Il Datenschutzkonference, l’organismo che raggruppa i garanti dei dati personali tedeschi ha pubblicato un documento sul raporto fra il Considerando 33 del GDPR e la sua applicazione alla ricerca scientifica. E come spesso accade quando ci si confronta con questo tema, i risultati sono inutili, incoerenti e inapplicabili. Un’analisi più dettagliata consentirà di capire la ragione di un giudizio così netto su questo documento.
In primo luogo, i Garanti tedeschi ritengono che:
Insbesondere wird es nicht als mit dem Erwa?gungsgrund 33 vereinbar erachtet, wenn die Verwendung der erhobenen Daten pauschal auf bestimmte Forschungsbereiche ausgeweitet wird.
Cioè non considerano compatibile con il Considerando 33 l’estensione dell’uso di dati raccolti per un certo tipo di ricerca ad ambiti più ampi. Ma questo è esattamente il modo in cui funziona la ricerca scientifica che, per definizione, è imprevedibile e i cui risultati sono fortemente influenzati dalla serendipity. Imporre una limitazione come quella voluta dai Garanti tedeschi significa generare inerzia inutile su attività che, peraltro, sono di interesse pubblico e tutelano un bene costituzionalmente garantito – la salute – e che come tale prevale sul diritto alla protezione dei dati personali (attenzione, questo non vuol dire che il GDPR non si applica, ma solo che nel bilanciamento di interessi, l’interpretazione della norma dovrebbe essere a favore della ricerca).
In secondo luogo, è vero che successivamente, i garanti tedeschi “aprono” a un uso del consenso esteso (breiten Einwilligungen), ma a condizioni che non appaiono molto sensate.
Fra le ulteriori garanzie per assicurare la trasparenza verso l’interessato, i garanti propongono di:
- rendere disponibile il contenuto del progetto di ricerca all’interessato. Che per poterne comprendere il contenuto, tuttavia, dovrebbe avere cognizioni scientifiche almeno pari a quelle dei ricercatori,
- specificare perché, in un certo ambito di ricerca, non è possibile indicare le finalità ulteriori. Ma dare una prova negativa è impossibile, sopratuttto quando non si ha idea di quali strade si potrebbero scoprire procedendo con il progetto originario,
- creare un punto di presenza sull’internet per informare i partecipanti sull’evoluzione della ricerca in corso e di quelle future. Il diritto alla protezione dei dati personali non si estende sino al punto di consentire un’intromissione nell’attività di ricerca nè può configurare un qualche diritto di accesso relativo alle evoluzioni del progetto. Il partecipante riceve l’informativa, presta il consenso (se del caso) e l’esercizio dei suoi diritti è limitato a quanto sopra. Specie nelle ricerche meramente osservazionali dove i dati sono raccolti senza nemmeno interagire con il paziente,
- acquisire il parere del comitato etico prima di estendere l’ambito della ricerca. Ma il parere del comitato etico è obbligatorio ai sensi della Convenzione di Oviedo (che non riguarda il trattamento dei dati personali), solo in determinati tipi di ricerca, e comunque non ai sensi del GDPR. Se una ricerca non è assoggettata a parere del comitato etico vuol dire che non presenta rischi in termini di trattamento dei dati personali. Se, viceversa, il parere del comitato è necessario, allora i profili relativi al GDPR e alla tutela dei diritti e delle libertà fondamentali delle persone sono già assorbiti dal parere stesso,
- valutare la possibilità di gestire dinamicamente il consenso in modo da consentire l’eventuale revoca in caso di nuova ricerca. A parte il costo economico, burocratico e organizzativo di un adempimento del genere, sarebbe praticamente impossibile seguire una strada di questo tipo in studi che prevedono l’uso di enormi quantità di dati,
- astenersi dal comunicare dati verso Paesi che non offrono adeguate garanzie di tutela giuridica. Questa indicazione – peraltro esplicita nel GDPR e dunque non “aggiuntiva” – è pacificamente inapplicabile. Vogliamo veramente sostenere che non si possono scambiare dati con gli USA? E se la UE ha concordato da pochissimo con il Giappone la clausola di adeguatezza dell’ordinamento nipponico sul trattamento dei dati personali, vuol dire che tutto quello che è stato fatto sino a quel momento è illegale?
- adottare misure di cifratura e pseudonomizzazione. La cifratura, nel GDPR, è come il nero nella moda: “va” su tutto. E, nel caso specifico, non è detto che sia una misura praticabile, come nel caso delle malattie rare dove l’identità dei pazienti è, con tutta evidenza, impossibile da nascondere. In ogni caso quella dei garanti tedeschi è un’affermazione talmente generica da non avere praticamente alcuna utilità conreta,
- adottare specifiche misure per limitare l’accesso ai dati raccolti. Anche in questo caso siamo di fronte a una parafrasi del GDPR, senza che ci sia un effettivo “valore aggiunto” nelle indicazioni dei Garanti.
In sintesi, dunque, siamo di fronte a un documento che risulta di scarso utilizzo pratico perchè confonde (come spesso accade) gli adempimenti connessi alla Convenzione di Oviedo con quelli relativi al GDPR, si limita a parafrasare obblighi già previsti dal Regolamento sulla protezione dei dati personali e propone delle misure che non tengono conto della specificità delle ricerche – e di quelle genetiche in particolare – basate sull’utilizzo di grandi quantità di dati (non necessariamente tutti) personali.
Possibly Related Posts:
- Chatbot troppo umani, i rischi che corriamo
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)