Sulla raccolta, acquisizione e trattamento dei dati personali
Quali sono i principi da rispettare per stabilire una raccolta e un trattamento dei dati leciti? La raccolta e il trattamento dei dati devono soddisfare determinate condizioni per essere considerati leciti. Queste condizioni di liceità si riferiscono sia allo scopo per cui i dati vengono raccolti e trattati, sia al modo in cui i dati vengono raccolti e trattati.
L'Articolo 5 del GDPR stabilisce i principi da rispettare riguardo al trattamento dei dati personali:
- I dati devono essere trattati in modo trasparente: ciò implica che gli interessati siano informati del trattamento.
- Principio di limitazione delle finalità: la finalità della raccolta deve essere specifica (cioè non deve essere descritta in termini troppo ampi o troppo vaghi), esplicita (chiarezza e precisione delle informazioni fornite in anticipo e preferibilmente per iscritto) e legittima (requisito legale o giustificato dalla ricerca). Questo principio vieta il trattamento dei dati per finalità non compatibili con quelle per cui sono stati originariamente trattati. Nello specifico della ricerca scientifica, il Considerando 33 del GDPR prevede la possibilità di un approccio più flessibile al requisito di specificità, stabilendo che le persone possono dare il loro consenso per alcune aree di ricerca o alcune parti del progetto di ricerca nel rispetto degli standard etici della ricerca scientifica, quando non è possibile identificare pienamente lo scopo del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. In pratica, può trattarsi di un programma di ricerca che comprende diversi progetti di ricerca con lo stesso obiettivo generale.
- Il principio di minimizzazione dei dati: i dati devono essere adeguati, pertinenti e limitati a quanto necessario per le finalità del trattamento.
- Il principio di accuratezza: i dati devono essere accurati e aggiornati e, se necessario, corretti.
- Il principio di conservazione limitata: i dati identificativi saranno conservati solo per il tempo necessario alle finalità del trattamento. Tuttavia, è possibile superare questo periodo per scopi di ricerca scientifica, a condizione che vengano attuate misure tecniche e organizzative per garantire i diritti e le libertà degli interessati (come la pseudonimizzazione dei dati per ridurre al minimo il rischio di identificazione degli interessati).
- Il principio di integrità e riservatezza: Questo principio implica l'attuazione di misure tecniche o organizzative che limitino qualsiasi uso improprio dei dati e ne garantiscano la sicurezza.
Si veda anche la sottovoce "Principali principi".
Chi è responsabile dell'attuazione di questi principi? L'Articolo 5 del GDPR designa il titolare del trattamento come la persona responsabile della conformità a questi principi.
Come identificare il titolare del trattamento? Il titolare del trattamento è l'entità giuridica o la persona fisica che determina le finalità e i mezzi del trattamento dei dati, cioè l'obiettivo e il modo per raggiungerlo. In pratica e in generale, si tratta dell'entità giuridica (ad esempio un istituto di ricerca) rappresentata dal suo rappresentante legale. Possono esserci più titolari del trattamento se più attori sono coinvolti nella determinazione delle finalità e dei mezzi del trattamento. In questo caso, questi diversi attori saranno responsabili congiuntamente del trattamento. European Data Protection Board, Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai seni del GDPR.
Documentazione pratica sulla designazione del titolare del trattamento e del responsabile del trattamento.
Quando devono essere attuati questi principi? Secondo il principio della Privacy by Design and by Default (previsto e descritto nell'Articolo 25 del GDPR), il titolare del trattamento deve implementare misure tecniche e organizzative appropriate (come la pseudonimizzazione) sia quando determina i mezzi del trattamento, sia quando esegue il trattamento stesso, al fine di implementare efficacemente i principi di protezione dei dati (come la minimizzazione dei dati) e garantire che i diritti e le libertà degli interessati siano rispettati. Un meccanismo di certificazione (previsto dall'Articolo 42 del GDPR) può servire come dimostrazione della conformità ai requisiti di questo principio.
Come garantire che il trattamento dei dati effettuato sia lecito? Come definito nell'articolo 5 del GDPR, il trattamento deve essere lecito, cioè ogni trattamento deve essere basato su uno dei fondamenti giuridici stabiliti nell'articolo 6 del GDPR. La base giuridica per il trattamento è la prima condizione per la liceità del trattamento. È vietato trattare dati personali senza una base giuridica.
