FAQ GDPR

Per “GDPR” (“General Data Protection Regulation”) si intende il nuovo Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali. La nuova normativa è entrata pienamente in vigore in tutti i Paesi dell’Unione Europea il 25 maggio 2018.
In Italia rimane in vigore il Codice privacy (D.Lgs. 196/2003).

Il GDPR introduce importantissime novità per cittadini e imprese, con l’obiettivo dichiarato di elevare il livello di protezione dei dati, rafforzare la fiducia dei cittadini e sostenere la crescita dell’economia digitale.

Si può considerare "dato personale" qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Ad esempio, sono dati personali: carta d’identità, il codice fiscale, il numero di telefono, l’indirizzo e-mail, le informazioni in un referto medico, una fotografia, una fattura se riporta dati che identificano una persona fisica, il ritratto di una persona fisica.

Anche alcune informazioni che, apparentemente, possono sembrare "anonime" in realtà consentono di identificare le persone fisiche. Ad esempio, nella creazione di questionari anonimi, è importante verificare che non solo non siano presenti dati anagrafici, ma nemmeno informazioni che, sulla base di una loro correlazione, consentono di risalire all'identità del compilatore.

Per Trattamento si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, la strutturazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

Il Titolare del trattamento è la persona fisica o giuridica, l’Autorità Pubblica, il servizio o altro Organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, nonché garantisce l’applicazione di adeguate misure di protezione degli stessi. Ad esempio, il Titolare del trattamento di tutti i dati personali di un Ateneo è l’Università, intesa come persona giuridica, rappresentata dal suo Legale Rappresentante, il Rettore pro tempore.

Per ogni tipologia di trattamento dei dati l'Università fornisce l'informativa all'interessato, salvo il caso in cui l'interessato sia già in possesso delle informazioni (art. 13, par. 4 del Regolamento UE) o in altri casi particolari previsti dall'art. 14, par. 5 del Regolamento UE. L'informativa fornita all'interessato deve essere concisa, trasparente, intellegibile, facilmente accessibile e usare un linguaggio chiaro e semplice.

Il personale e chiunque operino sotto l'autorità dell'Università può trattare i dati personali solo per le specifiche finalità indicate nell'informativa fornita all'interessato al momento del conferimento dei dati o per ogni altra finalità prevista dalla legge.

Al fine di adempiere all’obbligo informativo l’Università degli Studi di Parma rende disponibili modelli di informative nello spazio web dedicato alla Privacy.

Ai sensi dell’art. 6, paragrafo 1, lett. c), d), e) del GDPR, l’Ateneo non è tenuto a richiedere il consenso al trattamento dei dati personali per tutte le finalità inerenti alle attività istituzionali dell’Università, per ottemperare ad obblighi di legge e per ragioni di pubblica sicurezza.

Per le finalità che non rientrano nelle finalità istituzionali, o per le quali il trattamento sia reso obbligatorio da previsioni di legge o da ragioni di pubblica sicurezza, dovrà essere valutata qual è la base giuridica adeguata alle specifiche finalità per le quali viene eseguito il trattamento.

Il Referente privacy e i relativi Delegati privacy definiscono la base giuridica del trattamento nell’ambito del sistema di progettazione dei trattamenti, nel rispetto dei principi di “privacy by design” e di “privacy by default”.

Nel caso la base giuridica individuata fosse il consenso (art. 6, paragrafo 1 lett. a) del Regolamento UE), dovrà sempre essere prevista:

1. una modalità di raccolta del consenso idonea a poter dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali;
2. una modalità che permetta all’interessato di revocare il consenso in qualunque momento, con la stessa facilità con la quale è stato accordato.

Quando uno o più titolari del trattamento determinano congiuntamente con l'Università le finalità e i mezzi del trattamento, essi sono Contitolari del trattamento.

L'Università e il Contitolare del trattamento determinano in modo trasparente, mediante un accordo interno, i rispettivi obblighi in merito all'osservanza del Regolamento UE, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni richieste dall'Informativa privacy, salvo quanto previsto dall'art. 26 del Regolamento UE.

L' accordo riflette adeguatamente i rispettivi ruoli e i rapporti dei Contitolari con gli interessati, anche successivamente allo scioglimento del rapporto di contitolarità. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato.

L'interessato può esercitare i propri diritti nei confronti di ciascun contitolare del trattamento.

