GDPR e ricerca scientifica

Un’analisi sul nuovo regolamento GDPR

A partire dal 25 maggio 2018 è diventato direttamente applicabile in tutti gli Stati membri dell’Unione Europea il Regolamento UE 2016/679 “Regolamento Generale sulla protezione dei dati personali” (“GDPR”). La normativa ha un duplice obiettivo: da un lato intende facilitare il libero scambio di dati personali all’interno dell’Unione, dall’altro è volta a rafforzare la protezione del diritto alla privacy e del diritto alla protezione dei dati personali, riconosciuti quali diritti fondamentali della persona dalla Carta dei Diritti Fondamentali dell’Unione Europea (Articoli 7 e 8) e dal Trattato sul Funzionamento dell’Unione Europea (Articolo 16). Il GDPR, abrogando la precedente Direttiva del 1995, persegue i suddetti obiettivi attraverso una maggiore armonizzazione delle normative dei singoli Stati membri volta a ridurre la precedente frammentazione e incertezza legislativa.Il GDPR ha un impatto diretto anche sulle attività di ricerca scientifica, pur continuando a considerare queste ultime nella loro specificità. Nello svolgimento di attività di ricerca che coinvolgano dati personali occorrerà dunque dare attuazione ai principi sanciti dal GDPR ai fini del rispetto della normativa dell’Unione Europea. Per un approfondimento sul tema, si consiglia di leggere la “Preliminary Opinion on data protection and scientific research”, emessa agli inizi del 2020 dal Garante europeo della protezione dei dati.Quando, nella realizzazione di attività di ricerca, occorre dare attuazione alle disposizioni del GDPR? Innanzi tutto occorre stabilire se i dati trattati cadano o meno nel campo di applicazione del GDPR, il quale definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile“, dove “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo (…)“. La definizione ha una portata molto ampia e la chiave di lettura risiede nella parola indirettamente, che sottolinea come – anche nel caso in cui non si abbia immediato accesso ai dati indentificativi ma vi si possa (ragionevolmente) risalire – si sia in presenza di dati personali. Viene così tracciata una linea di demarcazione tra i concetti di pseudonimizzazione e di anonimizzazione: solo quest’ultima non permette più l’identificazione delle persone fisiche, riconducendo i dati al di fuori della categoria di dati personali e, per questo, al di fuori del campo di applicazione della normativa. Il GDPR considera poi i dati genetici, i dati biometrici e i dati relativi alla salute quali categorie particolari di dati personali, dedicando loro specifiche disposizioni.Quali sono i principi da tenere in considerazione nella realizzazione di attività di ricerca che coinvolgono il trattamento di dati personali?Il GDPR, all’articolo 5, enuclea una serie di principi da rispettare nel trattamento di dati personali, che dovranno pertanto essere tenuti in considerazione anche nel disegno e nello svolgimento di un progetto di ricerca che preveda tale trattamento. Vediamoli di seguito.

1. a) Il principio di liceità, correttezza e trasparenza esige che il trattamento sia basato su una delle basi giuridiche previste dal GDPR (a titolo esemplificativo: il consenso dell’interessato o l’esecuzione di un contratto di cui l’interessato sia parte) e che le tipologie di dati trattati, le ragioni per le quali vengono trattati e le modalità del trattamento vengano rese note in maniera efficace ed in un linguaggio comprensibile ai soggetti interessati. Negli studi che prevedono la partecipazione di soggetti volontari, questo principio si concretizza nella previsione di un’apposita informativa sul trattamento dei dati personali, completa ed intellegibile, da rendere unitamente al consenso informato previsto dalla normativa in materia di sperimentazione clinica.
2. b) Il principio di limitazione della finalità sancisce che i dati personali debbano essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità. Nell’esempio di prima, qualora – oltre alle finalità proprie dello studio – vi sia la volontà di utilizzare i dati personali anche per finalità ulteriori (ad esempio divulgative/dimostrative), le stesse dovranno essere esplicitate all’interno dell’informativa (e, nella maggior parte dei casi, sarà necessario prevedere un apposito consenso).
3. c) Il principio di minimizzazione richiede che i dati raccolti siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. In altre parole, la normativa richiede che vengano trattati solo i dati essenziali, strettamente necessari al perseguimento del fine per cui vengono raccolti. In fase di disegno del progetto di ricerca occorrerà quindi domandarsi “perché ho bisogno di questi dati?”, “come utilizzerò questi dati nella mia analisi?” “mi occorre questo livello di dettaglio o non mi è necessario?”. Per ogni tipologia di dato personale raccolto dovrà infatti essere fornita una risposta coerente. Un esempio di minimizzazione dei dati può consistere nel richiedere, in luogo della data di nascita dei partecipanti ad uno studio, la sola età o, ancor meno, la fascia di età, laddove un maggior dettaglio non sia strettamente necessario alle finalità perseguite.
4. d) Il principio di esattezza richiede di porre in essere tutte le misure ragionevoli per essere in condizione di cancellare o rettificare tempestivamente eventuali dati inesatti. Tale principio è strettamente collegato ai diritti di accesso, rettifica e cancellazione previsti in capo agli interessati.
5. e) Il principio di limitazione della conservazione impone di specificare – coerentemente con la finalità del trattamento – per quanto tempo i dati raccolti saranno conservati in una forma che consenta l’identificazione degli interessati. L’arco di tempo non potrà essere superiore al conseguimento delle finalità per le quali sono trattati. La normativa, guardando inter alia alla ricerca scientifica, si dimostra flessibile in merito a tale principio, nonché a quello di limitazione della finalità, a condizione che siano state predisposte misure di sicurezza organizzative e tecniche adeguate a tutelare i diritti e le libertà degli interessati (cfr. Art. 89 del GDPR). Tale regime speciale – che mira evidentemente ad un bilanciamento di interessi tra i diritti dell’individuo e l’interesse della collettività perseguito dalla ricerca scientifica – ha contorni poco definiti e lascia ampio spazio all’interpretazione dei singoli Stati dell’Unione Europea.
6. f) Il principio di integrità e riservatezza, strettamente collegato ai concetti di privacy by design e privacy by default, richiede l’adozione di misure tecniche ed organizzative adeguate a garantire un’appropriata sicurezza dei dati, attraverso la protezione dai rischi di trattamenti illeciti o non autorizzati, dalla perdita, dalla distruzione o dal danno accidentali. Questo principio è particolarmente importante nel campo della ricerca scientifica, dove la qualità dei dati è essenziale al fine di garantire l’affidabilità e la verificabilità dei risultati ottenuti.

Dalla rapida analisi svolta, emerge come i principi espressi dal GDPR non comportino una rivoluzione del trattamento dei dati personali nell’ambito della ricerca scientifica, ma semmai un’evoluzione dello stesso, imponendo un cambio di prospettiva necessario alla luce del crescente sviluppo tecnologico. Detta evoluzione, lungi dal costituire una minaccia per le attività di ricerca scientifica, consiste in un’opportunità da cogliere per porre maggiore attenzione e cura nell’organizzazione e nell’utilizzo dei dati nella ricerca, tutelando al tempo stesso il diritto fondamentale alla protezione dei dati personali dei soggetti coinvolti nella stessa, senza la partecipazione dei quali molti studi non sarebbero realizzabili.