ICO pubblica la bozza di guida sulle disposizioni di ricerca: quali novità?

L’Autorità Garante Inglese per la protezione dei dati personali, l’Information Commissioner’s Office (“ICO”), ha pubblicato una bozza di guida sulle disposizioni di ricerca all’interno del regolamento generale sulla protezione dei dati del Regno Unito (“UK GDPR”) e del Data Protection Act (“DPA”). La bozza rimarrà in consultazione pubblica fino al 22 aprile 2022.

In questo articolo si riportano alcuni dei punti essenziali esaminati dal Garante Inglese.

Finalità di ricerca

In primo luogo, l’ICO fa il punto della situazione soffermandosi a specificare che la finalità di ricerca è riconducibile alle attività di trattamento svolte con lo scopo di:

  • archiviazione nel pubblico interesse,
  • ricerca scientifica o storica,
  • fini statistici.

Fatta questa premessa, il Garante Inglese definisce una serie di criteri intesi a dare una guida agli operatori del settore per individuare e dimostrare che uno specifico trattamento rientra in una di queste finalità. A riguardo, nella bozza di guida si trovano alcuni elementi interpretativi circa:

  • la ricerca storica o scientifica: questa deve essere intesa in senso ampio includendo sia la ricerca effettuata in ambienti accademici tradizionali che quella condotta in contesti commerciali e per lo sviluppo e la dimostrazione tecnologica;
  • il trattamento effettuato per finalità statistiche: si tratta di qualsiasi operazione di raccolta e trattamento di dati personali necessari per indagini o produzioni di risultati statistici. L’ICO precisa però che in questo contesto i risultati: (i) non devono essere utilizzati per prendere decisioni sui singoli interessati oppure (ii) devono essere resi anonimi.

Principi della protezione dati legati alla finalità di ricerca

L’Autorità esamina due principi di particolare importanza per la finalità di ricerca.

  • Limitazione della conservazione: secondo questo principio i dati non devono essere conservati per un tempo superiore a quello necessario. Tuttavia, quando il trattamento è legato alla ricerca, i dati possono essere conservati illimitatamente. Nella bozza è precisato però che i dati conservati non potranno essere utilizzati per altre finalità e, laddove non vengano più trattati, devono essere cancellati.
  • Principio di finalità: questo permette di trattare i dati personali solo per scopi specifici, espliciti e legittimi. Qualsiasi trattamento ulteriore rispetto allo scopo originale deve essere con questo compitabile. L’eccezione a questa regola riguarda proprio la finalità di ricerca, la quale, infatti, è considerata automaticamente compatibile. Il Garante Inglese si sofferma a chiarire che questa valutazione non è applicabile ai casi in cui i dati personali sono raccolti sulla base del consenso: questo deve sempre essere specifico e informato. Pertanto, quando i dati sono stati raccolti sulla base del consenso, il trattamento per un fine ulteriore, a cui l’individuo non ha acconsentito al momento in cui i dati sono stati raccolti, comprometterà ingiustamente il consenso originale.

Basi giuridiche per la finalità di ricerca

L’Autorità si sofferma anche sulla analisi delle differenti basi giuridiche che possono essere utilizzate per la finalità di ricerca. Secondo la valutazione del Garante, quelle più adeguate sono riconducibili al:

  • compito di interesse pubblico;
  • legittimo interesse del Titolare.

Il consenso invece non viene considerato come la base giuridica più adatta per la finalità di ricerca, soprattutto per quella scientifica o medica. L’ICO, infatti, porta alla luce alcuni problemi che derivano dall’utilizzo del consenso che possono arrivare ad inficiare la ricerca stessa (es.: nei casi della revoca del consenso da parte dell’interessato).

Tuttavia, nella bozza di guida non si esclude del tutto l’utilizzo del consenso per la ricerca. Per quanto riguarda nello specifico la ricerca scientifica, il Garante fornisce indicazioni da seguire al fine di richiedere il consenso: si dovranno identificare le aree generali di ricerca e, dove possibile, fornire agli interessati opzioni granulari per prestare il consenso solo a certe aree di ricerca o parti specifiche dei differenti progetti.

Facebook
Twitter
LinkedIn
WhatsApp

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?