FAQ ricerca e protezione dati personali

Sezione I – Dati della ricerca e dati personali

1.1. Che differenza intercorre tra dati della ricerca e dati personali?

La ricerca, per definizione, non può fare a meno di dati. I dati sono, in generale, un contenitore delle informazioni più varie: essi rappresentano non solo il cibo di cui si nutre qualsiasi studio(so), ma formano anche il prodotto dell’investigazione compiuta, attraversando, l’intero ciclo di vita di qualsiasi attività di ricerca. 

Non ogni dato della ricerca è però un dato personale. Basti pensare, per esempio, alla citazione contenuta in una nota a piè di pagina che richiama una importante monografia, opera di un illustre Maestro: nessuno può dubitare che, in linea di principio, il nome e il cognome dell’autore potrebbero essere considerati alla stregua di un dato personale, come anche il pensiero riportato – informazione che, giustamente, viene attribuita a chi ne è padre. 

È bene allora operare un distinguo, non solo perché alcuni dati sono già di per sé pubblici e accessibili da chiunque (si pensi ai dati contenuti nelle banche dati della ricerca), ma è importante anche considerare l’uso che dei dati viene fatto a seconda delle finalità, in concreto, perseguite da parte di chi utilizza le informazioni: la protezione dei dati personali nell’ambito della ricerca scientifica contempla solamente quel sotto-insieme – più piccolo rispetto all’ampia categoria dei dati della ricerca ma non necessariamente ridotto in termini di dimensioni – di informazioni che appartengono a chi, spontaneamente o no (ad es. con la partecipazione a sondaggi o attraverso video-interviste, oppure mediante l’utilizzo di campioni genetici depositati in appositi banche), si trova a “partecipare” all’attività della ricerca, posto che i dati offerti da privati costituiscono uno strumento importantissimo per lo studio portato avanti. 

Ricapitolando, la prospettiva da assumere è, in sostanza, relativa: ogni ricercatore è messo alla prova nel dover individuare i dati personali ai quali deve essere prestata la massima attenzione, onde evitare di scivolare, più o meno consapevolmente, in operazioni non consentite e, pertanto, illecite.

1.2. Cos’è un “dato personale”?

Per “dato personale” ci si riferisce a qualsiasi informazione che interessi una persona fisica identificata o comunque ne renda possibile l’identificazione. In pratica, una qualsiasi informazione quando associata, in modo diretto o indiretto, a una determinata persona umana va considerata un dato personale. 

All’estremo opposto del dato personale si trova il dato anonimo, il quale non consente in alcun modo l’identificazione della persona e non rientra nell’ambito di applicazione della normativa privacy. 

Vi sono poi, i dati de-identificati (o pseudonimizzati), ovvero dati personali che non permettono di identificare immediatamente un individuo, ma che, se associati ad altre informazioni, possono permettere di risalire all’identità del soggetto. I dati de-identificati costituiscono dati personali e sono, pertanto, soggetti alla normativa privacy.

Se la nozione di persona “identificata” è facilmente comprensibile, va precisato che “identificabile” è quella che può essere individuata direttamente (es. nome) o indirettamente (es. indirizzo, ruolo ricoperto), anche attraverso uno o più elementi specifici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. 

Da sottolineare come le informazioni concernenti imprese, associazioni, comitati e altri enti non costituiscono dati personali: non sono, appunto, persone fisiche, bensì persone giuridiche.Tali dati non sono però totalmente esclusi dall’applicazione della normativa privacy, infatti, ad esempio, non si possono inviare comunicazioni indesiderate, senza aver ottenuto il consenso, nemmeno a persone giuridiche.

Esempi di dati personali:

  • dati anagrafici (ad. es. nome, cognome, genere, età, data di nascita);
  • dati di contatto (ad. es. indirizzo, indirizzo e-mail, numero di telefono, Skype Id);
  • documenti di identità e numeri identificativi (ad. es. codice fiscale, numero di targa);
  • CV e relative esperienze professionali e accademiche;
  • voce registrata, non alterata, da cui è possibile identificare una persona;
  • immagini da cui è possibile identificare una persona (ad. es. fotografie, riprese video);
  • commenti dai quali si possa identificare un soggetto sulla base delle informazioni fornite nel commento;
  • numeri identificativi utilizzati online (indirizzo IP, punti di geo-localizzazione).

1.3. Cosa si intende per “dati sensibili” (o “categorie particolari di dati personali”) e per dati relativi a condanne penali e reati?

