Home>Normativa>Norme e Opinioni UE>EDPS – A Preliminary Opinion on data protection and scientific research

EDPS – A Preliminary Opinion on data protection and scientific research

L’EPDS (European Data Protection Supervisor) ha pubblicato il 6 gennaio 2020 un’opinione preliminare concernente la protezione dei dati nella ricerca scientifica. Nel rinviare il lettore al documento completo in inglese, di seguito proponiamo una nostra traduzione dell’Executive Summary che sintetizza i contenuti del parere del Garante europeo.

La ricerca scientifica dipende dallo scambio di idee, conoscenze e informazioni. Laddove implichi il trattamento di dati relativi a persone nell’UE, la ricerca scientifica è soggetta alle norme applicabili, tra cui il regolamento generale sulla protezione dei dati e il regolamento 1725/2018 per le istituzioni dell’UE. Le regole contengono un regime speciale che offre un certo grado di flessibilità per progetti di ricerca autentici che operano all’interno di un quadro etico e mirano a far crescere la conoscenza e il benessere collettivi della società. Come questo regime speciale dovrebbe operare nella pratica è in discussione. Alcuni sostengono che il GDPR offre troppa flessibilità, altri che le regole minacciano l’attività di ricerca sociale.

La digitalizzazione ha reso la generazione e la diffusione di dati personali più semplice ed economica che mai e ha trasformato il modo in cui viene condotta la ricerca. Il confine tra ricerca privata e ricerca accademica tradizionale è più confuso che mai, ed è sempre più arduo distinguere la ricerca al servizio della collettività da quella principalmente asservita ad interessi privati. Il segreto aziendale, in particolare nel settore tecnologico, che controlla i dati più preziosi per la comprensione dell’impatto della digitalizzazione e di fenomeni specifici come la dissimilazione della disinformazione, costituisce un grave ostacolo alla ricerca nelle scienze sociali. Nello specifico ambito delle scienze sulla salute, la ricerca medica e i trial clinici si svolgono generalmente all’interno di un consolidato quadro di standard etici professionali. L’interazione tra questo quadro e il GDPR è in discussione nell’ambito del Comitato Europeo per la Protezione dei Dati (EDPB).

Il regime speciale dedicato a queste a attività prevede l’applicazione di principi generali quali liceità del trattamento, limitazione delle finalità e diritti dell’interessato, ma consente alcune deroghe agli obblighi del titolare del trattamento. Ciò include la presunzione di compatibilità del trattamento a fini di ricerca scientifica dei dati raccolti in contesti commerciali e di altro tipo, a condizione che siano predisposte garanzie adeguate. Questa flessibilità deriva dal presupposto che la ricerca svolta in un quadro di vigilanza etica serva, in linea di principio, l’interesse pubblico. Il principio di accountability del GDPR è quindi fondamentale, in quanto richiede ai titolari del trattamento di valutare onestamente e gestire in modo responsabile i rischi inerenti ai loro progetti di ricerca. Il rischio può essere molto alto quando, ad esempio, si elaborano dati sensibili sulla salute o opinioni politiche o religiose. Il consenso come base giuridica per l’elaborazione deve essere dato liberamente, specifico, informato e inequivocabile. Ciò differisce concettualmente e operativamente dal “consenso informato” di natura medica eventualmente richiesto alle persone che partecipano alla ricerca. Un “consenso informato” che, tuttavia, può avere una sua funzione (ndr: nella valutazione dei vari presupposti di liceità) nei casi in cui il consenso al trattamento dei dati non risulti appropriato o applicabile come base giuridica ai sensi del GDPR.

In una società democratica, la concentrazione del controllo sui flussi di informazioni nelle mani di poche società globali private, deve essere monitorata. Gli obblighi in materia di protezione dei dati non devono essere utilizzati come mezzo per consentire ai giocatori potenti di sfuggire alla trasparenza e alla responsabilità. I ricercatori che operano nell’ambito di quadri di governance etica dovrebbero quindi essere in grado di accedere alle API e ad altri dati necessari, con una base giuridica valida e soggetti al principio di proporzionalità e in un contesto di garanzie adeguate.

L’EDPS raccomanda di intensificare il dialogo tra le autorità di protezione dei dati e le commissioni di revisione etica per una comprensione comune di quali attività si qualificano come ricerca autentica, per la stesura di codici di condotta UE per la ricerca scientifica, per un più stretto allineamento tra i programmi quadro di ricerca dell’UE e gli standard di protezione dei dati, e perchè si discuta quando l’accesso dei ricercatori ai dati detenuti da società private possa essere basato sull’interesse pubblico.

2020-01-07T12:31:27+00:00 6 gennaio 2020|Norme e Opinioni UE|