Il Responsabile della Protezione dei Dati personali è un soggetto, designato dal Titolare del trattamento, per assolvere a funzioni di supporto, controllo, consultive, formative e informative relativamente all'applicazione del Regolamento. Coopera con il Garante e costituisce ilpunto di contatto, anche rispetto agli interessati, per le questioni connesse altrattamento dei dati personali.I suoi compiti sono declinati all’art. 39 del GDPR.

In Ateneo sono individuate le seguenti categorie di designati al trattamento ai sensi dell’art. 29 del GDPR e dell’art. 2 quaterdecies del d.lgs 101/2018:

1. I Referenti privacy
2. I Delegati privacy
3. I Responsabili scientifici

I REFERENTI PRIVACY

I Responsabili delle strutture nell'ambito delle quali i dati personali sono gestiti per le finalità istituzionali, sulla base delle competenze attribuite alla funzione organizzativa o carica istituzionale che ricoprono, sono individuati quali Referenti privacy.

I DELEGATI PRIVACY

Il Delegato privacy viene nominato per iscritto dal Referente privacy che gli impartisce tutte le istruzioni necessarie per lo svolgimento dei propri compiti e finalizzate al rispetto delle norme.

I RESPONSABILI SCIENTIFICI

I Responsabili Scientifici sono i titolari di ricerche, nell’ambito di progetti nazionali e internazionali e figure assimilate.

I Responsabili delle strutture nell'ambito delle quali i dati personali sono gestiti per le finalità istituzionali, sulla base delle competenze attribuite alla funzione organizzativa o carica istituzionale che ricoprono, sono individuati quali Referenti privacy.

I Referenti privacy sono così individuati:

per le attività di competenza del Rettorato: il Rettore o un suo delegato espressamente designato:

• • per le strutture amministrative e gestionali: il Direttore Generale per le attività di competenza della direzione generale e i dirigenti delle direzioni per le rispettive attività di competenza;
  • per le attività di didattica e di ricerca: i Direttori dei dipartimenti di didattica e di ricerca e dei centri, i presidenti delle scuole, i responsabili di altre tipologie di strutture.
  • in relazione ai Centri di Servizio dei Dipartimenti: il Responsabile amministrativo del Centro di Servizio o un suo delegato.

I Referenti privacy hanno il compito di coadiuvare il Titolare nella definizione delle finalità, delle modalità di trattamento e dei mezzi atti a garantire l’osservanza della normativa europea e nazionale sul trattamento dei dati personali, nonché delle relative policy interne all’Ateneo, nello svolgimento dei compiti di cui al paragrafo successivo.

Il Delegato privacy viene nominato per iscritto dal Referente privacy che gli impartisce tutte le istruzioni necessarie per lo svolgimento dei propri compiti e finalizzate al rispetto delle norme. In caso di cessazione o revoca dell’incarico, il Referente privacy comunica all’ufficio di supporto del RPD/DPO il nuovo nominativo.

L'elenco dei Referenti privacy e dei loro relativi Delegati privacy per la protezione dei dati è comunicato al Rettore e al RPD/DPO.

Gli Amministratori di sistema sono i soggetti preposti alla gestione e alla manutenzione di un impianto di elaborazione di dati o di sue componenti; sono anch’essi degli Autorizzati al trattamento e sono appositamente nominati.

Stanti le peculiarità tecniche, l’Amministratore di Sistema ricopre un ruolo estremamente delicato: progetta, sviluppa e gestisce l’infrastruttura di rete, i server, i software i servizi applicativi di base occupandosi spesso della sicurezza e della protezione dei dati e delle risorse. Inoltre, fornisce supporto tecnico (help desk) e informatico su software e hardware. Quando necessario, ricopre un ruolo proattivo nell’ambito delle notificazioni di violazioni di sicurezza dei dati, notificando al RPD/DPO eventuali anomalie riscontrate, malfunzionamenti o rischi di sicurezza.

Sono considerati autorizzati al trattamento tutti coloro che, nello svolgimento delle loro mansioni, accedono ai dati personali necessari al perseguimento delle finalità attribuite all’unità organizzativa di appartenenza. Coloro che trattano dati che competono alla unità organizzativa cui afferiscono, sono ritenuti autorizzati al trattamento dei dati per documentata preposizione ad unità organizzativa e pertanto sono obbligati ad osservare quanto previsto dal presente articolo.

Gli autorizzati al trattamento ricevono opportuna formazione/informazione specifica in materia di trattamento dati.

