Condivisione dei dati / Dati aperti

Anche se la maggioranza dei ricercatori concorda sul principio della condivisione dei dati, la sua attuazione risulta spesso complessa e solleva questioni potenzialmente problematiche, in particolare riguardo a:

• L’organizzazione della condivisione dei dati;
• Il processo decisionale relativo alla condivisione (quando e con chi condividere i dati);
• L’architettura giuridica e le normative contrastanti applicabili nei diversi Paesi in cui le parti coinvolte nella condivisione sono stabilite o operano;
• L’organizzazione pratica delle attività di condivisione dei dati;
• La pianificazione del budget necessario per garantire la condivisione dei dati e la sostenibilità delle attività correlate;
• La selezione di servizi terzi o software adeguati per l’esecuzione della condivisione dei dati.

L’elenco non è esaustivo e vi sono casi in cui la condivisione dei dati come Open Data potrebbe non essere raccomandata (cfr. Open Data di seguito nei Passaggi pratici).

I ricercatori sono sempre più sensibilizzati sull'importanza della condivisione dei dati e degli Open Research Data nei contesti di ricerca contemporanei. La condivisione dei dati nella ricerca deve essere affrontata come una buona pratica che favorisce collaborazioni di alto livello, garantisce la qualità della ricerca e tutela l’interesse pubblico.

Piano di Gestione dei Dati (DMP)

Un Piano di Gestione dei Dati (DMP) è richiesto per i progetti che ricevono finanziamenti pubblici o è fortemente raccomandato su base volontaria come strumento di buona governance.

Il DMP è un documento sintetico che aiuta a organizzare e prevedere tutte le fasi del ciclo di vita dei dati. Per ciascun set di dati, descrive come i dati di un progetto saranno gestiti, dalla loro creazione o raccolta fino alla loro condivisione e archiviazione. Il DMP richiede di adottare misure con tutti i partner per garantire che i dati di ricerca all’interno del progetto siano trattati in modo responsabile. Ciò implica la collaborazione tra i partner e, in molti casi, l’approvazione da parte degli enti finanziatori.

Secondo gli standard dell’Unione Europea (Horizon Europe 2021-2027), un DMP dovrebbe includere informazioni su:

• la gestione dei dati di ricerca durante e dopo la conclusione del progetto;
• i dati che saranno raccolti, elaborati e/o generati;
• le metodologie e gli standard applicati;
• se i dati saranno condivisi e/o resi accessibili in open access;
• le modalità di conservazione e archiviazione dei dati (anche dopo la fine del progetto).

Il DMP deve essere adattato alle operazioni di condivisione dei dati previste e mantenuto aggiornato durante l’intero ciclo di vita del progetto di ricerca.

All'interno del DMP, la condivisione dei dati può essere organizzata identificando i tipi di dati che saranno condivisi, le finalità della condivisione, le basi legali, i ruoli specifici nella condivisione, l'identificazione dei destinatari dei dati, le misure di salvaguardia tecnica e di sicurezza, i requisiti di formato per i dati condivisi e le SOP specifiche per la condivisione dei dati. Il DMP può essere utilizzato per assegnare un livello di sensibilità ai dati e ai dataset e per determinare le misure organizzative e tecniche necessarie a garantirne una protezione adeguata. Lo sviluppo di un modello comune di dati sarà essenziale per garantire la qualità standardizzata dei dati condivisi.

Le banche dati da condividere possono essere conservate localmente presso l’istituzione di origine e/o essere mutualizzate (ad esempio, in un database di progetto ad hoc o in un repository sicuro di dati di ricerca già esistente). I servizi di cloud computing possono fornire soluzioni adeguate per l’archiviazione e l’accessibilità dei dati, ma richiedono garanzie e tutele in materia di gestione dei dati. Qualora venga sviluppato o utilizzato un sistema o una piattaforma specifica per la condivisione dei dati di ricerca, il DMP deve dettagliare le responsabilità, i diritti e gli obblighi relativi alla governance del sistema IT e le SOP utilizzate per la condivisione dei dati attraverso tale sistema.

La governance delle piattaforme di accesso e condivisione dei dati è un elemento cruciale per creare un ambiente affidabile che soddisfi sia gli interessi dei soggetti interessati sia le esigenze legittime dei ricercatori.

La governance della condivisione dei dati deve essere attentamente esaminata, in particolare quando terze parti forniscono servizi di gestione dei dati. Devono essere considerati i seguenti aspetti:

• Controllo dei dati: chi avrà poteri decisionali sulla condivisione, l’accesso e l’utilizzo dei dati? Quali sono i diritti di eventuali terze parti coinvolte nella condivisione (ad es. per dati secondari) e come viene garantita la conformità normativa?
• Finalità della condivisione: definire il dominio di ricerca specifico per il quale i dati possono essere accessibili a terzi, nel rispetto del consenso dei soggetti interessati, ove applicabile.
• Modalità di accesso ai dati: è possibile accedere ai dati primari da remoto tramite una piattaforma dedicata? Ci sono restrizioni sul download? Sono previste funzionalità di caricamento e arricchimento dei dati? È garantita la tracciabilità delle operazioni?
• Politiche di sicurezza dei dati.
• Comitato di Accesso ai Dati (DAC): deve includere esperti scientifici, metodologici, etici e legali e definire le relative regole procedurali.
• Contratti con clausole adeguate di protezione dei dati, comprese clausole vincolanti che impediscono la de-anonimizzazione dei dati tramite il trattamento, clausole sulla proprietà intellettuale e accordi di trasferimento dati (DTA) in caso di condivisione internazionale, con condizioni supplementari per il trasferimento di dati personali al di fuori dell’UE (cfr. sezione sottostante sul trasferimento di dati personali).

I modelli di DMP sono solitamente resi disponibili dall'agenzia di finanziamento della ricerca. Ad esempio, per i progetti finanziati dall'UE, il modello di DMP di Horizon 2020 è stato progettato per essere applicabile a qualsiasi progetto Horizon 2020 che produca, raccolga o elabori dati di ricerca. Possono anche essere forniti da un'altra organizzazione o da una parte fidata. Esistono anche strumenti a supporto della costruzione del DMP, come il DMP-OPIDOR creato dall'Inist-CNRS Institut de l'Information Scientifique et Technique che facilita l'inserimento dei dati e gli scambi tra i partner del progetto, oltre a fornire modelli di DMP dei finanziatori ed esempi di DMP pubblici. Vedere le risorse fornite alla fine della sezione “Altro”.

Valutazione d'Impatto sulla Protezione dei Dati (DPIA)

La DPIA è resa obbligatoria dall'articolo 35 del GDPR per determinate categorie di trattamento dei dati personali che potrebbero comportare un alto rischio per i diritti e le libertà degli interessati. La maggior parte dei paesi dell'UE impone la DPIA per il trattamento dei dati di ricerca sanitaria, in particolare quando sono in gioco dati genetici e nuove tecnologie. La DPIA è un elemento fondamentale nei progetti che utilizzano/generano dati personali, in quanto strutturerà il progetto in termini di misure protettive della privacy per gli interessati, in qualità di partecipanti alla ricerca.

La DPIA richiederà una forte collaborazione tra i partner e i rispettivi responsabili legali (Responsabili della Protezione dei Dati - DPO - negli Stati membri dell'UE) prima della raccolta iniziale dei dati personali da trattare per scopi di ricerca.

Le problematiche relative alla condivisione dei dati e le appropriate garanzie tecniche e organizzative per la protezione dei dati personali devono essere incluse come parte delle valutazioni, dettagliate e conformi all'articolo 89 del GDPR e alle leggi nazionali applicabili. L'analisi della DPIA completerà il DMP per quanto riguarda la protezione dei dati personali e garantirà il rispetto dei diritti degli interessati, dei principi essenziali della protezione dei dati personali (ad esempio, equità, minimizzazione dei dati, limitazione delle finalità, durata di conservazione, responsabilità) e faciliterà le pratiche congiunte di condivisione dei dati personali.

I servizi tecnici coinvolti nel trattamento e le relative garanzie riguardo alla protezione dei dati personali e alla governance saranno specificati all'interno della DPIA sia a livello generale che a livello di stakeholders, se appropriato.

L'istituzione e/o il rispetto di procedure operative standard (SOP) specifiche per la condivisione dei dati personali potrebbe essere uno strumento utile per facilitare le pratiche di condivisione dei dati.

La descrizione delle misure organizzative e tecniche pianificate per garantire una condivisione dei dati personali responsabile dovrà essere descritta nella DPIA, che definirà anche i ruoli, i doveri e i diritti degli stakeholder.