Quali sono le basi giuridiche sotto il GDPR per il trattamento dei dati personali? L'Articolo 6 del GDPR stabilisce:
- consenso: la persona ha acconsentito al trattamento dei propri dati; oppure
- contratto: il trattamento è necessario per l'esecuzione o la preparazione di un contratto con l'interessato; oppure
- obbligo legale: il trattamento è imposto da disposizioni legali; oppure
- compito di interesse pubblico: il trattamento è necessario per l'esecuzione di un compito di interesse pubblico; oppure
- interesse legittimo: il trattamento è necessario per il perseguimento degli interessi legittimi del titolare del trattamento o di un terzo, nel pieno rispetto dei diritti e degli interessi delle persone i cui dati sono trattati; oppure
- salvaguardia degli interessi vitali: il trattamento è necessario per salvaguardare gli interessi vitali dell'interessato o di un terzo.
Da notare che, quando viene scelta una base giuridica diversa dal consenso, gli interessati devono comunque essere informati del trattamento dei dati e avere il diritto di opporsi ad esso (meccanismo di opt-out).
Chi definisce la base giuridica per il trattamento? La base giuridica deve essere definita dal titolare del trattamento caso per caso, in modo adeguato alla situazione. In conformità con il principio di responsabilità del titolare del trattamento, la scelta della base giuridica dovrebbe essere documentata per attestare la conformità normativa del trattamento dei dati. Inoltre, la base giuridica scelta dovrebbe essere menzionata nelle lettere informative inviate agli interessati del trattamento dei dati. In pratica, per le attività di ricerca, la base giuridica più comunemente scelta è:
- l'interesse pubblico (Art.6(1)e) GDPR): utilizzato da organizzazioni pubbliche o private, purché perseguano una missione di interesse pubblico o siano dotate di prerogative di potere pubblico; oppure
- l'interesse legittimo (Art.6(1)f) GDPR): comunemente utilizzato da organizzazioni private per trattamenti che non incidono significativamente sui diritti e gli interessi degli interessati; oppure
- il consenso (Art.6(1)a) GDPR).
Da notare che il trattamento di categorie particolari di dati (come i dati relativi alla salute o ai dati genetici) deve essere conforme a uno scopo di trattamento previsto dall'Articolo 9 del GDPR (come spiegato di seguito).
Quali sono le regole specifiche applicabili alla raccolta e al trattamento dei dati sanitari e genetici? Come spiegato sopra, il GDPR ha previsto un principio di divieto generale per la raccolta e il trattamento di categorie speciali di dati personali, inclusi i dati sanitari e genetici (Articolo 9(1) GDPR). Tuttavia, ci sono diverse eccezioni a questo principio di divieto. Esse consentono la raccolta e il trattamento dei dati in casi molto limitati, tra cui il consenso dell'interessato, l'interesse pubblico del trattamento e scopi di ricerca scientifica (Articolo 9(2) GDPR).
Quali sono le regole specifiche applicabili al trattamento dei dati sanitari e genetici per scopi di ricerca scientifica? Lo scopo della ricerca scientifica è una delle eccezioni previste dal GDPR (Art.9(2)j) che consente il trattamento dei dati personali sensibili in conformità con disposizioni specifiche: il trattamento deve essere soggetto a garanzie adeguate per i diritti e le libertà degli interessati, come l'adozione di misure tecniche e organizzative, in particolare per garantire la conformità al principio di minimizzazione dei dati (Articolo 89(1) GDPR). In particolare, la tecnica della pseudonimizzazione è esplicitamente menzionata nel GDPR.
Queste misure aggiuntive sono giustificate dal fatto che la raccolta e il trattamento per scopi di ricerca beneficiano di alcune esenzioni che riguardano principalmente i diritti degli interessati (esenzioni al diritto di accesso, al diritto di rettifica, al diritto di limitazione del trattamento, al diritto di opposizione), nella misura in cui tali diritti rendono impossibile o ostacolano seriamente il raggiungimento dello scopo della ricerca (Articolo 89(2) GDPR).
