Il GDPR include alcuni concetti di particolare rilevanza. Non è possibile soddisfare adeguatamente i requisiti di questa norma se non li si gestisce in modo corretto. Cinque sono discussi in questa sezione: dati personali; trattamento; protezione dei dati per progettazione e per impostazione predefinita; identificazione, pseudonimizzazione e anonimizzazione; protezione dei dati e ricerca scientifica. Due di essi sono particolarmente complessi e/o rilevanti ai fini delle presenti Linee guida.
Protezione dei dati e ricerca scientifica
Come ha sottolineato il Garante europeo della protezione dei dati (GEPD), “la Commissione europea ha definito gli obiettivi delle politiche dell’UE in materia di ricerca e innovazione come “l’apertura del processo di innovazione a persone con esperienza in settori diversi da quello accademico e scientifico”, “la diffusione delle conoscenze non appena disponibili utilizzando le tecnologie digitali e collaborative” e “la promozione della cooperazione internazionale nella comunità della ricerca”.[1] In effetti, le norme sulla protezione dei dati non dovrebbero costituire un ostacolo alla libertà della scienza, ai sensi dell’articolo 13 della Carta dei diritti fondamentali dell’UE (CFREU). Piuttosto, questi diritti e libertà devono essere attentamente valutati e bilanciati, ottenendo un risultato che rispetti l’essenza di entrambi. Questa sezione delle Linee guida intende aiutare i ricercatori nel campo delle TIC a raggiungere tale equilibrio.
Identificazione, pseudonimizzazione e anonimizzazione
Una delle questioni più complesse da affrontare quando si devono trattare dati personali è stabilire se tali dati ci permettono di identificare un soggetto. Spesso si tratta di valutare se i dati sono stati resi anonimi o meno. Altre volte i dati non possono essere resi anonimi, ma devono rimanere collegati all’interessato. In queste occasioni, la pseudonimizzazione è l’opzione più pertinente. Purtroppo non è sempre facile capire in quale scenario ci troviamo. Pseudonimizzazione e anonimizzazione sono concetti correlati. In particolare, sono entrambi definiti in termini di identificazione. Per questo motivo, entrambi gli argomenti sono trattati in un’unica sezione e la prima sottosezione analizza il significato tecnico concreto dell’identificazione.
References
1EDPS, A Preliminary Opinion on data protection and scientific research, 2020, p. 10. At: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf Accessed: 15 January 2020. ↑