Esistono Linee Guida europee sulla DPIA. Le autorità nazionali di protezione dei dati possono fornire materiali per facilitare questa valutazione (vedi, ad esempio, le versioni in inglese dei modelli e strumenti della CNIL francese per la DPIA).

Informazioni per gli Interessati sulla Condivisione dei Dati Personali

Gli interessati devono essere adeguatamente informati della condivisione dei dati e non devono aver rifiutato o obiettato (indipendentemente dal fatto che si utilizzi il consenso esplicito o l'opt-out per la raccolta dei dati). Al fine di garantire un alto livello di trasparenza ed equità nella condivisione dei dati, l'interessato deve ricevere informazioni chiare, esplicite e intelligibili sull'identità del titolare del trattamento o del suo rappresentante, sugli scopi della condivisione, sulla base giuridica, nonché sulle categorie di persone che potranno accedere e utilizzare i dati condivisi.

Devono essere fornite informazioni sul rispetto del dovere di riservatezza e sulle misure tecniche che garantiscono la protezione della privacy nella condivisione dei dati (ad esempio, pseudonimizzazione o anonimizzazione), sull'inclusione dei dati in un database o in una biobanca che gestisce le operazioni di condivisione, nonché sul coinvolgimento di attori privati o di collaborazioni commerciali previste, inclusa la condivisione dei dati, per completare gli elementi informativi menzionati agli articoli 13 o 14 del GDPR. (Si veda la voce su "Raccolta, trattamento, controllo dei dati").

La condivisione di dati genetici o genomici nella ricerca richiede particolare attenzione. Infatti, le analisi di ricerca potrebbero rivelare risultati individuali utili dal punto di vista clinico relativi alle condizioni di salute studiate o riscontri incidentali non correlati alle condizioni di salute iniziali o allo scopo della ricerca. Tali informazioni sono potenzialmente idonee per un feedback individuale e per l'assistenza medica del partecipante alla ricerca (prevenzione, consulenza genetica, strategie diagnostiche o terapeutiche). La procedura per identificare, validare tali informazioni idonee e restituirle al partecipante alla ricerca deve essere descritta, ad esempio, nella DPIA, e le SOP annesse devono essere sviluppate. L'interessato deve essere informato riguardo alle possibilità che tale situazione si verifichi e sulle relative procedure di comunicazione.

Quando i dati sono raccolti nell'ambito di un protocollo di ricerca (ad esempio, sperimentazione clinica), il consenso ottenuto deve consentire la pubblicazione dell'analisi dei dati come risultati della ricerca e il deposito dei dati sottostanti in un repository. Questo tipo di consenso generalmente non copre la condivisione dei dati individuali dei partecipanti, a meno che non siano stati adeguatamente anonimizzati.

In ogni caso, gli interessati devono sempre essere in grado di esercitare i loro diritti sui dati condivisi. Ciò significa che il titolare del trattamento e l'utente dei dati (sia esso un altro titolare o un responsabile del trattamento) sono entrambi responsabili di garantire l'efficacia dei diritti degli interessati, indipendentemente dalla posizione dei dati.

In ogni caso, l'interessato deve avere la possibilità di rifiutare o opporsi alla condivisione, in qualsiasi momento. Quando la condivisione dei dati personali è fondamentalmente necessaria per svolgere la ricerca e viene pertanto resa un criterio obbligatorio per partecipare al progetto di ricerca, l'interessato deve essere informato che un rifiuto di condividere i dati personali per lo scopo del progetto comporterebbe il rifiuto di partecipare al progetto. In alcuni contesti, potrebbero essere previste opzioni come l'anonimizzazione sistematica dei dati prima della condivisione o un approccio a strati che consenta all'interessato di rifiutare la condivisione solo per determinate finalità o parti del progetto di ricerca (considerando il considerando 33 del GDPR).

L'obbligo di informazione prima della condivisione si applica anche quando il titolare del trattamento intende ulteriormente trattare i dati personali per uno scopo diverso rispetto a quello per cui sono stati raccolti. Il titolare del trattamento deve fornire all'interessato, prima di tale ulteriore trattamento, informazioni su tale altro scopo e su eventuali altre informazioni pertinenti menzionate sopra e negli articoli 13 o 14 del GDPR.

Esistono esenzioni legali al dovere di informazione previsto dal GDPR e devono essere verificate (cf. sezione Trattamento dei dati e Art. 13(4), 14(5) del GDPR). Come promemoria, l'applicazione di tali esenzioni legali non preclude l'applicazione di altri requisiti di protezione dei dati imposti al titolare del trattamento e al responsabile del trattamento.

Come buona pratica, gli interessati devono essere anche informati riguardo le pratiche di anonimizzazione e le conseguenze sull'esercizio dei loro diritti, come l'impossibilità di ricevere feedback sui risultati individuali potenziali o riscontri incidentali clinicamente validati e utili.

È da notare che i dati non personali sono al di fuori dell'ambito del GDPR e possono essere condivisi liberamente, senza restrizioni, secondo il Regolamento UE 2018/1807 su un quadro per il libero flusso dei dati non personali nell'UE. Ciò non preclude la possibilità di concludere accordi di condivisione dei dati che specificano, ad esempio, la localizzazione della conservazione dei dati, se giustificata e proporzionata in relazione a un obiettivo legittimo da tutelare (ad esempio, la sicurezza pubblica, la protezione dell'anonimato), e che tali disposizioni migliorano la certezza giuridica, in modo tale che non costituiscano un ostacolo ingiustificato alla condivisione.

Trasferimento di Dati Personali verso Paesi Non UE

Esistono regole specifiche per la condivisione di dati personali con partner o utenti non UE.

• Identificare se si è in presenza di un trasferimento di dati personali regolato dal Capitolo V del GDPR.

Le Linee Guida 05/2021 del Comitato Europeo per la Protezione dei Dati (EDPB) specificano ulteriormente la definizione di trasferimento di dati personali, stabilendo tre criteri cumulativi che caratterizzano tale situazione:

1. Un titolare del trattamento o un responsabile del trattamento è soggetto al GDPR per il trattamento in questione;
2. Il titolare del trattamento o il responsabile del trattamento (“esportatore”) trasmette o rende comunque i dati personali disponibili per un altro titolare del trattamento, un titolare congiunto o un responsabile del trattamento (“importatore”);
3. L’importatore si trova in un paese terzo o è un'organizzazione internazionale, indipendentemente dal fatto che l'importatore sia o meno soggetto al GDPR per il trattamento in questione in conformità all'articolo 3 del GDPR.

Di conseguenza, la nozione di “trasferimento” ai sensi del GDPR esclude le attività di condivisione dei dati svolte all’interno del territorio dell’UE tra entità diverse situate nei territori degli Stati membri, nonché l'importazione di dati personali da paesi non UE o organizzazioni internazionali all’interno delle organizzazioni di titolari del trattamento o responsabili del trattamento nell’UE (ma i principi etici internazionali ed europei sulla ricerca continuano ad applicarsi, come ricordato dalle linee guida della Commissione Europea in materia di etica e protezione dei dati). Analogamente, non riguarda i dati personali trasmessi direttamente dall'interessato situato nell'UE a un’organizzazione di un paese non UE, laddove tale operazione sia stata eseguita su iniziativa dell’interessato.

Quando sono soddisfatti i tre criteri, si ha una situazione di trasferimento soggetta al Capitolo V del GDPR. Pertanto, devono essere rispettate le seguenti regole.

Principio di base: i trasferimenti di dati personali sono vietati dalla legge, salvo in determinate circostanze.

• Informazioni specifiche per l'interessato 

L'interessato deve essere chiaramente informato riguardo all'intenzione del titolare del trattamento di trasferire i dati personali per lo scopo del trattamento. In base agli articoli 13 e 14, lettere (e) e (f) del GDPR, l'interessato deve essere informato sui destinatari dei dati (“importatore”) o sulle categorie di destinatari dei dati personali e sull'esistenza o meno di una decisione di adeguatezza da parte della Commissione Europea (vedi sotto le regole specifiche per il trasferimento dei dati personali), oppure, nel caso di trasferimenti di cui agli articoli 46 o 47, o al secondo paragrafo dell'articolo 49(1) del GDPR, fare riferimento alle opportune garanzie e ai modi per ottenerne una copia o dove esse sono state messe a disposizione.

I trasferimenti non devono impedire agli interessati di esercitare i loro diritti previsti dal GDPR UE e dalle leggi nazionali.

• Regole specifiche per disciplinare il trasferimento di dati personali 

Il trasferimento dei dati personali deve essere in conformità con il GDPR e con qualsiasi regolamento nazionale settoriale applicabile alla condivisione dei dati sanitari.

Ciò significa che: 

• Il trasferimento dei dati deve essere lecito. Perché i trasferimenti di dati verso paesi non UE siano leciti, devono essere fondati su almeno una delle seguenti condizioni:
• Decisione di adeguatezza adottata dalla Commissione Europea riguardo al paese destinatario in questione; elenco dei paesi interessati; oppure
  • Garanzie appropriate tra cui:
    • Un accordo di trasferimento dati (DTA) contenente le clausole contrattuali standard della Commissione Europea che danno attuazione alla normativa di protezione dei dati dell'UE; oppure
    • Regole aziendali vincolanti (BCR) applicate a un gruppo di imprese ai sensi dell'articolo 47 del GDPR che coprano sia l'organizzazione esportatrice che quella importatrice, approvate da un'autorità di controllo nazionale; oppure
    • Un codice di condotta approvato ai sensi dell'articolo 40 del GDPR, insieme a impegni vincolanti e applicabili del titolare del trattamento o del responsabile del trattamento nel paese terzo per applicare le garanzie appropriate, inclusi i diritti degli interessati; oppure
    • Un meccanismo di certificazione approvato ai sensi dell'articolo 42 del GDPR, insieme a impegni vincolanti e applicabili del titolare del trattamento o del responsabile del trattamento nel paese terzo per applicare le garanzie appropriate, inclusi i diritti degli interessati; oppure
  • Su un altro motivo legale eccezionale menzionato nell'articolo 49 del GDPR, tra cui:
    • Il consenso esplicito dell'interessato (che richiede che l'interessato sia chiaramente e esplicitamente informato in anticipo riguardo a tali trasferimenti in assenza delle garanzie adeguate menzionate sopra e dei meccanismi per rispettare la loro privacy - pur essendo legalmente possibile, questa non dovrebbe essere l'opzione privilegiata); oppure
    • Il trasferimento è necessario in assenza delle garanzie menzionate sopra per soddisfare un'importante finalità di interesse pubblico.
  • Il trasferitore di dati situato nell'UE deve essere autorizzato dall'autorità di protezione dei dati nazionale competente (l'‘autorità di controllo’) per eseguire tali attività di trasferimento, ove richiesto dalla legge applicabile.
  • Il trasferitore di dati deve verificare che i destinatari dei dati siano in grado di garantire lo stesso livello di protezione dei dati richiesto dalla legge dell'UE.
  • Il progetto di ricerca in cui i campioni/dati sono condivisi e/o utilizzati deve aver ricevuto l'approvazione etica da parte delle competenti commissioni etiche di ricerca. Il promotore della ricerca deve sempre essere responsabile per quanto riguarda le attività di condivisione dei dati e deve essere in grado di fornire documentazione etico-legale che supporti le sue attività. Queste dovrebbero essere verificate dal trasferitore di dati prima di implementare la condivisione.
  • Ogni trasferimento di dati personali deve essere registrato e documentato nel registro delle attività di trattamento mantenuto dal DPO.

Nel caso di condivisione con un altro titolare del trattamento situato fuori dall'UE, quest'ultimo deve designare un rappresentante nel territorio dell'UE secondo l'articolo 27 del GDPR.

I trasferimenti di dati personali verso titolari del trattamento privati o responsabili del trattamento con sede negli Stati Uniti non possono più fare affidamento sul framework conosciuto come ‘Privacy Shield’ del 2016, che è stato invalidato dalla Corte di Giustizia dell'UE (Caso Schrems II). Gli scambi di dati devono essere regolati attraverso clausole contrattuali rinforzate. La Commissione Europea e il governo degli Stati Uniti stanno negoziando per stabilire un appropriato Framework Transatlantico per la Privacy dei Dati al fine di semplificare tali trasferimenti (maggiori informazioni).

Operazioni Sicure di Condivisione dei Dati Personali

Le disposizioni sulla sicurezza dei dati, previste dalla legge o da altre normative, e contenute nei quadri di riferimento (ad esempio, gli standard ISO), dovrebbero tradursi in misure tecniche e organizzative all'avanguardia, regolarmente riviste, per proteggere i dati personali relativi alla salute da distruzione illecita o accidentale, da perdite o modifiche, e per prevenire accessi non autorizzati, non disponibilità o inaccessibilità.

Nel contesto delle misure da attuare nella condivisione dei dati, devono essere considerati i seguenti aspetti:

• Anonimizzazione dei Dati
  • Per ulteriori informazioni sulla nozione, i criteri e le tecniche di anonimizzazione dei dati, si veda l’Opinione 05/2014 dell’Art. 29 DPWP (ora EDPB) sulle Tecniche di Anonimizzazione.
  • È importante notare che l'attività di trattamento che produce dati anonimizzati è comunque un trattamento di dati personali, che può essere considerato compatibile con le finalità originali del trattamento da cui i dati sono ottenuti. Il set di dati anonimizzati esce dal campo di applicazione del GDPR solo se è possibile dimostrare oggettivamente che non esiste la capacità materiale di associare i dati anonimizzati a una determinata persona fisica, direttamente o indirettamente, attraverso l’uso di altri set di dati, informazioni o misure tecniche e materiali che potrebbero essere disponibili a terzi.
  • L’Art. 29 DPWP (ora EDPB) ha esaminato diversi metodi di anonimizzazione dei dati, chiarendo le misure che i responsabili e i titolari del trattamento devono adottare. Si afferma specificamente che "rimuovere gli elementi identificativi diretti non è sufficiente per garantire che l'identificazione dell'interessato non sia più possibile. Sarà spesso necessario adottare misure aggiuntive per prevenire l'identificazione, a seconda del contesto e delle finalità del trattamento per cui i dati anonimizzati sono destinati." Questo avverte che la nozione di de-identificazione prevista dal Health Insurance Portability and Accountability Act (HIPAA) degli Stati Uniti, che rimuove semplicemente 18 identificatori, non raggiunge il livello di anonimato richiesto dal GDPR senza un’ulteriore analisi del rischio e misure di mitigazione.
• Pseudonimizzazione dei Dati
  • Non deve essere confusa con l’anonimizzazione, vedi, ad esempio, la Nota dell’AEPD su 10 incomprensioni relative all'Anonimizzazione, del 2020.
  • Si veda anche l’opinione congiunta dell’AEPD/EDPS sulla funzione di hash come tecnica di pseudonimizzazione, del 2019.
• Crittografia dei Dati
  • Non deve essere confusa con le tecniche di pseudonimizzazione, sebbene complementare, in quanto riguarda i processi di crittografia e decrittografia come misura di sicurezza dei dati nei sistemi di comunicazione.
  • Ad esempio, uno standard di crittografia per i dati genomici: GA4GH Crypt4GH.

Inoltre, l'infrastruttura di supporto alla condivisione dei dati deve includere:

• Sistemi di autenticazione e autorizzazione (ad esempio, GA4GH Passports e Authentication & Authorisation Infrastructure (AAI), due standard per autenticare in modo affidabile l'identità digitale di un ricercatore e automatizzare l'accesso a un set di dati genomici richiesti; vedi anche ELIXIR life science login, precedentemente noto come ELIXIR AAI).
• Descrizione delle condizioni di utilizzo dei dati / set di dati (ad esempio,  GA4GH DUO – Data Use Ontology per configurare condizioni e restrizioni di utilizzo dei dati leggibili dalla macchina).
• Tracciabilità delle azioni effettuate sui dati (comunicazione, modifiche o eliminazione dei dati).
• Altre misure rilevanti che potrebbero essere applicabili riguardo alla sicurezza fisica dei dati e alle tecnologie di comunicazione utilizzate per la condivisione. Per ulteriori dettagli, verificare se l'autorità di controllo competente ha pubblicato linee guida, ad esempio, la Guida della CNIL francese sulla sicurezza dei dati personali.

Tutte queste misure di controllo dei dati devono essere dettagliate in un documento legalmente vincolante e devono essere rispettate dalle parti coinvolte nella condivisione dei dati attraverso contratti (Contratti di Trattamento dei Dati; Accordi di Trasferimento dei Dati).

Le violazioni delle misure di sicurezza nelle operazioni di condivisione dei dati personali sono considerate come violazioni della protezione dei dati personali.

Protezioni Contrattuali

La protezione dei dati, incluse le misure di protezione della privacy, la licenza dei dati e i diritti di proprietà intellettuale, sono questioni importanti da risolvere nella preparazione della condivisione. Come buona prassi nella ricerca scientifica, in particolare quando sono coinvolti dati personali sensibili (dati sanitari; dati genomici/genetici), la firma di un contratto specifico che regoli qualsiasi operazione di condivisione dei dati di ricerca è di fondamentale importanza.