Inoltre, come spiegato in precedenza, è prevista una certa flessibilità nella delimitazione dello scopo della ricerca. Infatti, il considerando 33 del GDPR stabilisce che non è sempre possibile identificare completamente lo scopo del trattamento dei dati personali per scopi di ricerca scientifica al momento della raccolta dei dati. Pertanto, è consentita una comprensione flessibile di tale scopo al momento del consenso degli interessati : gli individui possono dare il loro consenso per determinate aree di ricerca o specifiche parti del progetto di ricerca in conformità agli standard etici della ricerca scientifica. Tuttavia, la descrizione dell’obiettivo della ricerca deve rimanere precisa.
Inoltre, il GDPR prevede l’obbligo di effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) per qualsiasi trattamento dei dati considerato a rischio (Articolo 35 GDPR). Poiché i dati genetici e sanitari sono considerati dati speciali a causa della loro sensibilità, il loro trattamento richiede che venga effettuata tale valutazione d’impatto. Questa valutazione garantisce che il trattamento sia conforme al GDPR e rispetti i diritti degli interessati.
Come effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA)?
La DPIA deve essere effettuata prima dell’inizio dell’operazione di trattamento e deve essere riesaminata nel corso dell’operazione di trattamento, in particolare se si verificano cambiamenti rilevanti nel modo in cui i dati vengono trattati. I partecipanti alla realizzazione della DPIA sono il titolare del trattamento, il Responsabile della Protezione dei Dati, eventuali responsabili del trattamento, il personale IT e gli interessati dell’operazione di trattamento. La DPIA è composta da tre parti:
- Una descrizione dettagliata del trattamento implementato, inclusi gli aspetti tecnici e operativi del trattamento;
- Una valutazione della conformità con i principi fondamentali della protezione dei dati, ossia: un esame della necessità del trattamento e della conformità con il principio di proporzionalità (i dati raccolti e trattati sono strettamente necessari per lo scopo del trattamento), nonché una descrizione delle misure adottate per garantire i diritti degli interessati.
- Uno studio tecnico dei rischi per la sicurezza dei dati (confidenzialità, integrità e disponibilità) e il loro potenziale impatto sulla privacy. Questo studio deve essere completato con una descrizione delle misure tecniche e organizzative previste per gestire tali rischi e proteggere i dati.
La CNIL (Autorità di protezione dei dati francese) ha sviluppato uno strumento pedagogico per effettuare questa DPIA, disponibile in inglese.
Per maggiori informazioni: Articolo 29 Data Protection Working Party, Linee guida sulla Valutazione d’Impatto sulla Protezione dei Dati (DPIA) e su come determinare se il trattamento comporta "un rischio elevato" ai fini del Regolamento 2016/679.
Quali sono le regole relative all'informativa agli interessati sul trattamento dei loro dati personali?
Il titolare del trattamento deve fornire informazioni agli interessati riguardo al trattamento previsto, in conformità con il principio di trasparenza. Il GDPR distingue due situazioni a questo proposito:
- Quando i dati sono raccolti direttamente dall’interessato (Articolo 13 GDPR),
- Quando i dati non sono stati ottenuti dall’interessato (Articolo 14 GDPR).
Queste informazioni devono includere in particolare:
- l’identità e i dati di contatto del titolare del trattamento,
- le finalità del trattamento e la base giuridica per il trattamento,
- i destinatari dei dati personali, se applicabile,
- le informazioni sui diritti individuali relativi a questo trattamento dei dati (Articoli 15-20 GDPR) e sulla procedura da seguire per esercitare questi diritti,
- l’intenzione, se applicabile, di trasferire i dati a un paese terzo,
- se applicabile, l’intenzione di effettuare ulteriori trattamenti dei dati per un altro scopo.
Per una lettura completa dei requisiti relativi all’informativa agli interessati, si rimanda agli articoli 13 o 14 del GDPR, a seconda della situazione applicabile.
Per quanto riguarda la situazione in cui i dati personali utilizzati non siano stati ottenuti dall’interessato, l’articolo 14(5) del GDPR prevede delle eccezioni a questa obbligazione informativa, come nei casi in cui :
- l’interessato possiede già queste informazioni,
- o la fornitura di tali informazioni richiederebbe sforzi sproporzionati, in particolare nel caso di trattamento dei dati per scopi di ricerca scientifica.
Si rimanda all’Articolo 14(5) del GDPR per vedere tutte le eccezioni previste.
