Bruxelles, 16 aprile – Nel corso della sua ultima sessione plenaria, l'EDPB ha adottato orientamenti sul trattamento dei dati personali a fini di ricerca scientifica. Inoltre, il Consiglio ha creato un team per accelerare la messa a punto delle linee guida sull'anonimizzazione. L'EDPB ha inoltre adottato due pareri sulle due serie di criteri di certificazione Europrivacy per l'approvazione come sigilli europei di protezione dei dati, uno dei quali da utilizzare come strumento per i trasferimenti.
Molti settori della ricerca scientifica si basano sul trattamento dei dati personali delle persone e ciò ha determinato importanti progressi scientifici a beneficio della società. L'aumento delle nuove tecnologie, come l'intelligenza artificiale, contribuisce anche al progresso scientifico consentendo ai ricercatori di utilizzare e analizzare i dati in modo innovativo.
L'obiettivo principale degli orientamenti dell'EDPB sulla ricerca scientifica è fornire maggiore chiarezza ai ricercatori e semplificare la conformità al GDPR, garantendo nel contempo la tutela dei diritti fondamentali delle persone.
"La ricerca scientifica può guidare il progresso della società e migliorare la nostra vita quotidiana.
Le nostre linee guida facilitano la ricerca innovativa aiutando i ricercatori a navigare nel GDPR.
L'EDPB si impegna a sostenere la comunità scientifica e a sfruttare appieno il potenziale della ricerca scientifica nell'UE, nel rispetto dei diritti in materia di protezione dei dati."
Presidente dell'EDPB, Anu Talus
Nei suoi orientamenti, il comitato fornisce chiarimenti sul concetto di "ricerca scientifica". Per determinare se il trattamento avviene a fini di ricerca scientifica ai sensi del GDPR, il Comitato fornisce sei fattori indicativi chiave che dovrebbero essere considerati, oltre alla natura, all'ambito, al contesto e alle finalità del trattamento. Si tratta di: 1) approccio metodico e sistematico, 2) adesione a standard etici, 3) verificabilità e trasparenza, 4) autonomia e indipendenza, 5) obiettivi della ricerca e 6) potenziale di contribuire alle conoscenze scientifiche esistenti o di applicare le conoscenze esistenti in modi nuovi. Se le attività di ricerca soddisfano questi sei fattori, si può presumere che costituiscano una ricerca scientifica. In caso contrario, il titolare del trattamento dovrebbe giustificare ed essere in grado di dimostrare il motivo per cui le attività dovrebbero essere considerate ricerca scientifica, ai sensi del GDPR.
Si presume che un ulteriore trattamento a fini di ricerca scientifica sia compatibile con la finalità iniziale della raccolta dei dati personali delle persone fisiche. Pertanto, i titolari del trattamento non sono tenuti a effettuare il test di compatibilità delle finalità ai sensi del GDPR per determinare se il nuovo trattamento è compatibile con la finalità originaria della raccolta. Tuttavia, i titolari del trattamento devono comunque assicurarsi che la base giuridica del trattamento iniziale sia adatta anche per l'ulteriore trattamento di dati personali a fini di ricerca scientifica.
I titolari del trattamento possono fare affidamento su un "ampio consenso" qualora le finalità della ricerca non siano pienamente note al momento della raccolta dei dati personali. In questo caso, i ricercatori dovrebbero rispettare le norme etiche per la ricerca scientifica e mettere in atto ulteriori salvaguardie per compensare la mancanza di specifica delle finalità. I titolari del trattamento possono anche chiedere alle persone fisiche di acconsentire a diversi progetti di ricerca individuali separatamente, non appena le finalità di tali progetti diventano note (consenso dinamico). È anche possibile una combinazione di consenso ampio e dinamico.
