Il programma Horizon Europe vedrà i dati, e non solo i dati personali, assumere un ruolo sempre più strategico nella ricerca scientifica. Saranno diversi gli strumenti legislativi che interverranno nella regolamentazione. Primo fra tutti il GDPR, particolarmente rilevante per le finalità di ricerca scientifica in campo medico, biomedico ed epidemiologico, che intende, anche mediante le disposizioni normative di diritto nazionale e le misure di garanzia disposte dalle Autorità, fornire da un lato il pieno supporto alle attività di ricerca, dall’altro mettere al centro la sicurezza dei trattamenti.
Il nuovo programma Horizon Europe
Con il ciclo settennale di bandi di Horizon2020 in via di esaurimento, il Parlamento europeo sta approvando il nuovo Programma di finanziamento Horizon Europe per il settennio 2021-2027.
Particolarmente focalizzato sull’innovazione digitale, cambiamenti climatici, sostenibilità ed economia circolare, il nuovo Programma intende rafforzare la competitività e la partecipazione degli enti europei mediante nuovi framework, attualmente in fase di elaborazione; l’esigenza di sicurezza, al passo con l’evoluzione tecnologica, è sempre maggiore, e non a caso in questo periodo assistiamo ad uno sviluppo di strumenti legislativi e regolatori particolarmente vivace.
Rispetto a Horizon 2020, che, nato nel grembo della Direttiva 45/96/CE, ha “scoperto” il GDPR e la Direttiva NIS soltanto nella piena maturità, Horizon Europe potrà infatti contare anche anche su altri strumenti legislativi:
- il Regolamento (UE) 2018/1807 sulla libera circolazione dei dati non personali nell’Unione europea;
- la direttiva relativa al “secondary use” delle informazioni nel settore pubblico (Direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio);
- il recentissimo Regolamento (UE) 2019/881, più noto come Cybersecurity Act, che prevede anche nuovi modelli di certificazione, e che, insieme al Regolamento ePrivacy di prossima adozione, potrà influire sui framework di gestione dei progetti di ricerca con eventuali requisiti di sicurezza ICT.
GDPR e ricerca scientifica
Tenuto conto dell’Art. 179 del TFUE, che specifica che «l’Unione si propone l’obiettivo di rafforzare le sue basi scientifiche e tecnologiche con la realizzazione di uno spazio europeo della ricerca nel quale i ricercatori, le conoscenze scientifiche e le tecnologie circolino liberamente», il Regolamento (UE) 2016/679 ha sicuramente recepito le necessità di maggiore libertà nel riutilizzo di informazioni, anche di natura particolare, nei progetti di ricerca scientifica finalizzati al miglioramento delle condizioni umane; ad ogni modo, con maggiore attenzione nell’applicazione delle misure di sicurezza ai trattamenti, e con i necessari aspetti regolatori di accountability che ritroviamo in tutto il GDPR.
Sono numerosissimi i considerando in cui si fa riferimento alla ricerca scientifica: 26,33, 50, 52, 53, 62, 65, 113, 156, 157, 159, 161, 162.
E troviamo un valido supporto negli Articoli 5, 9, 14, 17, 21, e nello specifico Articolo 89.
In Italia, con il Titolo VII del Codice Novellato (Artt. da 97 al 110 bis), sono state confermate le logiche di apertura già attuate da tempo nel nostro paese e, grazie alle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica (pubblicate nel gennaio 2019), e alle misure di garanzia indicate nel Provvedimento dell’Autorità Garante Privacy del 5 giugno 2019 (recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 1), il focus su minimizzazione dei dati e misure di pseudonimizzazione e crittografia per la riduzione dei rischi è ormai ben conosciuto da università ed enti di ricerca.
Tuttavia con l’avvento del GDPR, nei progetti che prevedono trattamenti di dati personali (anche se elaborati per successivi processi di anonimizzazione) con la necessità di formalizzare per gli enti partecipanti (Coordinatori, Partners, WP Leaders) sia le attività di trattamento nei Registri ex Art. 30 del Regolamento, sia i ruoli (Titolare, Responsabile, Contitolare, talvolta difficili da individuare nell’ambito del progetto), si sono inizialmente riscontrate alcune difficoltà; forse anche perché le previsioni normative sono state recepite, all’interno dello stesso framework Horizon2020, come immediati vincoli per stabilire come gestire gli aspetti di protezione dati in documenti progettuali quali i templates di proposta del Model Grant Agreement (MGA) di Horizon 2020, il Consortium Agreement, e soprattutto per la valutazione dei rischi da realizzare, ove necessario, nel Documento di Progetto.
La gestione del consenso
Fortunatamente, grazie alla crescente consapevolezza acquisita con lo spirito di innovazione (che certo non manca nel settore), ai percorsi formativi specifici e all’obbligo, per molte Organizzazioni, di dotarsi di un Data Protection Officer, man mano gli adempimenti sono diventati più agevoli.
