Garante Europeo: assicurare la protezione dei dati anche nell’ambito della ricerca scientifica

GDPR e ricerca scientifica: un binomio necessario?

Il Garante europeo della protezione dei dati (GEPD) ha pubblicato, lo scorso 6 gennaio, una Preliminary Opinion on data protection and scientific research.

Il documento si propone di condurre un’analisi sulla protezione dei dati personali nell’ambito delle attività di ricerca scientifica: sono indicate, pertanto, una serie di raccomandazioni per garantire che tali attività siano svolte secondo canoni di correttezza e liceità.

Tale pubblicazione, sebbene ribadisca che per la ricerca scientifica sussistono, in presenza di opportune misure di garanzia, alcune deroghe agli obblighi previsti dal GDPR per i Titolari del trattamento, pone l’attenzione su taluni temi:

  • Con l’evoluzione digitale, la ricerca scientifica è resa più veloce e precisa; al contempo, si accresce l’esposizione a minacce informatiche, richiedendo pertanto adeguati presidi di sicurezza dei trattamenti, in relazione alla alla sensibilità delle informazioni;
  • Il confine tra la natura accademica e privata della ricerca scientifica è reso più labile: di conseguenza, risulta più arduo distinguere se l’interesse perseguito sia pubblico, o se si tratti di scopi commerciali;
  • Il GDPR e gli altri strumenti regolatori prevedono misure per il rispetto dei principi applicabili ai trattamenti di dati personali, il cui controllo è affidato, a livello nazionale, alle Autorità di controllo.

 

In materia di ricerca scientifica, il GDPR prevede all’articolo 179 che “l’Unione si propone l’obiettivo di rafforzare le sue basi scientifiche e tecnologiche con la realizzazione di uno spazio europeo della ricerca nel quale i ricercatori, le conoscenze scientifiche e le tecnologie circolino liberamente”, dimostrando forte apertura per la circolazione e il riuso delle informazioni nei progetti di ricerca scientifica finalizzati al miglioramento delle condizioni umane. Tale logica è stata confermata anche dal Legislatore italiano, agli articoli 97 – 110 bis contenuti nel Titolo VII del novellato Codice Privacy.

Nel corso del 2019, inoltre, sono intervenuti ulteriori atti per perimetrare il confine tra GDPR e ricerca scientifica. In tali occasioni, il Garante, ribadendo l’applicabilità del GDPR alle attività di ricerca scientifica, seppur con talune deroghe, ha indicato la necessità di garantire:

  • minimizzazione dei dati;
  • misure di pseudonimizzazione e crittografia per la riduzione dei rischi .

In particolare:

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.