Con l’espressione “dati sensibili” vengono comunemente intesi i dati personali idonei a rivelare l’origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi ad identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

In pratica, si tratta di dati che toccano la sfera più intima della persona e, di conseguenza, devono essere raccolti predisponendo particolari cautele e solo in presenza di reali necessità e condizioni particolari che ne permettano il legittimo trattamento. La terminologia adoperata di “dato sensibile”, un tempo contenuta nel “Codice della Privacy”, risulta oggi sostituita  da quella di “categorie particolari di dati personali” introdotta dal Regolamento. 

Infine, soggetti a particolari cautele, sono anche i dati personali relativi a condanne penali e reati.

Esempi di categorie particolari di dati personali:

  • Dati che rivelino l’origine razziale o etnica (ad es. indicazione nella compilazione di un modulo del gruppo etnico di appartenenza o del  colore della pelle);
  • Dati che rivelino opinioni politiche (ad es. elenco degli iscritti ad un partito politico);
  • Dati che rivelino le convinzioni religiose o filosofiche (ad es. indicazione nella compilazione di un modulo della preferenza per alimenti koscher o halal);
  • Dati che rivelino l’appartenenza sindacale (ad es. elenco degli iscritti ad un sindacato);
  • Dati genetici (ad es. esito di un esame genetico);
  • Dati biometrici (ad es. impronta digitale, firma grafometrica);
  • Dati relativi alla salute (ad. es. indicazione nella compilazione di un modulo della presenza di una disabilità).
  • Dati relativi alla vita sessuale o all’orientamento sessuale (ad es. indicazione in un modulo di appartenenza alla comunità LGBT).
  • Dati relativi a condanne penali e reati (ad. es. dati contenuti nel  casellario giudiziale).

 

Ulteriore esempio:

  • Un progetto di ricerca che abbia come scopo confrontare la gestione della disabilità in due diverse comunità (per es. Italiana e Bengalese), tratterà almeno due tipologie di categorie particolari di dati personali, ovvero dati che possono rivelare lo stato di salute e dati che possono rivelare l’origine etnica.

 

 

 

Sezione II – Regole generali in materia di protezione dei dati personali

2.1. Dove si trovano le regole sulla protezione dei dati della persona?

La disciplina in materia di protezione dei dati personali è particolarmente complessa, dal momento che presenta, oltre a una vasta produzione di normative, specifiche ricadute nei diversi settori dove è possibile trovare dati relativi alla persona. 

Le principali fonti sono:

  • Il Regolamento europeo n. 679/2016 (“Regolamento”), entrato in vigore il giorno 25 maggio 2018: un elaborato lunghissimo (ben 99 articoli!), che prevede regole immediatamente e direttamente applicabili per tutti i soggetti coinvolti nella gestione dei dati personali.
  • “Codice della privacy (d. lgs. 196/2003 come modificato dal d.lgs. n. 101/2018).

Bisogna anche tener presente che vi sono altre discipline più o meno collegate  (es. diritto d’autore, diritto all’immagine), e che questa materia è quotidianamente applicata da innumerevoli attori, sia nei luoghi di lavoro e di studio, sia attraverso provvedimenti del Garante per la protezione dei dati personali, codici deontologici, protocolli, circolari, linee guida, prassi in generale, che contribuiscono, positivamente, ad aggiornare un settore in perenne, continua e inarrestabile evoluzione.

2.2. Quando si ha “trattamento” dei dati personali?

Il “trattamento” rappresenta una espressione onnicomprensiva delle attività riguardanti i dati personali. In generale, si può dire che qualsiasi operazione o insieme di operazioni applicate a dati personali, automatizzate o manuali e/o effettuate tramite mezzi informatici o cartacei, possono essere ricondotte al trattamento.

Per esempio, vanno ricordate la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento, la modifica, l'estrazione, la consultazione, l'uso, la comunicazione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto, l'interconnessione, la limitazione, la cancellazione o la distruzione di dati personali.

Non risulta necessaria l’archiviazione delle informazioni, ad esempio, all’interno di una banca dati, per darsi un trattamento: è sufficiente anche una sola, unica attività riguardante un singolo dato personale. Sono comunque escluse le operazioni riguardanti dati personali effettuate per uso esclusivamente personale.

