Le prescrizioni del Garante privacy sul trattamento dei dati personali

Le prescrizioni del Garante privacy relative al trattamento di dati personali effettuato per scopi di ricerca scientifica

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Avv. Pier Paolo Muià – Dott.ssa Maria Muià

 Garante per la protezione dei dati personali: provvedimento n. 146 del 5 giugno 2019

Premessa

L’art. 21 del recente decreto legislativo n. 101/2018, dando attuazione a quanto previsto dalle disposizioni del Regolamento europeo sulla protezione dei dati personali, dopo aver abrogato le autorizzazioni generali che erano già state adottate in precedenza dal Garante privacy, ha affidato al Garante privacy il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute in dette autorizzazioni generali relative alle situazioni di trattamento dei dati necessari per adempiere un obbligo legale al quale è soggetto il titolare del trattamento e quelli necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento nonché di trattamento dei dati necessari per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale e dei dati genetici, biometrici o relativi alla salute ed infine i trattamenti di cui al Capo IX del Regolamento europeo (cioè i trattamenti effettuati a scopi giornalistici o di espressione accademica, artistica o letteraria; i trattamenti per l’accesso ai documenti amministrativi; i trattamenti del numero di identificazione nazionale; il trattamento dei dati nell’ambito dei rapporti di lavoro; i trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici).

Al fine di dare concreta applicazione al suddetto articolo, il Garante privacy ha adottato il provvedimento in esame, il quale reca appunto le prescrizioni relative ad alcune delle situazioni di trattamento di cui si è appena detto. In particolare, oggetto del presente commento sono le prescrizioni relative al trattamento di dati personali effettuato per scopi di ricerca scientifica (già oggetto della autorizzazione generale del garante privacy n. 9/2016).

Ambito di applicazione  

In primo luogo, il provvedimento del Garante si occupa dell’ambito di applicazione delle suddette prescrizioni.

In particolare, il provvedimento stabilisce che dette prescrizioni si applicano a:

  • università, altri enti o istituti di ricerca e società scientifiche, nonché ai ricercatori che operano nell’ambito di tali istituti e ai soci delle società scientifiche;
  • esercenti la professione sanitaria e organismi sanitari;
  • persone fisiche o giuridiche, enti, associazioni e organismi privati nonché soggetti che sono preposti maniera specifica al trattamento quali designati o responsabili del trattamento (per esempio, ricercatori, commissioni di esperti, organizzazioni di ricerca a contratto, laboratori di analisi, ecc.).

Tipologie di ricerche e finalità

Il secondo aspetto preso in esame dal provvedimento del Garante riguarda le tipologie di ricerche per cui vengono trattati i dati e con quali finalità.

In particolare, viene previsto che le prescrizioni oggetto di esame si applicano ai trattamenti di dati personali effettuati per le ricerche di carattere medico, biomedico ed epidemiologico, soltanto per le seguenti finalità:

  • quando il trattamento è necessario per condurre degli studi attraverso l’impiego di dati che erano stati raccolti in precedenza con finalità di cura del soggetto o per eseguire precedenti progetti di ricerca oppure di dati che siano stati ricavati da campioni biologici prelevati in precedenza con finalità di cura del soggetto o per eseguire precedenti progetti di ricerca;
  • quando il trattamento è necessario per condurre degli studi attraverso l’utilizzo di dati relativi a persone che, per il loro grave stato clinico, non sono in grado di comprendere l’informativa privacy fornita e quindi di rendere in maniera valida il proprio consenso.

Il consenso

Le prescrizioni contenute nel provvedimento in oggetto si occupano anche del consenso dell’interessato, stabilendo, preliminarmente, che questo non è necessario quando la ricerca viene effettuata in virtù di disposizioni di legge o di regolamento o di diritto dell’unione europea.

In tutti gli altri casi, invece, è necessario il consenso e qualora non sia possibile acquisirlo, all’interno del progetto di ricerca, il titolare del trattamento deve documentare le ragioni particolari o eccezionali per cui non è stato possibile informare gli interessati oppure per cui tale informativa richiedeva uno sforzo sproporzionato o rischiava di rendere impossibile o di pregiudicare gravemente il raggiungimento degli obiettivi della ricerca.