Se tali eccezioni vengono attuate, il titolare del trattamento dovrà documentare e spiegare l’utilizzo di tali eccezioni.
Queste informazioni agli interessati devono essere rinnovate in caso di modifiche sostanziali delle attività di trattamento (ad esempio riguardo alle caratteristiche principali del trattamento, come un nuovo scopo, l'aggiunta di raccolta di dati sensibili, il cambiamento del titolare del trattamento, ecc.) o in caso di un evento specifico legato al trattamento dei dati (ad esempio in caso di violazione dei dati).
È obbligatorio ottenere il consenso dagli interessati prima della raccolta e del trattamento dei loro dati sanitari e genetici?
Il consenso al trattamento dei dati non è sempre richiesto. Dipende dalla base giuridica del trattamento. Se il trattamento si basa sul consenso degli interessati, allora la raccolta del consenso prima dell'implementazione del trattamento è obbligatoria. Questo consenso deve rispettare i requisiti stabiliti dal GDPR, ovvero: libero, specifico (dato per uno o più scopi), informato (informazioni fornite alla persona sul trattamento) e inequivocabile (dato con un atto positivo chiaro senza ambiguità).
Gli interessati possono cambiare idea in qualsiasi momento e ritirare il loro consenso.
Oltre a questi requisiti, nel caso di trattamento di dati sensibili (inclusi i dati sanitari e genetici), si aggiunge il criterio dell'esplicitazione, ossia l’interessato deve dichiarare espressamente il suo consenso (ad esempio per iscritto).
La raccolta del consenso deve essere documentata dai titolari del trattamento, che devono essere in grado di dimostrare che il consenso, in conformità con questi requisiti, è stato ottenuto.
Tuttavia, nel contesto della ricerca scientifica, spesso si preferirà la base giuridica dei scopi di ricerca scientifica (Art.9(2)j e Art.6(1)e o f) GDPR). L’uso di questa base giuridica non richiede il consenso preventivo degli individui per il trattamento dei loro dati. Tuttavia, l’obbligo di informare deve sempre essere rispettato, permettendo agli interessati di opporsi al trattamento (meccanismo di opt-out informato e diritto di opposizione).
Tuttavia, è necessario ricordare che gli Stati membri possono introdurre condizioni aggiuntive, comprese limitazioni, riguardo al trattamento dei dati sanitari e genetici (Articolo 9(4) GDPR). Pertanto, la legislazione nazionale può prevedere che il trattamento di queste categorie di dati richieda il consenso, anche se non richiesto dal GDPR e indipendentemente dalla base giuridica scelta per il trattamento dei dati. Il titolare del trattamento dovrà quindi assicurarsi della conformità con le leggi nazionali in vigore negli Stati membri in cui i dati vengono raccolti e/o trattati.
Cosa deve essere considerato prima di scegliere il consenso come base giuridica per il trattamento dei dati personali?
Prima di scegliere il consenso come base giuridica per il trattamento dei dati personali, è necessario rispettare tutti i requisiti previsti dal GDPR relativi al consenso, che devono essere: liberamente dato, specifico, informato e inequivocabile (Articolo 4 GDPR). Oltre a questi criteri, deve essere rispettata la natura esplicita del consenso (Articolo 9(2)(a) GDPR) nei casi di trattamento di dati personali considerati sensibili (come i dati sanitari e genetici). Inoltre, come sottolineato dal Comitato europeo per la protezione dei dati (EDPB), particolare attenzione deve essere prestata alla condizione del consenso "liberamente dato". Ciò implica che la persona abbia fatto una scelta e abbia un controllo reale sulla stessa. Se esiste un chiaro squilibrio di potere tra il titolare del trattamento e la persona interessata, il consenso non dovrebbe essere una base giuridica valida per il trattamento dei dati personali (Considerando 43 del GDPR). Questi elementi sono particolarmente rilevanti nel contesto della ricerca medica, dove spesso esistono situazioni di squilibrio di potere tra il promotore/ricercatore e i partecipanti alla ricerca (ad esempio, bambini, persone in situazioni di dipendenza istituzionale o gerarchica, categorie economicamente o socialmente svantaggiate, ecc.). Il ricercatore e/o il titolare del trattamento devono tenere conto di tutti questi elementi quando scelgono la base giuridica per il trattamento dei dati che intendono effettuare.
