I ruoli privacy nella ricerca scientifica secondo le linee guida EDPB

In un precedente articolo abbiamo già brevemente riepilogato le definizioni dei ruoli privacy ai sensi del GDPR nel contesto dei Gruppi di società, alla luce dei chiarimenti forniti dall’European Data Protection Board nelle Linee Guida 07/2020 sui concetti di Titolari e Responsabili del trattamento pubblicate nello scorso settembre.

Sono molti altri i contesti in cui l’individuazione dei ruoli privacy risulta essere controversa, come quello della ricerca scientifica e delle sperimentazioni cliniche. Anche in questo caso l’EDPB ha tentato di fare chiarezza, fornendo due utili esempi pratici che di seguito si riportano.  

Progetto di ricerca promosso da diversi istituti

Diversi istituti di ricerca decidono di partecipare ad uno specifico progetto di ricerca comune e di utilizzare per tale finalità la piattaforma di uno degli istituti coinvolti nel progetto.

Ogni istituto inserisce nella piattaforma i dati personali in suo possesso ai fini della ricerca congiunta e utilizza i dati forniti dagli altri attraverso la piattaforma per la realizzazione della ricerca.

In questo caso, gli istituti coinvolti si qualificano come Contitolari del trattamento dei dati personali che viene effettuato memorizzando e divulgando le informazioni sulla piattaforma, poiché essi hanno deciso in via congiunta lo scopo del trattamento ed i mezzi da utilizzare (la piattaforma).

Ciascuno degli istituti sarà invece Titolare autonomo degli altri trattamenti svolti al di fuori della piattaforma per propri fini.

Sperimentazioni cliniche

Un operatore sanitario (lo sperimentatore) e un'università (lo sponsor) decidono di avviare insieme uno studio clinico con lo stesso scopo.

1. Essi collaborano insieme alla stesura del protocollo di studio (che ricomprende scopo, metodologia/progettazione dello studio, dati da raccogliere, criteri di esclusione/inclusione dei soggetti, riutilizzo del database ecc.). Essi possono essere considerati come Contitolari del trattamento per lo studio clinico, in quanto determinano e concordano congiuntamente lo stesso scopo ed i mezzi essenziali del trattamento.

   La raccolta di dati personali dalla cartella clinica del paziente a scopo di ricerca va tenuta distinta dalla registrazione e dall'utilizzo dei medesimi dati ai fini di cura del paziente, di cui l'operatore sanitario rimane il Titolare.

2. Nel caso in cui lo sperimentatore non partecipi alla stesura del protocollo ma il protocollo è progettato solo dallo sponsor (e lo sperimentatore si limita ad accettarlo), lo sperimentatore deve essere considerato come un Responsabile e lo sponsor come il Titolare della sperimentazione clinica.

   

Perché è così importante stabilire e comprendere quale ruolo assumano gli attori del trattamento dei dati?

La seconda parte delle Linee Guida sui concetti di Titolare e Responsabile sopra richiamate riepiloga quali sono le conseguenze che derivano dalla differente configurazione dei ruoli privacy.

• Con riferimento ai rapporti tra Contitolari ex 26 GDPR, le parti dovranno stabilire in sede contrattuale “chi fa cosa” decidendo tra loro chi dovrà svolgere quali compiti per garantire che il trattamento sia conforme a quanto previsto dalla normativa. Ad esempio, le parti dovranno decidere chi dovrà fornire l’informativa ex artt. 13 e 14 GDPR, chi dovrà occuparsi degli obblighi di notifica di un’eventuale violazione di dati personali, quale è la base giuridica del trattamento svolto da ciascuno dei Contitolari e così via per tutti gli adempimenti previsti a carico dei Titolari dal GDPR.

• Con riferimento ai rapporti Titolare/Responsabile, in primo luogo il Titolare sarà responsabile della scelta dei responsabili, dovendo egli ricorrere a soli responsabili che presentino garanzie sufficienti per l'attuazione di misure tecniche e organizzative adeguate: la valutazione dovrà essere svolta in modo effettivo mediante lo scambio di documentazione privacy che attesti l’adeguatezza del soggetto esterno che interverrà nel trattamento (ad es. politica sulla privacy, politica di gestione dei registri, politica di sicurezza dei dati, rapporti di audit esterni, certificazioni internazionali riconosciute, come le norme ISO 27000). Anche in questo caso, i rapporti dovranno essere contrattualizzati ai sensi dell’art. 28 GDPR. L’assunzione del ruolo di Responsabile invece comporterà la responsabilità diretta per gli obblighi posti dal GDPR direttamente a suo carico, nonché delle violazioni delle istruzioni fornite dal Titolare.

• Nell’ipotesi della Titolarità autonoma, non sarà necessario prevedere una ripartizione delle responsabilità in sede contrattuale in quanto ciascuna delle parti coinvolte sarà responsabile in via complessiva e diretta del rispetto della normativa privacy nell’ambito del trattamento di dati svolto.