• Tipologie di Accordo per la Condivisione dei Dati (DSA)

I contratti possono assumere la forma di un Contratto di Trattamento dei Dati (DPA), di un Accordo di Accesso ai Dati (DAA), di un Contratto di Trasferimento dei Dati (DTA) o di un Contratto di Trasferimento di Materiale quando campioni biologici umani sono condivisi insieme ai dati (MTA). Qualunque sia il tipo di contratto utilizzato, questi devono garantire una protezione adeguata dei dati e certezza giuridica per il titolare e il responsabile del trattamento, nel rispetto dei diritti e delle libertà della persona interessata.

• Contenuto dei Contratti

Questi contratti dettagliano le parti coinvolte, il contesto, l'oggetto e le finalità della condivisione, il tipo di dati, la durata della condivisione, i diritti e gli obblighi del titolare e degli utenti dei dati, le modalità pratiche di condivisione, archiviazione e protezione dei dati o del set di dati, anche nel caso di sub-trattamento, nonché dettagli sui diritti di proprietà intellettuale e le normative applicabili e i meccanismi di risoluzione delle controversie (extra-giudiziale o giudiziale). Le condizioni di utilizzo dei dati personali e di sfruttamento dei dati anonimizzati sono solitamente ulteriormente dettagliate all'interno di questi contratti legalmente vincolanti. Nel caso di condivisione dei dati personali soggetta al GDPR, i contratti tra il titolare del trattamento e i responsabili del trattamento devono rispettare le condizioni fissate nell'Articolo 28 del GDPR in termini di contenuto e garanzie allegate.

Le restrizioni riguardo ai diritti di accesso ai dati personali condivisi potrebbero essere previste a causa dei rischi di privacy intrinseci nella condivisione dei dati personali. In linea di principio, l'accesso ai dati identificabili deve essere limitato ai soli professionisti che agiscono per le sole finalità di ricerca, soggetti al dovere di segretezza professionale. La condivisione dei dati personali richiede di prevedere misure di sicurezza, garanzie contrattuali e meccanismi di governance. La prassi del responsabile del trattamento a cui vengono messi a disposizione i dati, di sub-trattare, deve essere considerata con prudenza, in particolare quando sono coinvolti dati genomici. Tali pratiche possono essere contrattualmente vietate o specificamente limitate.

È importante notare che i dati personali identificabili non sono soggetti a regimi di proprietà intellettuale o altri tipi di regimi giuridici sotto le leggi UE. Le protezioni contro l'appropriazione indebita dei dati personali devono essere garantite dal titolare del trattamento. Tuttavia, le banche dati possono essere soggette alla normativa sulla proprietà intellettuale (Direttiva 96/9/CE sulla protezione giuridica delle banche dati) che crea diritti distinti, prima per l'autore della banca dati e, in seconda battuta, per i produttori della banca dati che devono essere rispettati nella condivisione e possono condizionare l'uso della banca dati a autorizzazioni o accordi contrattuali precedenti (vedere la sezione successiva sulle banche dati).

In generale, le licenze Creative Commons (CC) sono utilizzate per proteggere i diritti di proprietà intellettuale nella condivisione dei dati. Esistono altri tipi di licenze. La licenza CC0 (la più aperta per il riutilizzo dei dati) è solitamente utilizzata per i metadati associati a un set di dati. Le licenze Creative Commons sono anche utilizzate per i dati derivati da campioni fisici come materiali biologici. Possono essere scelti diversi gradi di apertura attraverso Creative Commons a seconda della sensibilità dei dati e degli eventuali accordi di consorzio di ricerca esistenti (ad esempio, Accordo di Finanziamento, DMP). Le licenze CC hanno valore giuridico vincolante per l'utente che deve rispettare le loro regole nei riutilizzi e menzionare visibilmente la licenza nelle comunicazioni.

I contratti possono condizionare l'accesso e la condivisione dei dati con l'uso di ambienti tecnologici e metodi organizzativi che impongano condizioni che preservino l'integrità dei dati, ma anche, quando accessibili da remoto tramite una piattaforma IT, condizioni che preservino il funzionamento dei sistemi tecnici dell'ambiente di elaborazione sicuro utilizzato. Quando informazioni protette (informazioni aziendali riservate, dati personali, dati/banca dati soggetti a proprietà intellettuale) vengono messe a disposizione, il loro riutilizzo deve essere condizionato dall'osservanza, da parte del riutilizzatore, di un obbligo di riservatezza che vieti la divulgazione di qualsiasi informazione che possa compromettere i diritti e gli interessi di terzi che il riutilizzatore possa aver acquisito nonostante le garanzie messe in atto.

• Chi è Coinvolto nella Preparazione e Implementazione del Contratto?
  • Le parti coinvolte;
  • Il rappresentante istituzionale e legale del ricercatore;
  • Se pertinente, intermediari come una biobanca; eventualmente anche servizi di cloud computing.

Definire la protezione legale applicabile ai dati e ai set di dati da condividere dovrebbe coinvolgere sistematicamente i dipartimenti legali competenti, il responsabile dell’ufficio o dell’unità, o altre persone competenti che agiscono per conto dell'istituzione del ricercatore. Le stesse precauzioni si applicano quando la condivisione avviene tramite servizi di terze parti come i servizi di cloud computing online. Infatti, il fornitore del servizio cloud e l'utente entrano in una relazione contrattuale che stabilisce le responsabilità, solitamente tramite termini di servizio concordati dal cliente (l'utente). La prassi standard mostra che spesso il cliente è invitato ad accettare clausole contrattuali predefinite che potrebbero non essere sempre adatte allo scopo.

In ogni caso, il contratto sarà firmato dalle persone autorizzate a approvare i documenti legali per conto delle istituzioni coinvolte (le parti: chi condivide, chi riceve e usa i dati; eventuali intermediari). In caso di violazione dell'accordo, le responsabilità delle parti potrebbero essere coinvolte.

La condivisione di campioni biologici (e dei dati contenuti o allegati ai materiali biologici) può essere effettuata con l’aiuto di una biobanca, che sia orientata alle malattie o alla popolazione, ospedaliera o indipendente. Dove pertinente, devono essere rispettate le leggi nazionali applicabili per la creazione di una biobanca ad hoc. Esistono linee guida internazionali per l'istituzione e la gestione di biobanche responsabili, come le Linee guida OCSE sulle Biobanche Umane e le Banche Dati di Ricerca Genetica o la Dichiarazione di Taipei della WMA sulle considerazioni etiche relative alle banche dati sanitarie e alle biobanche.

In ogni caso, la qualificazione legale della biobanca nel contesto della condivisione dei dati deve essere stabilita in relazione al suo ruolo (ad esempio, titolare del trattamento o co-titolare del trattamento; responsabile del trattamento).

Per una panoramica delle biobanche umane esistenti in Europa e dei campioni messi a disposizione per scopi di ricerca, si veda il sito web di BBMRI-ERIC e lo strumento di ricerca Directory; per le linee di cellule staminali pluripotenti umane, si veda hPSCReg.

L'uso di servizi di cloud computing (SaaS, IaaS, PaaS) per la condivisione dei dati nella ricerca può risultare attraente per i titolari del trattamento che necessitano di risorse computazionali specifiche e può presentare vantaggi in termini di risparmio sui costi e scalabilità. Tuttavia, ciò comporta problematiche specifiche che il titolare del trattamento deve considerare prima di utilizzare tali servizi, al fine di garantire pratiche di protezione dei dati responsabili.

Le attività che comportano l'archiviazione dei dati sanitari in modo esterno e la loro disponibilità per gli utenti devono rispettare il quadro di riferimento sulla sicurezza e i principi di protezione dei dati personali applicabili nell'UE.

Indipendentemente dai tipi di servizi previsti per l'uso nella ricerca, è preferibile cercare offerte di strumenti istituzionali già adattati al contesto di ricerca e ai requisiti legali, prima di considerare altre offerte di servizi.

Nel caso in cui non siano disponibili mezzi istituzionali rilevanti, i titolari del trattamento possono valutare l'uso di servizi di cloud computing di terze parti, a condizione che garantiscano una governance responsabile della protezione dei dati. Ciò significa che il titolare del trattamento dovrà valutare l'adeguatezza della protezione dei dati di un servizio cloud, anche per quanto riguarda le misure di sicurezza informatica, e assicurarsi che siano contrattabili i giusti termini e condizioni di utilizzo (tramite i cosiddetti Service Level Agreements - SLA). Le questioni legali relative alle potenziali restrizioni imposte dall'accordo di finanziamento o dalla propria istituzione riguardo l'uso di servizi di cloud computing per la gestione di dati personali sensibili, nonché le questioni relative alla gestione dei diritti di proprietà intellettuale con il fornitore di servizi e le leggi applicabili, devono essere attentamente esaminate prima dell'uso. Il DPO istituzionale deve essere sempre consultato.

