L’Università di Trento ha redatto le Linee guida per la protezione dei dati personali nell’ambito della ricerca scientifica per fornire ai ricercatori una panoramica sui principali concetti e obblighi relativi alla protezione dei dati personali, con particolare focus sulla ricerca scientifica.

Si tratta di uno strumento di guida che possa orientare, anche da un punto di vista pratico, il ricercatore nella gestione dei dati personali effettuata prima dell’avvio, durante e a conclusione dell’attività di ricerca oltre ad offrire una sintesi ragionata rispetto a specifici settori della ricerca scientifica (si veda Documenti utili).

Qualora l’attività di ricerca comporti, oltre al trattamento di dati personali dei partecipanti, anche un rischio per il benessere psico-fisico degli stessi, dovrà essere richiesto il preventivo parere del Comitato Etico di Ateneo (o quello dell’APSS) che prevede una valutazione integrata anche degli aspetti relativi alla protezione dei dati personali.

Definizioni utili

• “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione (art. 4, n. 2 GDPR);
• “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4, n. 1 GDPR);
• “categorie particolari di dati personali (dati sensibili)”: i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona (art. 9, par. 1, GDPR);
• “dati genetici”: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione (art. 4, n. 13 GDPR);
• “dati biometrici”: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici (art. 4, n. 14 GDPR);
• “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, n. 15 GDPR);
• “dati giudiziari”: i dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza (art. 10 GDPR)
• “titolare del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri (art. 4, n. 7 GDPR);
• “responsabile del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4, n. 8 GDPR);
• “responsabile della protezione dei dati”: professionista esperto nella protezione dei dati i cui compiti sono valutare ed organizzare la gestione del trattamento dei dati personali all’interno di ciascuna organizzazione (artt. 37, 38 e 39 GDPR); 
• “autorizzato”: chiunque agisca sotto l’autorità del titolare o del responsabile del trattamento (art. 29 GDPR)
• “comunicazione”: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione (art. 2-ter, co. 4, lett. a) del Codice privacy);
• “diffusione”: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione (art. 2-ter, co. 4, lett. b) del Codice privacy): 
• “informazioni anonime”: le informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato (Considerando 26 del GDPR).

Prescrizioni generali per i ricercatori

L’Università di Trento è “titolare del trattamento” dei dati personali effettuato nell’ambito dell’esecuzione dei propri compiti istituzionali, tra cui l’attività di ricerca scientifica.

Il responsabile del progetto di ricerca assume il ruolo di “Preposto/a al trattamento” mentre gli altri soggetti coinvolti, a vario titolo, nell’attività di ricerca assumono il ruolo di “Autorizzati/e al trattamento”.

Fermo restando quanto stabilito dalle normative vigenti (in particolare, GDPR, Codice privacy, Regole deontologiche) e quanto disposto dalle Linee guida per la protezione dei dati personali nell’ambito della ricerca scientifica, queste figure sono tenute all’osservanza, delle seguenti prescrizioni generali:

• il trattamento dei dati dovrà avvenire esclusivamente per le finalità indicate nell’informativa (ex art. 13 e 14 GDPR) relativa allo specifico progetto di ricerca;
• il trattamento dei dati personali dovrà avvenire nel rispetto dei principi di liceità, correttezza, trasparenza, adeguatezza, pertinenza, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza, responsabilizzazione;
• l’accesso ad eventuali banche dati dedicate al progetto dovrà essere specificatamente autorizzato dal responsabile del progetto;
• i supporti informatici contenenti dati personali non potranno di regola essere asportati dai server di Ateneo;
• l’applicazione delle misure tecniche ed organizzative indicate dal titolare del trattamento (ai sensi dell’art. 32 GDPR);
• nei casi necessari, lo svolgimento di una “valutazione d’impatto sulla protezione dei dati” per lo specifico progetto di ricerca (ai sensi dell’artt. 35-36 GDPR);
• la comunicazione immediata al Titolare di casi di violazione di dati personali avvenuti nell’ambito del progetto stesso (art. 34 GDPR).

Obblighi del Responsabile del progetto di ricerca 

L’attività di ricerca dovrà essere preceduta dall’espletamento di alcuni adempimenti atti a documentare che il trattamento dei dati avvenga per effettivi scopi statistici e/o scientifici.

1. Redazione di un Progetto di ricerca (si veda Documenti utili) stilato in conformità agli standard metodologici del pertinente settore disciplinare e atto a documentare che il trattamento sia effettuato per idonei ed effettivi scopi statistici e scientifici, ivi specificati.
2. Redazione dell’informativa ex art. 13 GDPR (se i dati non sono raccolti direttamente presso l’interessato, ex art. 14 GDPR) e, quando necessario, del consenso al trattamento delle categorie particolari di dati personali, dei dati giudiziari e nell’ambito della ricerca medica, biomedica ed epidemiologica (si veda Documenti utili).
3. Deposito del Progetto e della relativa documentazione privacy presso il Dipartimento/Centro di afferenza che ne curerà la conservazione in forma riservata per cinque anni dalla conclusione programmata della ricerca.