Esempi:

  • Nell’ambito di un progetto di ricerca, la registrazione della voce dell’interessato su dispositivo audio durante un’intervista, costituisce trattamento dei dati personali. Lo stesso vale, per le registrazioni video.
  • Nell’ambito di un progetto di ricerca, la raccolta, tramite compilazione di un form, dei dati anagrafici dell’interessato per contattarlo in merito allo sviluppo del progetto stesso, costituisce trattamento dei dati personali.
  • L’analisi dei commenti, che possono identificare un individuo, lasciati su Facebook dagli utenti, costituisce trattamento dei dati personali.
  • La comunicazione dei dati di contatto di un partecipante, ad un progetto di ricerca, agli altri partecipanti allo stesso, al fine di creare un gruppo di lavoro, costituisce un’attività di trattamento dei dati personali.

2.3. Chi è l’ “interessato”?

L’interessato è il soggetto principale di tutte le norme poste a presidio dei dati personali. 

L’interessato al trattamento può essere definito argomentando, a contrario, dalla nozione di dato personale: essa rappresenta la singola persona fisica (non associazioni, imprese, animali, etc.), identificata o identificabile, alla quale si riferiscono, direttamente o indirettamente, i dati personali.

Per essere considerato interessato al trattamento, non si richiede alcun riconoscimento formale, dal momento che la persona alla quale i dati si riferiscono assume, di fatto, tale qualifica. 

Esempi:

  • Nel caso di un progetto di ricerca, che preveda la conduzione di interviste a genitori di minori in età scolare per valutare l’impatto delle politiche territoriali in materia sugli stessi, gli interessati saranno sia i genitori che i minori.
  • Nel caso di un progetto di ricerca, che preveda l’analisi di elaborati linguistici creati dai partecipanti allo stesso per rilevarne gli errori più comuni, ogni partecipante sarà un interessato.

2.4. I dati personali riguardano anche le persone decedute?

In linea di principio, i dati delle persone decedute non sono protetti dalla normativa sui dati personali.

Sebbene il Regolamento preveda, in generale (considerando 27), che lo stesso non si applichi ai dati personali delle persone decedute, ammette che gli Stati Membri possano prevedere norme che regolino il trattamento dei dati dei defunti. 

In Italia, Il Garante per la Protezione dei dati personali ha recentemente chiarito che le persone decedute continuano a godere delle tutele previste dalla disciplina in materia di protezione dei dati personali. Inoltre, i diritti previsti dalla normativa in materia di protezione dei dati personali possono essere esercitati anche successivamente, da parte di chi possa vantare un certo interesse personale al riguardo oppure agisca direttamente per la tutela del defunto o ancora, più semplicemente, per ragioni di natura familiare (es. accesso al fascicolo sanitario del paziente deceduto da parte dei parenti).

2.5. Chi sono il "titolare del trattamento" e il "responsabile del trattamento"?

Come detto, l’interessato è  il soggetto  cui si riferiscono i dati oggetto delle attività di trattamento.

Analizziamo ora i soggetti che eseguono, anche solo di fatto, una o più operazioni di trattamento dei dati personali:

  • titolare del trattamento: persona fisica o ente (società, associazione, fondazione, etc.), autorità pubblica, servizio o altro organismo che, singolarmente o insieme ad altri (con-titolari), determina le finalità del trattamento – i motivi per i quali i dati personali vengono maneggiati, leciti o illeciti che siano i propositi – nonché le modalità (tecniche, informatiche, organizzative, etc.) con le quali si svolgono le relative attività di trattamento. Esempio tipico del titolare è l’Ateneo per lo svolgimento delle proprie attività istituzionali (es. immatricolazione degli studenti ai corsi si laurea). Ove le decisioni relative al trattamento sono prese congiuntamente da due o più soggetti, questi ultimi vengono qualificati come contitolari del trattamento.
  • responsabile del trattamento: è un soggetto, esterno all’organizzazione del titolare, che agisce per conto di quest’ultimo, volontariamente scelto in forza di una certa delega di funzioni. Il responsabile del trattamento deve essere nominato dal titolare con apposito atto scritto - contenente specifiche istruzioni a cui il responsabile si deve necessariamente attenere. Sono per esempio responsabili del trattamento i fornitori di servizi cloud, di servizi informatici, di archiviazione della documentazione cartacea. È bene osservare come il responsabile che vada al di là delle indicazioni ricevute dal titolare ovvero decida autonomamente le finalità e i mezzi del trattamento, assuma, a sua volta, la qualifica di titolare. 
  • referente interno: il titolare può  poi nominare, per iscritto, uno o più referenti interni ai quali affidare  sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, specifici compiti e funzioni connessi al trattamento dei dati.
  • soggetti autorizzati: cioè addetti di servizio esclusivamente persone fisiche che eseguono specifiche operazioni delegate sotto la diretta autorità del titolare o del referente interno.

