Il 27/07/22 14:04, Emanuele Achino ha scritto:
Carissime e carissimi,
Vorrei chiedere in particolare gli studiosi del GDPR un chiarimento.
Se un gruppo di ricerca accademico procede con la raccolta e il salvataggio di alcuni dati senza aver ottenuto la preliminare autorizzazione dal rispettivo comitato etico universitario, tale fatto entra in conflitto con gli indirizzi previsti dal GDPR?
Premesso che non sono un esperto di GDPR..... la mia opinione (molto a grandi linee) è che il GDPR è centrato "sulla protezione del dato" e sulle modalità con le quali tale dato possa/debba essere "trattato", prevedendo esplicitamente alcune figure alle quali assegnare determinate responsabilita'. In tutta tale architettura, non è citato un "Comitato Etico".... che, quindi, direi che operi esternamente alle tutele previste dal GDPR rispetto ai dati trattati. In altri termini: il focus del GDPR è garantire che i dati acquisiti dal "gruppo di ricerca" siano trattati (dal gruppo di ricerca in primis, e quindi anche dall'Istituzione cui gli umani di tale gruppo afferiscono) secondo i dettami... del GDPR. E tutto cio' è indipendente dalla presenza o meno di un Comitato Etico. Ovviamente, se il Comitato Etico viene coinvolto (e quindi ha un qualche accesso a tali dati...) anche questo tipo di "trattamento" dovra' essere compatibile con i dettami del GDPR. La cosa piu' banale e piu' efficace che posso suggerire è che il GDPR prevede esplicitamente la figura del DPO - Data Protection Officer -, con un ruolo di responsabilita' tale per cui... si puo' certamente segnalare a lei/lui l'esigenza / l'operato del gruppo di ricerca al fine di valutarne (da parte del DPO) la compliance con il GDPR. La nomina del DPO è obbligatoria (e scommetto una pizza che una organizzazione che ha un Comitato Etico ha certamente nominato un DPO). Viceversa, l'eventuale coinvolgimento del Comitato Etico immagino afferisca ad aspetti "organizzativi" dell'Ente di riferimento e la decisione di coinvolgerlo ( o meno ) nell'attivita' di ricerca, ritengo esuli dalle esigenze di tutela del dato (al netto del fatto che, se lo si coinvolge, allora tale coinvolgimento deve comunque garantire la tutela del dato). ...ma, ripeto, non sono un esperto. Saluti, DV -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html