In ogni caso, si dovrà prevedere una soluzione di cloud privato (noto anche come sistema cloud interno o aziendale) per la gestione dei dati personali nella ricerca, in particolare quando sono coinvolti dati personali sensibili (salute, genetica, biometrici…). Il cloud privato deve essere privilegiato come sistema personalizzato per i servizi di cloud computing offerti tramite Internet o una rete interna privata a utenti selezionati, per scopi specifici. Combina molti dei vantaggi del cloud computing con la sicurezza e il controllo delle infrastrutture IT on-premises e garanzie aggiuntive per la conformità alle normative. Al contrario, i cloud pubblici sono meno adatti al trattamento dei dati sensibili, in quanto sono servizi di cloud computing forniti su un'infrastruttura condivisa da più clienti per scopi multipli (vedere le informazioni fornite da IBM).

Per ulteriori indicazioni sui passi pratici da seguire e su alcuni modelli di clausole contrattuali che possono essere inclusi negli accordi di cloud computing, si vedano, per esempio (anche se non specifici per la ricerca), le raccomandazioni della CNIL per le aziende che intendono utilizzare i servizi di cloud computing, la Guida dell'ICO del Regno Unito sull'uso del cloud computing e le Linee guida dell'EDPS sull'uso dei servizi di cloud computing da parte delle istituzioni e degli enti europei. Per una guida specifica per la ricerca, si veda la Guida del Harvard Clinical and Translational Science Center per i ricercatori che utilizzano i servizi di cloud computing e le app su Internet.

Ogni contratto di condivisione dei dati deve garantire che le parti coinvolte siano responsabili della qualità dei dati condivisi e dell'attuazione sistematica delle misure di gestione del rischio durante tutto il ciclo di vita dei dati, in base ai rispettivi ruoli.

• Supporto specifico disponibile in Europa tramite i servizi delle European Research Infrastructure Consortia (ERIC):

Le infrastrutture europee forniscono servizi utili per i ricercatori che cercano risorse specializzate nella condivisione dei dati per progetti di ricerca nelle scienze della vita, in particolare ELIXIR-ERIC (bioinformatica e gestione dei dati di ricerca) e la sua Federated Human Data Community (FHDC), e BBMRI-ERIC (gestione dei bioscampioni umani e dei dati ad essi associati per scopi di ricerca).

Condivisione di database e diritti di proprietà intellettuale

La condivisione di database e il riutilizzo dei dati devono essere consentiti solo nel rispetto dei diritti di proprietà intellettuale.

• La Direttiva 96/9/CE sulla protezione giuridica dei database crea due tipologie di diritti di proprietà intellettuale.

Innanzitutto, gli autori del database possono avere diritti d'autore sulla struttura del database, a condizione che il database, per la selezione o disposizione dei suoi contenuti, costituisca una creazione intellettuale originale dell'autore.

Per quanto riguarda l'espressione del database che è protetta dal diritto d'autore, l'autore di un database ha il diritto esclusivo di realizzare o autorizzare (Articolo 5 della Direttiva 96/9/CE):

1. La riproduzione permanente o temporanea, totale o parziale, con qualsiasi mezzo e in qualsivoglia forma;
2. La traduzione, l'adattamento, una diversa disposizione e ogni altra modifica;
3. Qualsiasi forma di distribuzione al pubblico dell'originale o di copie della banca di dati. La prima vendita di una copia di una banca di dati nella Comunità da parte del titolare del diritto o con il suo consenso esaurisce il diritto di controllare all'interno della Comunità le vendite successive della copia ; Traduzione, adattamento, rielaborazione e qualsiasi altra modifica;
4. Qualsiasi comunicazione, presentazione o dimostrazione in pubblico;
5. Qualsiasi riproduzione, distribuzione, comunicazione, presentazione o dimostrazione in pubblico dei risultati delle operazioni di cui alla lettera (b)

Tuttavia, esistono eccezioni a queste restrizioni sull'uso del contenuto del database (vedere sotto Diritti e obblighi degli utenti legittimi).

Secondo, il produttore del database ha diritti sui generis per garantire la protezione di qualsiasi investimento effettuato nell'ottenimento, verifica o presentazione del contenuto di un database per la durata limitata del diritto. Il produttore di un database è la persona che prende l'iniziativa e il rischio di investire, escludendo in particolare i subappaltatori dalla definizione di produttore. Poiché tale investimento può consistere nel dispiegamento di risorse finanziarie e/o nel dispendio di tempo, sforzo ed energia, l'obiettivo del diritto sui generis è dare al produttore di un database la possibilità di impedire l'estrazione e/o il riutilizzo non autorizzato di tutto o di una parte sostanziale dei contenuti di tale database.

Il diritto riconosciuto al produttore del database (Articolo 7 della Direttiva 96/9/CE) decorre dalla data di completamento della creazione del database o della sua messa a disposizione del pubblico. Esso scade 15 anni dal primo gennaio dell'anno successivo alla data di completamento o alla data in cui il database è stato messo per la prima volta a disposizione del pubblico.

Inoltre, la protezione concessa agli autori e ai produttori di database non deve essere considerata un diritto di proprietà sui dati contenuti nel database, che possono essere soggetti ai diritti di terzi (ad esempio, dati personali) né sui programmi informatici utilizzati nella creazione o nel funzionamento di database accessibili tramite mezzi elettronici. Si tratta piuttosto di una custodia dei dati.

• Diritti e obblighi degli utenti legittimi

1. Il produttore del database che è reso disponibile al pubblico in qualsiasi modo non può impedire a un utente legittimo del database di estrarre e/o riutilizzare parti sostanziali del suo contenuto, valutato qualitativamente e/o quantitativamente, per qualsiasi scopo. Quando l'utente legittimo è autorizzato ad estrarre e/o riutilizzare solo una parte del database, questo paragrafo si applica solo a tale parte.
2. Un utente legittimo di un database che è reso disponibile al pubblico in qualsiasi modo non può compiere atti che siano in conflitto con la normale utilizzazione del database o che danneggino irragionevolmente gli interessi legittimi del produttore del database.
3. Un utente legittimo di un database che è reso disponibile al pubblico in qualsiasi modo non può causare pregiudizio al titolare dei diritti d'autore o di diritti connessi in relazione alle opere o ai contenuti contenuti nel database.

Infine, le eccezioni al diritto sui generis del produttore del database possono essere stabilite dalle leggi nazionali, in particolare nel caso di estrazione per scopi di illustrazione per insegnamento o ricerca scientifica, purché la fonte sia indicata e nella misura giustificata dal fine non commerciale da raggiungere (vedere l'Articolo 9(b) della Direttiva 96/9/CE). Ciò deve essere chiarito tramite contratto.

Come specificato nel DGA, il diritto del produttore del database di cui all'Articolo 7(1) della Direttiva 96/9/CE non può essere esercitato dagli enti del settore pubblico al fine di prevenire il riutilizzo dei dati o di limitare il riutilizzo oltre i limiti stabiliti dal DGA.

È importante notare che i produttori e gli autori dei database possono pianificare termini e condizioni di licenza specifici o persino rinunciare ai loro diritti tramite contratti per semplificare l'accesso e la condivisione dei dati quando i rischi di abusi sono considerati bassi rispetto ai vantaggi della condivisione per scopi scientifici. I titolari dei diritti possono anche affidare a un terzo un archivio di dati giuridicamente costituito per gestire tali diritti tramite una governance adattata e responsabile.

Governance della Condivisione dei Dati

Misure organizzative, come la costituzione di un Data Access Committee (DAC), che riceverà, esaminerà e valuterà i progetti di richieste di accesso ai dati prima di concederne l'accesso, dovrebbero essere previste, in particolare per le attività di condivisione di dati personali. Tale DAC dovrebbe coinvolgere gli attori responsabili della custodia dei dati e competenze complementari rilevanti, tra cui il titolare del trattamento dei dati / produttore dei dati, esperti legali / etici (ad esempio, i DPO), esperti specifici del campo di ricerca o malattia, metodologi, ecc. Il DAC dovrà operare in conformità con una chiara politica e con regolamenti interni che possono essere dettagliati nel Data Management Plan (DMP). Come parte della sua missione, il DAC dovrebbe:

• Verificare che il richiedente e il progetto proposto siano conformi alla politica di trattamento dei dati e ai requisiti di protezione dei dati, garantendo l'integrità e la riservatezza dei dati (contratti);
• Verificare se il richiedente l'accesso ai dati dimostra conformità con le leggi applicabili in relazione al suo progetto di ricerca (compreso l'approvazione dei comitati etici di ricerca e altre autorizzazioni legali da acquisire);
• Fornire feedback ai richiedenti, suggerendo eventuali miglioramenti necessari per le loro richieste, se del caso;
• Approvare le richieste di accesso o negare l'accesso in base a una giustificazione scritta che viene notificata al richiedente;
• Essere informato e/o approvare le cifre aggregate da pubblicare pubblicamente in base all'analisi dei dati accessibili;
• Documentare il processo decisionale e contribuire a mantenere la tracciabilità degli accessi ai dati.