Di norma per i progetti di ricerca di competenza dell’Ateneo, fatti salvi i casi particolari che andranno considerati nello specifico, i soggetti di riferimento sono:

  • L’Ateneo, nella persona del Magnifico Rettore, che agisce quale titolare del trattamento.
  • Il Principal Investigator o Main Researcher, che ricopre il ruolo di referente interno, previa nomina con apposito atto del Magnifico Rettore.
  • Gli altri partecipanti al progetto (ad. es. ricercatori, assegnisti, dottorandi), che saranno soggetti autorizzati e dovranno essere nominati con apposito atto di nomina del Magnifico Rettore.

Esempi:

  • L’Ateneo, nell’ambito di un progetto di ricerca, si avvale di un ente privato per somministrare, seguendo le specifiche indicazioni date dall’Ateneo, dei questionari d’indagine ai partecipanti al progetto stesso. In questo caso, l’Ateneo sarà il titolare del trattamento, mentre il soggetto privato sarà il responsabile del trattamento.
  • All’interno di un progetto di ricerca, un Partner del progetto richiede all’Ateneo di raccogliere i dati personali oggetto dell’indagine ed analizzarli per suo conto. Inoltre richiede anche che i risultati dell’analisi gli siano trasferiti. In questo caso l’Ateneo sarà il responsabile del trattamento, mentre il Partner sarà il titolare.
  • Nel caso di una convenzione in cui due Atenei definiscono congiuntamente le finalità e le modalità della raccolta dei dati personali oggetto di indagine, gli Atenei saranno in una posizione di contitolarità.

2.6. Quali sono le regole che stanno alla base di ogni trattamento?

I dati personali, in generale, devono:

  • essere trattati in maniera lecita, corretta e trasparente; 
  • essere raccolti per finalità determinate, esplicite e legittime, nonché trattati in modo compatibile con le  finalità per le quali sono stati raccolti (in merito si segnala che il riutilizzo dei dati, in presenza di idonee garanzie, per scopi di ricerca scientifica, storica o statistica viene considerato compatibile); 
  • essere  esatti e ne deve essere garantita la rettifica e la cancellazione laddove necessaria;
  • essere adeguati, pertinenti e limitati alle finalità perseguite, per il tempo necessario al loro conseguimento (eccettuata la conservazione dei dati personali per un periodo più lungo per finalità di ricerca); 
  • essere protetti attraverso misure di sicurezza, organizzative e tecniche, in modo da prevenire possibili trattamenti illeciti o non autorizzati.

2.7. Quali requisiti servono per avere un trattamento legittimo?

È fondamentalmente sbagliato pensare che il trattamento dei dati personali sia lecito nel solo caso in cui l’interessato abbia espresso il proprio consenso libero, informato, espresso e inequivocabile. 

Le strade percorribili sono anche altre, come prevede il Regolamento europeo, e basta sceglierne una sola: il trattamento è lecito anche quando appare necessario per l'esecuzione di un contratto di cui l'interessato è parte; qualora si tratti di adempiere a un obbligo di legge al quale è soggetto il titolare del trattamento; ancora, il trattamento potrebbe essere doveroso per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica e, nondimeno, per eseguire un compito di interesse pubblico o connesso all'esercizio di pubblici poteri dei quali è investito il titolare del trattamento. 

2.8. Quali diritti spettano all’interessato?

All’interessato sono riconosciuti dalla normativa in materia di protezione dei dati personali tutta una serie di diritti che, in generale, possono essere ricondotti al controllo, diffuso, che la singola persona esercita sull’utilizzo che dei suoi dati ne fanno altri soggetti. 

Anzitutto, va rammentato che l’interessato ha il diritto di ricevere l’informativa relativa al trattamento dei suoi dati personali, la quale, tra le altre cose, costituisce un obbligo per il titolare del trattamento.

Tra gli altri diritti spettanti all’interessato, vanno sicuramente ricordati il diritto di accedere ai propri dati personali, estraendone copia, nonché quello di rettifica, integrazione, cancellazione e deindicizzazione (noto anche come “diritto all’oblio”); ancora, va senza dubbio menzionato il diritto di limitazione e di opposizione al trattamento (soprattutto nei casi di marketing diretto), come anche il diritto a non essere sottoposti a trattamento automatizzato e conseguente profilazione da ultimo, vi è la facoltà di proporre reclamo all’Autorità Garante per la protezione dei dati personali e/o di far valere direttamente le proprie ragioni nelle sedi giudiziarie.

