Gentile Damiano,

Non posso che ringraziare.

L’Università di riferimento ha nominato un DPO come previsto dal GDPR. Tuttavia rimane oscuro il motivo per cui tale DPO non abbia verificato se il già citato Comitato Etico avesse o meno autorizzato la fase della raccolta dati. Da notare che, in assenza di tale autorizzazione, al gruppo della ricerca non è assolutamente consentito procedere in tale direzione. 

Siamo forse in presenza di un paradosso tecnico / organizzativo (o normativo?) di cui il diritto potrebbe occuparsi?

Ringrazio ancora tutte e tutti,

Emanuele

Le mer. 27 juill. 2022, à 19 h 49, Damiano Verzulli <damiano@verzulli.it> a écrit :
Il 27/07/22 14:04, Emanuele Achino ha scritto:
> Carissime e carissimi,
>
> Vorrei chiedere in particolare gli studiosi del GDPR un chiarimento.
>
> Se un gruppo di ricerca accademico procede con la raccolta e il
> salvataggio di alcuni dati senza aver ottenuto la preliminare
> autorizzazione dal rispettivo comitato etico universitario, tale fatto
> entra in conflitto con gli indirizzi previsti dal GDPR?

Premesso che non sono un esperto di GDPR..... la mia opinione (molto a
grandi linee) è che il GDPR è centrato "sulla protezione del dato" e
sulle modalità con le quali tale dato possa/debba essere "trattato",
prevedendo esplicitamente alcune figure alle quali assegnare determinate
responsabilita'.

In tutta tale architettura, non è citato un "Comitato Etico".... che,
quindi, direi che operi esternamente alle tutele previste dal GDPR
rispetto ai dati trattati.

In altri termini: il focus del GDPR è garantire che i dati acquisiti dal
"gruppo di ricerca" siano trattati (dal gruppo di ricerca in primis, e
quindi anche dall'Istituzione cui gli umani di tale gruppo afferiscono)
secondo i dettami... del GDPR. E tutto cio' è indipendente dalla
presenza o meno di un Comitato Etico. Ovviamente, se il Comitato Etico
viene coinvolto (e quindi ha un qualche accesso a tali dati...) anche
questo tipo di "trattamento" dovra' essere compatibile con i dettami del
GDPR.

La cosa piu' banale e piu' efficace che posso suggerire è che il GDPR
prevede esplicitamente la figura del DPO - Data Protection Officer -,
con un ruolo di responsabilita' tale per cui... si puo' certamente
segnalare a lei/lui l'esigenza / l'operato del gruppo di ricerca al fine
di valutarne (da parte del DPO) la compliance con il GDPR. La nomina del
DPO è obbligatoria (e scommetto una pizza che una organizzazione che ha
un Comitato Etico ha certamente nominato un DPO).

Viceversa, l'eventuale coinvolgimento del Comitato Etico immagino
afferisca ad aspetti "organizzativi" dell'Ente di riferimento e la
decisione di coinvolgerlo ( o meno ) nell'attivita' di ricerca, ritengo
esuli dalle esigenze di tutela del dato (al netto del fatto che, se lo
si coinvolge, allora tale coinvolgimento deve comunque garantire la
tutela del dato).

...ma, ripeto, non sono un esperto.

Saluti,
DV

--
Damiano Verzulli
e-mail: damiano@verzulli.it
---
possible?ok:while(!possible){open_mindedness++}
---
"...I realized that free software would not generate the kind of
income that was needed. Maybe in USA or Europe, you may be able
to get a well paying job as a free software developer, but not
here [in Africa]..." -- Guido Sohne - 1973-2008
    http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html

_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa