I titolari che trattano dati per fini di ricerca scientifica possono avvalersi di alcune deroghe agli obblighi imposti dal rispetto della normativa in materia di protezione dei dati personali.
Nello specifico, i principi fondamentali del Reg. UE 679/2016 (GDPR), pur rimanendo validi, vengono attuati in questo settore in maniera più flessibile, tanto da far emergere come la ricerca scientifica occupi una posizione privilegiata all’interno del Regolamento.
Infatti, in particolare:
- è possibile trattare di categorie particolari di dati personali (tra cui i dati relativi alla salute) qualora il trattamento sia necessario a fini di ricerca scientifica (Art. 9, par. 2, lett. j GDPR);
- il successivo trattamento di dati – raccolti in contesti commerciali e non – per fini di ricerca scientifica si presume compatibile con la finalità iniziale (e quindi lecito) (art. 5, par. 1, lett. b GDPR);
- è consentito derogare ai diritti di accesso e di rettifica dei dati e ai diritti di limitazione e opposizione al trattamento riconosciuti dal GDPR agli interessati (art. 89, par. 2, GDPR).
Si tratta di un regime speciale basato sul presupposto per cui la ricerca apporti un vantaggio per l’intera società e che la conoscenza scientifica sia un bene pubblico da incoraggiare e sostenere.
Il GDPR prevede un “lasciapassare” per la ricerca scientifica?
Ovviamente in un contesto in cui il miglioramento della qualità della vita delle persone e migliorare l’efficienza dei servizi sociali gioca un ruolo così cruciale, svolgere un’attività considerata di ricerca non può svuotare l’essenza del diritto alla protezione dei dati personali, per i quali rimangono fondamentali i principi di necessità e proporzionalità.
Per questo motivo il trattamento dei dati a fini di ricerca scientifica è lecito solo se soggetto ad adeguate garanzie per i diritti e le libertà degli interessati. Tali garanzie ricomprendono l’adozione di misure volte a minimizzare i dati (come la pseudonimizzazione o la de-identificazione dei dati personali dei partecipanti ai progetti di ricerca) (art. 89, par. 1, GDPR).
Allo stesso modo, le deroghe all’esercizio dei diritti da parte degli interessati rimangono valide solo se i diritti da derogare sono suscettibili di rendere impossibili o pregiudicare gravemente gli scopi perseguiti dalla ricerca scientifica.
Il regime speciale si applica alla ricerca svolta da privati?
Ovviamente la flessibilità di un simile regime si applica solo alla ricerca scientifica svolta nell’ambito di un quadro di controllo etico, che sussiste solo quando nell’ambito delle attività di ricerca:
- vengono trattati dati personali;
- si applicano gli standard metodologici ed etici di settore;
- la ricerca è condotta con l’obiettivo di far crescere la conoscenza e il benessere collettivo della società, invece di servire “principalmente uno o più interessi privati” (European Data Protection Supervisor, Opinion 1/2020).
L’avverbio “principalmente” fa intendere che non solo i ricercatori accademici o operanti nell’ambito della sanità pubblica possono avvalersi di questo regime speciale, ma anche le organizzazioni senza scopo di lucro o le società private in cerca di profitto, purché i loro interessi commerciali non siano prevalenti rispetto all’interesse pubblico.
Non esiste quindi, sotto questo profilo, una distinzione tra pubblico e privato, il che dimostra ancor di più il favor della normativa privacy per la ricerca. Un regime di vantaggio che emerge anche dall’ampia interpretazione che il GDPR al considerando 159 fa del concetto di ricerca scientifica, che include “sviluppo tecnologico e dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata da privati, oltre a tenere conto dell’obiettivo dell’Unione di istituire uno spazio europeo della ricerca ai sensi dell’articolo 179, paragrafo 1, TFUE”.
Consulta qui i nostri servizi privacy per le strutture sanitarie e le società che svolgono attività di ricerca scientifica.