I meccanismi di governance della condivisione dei dati tramite DAC sono adottati in modo significativo nei più noti repository di dati ad accesso controllato aperto, come nel caso del Data Access Committee dell'European Genome Archive.

Le organizzazioni a cui viene affidata la condivisione dei dati devono rispettare le disposizioni fissate dal Regolamento europeo sulla governance dei dati (DGA - Regolamento (UE) 2022/868). Il DGA è stato adottato a maggio 2022 e sarà applicabile a partire da settembre 2023. Esso mira a promuovere la condivisione di dati personali e non personali creando strutture di intermediazione. Il DGA intende facilitare il riutilizzo di determinate categorie di dati pubblici protetti e aumentare la fiducia nella condivisione dei dati tra enti pubblici, utenti, titolari dei dati, superando gli ostacoli tecnici al riutilizzo dei dati. Lo fa consentendo un ampio riutilizzo dei dati pubblici protetti, proponendo un nuovo modello di business per i servizi di intermediazione dei dati e promuovendo l’altruismo dei dati per il bene comune.

L'UE rafforzerà lo sviluppo di sistemi di condivisione dei dati affidabili attraverso 4 ampie serie di misure:

1. Meccanismi per facilitare il riutilizzo di determinati dati del settore pubblico che non possono essere resi disponibili come dati aperti. Ad esempio, il riutilizzo dei dati sanitari potrebbe avanzare la ricerca per trovare cure per malattie rare o croniche.
2. Misure per garantire che gli intermediari dei dati funzionino come organizzatori affidabili della condivisione o raccolta di dati all'interno degli spazi dati europei comuni.
3. Misure per facilitare la disponibilità dei dati da parte dei cittadini e delle imprese per il bene della società.
4. Misure per facilitare la condivisione dei dati, in particolare per consentire l'utilizzo dei dati tra settori e confini, e per garantire che i dati giusti vengano trovati per lo scopo giusto.

Per ulteriori informazioni su queste misure, si può consultare L’atto sulla governance dei dati spiegato

Questo regolamento include:

• Linee guida e assistenza tecnica e legale per facilitare il riutilizzo di determinate categorie di dati protetti del settore pubblico (informazioni aziendali riservate, proprietà intellettuale, dati personali), inclusa la proibizione di accordi esclusivi (Articolo 4 DGA) e le condizioni per il riutilizzo dei dati garantendo che la natura protetta dei dati venga preservata (Articolo 5 DGA), le regole sui diritti di compenso (Articolo 6 DGA);
• Certificazione obbligatoria per i fornitori di servizi di intermediazione dei dati;
• Certificazione opzionale per le organizzazioni che praticano l’altruismo dei dati.

Il DGA si articola con altre normative europee sui dati, in particolare con il GDPR e la Direttiva 96/9/CE. Mira inoltre a creare spazi dati specifici per settore per consentire la condivisione dei dati all'interno di un settore specifico (spazi dati per il trasporto, la salute, l'energia o l'agricoltura), che saranno oggetto di normative specifiche.

Open data 

• Identificare i dati ammissibili e il modello di accesso aperto nel DMP
• Dati ammissibili per l’apertura

Come regola generale, tutti i dati di ricerca (primari o secondari) generati nell’ambito del progetto e qualificabili come risultati della ricerca dovrebbero essere resi disponibili in accesso aperto. Le agenzie di finanziamento applicano il principio "Il più aperto possibile, il più chiuso necessario" per la diffusione dei dati prodotti nell’ambito di un progetto finanziato con fondi pubblici.

Il Piano di Gestione dei Dati (Data Management Plan – DMP) deve affrontare le questioni relative ai dati aperti per preparare tali specifiche attività di condivisione. Progetti che formalizzano un DMP troveranno più agevole la condivisione dei dati e l’adozione dell’open data.

Come per altre forme di condivisione dei dati nella ricerca, l'apertura dei dati a ulteriori utilizzi su larga scala può essere valutata attraverso sei domande chiave :

1. Quali obblighi in materia di open data si applicano ?
   L'obbligo può derivare dal finanziatore del progetto, da normative nazionali, europee o internazionali, dalle politiche di gestione dei dati di alcuni partner o dai requisiti della rivista in cui si pubblica.
2. Qual è il valore scientifico dei dati e il loro potenziale di riutilizzo ?
   L’interesse e l’utilità scientifica, ambientale, economica o sociale attuale o futura dei dati possono guidare la scelta di apertura e identificare eventuali protezioni necessarie per garantire un uso sicuro. Anche il valore strategico o commerciale dei dati può influenzare la decisione, il modello di accesso aperto e la selezione del repository appropriato.
3. Hai il diritto di rendere pubblici questi dati ?
   Quali diritti di terzi potrebbero essere coinvolti (privacy, proprietà intellettuale, altre forme di protezione specifica) ? Questi diritti sono rispettati ? I dati sollevano questioni etiche tali da richiedere la validazione da parte di un comitato etico ?
4. Hai ottenuto il consenso di tutti i contributori ?
5. Hai valutato il tempo e le risorse necessarie per formattare i dati e i metadati in conformità ai requisiti del repository di dati previsto ?
   È stata individuata la persona responsabile della procedura di deposito e del successivo monitoraggio ?
6. Hai definito le condizioni di riutilizzo dei dati che hai prodotto ?
   Sono previste restrizioni specifiche d'uso ? È stato definito uno standard per la citazione dei dati ?

Durante questa valutazione, alcuni casi specifici richiedono particolare attenzione e potrebbero portare alla decisione di non condividere i dati in accesso aperto :

• Dati personali la cui condivisione violerebbe i diritti individuali o non sia stata autorizzata dai comitati etici della ricerca o dalle autorità competenti, e che non possono essere adeguatamente anonimizzati. Il parere del Responsabile della Protezione dei Dati (DPO) è sempre necessario prima della diffusione di dati personali individuali o dataset.
• Dati preliminari, ossia dati non ancora verificati e validati. L'unica eccezione riguarda i dati che potrebbero apportare un beneficio immediato alla collettività. Un ricercatore che abbia indicazioni preliminari di una minaccia grave per la salute pubblica (ad es. effetti collaterali imprevisti di un farmaco o problemi sanitari ambientali non riconosciuti) può avere buone ragioni per condividere queste informazioni prima della loro validazione completa. Tuttavia, i dati senza un beneficio pubblico immediato, come la scoperta di un processo scientifico di base, di norma dovrebbero essere resi pubblici solo quando il ricercatore ha piena fiducia nella solidità dei risultati.
• Dati di ricerca consolidati che presentano un potenziale interesse di proprietà intellettuale. I ricercatori possono trattenere questi dati fino a quando non abbiano avuto il tempo di stabilire la priorità del proprio lavoro tramite pubblicazione o, in casi eccezionali, tramite annuncio pubblico. Non è obbligatorio rilasciare dati giorno per giorno o esperimento per esperimento, anche se ciò potrebbe accelerare l'avanzamento della conoscenza. Salvo accordi contrari, mantenere riservati i dati prima della pubblicazione è una prassi accettata dalla maggior parte dei ricercatori e delle agenzie di finanziamento.

Dopo la pubblicazione dei risultati di un esperimento, è generalmente atteso che tutte le informazioni relative a quell’esperimento, compresi i dati finali, siano liberamente disponibili per la verifica e l’utilizzo da parte di altri ricercatori. Alcune riviste impongono esplicitamente che i dati pubblicati negli articoli siano resi disponibili su richiesta o archiviati in database pubblici.

• Dati classificati o a rischio di doppio uso (dual use) o di utilizzi impropri significativi.
  La classificazione dei risultati della ricerca viene solitamente identificata sin dall'inizio del progetto e approvata dai finanziatori e dalle autorità competenti. Tuttavia, possono emergere risultati di ricerca inaspettatamente sensibili nel corso dello studio. In tal caso, occorre consultare comitati etici, referenti istituzionali (es. responsabili della sicurezza e della difesa) e informare i finanziatori per una decisione collegiale sul livello di riservatezza da garantire, comprese eventuali deroghe alle politiche di accesso aperto nelle scienze.  (Si veda "Uso improprio dei dati").

Nel rispetto di una gestione responsabile dei dati, qualsiasi decisione di limitare o di non condividere apertamente i dati di ricerca deve essere motivata, documentata e registrata. Tale decisione potrebbe infatti essere contestata come cattiva condotta nella ricerca, in riferimento al principio etico dell’integrità scientifica, o come violazione del consenso del soggetto interessato.