2.9. A cosa serve l’informativa sul trattamento dei dati personali?

La normativa in tema di protezione dei dati personali prevede, per chi esegue operazioni di trattamento dei dati, l’obbligo di fornire all’interessato – salvo la legge espressamente non lo richieda o l’interessato sia già in possesso delle informazioni ovvero i casi limite della forza maggiore e dell’impossibilità di reperire i destinatari se non a costi sproporzionati – una spiegazione chiara, semplice ma specifica circa i vari aspetti del trattamento.

Vengono in questo modo rese note tutte le informazioni che possono, in generale, garantire un sicuro ed efficace trattamento dei dati personali e senz’altro agevolare l’esercizio dei poteri di controllo spettanti alla persona dei cui dati si sta parlando: per questo motivo, è necessario dotare l’informativa non solo del contenuto minimo previsto dalla legge, ma anche di adattare il contenuto dell’informativa così che riporti in concreto informazioni circa le operazioni su dati personali compiute, tenendo a mente il canone generale di trasparenza da seguire.

Si prega di creare una proposta di informativa per il proprio progetto di ricerca, una volta completa, essa andrà spedita all’indirizzo dpo@unive.it per essere validata dal DPO di Ateneo.

2.10. Con quali modalità deve essere fornita l’informativa?

L’informativa riguardante il trattamento dei dati personali viene solitamente resa per iscritto o utilizzando mezzi informatici e digitali (anche in combinazione con icone standardizzate, per dare, in modo facilmente visibile e chiaramente leggibile, un quadro d'insieme). 

Da sottolineare come le varie informazioni possono essere anche rese oralmente, ma solo quando l’interessato ne faccia esplicita richiesta, in questo caso si dovrà comunque conservare il testo scritto dell’informativa e tenere traccia delle seguenti informazioni: soggetto che ha ricevuto l’informativa, soggetto che l’ha resa e la data in cui l’informativa è stata fornita.

Naturalmente, l’informativa è gratuita e non comporta alcun onere o esborso a carico dell’interessato. Quanto al momento in cui l’informativa deve essere fornita, occorre distinguere:

  • se i dati siano raccolti presso l’interessato, deve essere resa prima della raccolta dei dati;
  • quando i dati sono ottenuti  da un soggetto diverso dall’interessato, l’informativa deve essere fornita a quest’ultimo – sempre se è possibile rintracciarlo e ciò non risulta particolarmente difficile o eccessivo, come potrebbe essere, ad esempio, per una ricerca che coinvolga un numero elevatissimo di persone – entro un termine ragionevole dall'ottenimento dei dati, al più tardi entro un mese o comunque, nel caso in cui i dati personali permettano proprio di prendere contatto con l'interessato, nella prima comunicazione.

Esempi:

  • Se nell’ambito di un progetto di ricerca si richiede ai futuri partecipanti, come prima attività, di compilare un form con i propri dati anagrafici, l’informativa dovrà essere fornita per iscritto allegandola o inserendola nel predetto form.
  • Nel caso di un progetto di ricerca che preveda di intervistare dei partecipanti analfabeti, l’informativa andrà fornita oralmente. Bisognerà però conservare per iscritto il testo dell’informativa con la restante documentazione di progetto e tenere traccia del nominativo di chi ha reso l’informativa, di chi ha ricevuto l’informativa e della data in cui è stata fornita.

2.11 Quando si possono rendere pubblici i dati personali pubblicati in documenti di ricerca?

Ai sensi della normativa sulla protezione dei dati personali, la diffusione e la pubblicazione di dati personali deve avvenire nel rispetto del principio del 'need to know', ovvero l'accesso agli stessi deve essere garantito solo a coloro i quali hanno una comprovata necessità di conoscere tali informazioni. 

Pertanto, ove non esplicitamente richiesto da norme di legge o di regolamento, i documenti contenenti dati personali potranno essere diffusi ad un pubblico generalizzato solo se (i) i dati personali sono stati oscurati o (ii) gli interessati sono stati de-identificati (ad. es. nel caso di pubblicazione di dati aggregati).
Si ricorda, inoltre, che la diffusione di categorie particolari di dati personali (vedasi par 1.3) ad un pubblico generalizzato, considerata la sensibilità di tali dati, è vietata. Occorrerà de-indentificare i dati personali per poter pubblicare i suddetti documenti.

