Ciò comprende anche la ricezione di informazioni sui diritti di cui dispongono, nonché il diritto di presentare un reclamo a un’autorità di controllo. Se i dati non sono ottenuti presso l’interessato, si applica l’Art. 14 del GDPR. Secondo il p. 5 lett. b) di tale articolo, l’obbligo di fornire le informazioni non si applica se ciò risultasse impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici […], o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In caso di ulteriore utilizzo per diversa finalità, i partecipanti devono essere informati prima dell’ulteriore trattamento, anche se la finalità è compatibile.

L’interesse pubblico come base giuridica

Il trattamento dei dati può essere lecito quando necessario per l’esecuzione di un compito di interesse pubblico […] (Art. 6.1 lett. e del GDPR), ossia quando il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale. (Art. 9.2 lett. i del GDPR).

Nel caso di particolari categorie di dati, utilizzando tale base giuridica, il trattamento deve essere “necessario per motivi di interesse pubblico rilevante”. L’Art. 9.2 lett. j del GDPR prevede, in linea di principio, il trattamento di categorie particolari di dati per la ricerca scientifica, ma solo sulla base del diritto comunitario o degli Stati Membri. Tuttavia, la normativa nazionale deve ancora essere implementata. Pertanto, a detta dell’EDPS, al momento attuale è difficile – se non impossibile – considerare un “interesse pubblico rilevante” come base per il trattamento di dati particolari ai fini della ricerca scientifica. Recentemente sono state avanzate richieste per un accesso regolamentato in tutta l’UE ai dati personali a fini di ricerca che riguardano un interesse pubblico (ad esempio per migliorare l’assistenza sanitaria), prendendo atto dell’incertezza su ciò che conta come “ricerca scientifica”. Per l’Autorità privacy delle istituzioni europee si tratta di un settore interessante che richiede ulteriore lavoro e approfondimento.

Le raccomandazioni dell’Edps

Con l’Opinion in oggetto si cerca di “fluidificare” il dialogo tra la comunità scientifica e le autorità di protezione dei dati UE, un dialogo importante soprattutto nel campo della ricerca medica. Si tratta di un confronto che – secondo l’EDPS – deve essere intensificato a livello comunitario, poiché al momento vi sono “differenze di vedute” tra gli Stati Membri UE, a partire dalle incomprensioni sul GDPR e passando attraverso una concentrazione di dati potenzialmente preziosi in mano a poche grandi aziende private. Esaminiamo le raccomandazioni dell’Autorità guidata da Wiewiórowski sulla materia in discussione.

Autorità privacy europee e comitati etici di ricerca

Le autorità di protezione dei dati europee e i DPO si occupano sempre più di questioni etiche nello sviluppo e nell’impiego di tecnologie digitali. Secondo l’EDPS tali due soggetti del “mondo privacy” dovrebbero impegnarsi più strettamente con i comitati etici di ricerca. Per l’Autorità privacy delle istituzioni europee la ricerca genetica, in particolare, ha implicazioni non solo per il partecipante alla ricerca, ma anche per i componenti della sua famiglia o per soggetti aventi caratteristiche condivise con il partecipante. I comitati etici indipendenti potrebbero sostenere la comprensione di quali attività si qualificano come ricerca vera e propria e definire gli standard etici cui si fa riferimento nel GDPR. I comitati etici possono svolgere un ruolo significativo nel garantire che il rispetto dei diritti umani – compreso il diritto alla protezione dei dati – sia integrato nel progetto di ricerca fin dalla fase di pianificazione iniziale (Protezione dei dati fin dalla progettazione – Art. 25.1 del GDPR). Per l’EDPS è probabile che i comitati etici continuino a svolgere un ruolo importante nel garantire che i progetti di ricerca siano concepiti by-Design, tenendo conto dei principi di protezione dei dati personali (GDPR).