• Modelli di accesso aperto

I modelli di accesso aperto possono assumere diverse forme, che possono essere scelte dal produttore dei dati o imposte da normative o da accordi specifici, come il Grant Agreement (GA). Il Piano di Gestione dei Dati (DMP) deve prevedere quali modelli possano o debbano essere adottati per uno specifico progetto.

Tutti i partner del progetto devono essere consapevoli di tali disposizioni e in grado di rispettarle.

A seconda della sensibilità dei dati considerati, le condizioni relative alle finalità di utilizzo dei dati, al profilo degli utenti potenziali, alle condizioni tecniche e organizzative o ai mezzi necessari per garantire un trattamento corretto dei dati sono elementi importanti da chiarire prima dell’apertura dei dati. Le condizioni includono il rispetto di misure specifiche relative alla protezione della privacy e il rispetto dei diritti di proprietà intellettuale. Le condizioni applicabili ai dati/dataset risultanti da un’attività di ricerca possono essere dettagliate nel DMP e nella relativa politica di condivisione dei dati. Sono prevedibili politiche diverse per diversi dataset.

Per quanto riguarda i dati di ricerca, si possono prevedere tre modelli, o livelli, di accesso aperto:

• Accesso aperto totale ai dati di ricerca;
• Accesso registrato o con autenticazione;
• Accesso controllato con sistemi di richiesta, procedura di valutazione e organo di governo come il Comitato di Accesso ai Dati (DAC).

Per quanto riguarda le pubblicazioni scientifiche, esistono due principali modelli di accesso aperto:

• Green open access – modalità di auto-archiviazione
• Gold open access – servizio di accesso aperto offerto dall'editore, potenzialmente soggetto a tariffe

La Commissione Europea fornisce linee guida sull’accesso aperto per i progetti finanziati dall'UE e FAQ dedicate sull’accesso aperto alle pubblicazioni scientifiche e sui dati di ricerca aperti (vedere il link precedente, in fondo alla pagina web).

• FAIRificazione dei dati prima della loro archiviazione in open access / repository di dati di ricerca

Un'efficace condivisione e valorizzazione dei dati richiede dati di alta qualità. I principi FAIR applicati ai dati di ricerca sono essenziali per preparare la condivisione dei dati nelle migliori condizioni, poiché mirano a renderli Findable, Accessible, Interoperable and Reusable (Rinvenibili, Accessibili, Interoperabili e Riutilizzabili) (Si veda la voce sulla Protezione dei dati - Principi fondamentali).

Raggiungere dati FAIR, in sintesi, richiederà specifiche elaborazioni e verifiche da parte del responsabile del trattamento dei dati, riassunte nella tabella seguente:

La pratica della FAIRification può presentare delle difficoltà. Tuttavia, sono disponibili diverse risorse per implementare i requisiti FAIR sui dati, sviluppare strategie di gestione dei dati e politiche di condivisione, nonché eseguire il processo di FAIRification.

Il progetto europeo FAIRplus (GA 802750) ha fornito diversi strumenti e servizi per facilitare questa nuova pratica standard nella ricerca.

In particolare, è possibile accedere liberamente e utilizzare le seguenti risorse:

• FAIR Cookbook: una guida che fornisce informazioni su come rendere FAIR i dataset, sui livelli e sugli indicatori di FAIRness, sul modello di maturità, sulle tecnologie e sugli standard disponibili, nonché sulle competenze richieste e sulle sfide da affrontare per migliorare la FAIRness. Questo strumento è dotato di una funzione di ricerca che offre una panoramica completa delle ricette esistenti.
• FAIR Tool Discoverer: uno strumento che consente di identificare rapidamente software tecnici pubblicamente disponibili per implementare la FAIRification dei dati in base a criteri di ricerca specificati dall'utente.

I servizi offerti dai repository di dati ai depositanti sono generalmente disponibili anche per supportare la FAIRification dei dati di ricerca attraverso il processo di deposito.

Altri strumenti che facilitano la FAIRification:

• Data papers e Bioresource papers: Un data paper (noto anche come data descriptor, data article, data briefs, resource announcements o data resource profile) è un articolo scientifico sottoposto a revisione paritaria che descrive un dataset, il metodo utilizzato per ottenerlo e il suo potenziale di riutilizzo. Questo tipo di articolo informa la comunità scientifica sull’esistenza, originalità, qualità e disponibilità di un dataset, valorizzando il lavoro degli autori spiegando l'importanza dei dati prodotti e il loro potenziale utilizzo nella ricerca futura. Il data paper non descrive risultati di ricerca e non contiene discussioni o conclusioni (Dedieu, L. (2022)). I bioresource papers hanno lo stesso obiettivo, ma si applicano ai materiali biologici e ai dati correlati resi disponibili per la ricerca. I software papers sono l’equivalente per la pubblicazione di codice, script o software. La pubblicazione di questi articoli in open access è possibile su molte riviste disciplinari o su riviste specializzate (ad es., per le bio-risorse, l’Open Journal of Bioresources).
• Persistent Identifier (PID) per i ricercatori: La valorizzazione del lavoro dei ricercatori è facilitata dall’ottenimento di un identificatore persistente e interoperabile, come ORCID, che può essere facilmente referenziato e associato a pubblicazioni scientifiche, database o altri materiali di ricerca.

Piattaforme di accesso aperto per pubblicazioni scientifiche

• Piattaforme istituzionali

Le istituzioni di ricerca a cui appartengono gli autori della pubblicazione scientifica possono avere politiche interne per fornire le pubblicazioni a specifici database ad accesso aperto, in particolare nel contesto delle istituzioni di ricerca pubbliche.

Verificare la politica dell’editore riguardo ai dati aperti prima del deposito in un repository. Per questo, è possibile utilizzare lo strumento Sherpa Romeo.

• Servizio dedicato dell’UE per la pubblicazione ad accesso aperto

Open Research Europe è una piattaforma gestita dalla Commissione Europea per facilitare la pubblicazione rapida e ad accesso aperto da parte di progetti finanziati nell’ambito di Horizon 2020 e Horizon Europe.

• Servizi di supporto disponibili per la FAIRification dei dati di ricerca

OpenAIRE è una piattaforma di fornitura di servizi che contribuisce all’European Open Science Cloud (EOSC), includendo servizi forniti ai ricercatori attraverso nodi di contatto nazionali nei paesi partecipanti o attraverso formazione e altri strumenti per praticare la Scienza Aperta, preparare dati FAIR implementando tecniche e politiche all’avanguardia. Consultare il catalogo dei servizi.

• Repository di dati aperti per la ricerca

I repository affidabili di dati di ricerca svolgono un ruolo fondamentale nella scienza moderna, dove gli scienziati, in qualità di produttori di dati o responsabili, non dispongono di capacità interne per conservare, gestire e condividere i dati di ricerca. Selezionare repository o piattaforme affidabili e adeguati per la condivisione dei dati aperti è essenziale.

Gli scienziati devono poter depositare e condividere dati tramite repository affidabili che implementano i principi FAIR e garantiscono la sostenibilità a lungo termine dei dati di ricerca in tutte le discipline. I repository selezionati devono essere facili da trovare e identificare, e fornire piena trasparenza agli utenti sui loro servizi.

I servizi offerti devono essere adeguati al tipo di dati di ricerca con cui si ha a che fare, per garantire una conservazione sicura, una gestione efficace e la conformità legale (ad es. protezione dei dati personali secondo il GDPR dell’UE). Alcuni repository offrono servizi di intermediazione dei dati, facilitando il deposito dei dati attraverso un’assistenza dedicata al produttore o al responsabile legittimo dei dati. Per maggiori informazioni sul concetto di intermediazione dei dati, visitare la pagina specifica del kit ELIXIR RDM.

Come regola generale, i dati di ricerca dovrebbero essere depositati prioritariamente in repository disciplinari specifici, sia interni all’istituzione che esterni, prima di considerare la deposizione in un repository generalista.

Diversi repository rinomati per le scienze della vita sono già operativi. Consultare l’elenco delle ELIXIR Deposition Databases for Biomolecular Data, che include in particolare i seguenti repository aperti EBI/EMBL:

• EGA (European Genome Archive): consente l'archiviazione e la gestione sicura e controllata dei dati di ricerca umani, inclusi quelli sensibili come i dati genetici, in conformità con il GDPR dell’UE.
• ENA (European Nucleotide Archive): consente la conservazione e gestione sicura dei dati di ricerca non umani, inclusi i dati genomici.

