L’articolo 89(1) richiede l’applicazione di “garanzie adeguate” al trattamento dei dati personali per scopi di ricerca scientifica o storica o statistica, indipendentemente dalla base giuridica del trattamento. Lo scopo di queste garanzie è quello di assicurare il rispetto del principio di minimizzazione dei dati personali (vedi sottosezione “Principio di minimizzazione” nella sezione “Principi” all’interno della Parte II di queste Linee Guida). Quindi, il primo parametro da analizzare è se le condizioni stesse per il trattamento dei dati personali sono soddisfatte, vale a dire, il trattamento dei dati personali deve essere necessario per svolgere quella particolare ricerca. L’articolo 89, paragrafo 1, prevede che le garanzie appropriate “devono tradursi in misure tecniche e organizzative”, come la pseudonimizzazione. La pseudonimizzazione deve essere accompagnata da altre disposizioni, a seconda dei rischi coinvolti in ogni progetto. I titolari del trattamento devono sempre garantire l’attuazione di misure tecniche e organizzative adeguate per assicurare la protezione dei diritti e delle libertà degli interessati. I seguenti sono alcuni possibili esempi di tali misure o salvaguardie:
- Controllo dell’accesso alle banche dati in modo che tale accesso sia consentito solo alle persone autorizzate, per ricerche approvate, con giustificato interesse scientifico, e soluzione software implementata che permetta un controllo verificabile dei file di log di accesso.
- Firma di un impegno giuridicamente vincolante tra le parti, che include le condizioni del trattamento: impegno alla riservatezza e alla non identificazione degli interessati, e utilizzo dei dati per lo scopo specifico autorizzato.
- Attuare misure di sicurezza per garantire la protezione del trasferimento e dell’archiviazione dei dati presso il destinatario.
- Garantire la trasparenza delle informazioni fornite ai partecipanti.
- Monitoraggio continuo delle condizioni di trattamento nel tempo, che potrebbe assumere la forma di misure di trasparenza (pubblicazione e accessibilità delle politiche di gestione dei dati) e previsioni a lungo termine (identificazione degli obblighi del titolare del trattamento). In relazione a quest’ultimo punto, va sottolineata la necessità di stabilire impegni chiari per monitorare la gestione/il trattamento dei dati personali da parte dell’istituzione che conduce la ricerca e che potrebbero essere più specificamente affidati al corrispondente Comitato di Etica della Ricerca (REC).
- Istituzione di un sistema di controllo esterno allo sperimentatore che potrebbe essere di competenza del REC corrispondente o della direzione del centro di ricerca, che dovrebbe essere coinvolto nel suddetto accordo.
Inoltre, i ricercatori dovrebbero tenere a mente che ci sono altri meccanismi previsti nel regime generale del GDPR che introducono anche misure adeguate al trattamento dei dati a fini di ricerca nel senso dell’articolo 89, paragrafo 1, come le DPIA o l’intervento dei DPO. Infine, è interessante menzionare che ci sono iniziative per promuovere codici di condotta internazionali e meccanismi di certificazione che possono armonizzare queste garanzie.