Qual è la differenza tra il consenso per il trattamento dei dati per la ricerca e il consenso per partecipare alla ricerca?
È necessario distinguere tra consenso informato alla ricerca e consenso al trattamento dei dati per la ricerca. Infatti, la partecipazione alla ricerca è regolata dalle leggi nazionali che possono richiedere il consenso informato in determinate condizioni. A livello europeo, l'Articolo 28 del Regolamento UE sulla sperimentazione clinica ricorda la natura obbligatoria del consenso informato per qualsiasi partecipazione a una sperimentazione clinica. Come sottolineato dal Comitato europeo per la protezione dei dati, tali disposizioni rispondono principalmente agli essenziali requisiti etici relativi alla supervisione dei progetti di ricerca che coinvolgono esseri umani, i quali derivano dalla Dichiarazione di Helsinki (Comitato europeo per la protezione dei dati, Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento generale sulla sperimentazione clinica e il Regolamento generale sulla protezione dei dati (GDPR) (Articolo 70(1)(b)) Adottata il 23 gennaio 2019). Il consenso informato implica la fornitura di informazioni esaustive, complete e comprensibili sulla ricerca pianificata. A questo proposito, l'Articolo 29 del Regolamento sulla sperimentazione clinica descrive l'elenco degli elementi che devono essere forniti agli individui interessati affinché le informazioni siano valide.
Inoltre, è necessario ricordare che il consenso informato alla ricerca è un requisito etico ai sensi della Convenzione di Oviedo, della Dichiarazione di Taipei e della Dichiarazione di Helsinki.
Pertanto, questo consenso informato alla partecipazione alla ricerca deve essere distinto dal consenso al trattamento dei dati personali previsto dal GDPR, che può essere utilizzato come base giuridica per il trattamento e che deve soddisfare vari criteri (libero, informato, inequivocabile, specifico ed esplicito per il trattamento di dati sensibili come i dati sanitari e genetici). Il Comitato europeo per la protezione dei dati ha ribadito questa distinzione tra il consenso informato sotto il Regolamento sulla sperimentazione clinica e la nozione di consenso come base giuridica per il trattamento dei dati personali sotto il GDPR, nella sua Opinione 3/2019 su domande e risposte sull'interazione tra il Regolamento sulla sperimentazione clinica e il Regolamento generale sulla protezione dei dati.
Al di là della situazione per sperimentazione clinica, questo consenso informato è stato descritto dal Comitato europeo per la protezione dei dati come una potenziale "misura di salvaguardia appropriata" (prevista dall'Articolo 89(1) del GDPR) da adottare per tutelare i diritti e le libertà degli individui nel contesto del trattamento dei dati per scopi di ricerca scientifica. Pertanto, anche se la base giuridica scelta è quella della ricerca scientifica e non vi è alcun obbligo legale di ottenere il consenso dai soggetti interessati, un approccio etico lo richiederebbe. Questa posizione è anche sostenuta dal progetto europeo CINECA (Infrastruttura comune per le coorti nazionali in Europa, Canada e Africa).
Ulteriori informazioni sulla differenza tra il consenso informato a partecipare a una sperimentazione clinica e il consenso come base giuridica per il trattamento dei dati personali ai sensi del GDPR: Comitato europeo per la protezione dei dati, Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento generale sulla sperimentazione clinica e il Regolamento generale sulla protezione dei dati, 23 gennaio 2019.
Guida alla politica del consenso: La politica di consenso dell'Alleanza Globale per la Genomica e la Salute (GA4GH) mira a guidare la condivisione internazionale di dati genomici e sanitari in modo da rispettare l'autonomia decisionale e promuovere il bene comune della condivisione internazionale dei dati.
Come garantire la protezione dei diritti degli interessati sul trattamento dei loro dati personali ai sensi del GDPR?
Il GDPR riconosce diversi diritti degli interessati nel trattamento dei loro dati personali. Il titolare del trattamento deve adottare misure appropriate per fornire le informazioni previste dagli Articoli 13 e 14 del GDPR agli interessati, al fine di garantire una gestione trasparente dei loro dati personali. Queste informazioni devono spiegare come esercitare i diritti dell'interessato per garantirne l'efficacia. Le informazioni devono essere concise, trasparenti, comprensibili e facilmente accessibili, in termini semplici e chiari. Inoltre, le informazioni devono essere adattate al pubblico di riferimento, come ad esempio i bambini.