Ulteriori elenchi di repository di dati di ricerca sono disponibili ai seguenti link:

• Re3data – Registro dei repository di dati di ricerca
• Data Repository Guidance, con informazioni e link a repository di dati di ricerca identificati in base al loro ambito.

La maggior parte dei repository di dati europei sta contribuendo alla costruzione dell’European Open Science Cloud (EOSC). Quest’ultimo mira a diventare il punto di riferimento unico per i ricercatori e innovatori europei per accedere, utilizzare e riutilizzare un’ampia gamma di dati per la ricerca scientifica. Per maggiori informazioni, visitare il Portale EOSC e il Catalogo e Marketplace EOSC.

Promemoria : rendere i dati aperti non significa perdere opportunità di valorizzare o sfruttare i dati, poiché la maggior parte dei repository di dati offre protezione della proprietà intellettuale tramite un periodo di embargo e un "grace period" che consente di sfruttare i dati per pubblicazioni o brevetti. Per i progetti finanziati dall'UE, la Commissione Europea dispone di un helpdesk europeo sulla proprietà intellettuale, che offre documentazione e consulenza ai ricercatori che affrontano problematiche relative alla proprietà intellettuale.

Per una panoramica generale sui diritti di proprietà intellettuale e la scienza aperta, consultare il Rapporto ALLEA (2022) “Aligning Intellectual Property with Open Science”.

• Iniziative in corso nel campo della Scienza Aperta
  • Research Data Alliance (RDA): forum multidisciplinare aperto che si occupa di affrontare problematiche, stabilire e condividere standard e strumenti per facilitare la Scienza Aperta, nonché formulare raccomandazioni per finanziatori, editori e decisori politici.
  • European Health Data Space (EHDS): lo Spazio Europeo dei Dati Sanitari mira a fornire un ambiente affidabile per l’accesso sicuro e il trattamento di un’ampia gamma di dati sanitari, in piena conformità con la normativa dell’UE (inclusi il GDPR e il DGA) e le legislazioni nazionali. Attualmente in fase di sviluppo, l'infrastruttura sarà regolata da una specifica Regolamentazione dello Spazio Europeo dei Dati Sanitari (Una proposta è attualmente in discussione – vedi il progetto di regolamento EHDSR) tramite l'infrastruttura EHDS. Oltre al miglioramento della gestione autonoma dei dati sanitari personali da parte dei pazienti, è consentito l'accesso ai dati sanitari da parte dei professionisti per:
    • Usi medici (definiti come parte dell'‘uso primario’ nel progetto di regolamento EHDSR)
    • Usi di ricerca (definiti come parte dell'‘uso secondario’ nel progetto di regolamento EHDSR)

L’EHDS è un’infrastruttura distribuita basata su diversi hub di dati sanitari (Health Data Access Bodies) negli Stati membri dell’UE (come il Health Data Hub in Francia) e sarà collegata ad altre iniziative di condivisione dei dati, come il progetto DARWIN EU dell’Agenzia Europea per i Medicinali (EMA), relativo alla condivisione dei dati che serviranno per la presa di decisioni normative, stabilendo ed espandendo un catalogo di fonti di dati osservazionali da utilizzare nella regolamentazione dei medicinali; fornendo una fonte di dati reali di alta qualità e validati sull'uso, la sicurezza e l'efficacia dei medicinali; affrontando domande specifiche mediante lo svolgimento di studi non interventistici di alta qualità, inclusi lo sviluppo di protocolli scientifici, l'interrogazione di fonti di dati pertinenti e l'interpretazione e la comunicazione dei risultati degli studi.

Secondo l'attuale progetto di regolamento EHDSR, i detentori dei dati dovranno rendere disponibili alle Health Data Access Bodies le seguenti categorie di dati elettronici per un uso secondario, in conformità con le disposizioni del Capitolo IV:

1. EHRs – Cartelle Cliniche Elettroniche;
2. Dati che influenzano la salute, inclusi i determinanti sociali, ambientali e comportamentali della salute;
3. Dati genomici di patogeni rilevanti, che impattano sulla salute umana;
4. Dati amministrativi relativi alla salute, inclusi i dati su richieste e rimborsi;
5. Dati genetici, genomici e proteomici umani;
6. Dati sanitari elettronici generati dalla persona, inclusi dispositivi medici, applicazioni per il benessere o altre applicazioni digitali per la salute;
7. Dati identificativi relativi ai professionisti della salute coinvolti nel trattamento di una persona fisica;
8. Registri di dati sanitari a livello di popolazione (registri di salute pubblica);
9. Dati sanitari elettronici da registri medici per malattie specifiche;
10. Dati sanitari elettronici da studi clinici;
11. Dati sanitari elettronici da dispositivi medici e da registri per prodotti medicinali e dispositivi medici;
12. Coorti di ricerca, questionari e sondaggi relativi alla salute;
13. Dati sanitari elettronici da biobanche e database dedicati;
14. Dati elettronici relativi allo stato assicurativo, stato professionale, educazione, stile di vita, benessere e dati comportamentali rilevanti per la salute;
15. Dati sanitari elettronici contenenti varie migliorie come correzioni, annotazioni, arricchimenti ricevuti dal detentore dei dati a seguito di un'elaborazione basata su un permesso di dati.

 Gli organismi di accesso ai dati sanitari forniranno l'accesso ai dati sanitari elettronici solo quando lo scopo previsto del trattamento perseguito dal richiedente sia conforme a:

1. Attività per motivi di interesse pubblico nell'ambito della salute pubblica e della salute occupazionale, come la protezione contro gravi minacce transfrontaliere alla salute, la sorveglianza della salute pubblica o l'assicurazione di alti livelli di qualità e sicurezza delle cure sanitarie e dei prodotti medicinali o dispositivi medici;
2. Supportare gli enti del settore pubblico o le istituzioni, agenzie e organismi dell'Unione, incluse le autorità di regolamentazione, nel settore sanitario o delle cure, per svolgere i compiti definiti nei loro mandati;
3. Produrre statistiche ufficiali a livello nazionale, multinazionale e dell'Unione relative ai settori della salute o delle cure;
4. Attività educative o didattiche nei settori della salute o delle cure;
5. Ricerca scientifica relativa ai settori della salute o delle cure;
6. Attività di sviluppo e innovazione per prodotti o servizi che contribuiscano alla salute pubblica o alla sicurezza sociale, o per garantire alti livelli di qualità e sicurezza delle cure sanitarie, dei prodotti medicinali o dei dispositivi medici;
7. Formazione, test e valutazione di algoritmi, inclusi dispositivi medici, sistemi di intelligenza artificiale e applicazioni digitali per la salute, contribuendo alla salute pubblica o alla sicurezza sociale, o garantendo alti livelli di qualità e sicurezza delle cure sanitarie, dei prodotti medicinali o dei dispositivi medici;

Fornire assistenza sanitaria personalizzata consistente nella valutazione, mantenimento o ripristino dello stato di salute delle persone fisiche, basata sui dati sanitari di altre persone fisiche.

Non esiste un'autorità europea specifica incaricata di disciplinare e supervisionare le pratiche di condivisione dei dati. Tuttavia, le agenzie di finanziamento legate alla Commissione Europea che attuano i programmi quadro di ricerca e sviluppo tecnologico dell'UE favoriscono la condivisione dei dati e i dati aperti con le istituzioni beneficiarie, in linea, in particolare, con gli obiettivi della Direttiva UE sui Dati Aperti (ODD) e del Data Governance Act (DGA), nel rispetto delle leggi nazionali.

La condivisione dei dati/dati aperti coinvolge le autorità e i regolatori a livello nazionale:

• Autorità di sorveglianza per la protezione dei dati personali e Responsabile della Protezione dei Dati (DPO);
• Autorità sanitarie;
• Agenzie di finanziamento a livello nazionale.

Secondo i rispettivi ambiti di competenza, possono stabilire regole specifiche per la condivisione dei dati e fornire supporto tecnico e non tecnico ai ricercatori.

Pubblicazione: 17/04/2023

Autori:

Gauthier Chassang, Lawyer, CERPOP UMR1295 (Inserm and University of Toulouse Paul Sabatier), Genotoul Societal Platform, Toulouse (GIS Genotoul)

Lisa Feriol, PhD student, CERPOP UMR1295 (Inserm and University of Toulouse Paul Sabatier), Ekitia (Not-for-profit data sharing organisation)

Revisione:

Aurélie Mahalatchimy, Responsabile EuroGCT del Work Package 4, UMR 7318 DICE CERIC, Aix-Marseille Università, CNRS, Aix-en-Provence, Francia

Traduzione:

Victoria Burakova-Lorgnier, Giurista, UMR 7318 DICE CERIC, Aix-Marseille Università, Aix-en-Provence, Francia nell'aprile 2025