Con il termine Responsabile esterno viene indicata la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

Sì, i “dati particolari” (ex dati sensibili) di cui all’art. 9, § 1 GDPR, ossia i dati idonei a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
Queste categorie di dati possono essere trattate solo in presenza di una delle basi giuridiche di cui all'art. 9 GDPR o nei casi previsti dall'art. 2 sexies D.Lgs. 196/2003.
Quando la ricerca ha ad oggetto dati di particolari categorie, è necessario attenersi alle misure previste dal Provvedimento del Garante per la protezione dei dati personali n. 146 del 5 giugno 2019, recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 [9124510].

L'Università effettua il trattamento dei dati personali dei dipendenti nell'ambito del rapporto di lavoro adottando garanzie appropriate per assicurare la protezione dei diritti e delle libertà fondamentali degli individui e nel rispetto della legge e dei contratti collettivi.

Il trattamento dei dati relativi ai dipendenti da parte dell'Università non richiede il consenso esplicito in quanto il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale.

L'Università garantisce ai dipendenti l'esercizio dei diritti previsti dagli articoli dal 2 a 22 del Regolamento UE, compreso il diritto di accesso ai dati valutativi di natura soggettiva, nonché il diritto all'informativa.

L'Università adotta misure tecniche e organizzative atte a garantire la tutela delle prerogative individuali e sindacali come disposte dalla normativa italiana, in particolare dallo Statuto dei lavoratori e dalle norme che lo richiamano, oltre che dalle regole deontologiche promosse dal Garante per la protezione dei dati personali.

L'Università può comunicare a soggetti pubblici e privati dati comuni del personale che, in ragione di una qualità professionale specifica, usufruisce di corsi di formazione fomiti in accordo con altri Enti pubblici, con lo scopo di migliorarne la fruibilità e di garantire la qualità e l'efficacia della formazione sul territorio nazionale.

L'Università comunica i dati del personale addetto alla sicurezza sui luoghi di lavoro a soggetti pubblici e privati che contribuiscono alla formazione su tali tematiche.

Nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, l'informativa è fornita all'interessato al momento del primo contatto utile, successivo all'invio del curriculum stesso.

Non è dovuto il consenso al trattamento dei dati personali presenti nei curricula quando il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso.

A norma dell’art 5 par. 1 let. c), il principio di minimizzazione prevede che il Titolare tratti soltanto dati personali “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali i dati sono stati raccolti”.

Il ricercatore, pertanto, dovrà evitare di trattare dati personali “eccedenti” (e quindi non indispensabili) per il raggiungimento delle finalità che si è prefissato.

L'Università adotta misure tecniche e organizzative adeguate al fine di garantire ed essere in grado di dimostrare la conformità del trattamento al Regolamento UE e al Codice in materia di protezione dei dati personali, tenendo conto della natura, dell'ambito di applicazione, del contesto, della base giuridica e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le dette misure sono periodicamente riesaminate e aggiornate.

Nel caso di trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale l'Università è responsabile del rispetto di specifiche condizioni affinché non sia pregiudicato il livello di protezione delle persone fisiche garantito dal Regolamento UE.

L'Università coopera con il Garante per la protezione dei dati personali.

Sarebbe preferibile non porre delle domande su tali dati nel questionario a meno che tali informazioni non siano strettamente funzionali e indispensabili alla ricerca che deve essere condotta.
Si raccomanda in ogni caso di adottare la massima cautela nella raccolta, conservazione ed elaborazione di tali dati.

No, non è sufficiente non richiedere nome e cognome del rispondente per garantire l’anonimità.
È, infatti, possibile risalire all’identità di un soggetto anche attraverso altri dati come (a titolo esemplificativo e non esaustivo) il comune di residenza, l’indirizzo email, il numero di telefono, la data e il luogo di nascita.
Il rischio di identificare il soggetto è tanto maggiore quanto più specifiche sono le domande anagrafiche poste.

Un sondaggio è anonimo quando, pur attraverso una successiva operazione di collegamento ad informazioni di diversa natura, non sussiste o è minimo il rischio di identificazione diretta e indiretta del rispondente.
Per comprendere se un questionario è realmente anonimo occorre considerare il rischio di individuazione, correlabilità e deduzione dell’identità del rispondente e porsi delle domande specifiche:

Individuazione
Una o più risposte date dal soggetto che compila il questionario consentono di individuare il soggetto all’interno di quell’insieme di dati?
È evidente che la richiesta di dati quali nome, indirizzo e-mail, e tutti quelli che in linea di massima sono riconducibili a un unico soggetto non siano anonimi. Deve essere anche considerata la potenzialità di individuazione tramite la richiesta di dati “rari” che sono a tutti gli effetti dei quasi-identificatori correlati al campione del questionario. A titolo esemplificativo, quando il questionario è rivolto a un definito numero di partecipanti (es. una sola classe) e si chiede la nazionalità di provenienza, è evidente che pur non chiedendo ulteriori dati personali si potrebbe individuare l’unico soggetto straniero presente in quella classe. Indicativamente per non ritenersi individuabile il “quasi indicatore” non dovrebbe riguardare meno di 3 soggetti in uno stesso gruppo;

Correlabilità
Una o più risposte date dal soggetto che compila il questionario consentono di individuare il soggetto all’interno di altri insieme di dati a disposizione del Titolare?
Ad esempio se, pur non chiedendo il nome ad uno studente, si chiedono dati quali la data di nascita o l’anno di nascita, esatto nome del corso frequentato e magari anche il Comune di provenienza è evidente che potenzialmente si possa identificarlo incrociando questi dati con la banca dati dell’Ateneo;

Deduzione
E' possibile che da una o più risposte date si possano dedurre altre risposte che sono relative a dati personali?
È importante che non vi possa essere correlazione stretta tra le risposte in modo da escludere la potenzialità che dall’incrocio delle stesse risposte al questionario la persona sia identificabile. A titolo esemplificativo la richiesta del Comune di provenienza non consente una efficace anonimizzazione del dato perché la scala o ordine di grandezza utilizzato è di per sé limitante.

In linea di massima, e al fine di evitare l’identificabilità del soggetto, è opportuno porre in essere questi accorgimenti:

- utilizzare intervalli numerici. Non chiedere un numero preciso (1, 2, 3) ma individuare un intervallo (da 1 a 5, da 6 a 10, etc). Il presente accorgimento dovrebbe essere adottato anche in riferimento a età o altre indicazioni numeriche specifiche;

- utilizzare scale o ordini di grandezza efficaci per tutti le domande del questionario: es. regione anziché una città, un anno anziché una data;

- assicurarsi che il campione di potenziali interessati alle risposte al questionario sia quanto più elevato possibile;

- assicurarsi di non richiedere nello specifico dati “rari” o quasi identificatori (come, ad esempio, data di nascita, razza, etnia, composizione nucleo famigliare ecc.);

- preferire le domande a risposta multipla rispetto alle domande aperte, in quanto queste ultime acquisicono il rischio di identificazione del rispondente che potrebbe fornire informazioni che riconducano alla sua persona.

Se il sondaggio non è anonimo, è necessario anzitutto predisporre un’informativa ex art.13 GDPR, allegarla al questionario e avvertire il rispondente, nell’introduzione al questionario, che la risposta allo stesso comporta il trattamento dei dati personali.

Si, se il sondaggio è anonimo non è necessaria l'informativa.

Per redigere il questionario puoi utilizzare la piattaforma EUSurvey (fortemente raccomandata) o Microsoft Forms con licenza Universitaria.

Se il sondaggio è anonimo ed è stato predisposto utilizzando:

- EUSurvey (fortemente consigliato)
“Il questionario è stato predisposto in modo da non raccogliere dati personali che identificano in maniera diretta o anche solo potenziale i diretti interessati. Per la diffusione del questionario e la raccolta delle risposte viene utilizzata la piattaforma EUSurvey, un’applicazione sviluppata dalla Comunità Europea, che non colleziona ulteriori dati personali degli utenti che rispondono al questionario, si rimanda all’informativa privacy prevista da questo strumento: https://ec.europa.eu/eusurvey/home/privacystatement. I cookie della piattaforma EUSurvey vengono cancellati al termine della sessione.”

- Microsoft Forms
“Il questionario non raccoglie dati personali che identificano in maniera diretta o anche solo potenziale i diretti interessati. Per la raccolta delle risposte viene utilizzata la piattaforma Microsoft Form, app di proprietà di Microsoft Corporation che potrebbe raccogliere ulteriori dati degli utenti (es. indirizzo IP, localizzazione, etc.) in conformità ai propri termini di servizio e la propria normativa privacy che accetti utilizzando il servizio ed è consultabile a questo link https://privacy.microsoft.com/it-it/privacystatement”;

- Se il sondaggio non è anonimo
“Il questionario predisposto raccoglie dati personali che identificano in maniera diretta o anche solo potenziale i diretti interessati. Si raccomanda di leggere attentamente l'informativa privacy prima di rispondere al questionario [inserire link o documento pdf contenente l’informativa per lo specifico questionario]. La risposta al questionario comporta il consenso al trattamento dei dati personali come indicato nell'informativa allegata (ai sensi dell'art.13 del Regolamento UE 679/2016, Regolamento Generale sulla Protezione dei Dati, GDPR)”. Anche in questo caso si consiglia di utilizzare EUSurvey correttamente configurato.