I diritti degli interessati sono elencati nel Capitolo III del GDPR e comprendono:
- diritto all'informazione: rispetto del principio di trasparenza (Articoli 13 e 14),
- diritto di accesso ai propri dati (Articolo 15),
- diritto di rettifica dei dati personali inesatti (Articolo 16),
- diritto di cancellazione o, altrimenti, il diritto all'oblio in determinate circostanze (Articolo 17),
- diritto di limitare il trattamento in situazioni specifiche (Articolo 18),
- diritto alla portabilità dei dati (Articolo 20),
- diritto di opposizione: in qualsiasi momento al trattamento dei dati (Articolo 21).
Da notare che il GDPR prevede delle eccezioni a questi diritti per il trattamento dei dati per scopi di ricerca scientifica. In particolare, il diritto all'informazione, il diritto alla cancellazione e il diritto alla portabilità dei dati potrebbero non essere applicabili (se l'esercizio di tali diritti è destinato a rendere impossibile o seriamente compromesso il raggiungimento degli obiettivi della ricerca). Queste eccezioni devono essere giustificate e documentate.
Quali sono le regole da rispettare quando un sistema di intelligenza artificiale è utilizzato nel contesto del trattamento dei dati sanitari?
L'utilizzo di sistemi di intelligenza artificiale nel contesto del trattamento dei dati personali è soggetto alle norme del GDPR, tra cui:
- definizione di uno scopo,
- rispetto del principio di trasparenza: che si traduce qui nell'informare gli interessati sull'uso dell'intelligenza artificiale nel trattamento dei loro dati personali, ma anche nell'esplicabilità dell'IA, ossia gli individui devono essere in grado di comprendere i risultati e le conclusioni prodotte dall'algoritmo,
- Rispetto del principio di minimizzazione dei dati: utilizzare solo i dati necessari per l'addestramento e il funzionamento del sistema di IA in relazione allo scopo del trattamento,
- Garantire l'esercizio dei diritti degli individui relativamente al trattamento dei loro dati personali: è importante notare che l'Articolo 22 del GDPR stabilisce che l'interessato di un sistema decisionale basato esclusivamente su un trattamento automatizzato che produce effetti giuridici nei suoi confronti o lo incide significativamente in modo simile ha il diritto di non essere soggetto a tale decisione. Inoltre, i diritti degli individui in relazione alla protezione dei dati personali si applicano durante l'intero ciclo di vita del sistema di IA che utilizza i dati personali degli interessati. L'esercizio di questi diritti riguarda sia i dati contenuti nelle basi di dati utilizzate per addestrare il sistema, che i dati trattati, che comprendono anche i dati prodotti dal sistema. Se l'IA viene utilizzata per scopi di ricerca scientifica, le eccezioni ai diritti individuali previste dal GDPR possono applicarsi, purché siano giustificate e documentate.
Pertanto, il titolare del trattamento deve essere consapevole di tutti questi requisiti che devono essere rispettati (privacy by design, ethics by design). Inoltre, è importante che questi sistemi siano supervisionati e monitorati costantemente, in particolare nel caso dell'apprendimento automatico, a causa della natura altamente evolutiva di questi sistemi. È l'idea di supervisione umana che fa parte delle linee guida della Commissione Europea per un'IA affidabile.
Sul riutilizzo/secondario utilizzo/processamento successivo dei dati personali
È possibile riutilizzare i dati per uno scopo diverso da quello per cui sono stati raccolti? Spesso indicati come "processamento successivo" o "riutilizzo dei dati", queste pratiche consistono nel trattare i dati per uno scopo diverso da quello inizialmente previsto. La ricerca sanitaria oggi si basa in gran parte sul riutilizzo dei dati sanitari.
Il GDPR non affronta esplicitamente questa questione, ma prevede la possibilità di un ulteriore trattamento dei dati per scopi compatibili (Articolo 5(1)(b)). Per verificare se il trattamento previsto è compatibile con gli scopi iniziali del trattamento, il titolare del trattamento deve eseguire un test di compatibilità se il trattamento successivo dei dati non si basa sul consenso dell'interessato o sul diritto dell'UE.
