A. Nozione di “scopi di archiviazione nell’interesse pubblico”
Per archivi di interesse pubblico si intendono quelli di enti pubblici o privati che detengono documenti di interesse pubblico e che, ai sensi del diritto dell’Unione o degli Stati membri, hanno l’obbligo giuridico di acquisire, conservare, valutare, organizzare, descrivere, comunicare, promuovere, diffondere e fornire l’accesso a documenti di valore durevole per l’interesse[1] pubblico generale. Tuttavia, non si applica ai dati delle persone decedute (cfr. “Dati personali”, parte II delle presenti Linee guida, sezione “Concetti principali”).
B. Nozione di “ricerca scientifica
La ricerca scientifica è un termine troppo ampio che si riferisce generalmente alla ricerca della conoscenza, attraverso una certa metodologia, in qualsiasi area del sapere umano. Il GDPR non include una definizione di “ricerca scientifica” in quanto tale, ma introduce una serie di considerazioni che ci permettono di definirne le caratteristiche principali. In primo luogo, la ricerca “scientifica” è diversa dagli “scopi di ricerca storica” e dagli “scopi statistici”. Inoltre, copre diversi campi, ad esempio la ricerca nelle scienze della vita legate alla salute umana, ma anche le scienze sociali (considerando 157 e 159). Deve portare “benefici”, almeno potenzialmente. Questa aspettativa giustifica un regime unico che permette eccezioni e deroghe a certi diritti (art. 89.2).[2]
In questo quadro, il GDPR intraprende un’interpretazione ampia dell’attività scientifica, includendo “lo sviluppo tecnologico e la dimostrazione, la ricerca fondamentale, la ricerca applicata e la ricerca finanziata privatamente” (considerando 159). Questa concezione ampia include progetti di ricerca con risultati pubblicabili e altri studi analitici, senza escludere la ricerca finanziata privatamente o quella finanziata da aziende commerciali a scopo di lucro. Tuttavia, contiene anche alcuni limiti, alcuni criteri che permettono di determinare la misura in cui le eccezioni previste in tutto il GDPR possono essere applicate in uno scenario di aumento delle procedure di analisi dei dati. Tuttavia, il regolamento rimane ambiguo su quali parametri un’attività o un trattamento deve soddisfare per essere considerato “ricerca scientifica”. Il GEPD, nel tentativo di far luce su questo, ha alluso ai seguenti parametri nel suo parere preliminare sulla protezione dei dati e la ricerca scientifica[3]:
- L’attività deve contribuire all’aumento della conoscenza (ricerca scientifica in senso stretto) o all’uso della conoscenza per la produzione di dispositivi, materiali, servizi, processi o prodotti (sviluppo tecnologico e dimostrazione).
- L’attività deve essere sviluppata sotto certi standard di qualità (professionali, metodologici e istituzionali), “compresa la nozione di consenso informato, responsabilità e supervisione”[4].
- “La ricerca è condotta con l’obiettivo di far crescere la conoscenza e il benessere collettivo della società, invece di servire principalmente uno o più interessi privati”.[5]
Secondo questa prospettiva, la ricerca scientifica, ai fini del GDPR, copre l’attività di generazione e applicazione della conoscenza ed esclude l’attività che non presenta una garanzia di rigore nel suo sviluppo. Pertanto, la ricerca scientifica richiede che i progetti di ricerca siano “impostati secondo le norme metodologiche ed etiche pertinenti al settore, in conformità con le buone pratiche”.[6] Le procedure che permettono l’adeguata valutazione di questi parametri, che possono variare da caso a caso, rappresenteranno per il trattamento dei dati nel senso dell’articolo 89.1.
È importante sottolineare che l’insegnamento[7]non può essere considerato un’attività scientifica, anche se è finalizzato alla formazione di professionisti in questo settore. Di conseguenza, dato che il GDPR non ne fa menzione, il trattamento dei dati per questo scopo è soggetto al regime generale, il che può portare a molte disfunzioni nella pratica.[8]
C. Nozione di “ricerca storica”
Il GDPR applica questa descrizione ai dati trattati per scopi di ricerca storica. Questa è una nozione ampia che include sia la ricerca storica stessa che la ricerca per scopi genealogici[9]. Tuttavia, non si applica alla ricerca effettuata con i dati di persone decedute.
D. Nozione di “trattamento a fini statistici”
Per scopi statistici si intende qualsiasi operazione di raccolta e trattamento di dati personali necessari per indagini statistiche o per la produzione di risultati statistici[10]. Tuttavia, i dati risultanti devono essere dati non personali (dati aggregati), ed è inoltre richiesto che né questo risultato né i dati personali siano utilizzati a sostegno di misure o decisioni riguardanti una particolare persona fisica.
Inoltre, ancora una volta, il diritto dell’Unione o degli Stati membri, nei limiti del GDPR, dovrebbe determinare la maggior parte degli aspetti pratici e particolari del trattamento (quali dati sono considerati come contenuto statistico, controllo dell’accesso, e misure appropriate per salvaguardare i diritti e le libertà della persona interessata e per garantire la riservatezza statistica, ecc.)
- Considerando 158 del GDPR. ↑
- Considerando 157 GDPR. ↑
- GEPD, Un parere preliminare sulla protezione dei dati e la ricerca scientifica, 2020, pag. 12. All’indirizzo: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf Accesso: 15 gennaio 2020. ↑
- Ibidem. ↑
- Ibidem. ↑
- EDPB, Linee guida 05/2020 sul consenso ai sensi del regolamento 2016/679, adottate il 4 maggio 2020, v1.1 .,p. 30. Disponibile all’indirizzo: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf Acceduto il 16 settembre 2021. ↑
- “Insegnamento” non deve essere identificato con “espressione accademica” nel contesto dell’art. 85 GDPR. ↑
- Vedi, a proposito di “espressione accademica”, GEPD, p. 10. ↑
- Considerando 160 GDPR. ↑
- Considerando 162 GDPR. ↑