I Responsabili Scientifici sono i titolari di ricerche, nell’ambito di progetti nazionali e internazionali e figure assimilate.

Trattano i dati nell’ambito del proprio progetto di ricerca e sono i referenti per l’attività svolta e vigilano sul trattamento e la protezione dei dati.

Il Responsabile Scientifico è designato al trattamento dal Titolare quando svolge attività di ricerca propria dell’Università di Parma, anche nell’ambito di attività di ricerca nazionali e internazionali.

I soggetti appartenenti al gruppo di ricerca relativo ad un determinato studio devono essere designati al trattamento dei dati dal Responsabile Scientifico stesso.

Alcune ricerche potrebbero comportare i trattamento di particolari categorie di dati o comportare un rischio per i diritti e libertà degli interessati. Per tali motivi, in alcuni casi è necessario effettuare e essere in grado di documentare una Valutazione di impatto sul trattamento dei dati personali (DPIA).

Il Garante definisce quando è necessario effettuare una DPIA: "Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi  individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti  - cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato."

Maggiori informazioni sul sito del Garante

Si, l'art. 6 delle Regole Deontologiche (Informazioni agli interessati) prevede quanto segue:
1. Nella raccolta di dati per uno scopo statistico, nell´ambito delle informazioni di cui all´art. 13 RGPD del decreto è rappresentata all´interessato l´eventualità che i dati personali possono essere conservati e trattati per altri scopi statistici o scientifici, per quanto noto adeguatamente specificati anche con riguardo alle categorie di soggetti ai quali i dati potranno essere comunicati.
2. Quando, con riferimento a parametri scientificamente attendibili, gli obiettivi dell´indagine, la natura dei dati e le circostanze della raccolta sono tali da consentire ad un soggetto di rispondere in nome e per conto di un altro in quanto familiare o convivente, l´informativa all´interessato può essere data per il tramite del soggetto rispondente, purché il trattamento non riguardi categorie particolari di dati personali o personali relativi a condanne penali e reati di cui, rispettivamente, agli artt. 9 e 10 del Regolamento (UE)2016/679.
3. Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l´informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità, ad esempio, con le seguenti modalità:
• per trattamenti riguardanti insiemi numerosi di soggetti distribuiti sull´intero territorio nazionale, inserzione su almeno un quotidiano di larga diffusione nazionale o annuncio presso un´emittente radiotelevisiva a diffusione nazionale;
• per trattamenti riguardanti insiemi numerosi di soggetti distribuiti su un´area regionale (o provinciale), inserzione su un quotidiano di larga diffusione regionale (o provinciale) o annuncio presso un´emittente radiotelevisiva a diffusione regionale (o provinciale);
• per trattamenti riguardanti insiemi di specifiche categorie di soggetti, identificate da particolari caratteristiche demografiche e/o da particolari condizioni formative o occupazionali o analoghe, inserzione in strumenti informativi di cui gli interessati sono normalmente destinatari.

Maggiori informazioni sul sito del Garante:

1. Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018 [9069637]
2. Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018 [9069661]
3. Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018 [9069677]
4. Nuove regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico nazionale - 15 aprile 2021 [9582086]

Si, l'art. 7 delle Regole Deontologiche (Principi applicabili al trattamento delle particolari categorie di dati di cui all’art. 9, § 1 e di dati relativi a condanne penali e reati di cui all’art. 10 del Regolamento) prevede:
1. Le particolari categorie di dati di cui all’art. 9, § 1 e i dati relativi a condanne penali e reati di cui all’art. 10, trattati per scopi statistici e scientifici devono essere di regola in forma anonima.
2. I soggetti di cui all´art. 2, comma 1, possono trattare categorie particolari di dati personali per scopi statistici e scientifici quando:

1. l´interessato ha espresso liberamente il proprio consenso sulla base degli elementi previsti per l´informativa;
2. il consenso è manifestato per iscritto. Quando la raccolta delle categorie particolari di dati personali è effettuata con modalità –quali interviste telefoniche o assistite da elaboratore o simili– che rendono particolarmente gravoso per l´indagine acquisirlo per iscritto, il consenso, purché esplicito, può essere documentato per iscritto. In tal caso, la documentazione dell´informativa resa all´interessato e dell'acquisizione del relativo consenso è conservata dal titolare del trattamento per tre anni.
3. se le informazioni vengono raccolte on line è necessario inserire un check button che di default non è checked con il quale viene esplicitamente richiesto il consenso. E' necessario che venga mantenuta memoria della scelta del compilatore / interessato.