È necessario avere una base giuridica separata per il trattamento successivo dei dati sanitari?
Il considerando 50 del GDPR stabilisce che se gli scopi della raccolta iniziale e del trattamento successivo sono compatibili, non è necessaria una nuova base giuridica separata da quella su cui i dati sono stati raccolti.
Cos'è il test di compatibilità?
Il test consiste in un'analisi caso per caso del contesto di raccolta e trattamento iniziale dei dati per garantire la compatibilità del trattamento successivo, tenendo conto delle legittime aspettative degli interessati.
Per eseguire questo test, il titolare del trattamento deve tenere conto (Articolo 6(4) del GDPR):
- se esiste un legame tra gli scopi originali e quelli previsti,
- il contesto in cui i dati sono stati raccolti e la relazione tra gli interessati e il titolare del trattamento,
- la natura dei dati e in particolare se i dati appartengono alle categorie speciali di dati (inclusi i dati sanitari e genetici),
- le possibili conseguenze del trattamento successivo per gli interessati,
- e l'esistenza di garanzie appropriate per la salvaguardia dei diritti e delle libertà degli interessati, inclusa, ad esempio, la pseudonimizzazione.
Qual è il quadro per l'ulteriore utilizzo/riutilizzo dei dati per la ricerca scientifica?
Come spiegato in precedenza, la ricerca scientifica oggi dipende fortemente dal riutilizzo dei dati. Pertanto, sono previste disposizioni specifiche per la ricerca scientifica: il trattamento successivo dei dati per scopi di ricerca scientifica non è considerato incompatibile con gli scopi iniziali (presunzione di compatibilità). Cioè, il trattamento sarà considerato a priori compatibile con gli scopi iniziali del trattamento, a condizione che siano adottate garanzie appropriate per i diritti e le libertà degli interessati (attuazione di misure tecniche e organizzative per rispettare il principio di minimizzazione dei dati, inclusa la pseudonimizzazione - Articolo 89(2) del GDPR). Tuttavia, come ricorda il Garante europeo per la protezione dei dati, questa presunzione non costituisce un'autorizzazione generale per l'ulteriore utilizzo dei dati per tutti i casi di scopi di ricerca, ogni caso deve essere considerato in base al proprio contesto.
Gli interessati dovranno essere informati di questo trattamento successivo prima che venga effettuato, a meno che non si applichi una delle eccezioni al diritto all'informazione di cui all'Articolo 14(5)(b) del GDPR.
I diritti degli interessati devono essere garantiti, a meno che non si applichi una delle eccezioni previste dall'Articolo 89(2) del GDPR.
Quali regole specifiche si applicano all'uso secondario dei dati delle sperimentazioni cliniche al di fuori del protocollo della sperimentazione clinica per scopi scientifici?
Il Regolamento sulle sperimentazioni cliniche affronta specificamente questa questione all'Articolo 28(2). Questo articolo si concentra in particolare sul consenso. Le situazioni trattate riguardano i casi in cui lo sponsor desidera trattare i dati di un partecipante alla sperimentazione clinica al di fuori del protocollo previsto, ma esclusivamente per scopi scientifici. Secondo questo articolo, lo sponsor deve richiedere il consenso per questo specifico scopo di trattamento (uso secondario al di fuori del protocollo) dall'interessato o dal suo rappresentante legale al momento in cui viene richiesto il consenso informato per partecipare alla sperimentazione clinica.
Tuttavia, come spiegato in precedenza, il consenso ai sensi dell'Articolo 28(2) del Regolamento sulle sperimentazioni cliniche deve essere distinto dal consenso come base giuridica per il trattamento dei dati personali previsto dal GDPR. Pertanto, lo sponsor o l'investigatore che desidera successivamente utilizzare i dati personali raccolti per scopi scientifici diversi da quelli previsti dal protocollo della sperimentazione clinica, dovrà stabilire una base giuridica che potrebbe non essere il consenso (come inteso nel GDPR). Inoltre, come spiegato sopra, la presunzione di compatibilità prevista dall'Articolo 5(1)(b) del GDPR potrebbe applicarsi, a condizione che siano rispettate le condizioni stabilite nell'Articolo 89 del GDPR (garanzie appropriate per i diritti e le libertà degli interessati).
In ogni caso, si applicano le regole sul trattamento dei dati personali stabilite nel GDPR.
