GDPR e ricerca scientifica: un binomio necessario?

Il Garante europeo della protezione dei dati (GEPD) ha pubblicato, lo scorso 6 gennaio, una Preliminary Opinion on data protection and scientific research.

Il documento si propone di condurre un’analisi sulla protezione dei dati personali nell’ambito delle attività di ricerca scientifica: sono indicate, pertanto, una serie di raccomandazioni per garantire che tali attività siano svolte secondo canoni di correttezza e liceità.

Tale pubblicazione, sebbene ribadisca che per la ricerca scientifica sussistono, in presenza di opportune misure di garanzia, alcune deroghe agli obblighi previsti dal GDPR per i Titolari del trattamento, pone l’attenzione su taluni temi:

• Con l’evoluzione digitale, la ricerca scientifica è resa più veloce e precisa; al contempo, si accresce l’esposizione a minacce informatiche, richiedendo pertanto adeguati presidi di sicurezza dei trattamenti, in relazione alla alla sensibilità delle informazioni;
• Il confine tra la natura accademica e privata della ricerca scientifica è reso più labile: di conseguenza, risulta più arduo distinguere se l’interesse perseguito sia pubblico, o se si tratti di scopi commerciali;
• Il GDPR e gli altri strumenti regolatori prevedono misure per il rispetto dei principi applicabili ai trattamenti di dati personali, il cui controllo è affidato, a livello nazionale, alle Autorità di controllo.

In materia di ricerca scientifica, il GDPR prevede all’articolo 179 che “l’Unione si propone l’obiettivo di rafforzare le sue basi scientifiche e tecnologiche con la realizzazione di uno spazio europeo della ricerca nel quale i ricercatori, le conoscenze scientifiche e le tecnologie circolino liberamente”, dimostrando forte apertura per la circolazione e il riuso delle informazioni nei progetti di ricerca scientifica finalizzati al miglioramento delle condizioni umane. Tale logica è stata confermata anche dal Legislatore italiano, agli articoli 97 – 110 bis contenuti nel Titolo VII del novellato Codice Privacy.

Nel corso del 2019, inoltre, sono intervenuti ulteriori atti per perimetrare il confine tra GDPR e ricerca scientifica. In tali occasioni, il Garante, ribadendo l’applicabilità del GDPR alle attività di ricerca scientifica, seppur con talune deroghe, ha indicato la necessità di garantire:

• minimizzazione dei dati;
• misure di pseudonimizzazione e crittografia per la riduzione dei rischi .

In particolare:

• Nel gennaio 2019 sono state emanate le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica;
• Nel giugno 2019 il Garante ha emanato un provvedimento sulle misure di garanzia relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 1), il focus su è ormai ben conosciuto da Università ed Enti di ricerca.

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

1. Corsi di formazione per Data Protection Officer

• Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
• Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

• Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.