L'art. 5 delle Regole Deontologiche (Criteri per la valutazione del rischio di identificazione) prevede:
1. Ai fini della comunicazione e diffusione di risultati statistici, la valutazione del rischio di identificazione tiene conto anche dei seguenti criteri:
a) si considerano dati aggregati le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un´intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia. Il valore minimo attribuibile alla soglia è pari a tre;
b) nel valutare il valore della soglia si deve tenere conto del livello di riservatezza delle informazioni;
c) i risultati statistici relativi a sole variabili pubbliche non sono soggette alla regola della soglia;
d) la regola della soglia può non essere osservata qualora il risultato statistico non consenta ragionevolmente l´identificazione di unità statistiche, avuto riguardo al tipo di rilevazione e alla natura delle variabili associate;
e) i risultati statistici relativi a una stessa popolazione possono essere diffusi in modo che non siano possibili collegamenti tra loro o con altre fonti note di informazione, che rendano possibili eventuali identificazioni;
f) si presume adeguatamente tutelata la riservatezza nel caso in cui tutte le unità statistiche di una popolazione presentano la medesima modalità di una variabile.

Solo nel caso in cui gli “atteggiamenti o le opinioni siano in grado di rilevare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale o dati relativi alla salute o alla vita o all’orientamento sessuale del soggetto investigato.

Tutti i dati, compresi quelli comportamentali, che rivelino in modo univoco informazioni connesse allo stato di salute fisica o mentale passata, presente o futura di una persona fisica identificata o identificabile rientrano nell’ambito dei dati relativi alla salute ed il loro trattamento è assoggettato alla speciale disciplina contenuta nell’art. 9 Regolamento UE 2016/679 (“GDPR”).

È il ricercatore stesso che deve valutare quando i dati che sta rilevando sono dati rilevanti per la salute mentale, e decidere il livello di protezione da assegnare.

(A titolo esemplificativo i dati raccolti dagli psicologi attraverso scale psicometriche o altri strumenti di rilevazione come "ansia" "depressione" o "burnout" rientreranno nella categoria “particolare” di dati ex art. 9 del GDPR nel caso in cui attraverso tali rilevazioni si riesca ad identificare uno specifico partecipante alla ricerca)

No, sono documenti con contenuti diversi e redatti per finalità differenti.

Il consenso al trattamento dei dati è una delle molteplici basi giuridiche che rendono lecito il trattamento dei dati personali.

Il consenso informato, invece, non trae origine dal GDPR ma è regolato direttamente dalla dichiarazione di Helsinki relativa ai principi etici per la ricerca che coinvolge i soggetti umani emanata ad ottobre 2013. Tale consenso permette al partecipante di “avere informazioni su scopi, metodi, provenienza dei fondi e conflitti di interesse, affiliazioni istituzionali dei ricercatori coinvolti, benefici attesi e potenziali rischi dello studio, disagi che potrebbe comportare, disposizioni post-studio e qualsiasi altro aspetto rilevante dello studio stesso”.

Il Regolamento UE 2016/679 (“GDPR”) non prevede specifiche modalità pratiche per raccogliere il consenso dei genitori del minore, pertanto spetta al titolare del trattamento porre in atto le misure adeguate per accertarsi che il consenso sia prestato o autorizzato da entrambi i genitori.

Il Titolare sarà tenuto a provare di aver acquisito il consenso al trattamento da parte gli esercenti la responsabilità genitoriale e pertanto occorrerà inviare loro il modulo dell’informativa sulla privacy (qualora non reperibile su un sito istituzionale a cui poter rimandare) e la richiesta di consenso che dovranno essere rispediti sottoscritti, anche con modalità telematiche.

Il fatto che sul PTOF venga inserita la realizzazione di un’indagine su soggetti minorenni non esonera il Titolare del trattamento dal provvedere a raccogliere tutti i necessari consensi da

parte degli interessati (e/o le autorizzazioni dei genitori dei minori partecipanti alla ricerca) prima di effettuare il trattamento programmato.