Codici di condotta e certificazioni UE per le attività di ricerca

Il GDPR richiede agli Stati Membri, alle autorità privacy nazionali UE, all’EDPB (European Data Protection Board) e alla Commissione Europea di incoraggiare l’elaborazione di codici di condotta che contribuiscano alla corretta applicazione del GDPR. Nel campo della ricerca, i codici di condotta possono migliorare la convergenza delle pratiche e aumentare la fiducia nel rispetto del GDPR. Per l’EDPS, per raggiungere un livello sufficiente di armonizzazione, possono essere preferibili codici di condotta a livello comunitario piuttosto che codici di condotta nazionali. Essi sarebbero inoltre utili per la libera circolazione dei ricercatori all’interno dell’Unione, un obiettivo fondamentale dello Spazio Europeo della Ricerca. Per l’EDPS codici di condotta specializzati potrebbero essere particolarmente rilevanti per settori come il biobanking e il campo della genomica. Inoltre, gli organismi di certificazione accreditati (nel caso italiano, si perdoni il gioco di parole, accreditati da Accredia) potranno rilasciare certificazioni ai titolari e/o ai responsabili del trattamento, come sigilli e marchi di protezione dei dati (Art. 42 del GDPR), per un periodo massimo e rinnovabile di tre anni. Lo scopo delle certificazioni è quello di dimostrare la conformità del trattamento dei dati al GDPR. Secondo l’EDPS i codici di condotta e le certificazioni ai sensi del GDPR potrebbero affrontare: i requisiti che permettano l’utilizzo del consenso come base giuridica del trattamento; un regime ad hoc per categorie particolari di dati; i legittimi interessi perseguiti dai ricercatori; la pseudonimizzazione dei dati nel campo della ricerca e riguardo le pubblicazioni scientifiche (quest’ultimo, campo dell’anonimizzazione, N.d.A.); l’esercizio dei diritti degli interessati nel contesto di potenziali limitazioni di tali diritti; protezione dei dati fin dalla progettazione nel campo della ricerca; trasferimento di dati personali a paesi terzi o organizzazioni internazionali; fornitura di dati da parte di aziende private, in particolare di piattaforme tecnologiche, a ricercatori indipendenti per progetti specifici.

Programmi quadro di ricerca dell’UE e standard di protezione dei dati

Sulla base dei notevoli sforzi di armonizzazione compiuti dalla Commissione Europea nel settore della ricerca con Horizon 2020 e il futuro Horizon Europe, il prossimo programma quadro europeo per la ricerca e l’innovazione potrebbe anche sostenere una convergenza tra gli Stati Membri. I progetti di ricerca che cercano finanziamenti nell’ambito del quadro europeo devono passare attraverso un rigoroso processo di revisione etica che inizia con un’autovalutazione. Esso richiede ai ricercatori di riflettere sulla pianificazione del progetto di ricerca e prescrive che i requisiti di protezione dei dati debbano far parte del processo di revisione etica. Questo processo ha un notevole potenziale per allineare le pratiche di protezione dei dati di tutti gli istituti di ricerca o dei ricercatori indipendenti che cercano di ottenere finanziamenti europei. I ricercatori, propone l’EDPS, dovrebbero chiedere una guida agli esperti di protezione dei dati e alle autorità nello sviluppo di queste proposte di ricerca.

Dibattito sull’interesse pubblico nel campo della ricerca scientifica

Per l’EDPS, la condivisione dei dati personali comporta sempre un certo grado di rischio per gli interessati, anche quando le finalità “abbracciano” la ricerca scientifica. Non dovrebbero esserci scappatoie per la protezione dei diritti fondamentali; inoltre, l’incertezza su ciò che conta come “ricerca scientifica” in sé comporta il rischio di un’emersione di tali scappatoie. Allo stesso tempo, c’è una crescente preoccupazione su come la digitalizzazione abbia concentrato il controllo di preziose informazioni nelle mani di poche potenti aziende private. Alcuni, incalza l’EDPS, sostengono che non è democratico che queste aziende monopolizzino tali opportunità e si sottraggano al controllo e alla responsabilità che i ricercatori indipendenti potrebbero fornire, se solo fossero in grado di esaminare il modo in cui le informazioni vengono diffuse da queste piattaforme. Attraverso le loro attuali condizioni di servizio e le loro politiche sulla privacy, per l’EDPS queste aziende si concedono un ampio margine per determinare come desiderano trattare i dati personali e con chi condividerli. Sembra quindi che non ci siano molti ostacoli a questi termini di servizio che prevedono la condivisione dei dati con ricercatori che operano nell’ambito di una corretta governance etica. Poiché ciò non sta accadendo, ci sono state recenti richieste di accesso regolamentato, in tutta l’Unione Europea, ai dati personali in possesso di privati per scopi di ricerca che servono un interesse pubblico, come ad esempio il miglioramento dell’assistenza sanitaria e la lotta alla crisi climatica. Una base di interesse pubblico ai sensi del GDPR che consenta a tali imprese private di divulgare i dati ai ricercatori, chiosa l’EDPS, dovrebbe essere chiaramente formulata e stabilita nella legislazione comunitaria o nazionale, oltre ad essere accompagnata da un rigoroso test di proporzionalità e da adeguate salvaguardie contro l’uso improprio dei dati e l’accesso illecito a essi.

  1. A Preliminary Opinion on data protection and scientific research. European Data Protection Supervisor. https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf
  2. Wojciech Wiewiórowski è subentrato – alla guida dell’EDPS – al compianto Giovanni Buttarelli, scomparso nell’agosto 2019. Wiewiórowski, già vice di Buttarelli, è succeduto alla presidenza nel Dicembre 2019, dopo un breve periodo di reggenza. Per maggiori informazioni: https://edps.europa.eu/press-publications/press-news/press-releases/2019/wojciech-wiewiorowski-serve-european-data_en
  3. Opinion 3/2019 dello European Data Protection Board https://edpb.europa.eu/our-work-tools/our-documents/avis-art-70/opinion-32019-concerning-questions-and-answers-interplay_it
WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 2