Diverso è il caso della comunicazione dei dati personali ai Partner del progetto di ricerca, agli auditor o a coloro che devono revisionare i risultati della ricerca, la quale è ammessa se motivata in forma scritta e limitata a coloro che hanno una comprovata necessità di conoscere tali informazioni. Inoltre, solo i dati strettamente necessari dovranno essere comunicati e, in ogni caso, rispettando le norme di sicurezza previste dall’Ateneo.

Sezione III – Tutela dei dati personali nella ricerca scientifica

3.1. Cosa si intende per ricerca scientifica, storica e statistica?

La ricerca scientifica è l’attività, condotta sia da un singolo soggetto (scienziato, professore, ricercatore, studente, etc.), sia da una équipe di studiosi, dedita allo scopo fondamentale di migliorare e diffondere la conoscenza in una specifica area, nel rispetto degli standard metodologici propri di ciascun settore scientifico disciplinare.

Ancora, la ricerca storica prevede l’indagine sistematica di persone, figure, fatti e circostanze che appartengono al passato. La ricerca a fini statistici, infine, è condotta per misurare alcuni aspetti di fenomeni collettivi. Il sapere, in tutte le sue variegate forme e manifestazioni, vive principalmente nelle sedi universitarie, nonché presso altri istituti, enti o società scientifiche che assumono le vesti di un organismo, pubblico o privato, il cui fine istituzionale è proprio quello di compiere l’attività ora ricordata. 

E se dell’interesse alla divulgazione della conoscenza è detentore l’intera comunità, per implementare e migliorare la ricerca scientifica, storica o statistica non si può fare a meno di sottolineare l’importanza che assume il trattamento dei dati relativi alla persona umana. 

3.2. È possibile riutilizzare i dati personali raccolti per ulteriori finalità e/o da altri soggetti per scopi di ricerca scientifica?

In generale, la ricerca scientifica è espressione di un interesse dell’intera collettività alla divulgazione del sapere; tuttavia, le esigenze di conoscenza devono necessariamente fare i conti con la tutela del diritto fondamentale di ognuno al controllo sull’uso che dei propri dati personali viene espletato.

Di per sé, è frequente che lo studioso si trovi a dover compiere attività di ricerca coinvolgendo anche alcuni dati personali recuperati presso banche dati, archivi, registri, altri istituti di ricerca, ospedali, imprese, associazioni, enti ecclesiastici, etc.

Si tratta, in sostanza, di dati personali raccolti inizialmente per le finalità più disparate, ma sui quali in seguito ricade nuovamente l’attenzione per scopi diversi, inerenti alla ricerca scientifica, storica o statistica.

La legge allora prevede che l’ulteriore trattamento, se le finalità perseguite sono, appunto, quelle da ultimo richiamate, è da considerarsi lecito, sebbene gli scopi iniziali per i quali i dati sono stati raccolti erano molto differenti. Ciò non fa venir meno la necessità di prevedere una selezione dei dati davvero rilevanti e fornire – almeno tendenzialmente – l’informativa agli interessati sull’utilizzo ulteriore che dei dati personali viene espletato, seppur l’uso sia improntato ad esigenze di studio. 

Anche la conservazione di dati personali per un tempo più lungo del necessario è consentita, proprio in forza della necessità di compiere, un domani, attività di ricerca scientifica. Al contrario, i dati personali utilizzati per scopi scientifici non possono essere posti alla base di decisioni o provvedimenti riguardanti l'interessato, come neppure sono consentiti trattamenti, a loro volta, ulteriori, espressione di propositi di ben altra natura (es. pubblicità commerciale).

3.3. È sempre dovuta all’interessato l’informativa nel caso di riuso di dati personali non conferiti direttamente dall’interessato all’Ateneo?

Il titolare del trattamento, di regola, deve riferire all’interessato gli scopi di ricerca scientifica: solo un’impossibilità oggettiva di rintracciarlo esenta il ricercatore dal ricorso all’informativa, anche se non lo esonera dal prevedere comunque le cautele opportune, in modo tale da tutelare i diritti, le libertà e i legittimi interessi dell'interessato.

Nella pratica, contattare l'interessato potrebbe rivelarsi un’operazione impossibile, estremamente difficile e costosa o richiede uno sforzo decisamente sproporzionato (es. migliaia di soggetti che hanno fornito dei campioni di sangue). Non solo: rintracciare ciascun interessato rischierebbe di rendere impossibile o di pregiudicare gravemente il conseguimento della ricerca. 