Sul monitoraggio della conformità con il quadro giuridico per la protezione dei dati personali
Chi è responsabile della conformità della raccolta e del trattamento dei dati personali?
Il GDPR è stato concepito secondo una logica di responsabilizzazione degli attori (articoli 5 e 24 del GDPR), cioè, oltre alle procedure messe in atto in ogni paese riguardo l'uso o riuso dei dati sanitari (ad esempio, parere di un comitato etico e scientifico, autorizzazione specifica di un'autorità competente in materia), il titolare del trattamento è obbligato a implementare misure di protezione dei dati, che dovrà aggiornare se necessario, e deve essere in grado di provare la conformità del trattamento dei dati che ha attuato con il quadro normativo applicabile. Questo lavoro di conformità può essere fatto in relazione al responsabile della protezione dei dati (Articolo 37 del GDPR). Un responsabile della protezione dei dati dovrà essere nominato dal titolare e dal responsabile del trattamento quando le attività implementate da quest'ultimo consistono nel trattamento su larga scala di categorie particolari di dati, tra cui i dati sanitari e genetici.
Questa documentazione dovrebbe includere:
- Il registro delle attività di trattamento svolte,
- Le DPIA delle attività di trattamento che potrebbero comportare rischi elevati per i diritti e le libertà degli interessati,
- La supervisione dei trasferimenti di dati effettuati,
- Le informazioni fornite agli interessati sull'uso dei loro dati (e, se del caso, una descrizione dei motivi per cui non sono stati informati gli interessati),
- I moduli di consenso, se applicabili,
- Le misure adottate per garantire i diritti degli interessati,
- E i contratti con i subappaltatori, se applicabili.
Cosa deve contenere il registro delle attività di trattamento?
Il titolare del trattamento deve mantenere un registro delle attività di trattamento svolte sotto la propria responsabilità in forma scritta. L'Articolo 30(1) del GDPR dettaglia tutte le informazioni che devono essere incluse nel registro per poter attestare la conformità delle attività di trattamento. Ad esempio, devono essere descritti i dettagli di contatto del titolare del trattamento, dei titolari congiunti e del responsabile della protezione dei dati, se applicabile; gli scopi dell'operazione di trattamento; una descrizione delle categorie di interessati e di dati personali, ecc. In pratica, è il DPO che tiene e aggiorna il registro delle attività di trattamento.
Inoltre, ogni responsabile del trattamento dovrà mantenere un registro delle attività di trattamento effettuate per conto del titolare del trattamento. L'Articolo 30(2) del GDPR dettaglia le informazioni che devono essere incluse.
Le autorità di controllo possono chiedere al DPO, al titolare del trattamento e/o al responsabile del trattamento di rendere disponibile questo registro per certificare la conformità delle attività di trattamento svolte.
Quali sono le regole di sicurezza dei dati personali da rispettare?
L'Articolo 32 del GDPR designa il titolare e il responsabile del trattamento come responsabili dell'implementazione di misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio. Tra queste misure troviamo:
- Pseudonimizzazione e crittografia dei dati personali,
- I mezzi per garantire la riservatezza dei dati,
- I mezzi per ripristinare l'accesso ai dati in caso di incidente fisico o tecnico,
- Una procedura per valutare regolarmente l'efficacia delle misure di sicurezza messe in atto per garantire la sicurezza del trattamento.
Per valutare al meglio le misure di sicurezza da mettere in atto, il titolare e il responsabile del trattamento devono tenere conto dei rischi che l'operazione di trattamento comporta per i diritti e le libertà degli interessati, in particolare riguardo alla possibile distruzione, perdita, divulgazione o accesso non autorizzato ai dati personali.
Per dimostrare la conformità a questi requisiti di sicurezza, può essere utilizzato un codice di condotta approvato (Articolo 40 del GDPR) o uno schema di certificazione approvato (Articolo 42 del GDPR) per dimostrare la conformità ai requisiti di sicurezza del GDPR.
I codici di condotta possono essere utilizzati come strumento per i trasferimenti di dati per garantire le garanzie appropriate per i trasferimenti di dati verso paesi terzi o organizzazioni internazionali. Vedi le Linee guida 04/2021 del Garante europeo per la protezione dei dati sui codici di condotta come strumento per i trasferimenti.