Soprattutto nei progetti di ricerca scientifica in campo medico, biomedico ed epidemiologico, il tema della complicata gestione del consenso, da considerarsi comunque base giuridica preferenziale, ha trovato, nel caso sia impossibile, estremamente difficile o non opportuno acquisirlo, conforto nelle disposizioni normative nazionali, e nella conferma delle misure di garanzia, che prevedono il ricorso al parere dei comitati etici, all’effettuazione di valutazioni di impatto e in taluni casi alla consultazione preventiva dell’Autorità Garante.
Non si vuole in questa sede dettagliare le condizioni di liceità e le ulteriori disposizioni, già analizzate in questo articolo.
Può essere invece utile fornire alcuni spunti di riflessione per evitare confusione in alcuni step operativi. Eccone alcuni:
- poiché i ruoli privacy degli enti partecipanti vanno formalizzati, è essenziale che ciascun ente sia in grado di dimostrare le necessarie garanzie a tutela dei dati personali trattati; una piena comprensione dei principi e delle disposizioni del Regolamento e delle misure di sicurezza da applicare ai trattamenti è dunque obbligatoria per ogni addetto ai lavori, che dovrà essere opportunamente formato e istruito.
- nello schematizzare le fasi progettuali in Working Packages è necessario definire le attività di trattamento coinvolte, anche solo a livello preliminare. Spesso ci si chiede se debbano tutte essere inserite nei registri delle attività di trattamento dell’Ente: il suggerimento che lo scrivente si sente di dare è il seguente: sicuramente servirà dettagliare maggiormente l’attività in quanto solo con una attenta analisi delle operazioni i ruoli e le finalità vengono chiarite, per cui il Registro ex Art. 30 potrebbe anche riportare soltanto il progetto nella sua globalità, rimandando le descrizioni più sistematiche dei trattamenti in altre evidenze (ad esempio il Registro delle Valutazioni di impatto, visto che di fatto il report DPIA è considerato ormai un deliverable di progetto quasi sempre obbligatorio.
- elencare dunque le diverse attività di trattamento fornendo per ciascuna una descrizione sistematica, che risponda alle domande: “Quali sono i dati trattati? Quali sono le risorse di supporto ai dati? (Assets – PC – App – Servers – Documenti cartacei ..)? Quali sono le operazioni sui dati dell’attività di trattamento? Qual è il ciclo di vita del trattamento dei dati? ”
Delle tabelle come queste riportate di seguito (a livello molto semplificato) possono essere utili nella stesura del Data Management Plan:
| Tipologia di dati personali | Assets a supporto | Sistemi di comunicazione |
| Ente partecipante | Attività svolta | Garanzie affidabilità |
| Tipologia di operazioni relative al trattamento | Selezione | Descrizione |
| Raccolta | ☐ | |
| Registrazione | ☐ | |
| Organizzazione e Strutturazione | ☐ | |
| Conservazione | ☐ | |
| Consultazione | ☐ | |
| Uso | ☐ | |
| Modifica | ☐ | |
| Estrazione | ☐ | |
| Elaborazione automatizzata | ☐ | |
| Elaborazione decisionale interamente automatizzata | ☐ | |
| Profilazione | ☐ | |
| Pseudonimizzazione | ☐ | |
| Anonimizzazione | ☐ | |
| Comunicazione mediante trasmissione | ☐ | |
| Diffusione | ☐ | |
| Raffronto o interconnessione | ☐ | |
| Limitazione | ☐ | |
| Cancellazione | ☐ | |
| Distruzione | ☐ | |
| Copia protetta / Backup | ☐ | |
| Ripristino | ☐ |
Inoltre, è bene documentare il flusso dei dati nell’ambito delle diverse fasi del progetto. Ecco un esempio di inizio flowchart:
Sicuramente documentare nel dettaglio tutti questi aspetti può essere considerato un esercizio oneroso, che viene svolto in genere a progetto approvato, ma aiuta a non confondere i ruoli nelle attività di trattamento, a non perdere di vista aspetti organizzativi e tecnologici (che possono incidere sui costi!), e soprattutto consente di fornire evidenze concrete a supporto della Valutazione di impatto sulla protezione dati.
Ultimo suggerimento, è quello di individuare una metodologia e uno strumento specifico per la valutazione del rischio, visto che quest’ultima deve essere inclusa nel Piano di progetto, e una metodologia per la Valutazione di impatto.
E’ opportuno documentare le scelte metodologiche in una Policy specifica, che possibilmente indichi anche gli strumenti da utilizzare, condivisibile con ogni partecipante e utile per la generale accountability dell’attività.
Anche perché nel Data Management Plan, a seconda della tipologia di progetto, il Project Officer della Commissione UE potrebbe richiedere documentazione aggiuntiva.