Pertanto, nel trattare dati per siffatte finalità – dati raccolti presso soggetti diversi dall’interessato – l’informativa non è dovuta quando richiede uno sforzo di gran lunga esagerato rispetto al diritto alla protezione dei dati personali tutelato, sempreché vengano approntate garanzie adeguate, anche sotto forma di pubblicità delle informazioni (es. inserzione di un annuncio su giornali o quotidiani nazionali o locali). 

Nei casi di cui sopra, è sempre opportuno documentare per iscritto le ragioni, per le quali si è ritenuto che fornire l’informativa agli interessati costituisse uno sforzo sproporzionato, e conservare tale documento con il resto della documentazione del progetto.

3.4. È sempre necessario raccogliere il consenso al trattamento dei dati personali per finalità di ricerca scientifica?

Va ricordato che sussistono diverse condizioni o meglio presupposti per avere un trattamento di dati personali rispondente alle prescrizioni di legge (vedasi FAQ 2.7). È sufficiente provare, pertanto, la sussistenza anche di una soltanto delle presenti condizioni per rendere legittimo il trattamento dei dati personali.

Pertanto, il consenso al trattamento dei dati personali non deve perciò essere raccolto in ogni occasione. Attenzione però che ciò non significa che per i soggetti coinvolti nella ricerca, non sia necessario ottenere il consenso alla partecipazione, specificando gli scopi della ricerca, le operazioni che verranno compiute relativamente ai dati personali e fornendo l’informativa.

È più probabile allora che le condizioni di liceità ulteriori rispetto al consenso trovino terreno fertile nella raccolta di dati già reperibili in determinati archivi, o resi altrimenti noti direttamente dall'interessato o, più in generale, raccolti presso altri soggetti, diversi dall’interessato. Ciò non esonera, ovviamente, dall’obbligo gravante sul titolare del trattamento di fornire l’informativa relativa all’utilizzo dei dati personali, sempre se possibile o non eccessivamente onerosa.

E’ opportuno ricordare che l’interessato ha la facoltà di revocare il consenso in ogni momento – se la base giuridica del trattamento dei dati personali era il consenso ed esso è stato revocato, non si potranno più estrapolare informazioni dai dati personali raccolti. Restano, impregiudicate invece le informazioni già estrapolate al fine di non alterare i risultati della ricerca.

Nel caso in cui la ricerca abbia ad oggetto il trattamento di categorie particolari di dati personali, il consenso esplicito dell’interessato deve essere ottenuto prima di procedere alla raccolta di tale categoria di dati personali.

Nei casi in cui si deve ottenere il consenso è consigliabile ottenerlo per iscritto e conservare il documento con il consenso insieme al resto della documentazione del progetto. Se non è possibile ottenerlo per iscritto (ad. es. nel caso di soggetto analfabeta) si dovrà comunque documentare per iscritto che il consenso è stato richiesto ed è stato ottenuto.

3.5. Cosa sono i codici di deontologia e le regole deontologiche?

In aggiunta al Regolamento europeo e al (riformato) “Codice della Privacy, le regole in materia di trattamento dei dati personali in ambito di ricerca scientifica si trovano nelle “Regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica” del Garante per la Protezione dei Dati Personali.

Le regole deontologiche circoscrivono i comportamenti che devono tenere i soggetti attivi del trattamento riguardo ai dati personali, predisponendo delle garanzie adeguate per i diritti e le libertà dell’interessato. In particolare:

  • il titolare specifica le misure da adottare nel trattamento di dati personali, al fine di garantire il rispetto delle regole deontologiche, nonché della normativa in materia di protezione dei dati personali;
  • il titolare crea una dichiarazione di impegno a conformarsi alle regole deontologiche. Un´analoga dichiarazione è sottoscritta anche dai soggetti – ricercatori, responsabili e persone autorizzate al trattamento – che fossero coinvolti nel prosieguo della ricerca;
  • il titolare deposita il progetto presso l´università o ente di ricerca o società scientifica cui afferisce, la quale ne cura la conservazione, in forma riservata (essendo la consultazione del progetto possibile ai soli fini dell´applicazione della normativa in materia di dati personali), per cinque anni dalla conclusione programmata della ricerca;
  • la ricerca avviene su dati de-identificati. Un interessato si ritiene identificabile quando, con l´impiego di mezzi ragionevoli, è possibile stabilire un´associazione significativamente probabile tra la combinazione delle modalità delle variabili relative ad una unità statistica e i dati che la identificano;
  • il titolare pone specifica attenzione nella selezione del personale preposto alla raccolta dei dati e nella definizione dell´organizzazione e delle modalità di rilevazione, in modo da garantire il rispetto delle regole deontologiche e la tutela dei diritti degli interessati. Il personale preposto alla raccolta si attiene alle disposizioni contenute rispetto nelle regole deontologiche e alle istruzioni ricevute;
  • i responsabili e le persone autorizzate del trattamento che per motivi di lavoro e ricerca, abbiano legittimo accesso ai dati personali trattati per scopi statistici e scientifici, conformano il proprio comportamento anche alle seguenti disposizioni: a) i dati personali possono essere utilizzati soltanto per gli scopi definiti nel progetto di ricerca; b) i dati personali devono essere conservati in modo da evitarne la dispersione, la sottrazione e ogni altro uso non conforme alla legge e alle istruzioni ricevute; c) i dati personali e le notizie non disponibili al pubblico di cui si venga a conoscenza in occasione dello svolgimento dell´attività statistica o di attività ad essa strumentali non possono essere diffusi, né altrimenti utilizzati per interessi privati, propri o altrui; d) il lavoro svolto è oggetto di adeguata documentazione; e) le conoscenze professionali in materia di protezione dei dati personali sono adeguate costantemente all´evoluzione delle metodologie e delle tecniche; f) la comunicazione e la diffusione dei risultati statistici sono favorite, in relazione alle esigenze conoscitive della comunità scientifica e dell´opinione pubblica, nel rispetto della disciplina sulla protezione dei dati personali; g) i comportamenti non conformi alle regole deontologiche sono immediatamente segnalati al titolare o al responsabile trattamento.

Si consiglia un’attenta lettura delle regole deontologiche: il loro mancato rispetto comporta, dopotutto, l’applicazione di sanzioni da parte del Garante.

3.6. Nel compiere una ricerca all’estero si applicano comunque le regole sulla protezione dei dati personali?

Tutta la normativa in materia di protezione dei dati personali, per le attività poste in essere dal titolare o dal responsabile del trattamento, se residente o comunque stabilito nel territorio dell'Unione europea, trova applicazione anche quando le operazioni relative ai dati personali sono espletate in un Paese diverso, indipendentemente se membro o meno dell'Unione.

Nel caso in cui la ricerca sia intrapresa all’estero, sarà necessario conformarsi anche alle regole vigenti nello Stato dove si intendono eseguire le attività di investigazione scientifica.

Nel caso dell’Ateneo, la legislazione di riferimento è quella dell’Unione europea ed italiana, fatti salvi i casi in cui il trattamento dei dati personali coinvolga altri paesi.

Esempi: 

  • Nel caso in cui un progetto di ricerca, ai fini di una specifica indagine, raccolga dati personali attraverso la registrazione di interviste in India, si dovrà, in aggiunta alla legislazione di riferimento dell’Ateneo (europea ed italiana), rispettare anche la legislazione in materia di dati personali vigente in India.

3.7. Quando l’attività scientifica è eseguita coinvolgendo stranieri vengono meno le prerogative in tema di protezione dei dati personali?

Potrebbe apparire paradossale legare la tutela dei dati personali a un criterio di discriminazione forte come quello fondato sulla cittadinanza.

È naturale che la disciplina in tema di protezione dei dati relativi alla persona trovi applicazione anche in riferimento a soggetti stranieri, a prescindere dalla loro nazionalità o residenza.

Qui assume una non secondaria importanza il fattore linguistico: il titolare del trattamento deve fornire una informativa chiara e semplice, di per sé comprensibile all’interessato. 

Esempi:

  • Nel caso di un progetto di ricerca volto ad intervistare esponenti della comunità scientifica sia in Italia che in Inghilterra, dovranno essere predisposti due modelli di informativa, uno in lingua italiana e uno in lingua inglese.
  • Nel caso di un progetto di ricerca che si svolga interamente in Spagna, i documenti dovranno essere predisposti in lingua spagnola.
  • Nel caso di un progetto di ricerca internazionale, che riguardi il trattamento di dati personali di interessati che parlino lingue diverse, ma che comprendano molto bene l’inglese, sarà sufficiente fornire l’informativa in lingua inglese. Se non si ha la certezza che l’informativa in lingua inglese potrà essere compresa dagli interessati, questa andrà tradotta nella lingua parlata da ognuno di essi.

Last update: 08/10/2019