Inoltre, l'EDPB chiarisce i diritti delle persone fisiche quando i loro dati personali sono trattati a fini scientifici. Ciò include i diritti di cancellazione e di opposizione per i quali possono essere applicate limitazioni quando i dati personali sono trattati a fini di ricerca scientifica. Il comitato fornisce esempi per spiegare quando si può ritenere che il diritto alla cancellazione possa rendere impossibile o compromettere gravemente l'obiettivo di condurre ricerche scientifiche. L'EDPB spiega inoltre quando i titolari del trattamento possono respingere l'obiezione di una persona al trattamento dei propri dati personali a fini di ricerca scientifica. Ciò può verificarsi quando il trattamento è necessario per l'esecuzione di un compito svolto per motivi di interesse pubblico.
Il comitato ricorda che quando diverse entità sono coinvolte nel trattamento dei dati personali a fini di ricerca scientifica, è necessario valutare e documentare le modalità di ripartizione delle responsabilità tra le entità. A tale riguardo, gli orientamenti forniscono esempi utili per chiarire in quali situazioni le entità possono qualificarsi come titolari del trattamento, contitolari del trattamento o responsabili del trattamento.
Infine, il comitato spiega in che modo i titolari del trattamento possono valutare le misure tecniche e organizzative adeguate, quali l'anonimizzazione o la pseudonimizzazione, quando trattano dati personali a fini di ricerca scientifica. L'EDPB fornisce esempi di altre salvaguardie che potrebbero essere attuate in funzione dei rischi posti dalle attività di ricerca svolte. Questi includono una supervisione indipendente o etica, ambienti di trattamento sicuri, tecnologie che migliorano la privacy, misure di protezione per la pubblicazione dei risultati della ricerca, accordi di riservatezza e condizioni per un ulteriore utilizzo.
Gli orientamenti saranno oggetto di consultazione pubblica fino al 25 giugno, offrendo alle parti interessate l'opportunità di formulare osservazioni e fornire riscontri.
Un "sprint team" per finalizzare il lavoro sull'anonimizzazione
Per accelerare la messa a punto delle prossime linee guida sull'anonimizzazione, il Consiglio ha creato un "sprint team" dedicato che completerà il lavoro entro l'estate.
Pareri di Europrivacy
L'EDPB ha adottato un parere che approva la serie aggiornata di criteri di certificazione Europrivacy come marchio europeo di protezione dei dati *ai sensi dell'articolo 42, paragrafo 5, GDPR. Il comitato aveva approvato per la prima volta i criteri di certificazione Europrivacy il 10 ottobre 2022 come primo sigillo europeo per la protezione dei dati mediante il parere 28/2022 dell'EDPB. L'ambito di applicazione del sistema di certificazione Europrivacy è stato esteso ai titolari del trattamento e ai responsabili del trattamento stabiliti al di fuori dell'Europa che sono soggetti all'articolo 3, paragrafo 2, GDPR, sia perché forniscono beni o servizi a persone fisiche in Europa sia perché monitorano il loro comportamento.
Inoltre, per la prima volta, il comitato ha adottato un parere che riconosce i criteri di certificazione Europrivacy come marchio europeo di protezione dei dati da utilizzare come strumento per i trasferimenti a norma degli articoli 42 e 46 del regolamento generale sulla protezione dei dati. Gli importatori di dati al di fuori dell'Europa che non sono soggetti al GDPR possono ora richiedere il sistema di certificazione Europrivacy per i trasferimenti di dati che ricevono. Questa certificazione faciliterà l'adempimento dell'obbligo dei titolari del trattamento e dei responsabili del trattamento in Europa di dimostrare che forniscono garanzie adeguate per i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali.
Queste approvazioni portano ulteriore luce sui meccanismi di certificazione GDPR, confermando il loro ruolo chiave come strumento di conformità GDPR.
Nota per gli editori
*Il sigillo europeo per la protezione dei dati è un meccanismo di certificazione GDPR riconosciuto in tutta Europa. Il sigillo deve soddisfare criteri specifici approvati dall'EDPB e deve essere rilasciato da un organismo di certificazione accreditato ai sensi dell'articolo 43 GDPR per dimostrare la conformità alle norme GDPR.
Il comunicato stampa qui pubblicato è stato tradotto automaticamente dall'inglese. L'EDPB non garantisce l'esattezza della traduzione. Si prega di fare riferimento al testo ufficiale nella sua versione inglese in caso di dubbi.