Comunicazione dei dati ad altri Partners di ricerca nell’ambito di ricerche congiunte

Nell’ambito dell’attività di ricerca congiunta con altri Partners di ricerca (università, enti di ricerca ecc..) è sempre da preferire che la comunicazione di dati avvenga in forma anonima.

Se tuttavia, per il raggiungimento delle finalità della ricerca è necessario comunicare i dati personali ad un altro Partner di progetto, ciò è possibile esclusivamente nel rispetto delle seguenti condizioni:

• la sussistenza della “necessità” di comunicazione dei dati tra Partners per le finalità della ricerca e che tale necessità emerga dalla descrizione delle attività di progetto; 
• l’individuazione del ruolo privacy rivestito da ciascun Partner in relazione ai trattamenti effettuati nell’ambito della ricerca. Quando non sia ravvisabile una situazione di titolarità autonoma, andrà sottoscritto, a seconda dei casi, un accordo interno di Contitolarità (art. 26 GDPR) in cui andranno stabiliti i rispettivi ruoli e responsabilità o una nomina a Responsabile del trattamento (art. 28 GDPR);
• l’individuazione di adeguate misure tecniche ed organizzative nella trasmissione dei dati, quali, ad esempio, la pseudonimizzazione, la cifratura dei dati personali, la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento ecc.

Diffusione dei dati

È consentito diffondere, anche mediante pubblicazione, i risultati della ricerca soltanto in forma aggregata ovvero secondo modalità che non rendano identificabili gli interessati neppure tramite dati identificativi indiretti, salvo che la diffusione riguardi variabili pubbliche.

Dati ottenuti da soggetti terzi

Prima di avviare attività di ricerca che prevedono la ricezione di dati da soggetti esterni o, in generale, la condivisione di dati con altri soggetti (anche partner di progetto), contattare gli uffici di supporto per la congiunta definizione del ruolo privacy dell’Università di Trento (titolare autonomo, contitolare, responsabile del trattamento) e dei documenti necessari.

Trattamento di dati particolari per scopi di ricerca medica, biomedica ed epidemiologica

I protocolli per la ricerca scientifica in campo medico, biomedico ed epidemiologico vanno sottoposti alla preventiva approvazione del comitato etico territorialmente competente.
Si rinvia a quanto specificato dalle Linee guida per la protezione dei dati personali nell’ambito della ricerca scientifica rispetto agli adempimenti previsti per il trattamento dei dati in questo ambito (si veda Documenti utili).

Le misure di sicurezza nel trattamento dei dati personali

Ai sensi dell’art. 32, par. 1 del Regolamento EU 2016/676 (GDPR) per ogni trattamento di dati personali il Titolare e il Responsabile mettono in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza appropriato rispetto al rischio.
L’attività di ricerca che comporta il trattamento di dati personali (quali ad es. la raccolta di dati dei volontari), è soggetta all’applicazione della normativa sulla protezione dei dati. Il ricercatore dovrà pertanto individuare, in relazione ad ogni singola attività di ricerca, le misure adeguate che garantiscano la protezione dei dati trattati, avendo riguardo allo stato dell’arte, ai costi di attuazione, a natura, oggetto, contesto e finalità del trattamento.

Il Regolamento EU indica a titolo esemplificativo già alcune misure: la pseudonimizzazione, la cifratura dei dati personali, la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; analogamente la Circolare AGID n. 2 del 18/04/2017 sulle Misure Minime di Sicurezza suggerisce alcune prescrizioni da adottare nel trattamento dei dati personali in base al livello di rischio individuato per ogni singolo trattamento, quali ad es. la cifratura per i dispositivi portatili, l’installazione di firewall e antivirus locali, ecc.

Sul punto si raccomanda di consultare il documento relativo alle misure di sicurezza disponibile per i ricercatori dell’Università (si veda Documenti utili).

Documenti utili

Alla pagina Protezione dei dati personali in Infoservizi, sezione Download, vengono resi disponibili ai ricercatori dell’Università di Trento i seguenti documenti: 

• Linee guida per la protezione dei dati personali nell’ambito della ricerca scientifica
• Misure di sicurezza nel trattamento dei dati personali in ambito dell’attività di ricerca scientifica
• Modello di Scheda Privacy di Progetto ai sensi dell’art. 3 delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica;
• Modello di Informativa sul trattamento dei dati personali per finalità di ricerca scientifica (art. 13 Reg. UE 2016/679).

I modelli di Scheda Privacy di Progetto e di Informativa sul trattamento dei dati sono esempi da utilizzare ed adattare di volta in volta alle peculiarità dello specifico progetto di ricerca.