La direttiva 46/95 trattava l’argomento principalmente nei seguenti termini:
- Il trattamento a fini di ricerca scientifica è considerato non incompatibile con altri trattamenti ( 6)
- La conservazione dei dati può essere prolungato oltre il termine previsto dai singoli specifici trattamenti per la ricerca scientifica (art. 6)
- L’informativa può non essere data quando particolarmente onerosa (40)
- Il diritto degli interessati può essere limitato per la ricerca scientifica da appositi atti normativi nazionali (art. 13)
Ora nel GDPR ci sono molti più rimandi:
- 33-50-52-53-62-65-113-156-157-159-161-162
- 5-9-14-17-21-89
L’art. 89 è dedicato all’argomento.
- Il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l’interessato, tali finalità devono essere conseguite in tal modo.
- Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell’Unione o degli Stati membri può prevedere deroghe ai diritti di cui agli articoli 15, 16, 18 e 21, fatte salve le condizioni e le garanzie di cui al paragrafo 1 del presente articolo, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità. […]
Quindi il GDPR agevola in diversi modi il trattamento per ricerca scientifica:
- Le deroghe già previste dalla direttiva sono sostanzialmente riprese nel GDPR (50, 52, 53, art. 5, art. 9, art. 14)
- Le problematiche della ricerca scientifica vengono considerate quando si tratta delle diverse operazioni previste dal Regolamento:
- La possibilità di avere un consenso espresso non per una ricerca specifica, ma per un settore di ricerca (33)
- La liceità del trattamento di dati sensibili in particolare di quelli sanitari (52)
- Diritto alla rettifica e all’oblio (65, art. 17)
- Trasferimento (113)
- La necessità di applicare i principi di minimizzazione del trattamento anche in materia di ricerca, ricorrendo dove possibile alla pseudonimizzazione o anonimizzazione (156)
- La possibilità per gli stati membri di prevedere specifiche deroghe e modalità di esercizio dei diritti degli interessati (156)
- La possibilità di combinare informazioni provenienti da diversi registri anche di patologia (157)
- La ricerca scientifica è intesa in senso molto ampio (159)
- Alla ricerca scientifica si possono applicare condizioni specifiche, in particolare per la pubblicazione e diffusione dei risultati (159)
- Qualora i risultati della ricerca costituiscono motivo di ulteriori misure nell’interesse dell’interessato si dovrebbe applicare il regolamento nella sua generalità (159)
- Alle sperimentazioni cliniche si applicano le norme specifiche (161)
- Comunque, per situazioni specifiche, l’interessato può opporsi al trattamento per ricerca scientifica, salvo che sia fatto nell’interesse pubblico (art. 21)
In pratica, i gruppi di ricerca devono focalizzarsi (con il supporto del DPO e di un eventuale comitato etico):
- Nella valutazione se escludere o meno l’utilizzo dei dati frutto della ricerca per prendere decisioni sul singolo individuo: se vi fosse profilazione, si applicherebbe l’intero GDPR
- Nell’individuazione dell’insieme di dati minimo che garantisca i risultati della ricerca, in particolare se essi possano essere ottenuti con dati anonimi, statistici o pseudo anonimi.
Nelle tecniche di anonimizzazione e pseudonimizzazione: in proposito si può tener conto del parere 5/2014 del WP 29 .
interessante. solo non capisco cosa vuol dire “Qualora i risultati della ricerca costituiscono motivo di ulteriori misure nell’interesse dell’interessato si dovrebbe applicare il regolamento nella sua generalità” (estratto dal considerandum 159): si riferisce alla eventuale profilazione?