Il provvedimento si preoccupa anche di indicare, in maniera esemplificativa, alcuni casi in cui non sarebbe necessario il consenso dell’interessato; in particolare:

  • in presenza di motivi etici connessi al fatto che l’interessato non conosce la propria condizione di salute (in questo caso il garante far rientrare tutte le ipotesi in cui la conoscenza del trattamento rivelerebbe all’interessato delle notizie da cui potrebbe derivargli un danno materiale o psicologico);
  • in presenza di motivi di impossibilità organizzativa;
  • in presenza di motivi di salute connessi alla gravità dello stato clinico in cui si trova l’interessato e che gli impedirebbero di comprendere l’informativa privacy e conseguentemente di fornire un valido consenso.

Modalità di trattamento

Un ulteriore argomento disciplinato dal provvedimento del Garante riguarda le modalità del trattamento.

In particolare, viene previsto che, nel caso in cui l’identificazione, anche temporanea, degli interessati sia necessaria per raggiungere gli scopi della ricerca, nel trattamento successivo alla raccolta dei dati, debbono essere adottate delle tecniche di cifratura o di pseudonimizzazione oppure delle altre soluzioni (per es. l’uso di codici) idonee a rendere i dati non direttamente riconducibili agli interessati (tenuto conto del volume dei dati trattati, della loro natura e oggetto nonché del contesto e delle finalità del trattamento); ciò, in modo che gli interessati possano essere identificati soltanto in caso di necessità.

Nel caso in cui sia necessario abbinare i dati identificativi dell’interessato al materiale della ricerca, ciò deve avvenire in maniera temporanea e deve essere motivata per iscritto.

Comunicazione e diffusione

Per quanto riguarda la comunicazione e la diffusione dei dati, il provvedimento in esame stabilisce che i titolari del trattamento possono comunicare tra loro i dati personali in esame soltanto nel caso in cui rivestano il ruolo di promotore, di centro coordinatore o di centro partecipante alla ricerca e sempre che detta comunicazione sia indispensabile per lo svolgimento della ricerca.

Inoltre, viene vietata, oltre alla diffusione dei dati relativi alla salute degli interessati come prevista dal codice privacy, anche la diffusione dei dati relativi alla vita sessuale, all’orientamento sessuale e alla origine razziale ed etnica che siano stati utilizzati per effettuare la ricerca.

Conservazione dei dati e campioni

Per quanto riguarda, invece, la conservazione dei dati personali e dei campioni, viene previsto che i dati e i campioni biologici utilizzati per l’esecuzione della ricerca devono essere conservati attraverso tecniche di cifratura oppure utilizzando dei codici identificativi o comunque altre soluzioni che non li rendano direttamente riconducibili agli interessati. Inoltre, tale conservazione è ammessa soltanto per il tempo necessario a raggiungere gli scopi per cui i dati sono stati originariamente raccolti o successivamente trattati.

Custodia e sicurezza  

Infine, l’ultimo aspetto di cui si occupa il provvedimento del Garante riguarda la custodia e la sicurezza dei dati.

In particolare, viene previsto che i titolari del trattamento, sia durante la fase di memorizzazione o archiviazione dei dati che in quella successiva di elaborazione di dette informazioni e di loro trasmissione, debbano adottare delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio nonché impiegare delle specifiche misure e degli accorgimenti tecnici per incrementare il livello di sicurezza dei dati che sono trattati per svolgere la ricerca.

Il provvedimento individua, poi, in maniera specifica quali siano dette misure tecniche e organizzative:

  • accorgimenti adeguati a garantire la qualità dei dati e la corretta attribuzione agli interessati;
  • idonei accorgimenti per garantire che i dati siano protetti da rischi di accesso abusivo, furto o smarrimento dei supporti di memorizzazione;
  • canali di trasmissione protetti qualora i dati devono essere comunicati ad altri soggetti per condurre la ricerca;
  • tecniche di etichettatura nella conservazione e nella trasmissione dei campioni biologici, attraverso l’uso di codici identificativi o di altre soluzioni che impediscano di ricondurre direttamente agli interessati i campioni stessi;
  • l’adozione, con riferimento alle operazioni di elaborazione dei dati memorizzati in una banca dati centralizzata, di idonei sistemi di autenticazione e di autorizzazione del personale che svolge il trattamento (diversificate a seconda dei ruoli e delle esigenze di accesso alla banca dati e prevedendo dei limiti temporali di validità di tali sistemi), procedure per la verifica periodica delle credenziali di autenticazione ed infine sistemi di audit log per controllare gli accessi al database e rilevare eventuali anomalie.

Volume consigliato

Il nuovo codice della privacy

Il nuovo codice della privacy

Pier Paolo Muià, 2019, Maggioli Editore

Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Muia' Pier Paolo

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it