GDPR e comitato etico universitario!
Carissime e carissimi, Vorrei chiedere in particolare gli studiosi del GDPR un chiarimento. Se un gruppo di ricerca accademico procede con la raccolta e il salvataggio di alcuni dati senza aver ottenuto la preliminare autorizzazione dal rispettivo comitato etico universitario, tale fatto entra in conflitto con gli indirizzi previsti dal GDPR? Detto semplicemente, il sopra citato gruppo della ricerca può procedere anche senza autorizzazione dal comitato etico, oppure tale mancanza confligge con la normativa Eu in materia? Sarebbe gradito un vostro prezioso suggerimento, con i migliori saluti, Emanuele Achino
Il 27/07/22 14:04, Emanuele Achino ha scritto:
Carissime e carissimi,
Vorrei chiedere in particolare gli studiosi del GDPR un chiarimento.
Se un gruppo di ricerca accademico procede con la raccolta e il salvataggio di alcuni dati senza aver ottenuto la preliminare autorizzazione dal rispettivo comitato etico universitario, tale fatto entra in conflitto con gli indirizzi previsti dal GDPR?
Premesso che non sono un esperto di GDPR..... la mia opinione (molto a grandi linee) è che il GDPR è centrato "sulla protezione del dato" e sulle modalità con le quali tale dato possa/debba essere "trattato", prevedendo esplicitamente alcune figure alle quali assegnare determinate responsabilita'. In tutta tale architettura, non è citato un "Comitato Etico".... che, quindi, direi che operi esternamente alle tutele previste dal GDPR rispetto ai dati trattati. In altri termini: il focus del GDPR è garantire che i dati acquisiti dal "gruppo di ricerca" siano trattati (dal gruppo di ricerca in primis, e quindi anche dall'Istituzione cui gli umani di tale gruppo afferiscono) secondo i dettami... del GDPR. E tutto cio' è indipendente dalla presenza o meno di un Comitato Etico. Ovviamente, se il Comitato Etico viene coinvolto (e quindi ha un qualche accesso a tali dati...) anche questo tipo di "trattamento" dovra' essere compatibile con i dettami del GDPR. La cosa piu' banale e piu' efficace che posso suggerire è che il GDPR prevede esplicitamente la figura del DPO - Data Protection Officer -, con un ruolo di responsabilita' tale per cui... si puo' certamente segnalare a lei/lui l'esigenza / l'operato del gruppo di ricerca al fine di valutarne (da parte del DPO) la compliance con il GDPR. La nomina del DPO è obbligatoria (e scommetto una pizza che una organizzazione che ha un Comitato Etico ha certamente nominato un DPO). Viceversa, l'eventuale coinvolgimento del Comitato Etico immagino afferisca ad aspetti "organizzativi" dell'Ente di riferimento e la decisione di coinvolgerlo ( o meno ) nell'attivita' di ricerca, ritengo esuli dalle esigenze di tutela del dato (al netto del fatto che, se lo si coinvolge, allora tale coinvolgimento deve comunque garantire la tutela del dato). ...ma, ripeto, non sono un esperto. Saluti, DV -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
Gentile Damiano, Non posso che ringraziare. L’Università di riferimento ha nominato un DPO come previsto dal GDPR. Tuttavia rimane oscuro il motivo per cui tale DPO non abbia verificato se il già citato Comitato Etico avesse o meno autorizzato la fase della raccolta dati. Da notare che, in assenza di tale autorizzazione, al gruppo della ricerca non è assolutamente consentito procedere in tale direzione. Siamo forse in presenza di un paradosso tecnico / organizzativo (o normativo?) di cui il diritto potrebbe occuparsi? Ringrazio ancora tutte e tutti, Emanuele Le mer. 27 juill. 2022, à 19 h 49, Damiano Verzulli <damiano@verzulli.it> a écrit :
Il 27/07/22 14:04, Emanuele Achino ha scritto:
Carissime e carissimi,
Vorrei chiedere in particolare gli studiosi del GDPR un chiarimento.
Se un gruppo di ricerca accademico procede con la raccolta e il salvataggio di alcuni dati senza aver ottenuto la preliminare autorizzazione dal rispettivo comitato etico universitario, tale fatto entra in conflitto con gli indirizzi previsti dal GDPR?
Premesso che non sono un esperto di GDPR..... la mia opinione (molto a grandi linee) è che il GDPR è centrato "sulla protezione del dato" e sulle modalità con le quali tale dato possa/debba essere "trattato", prevedendo esplicitamente alcune figure alle quali assegnare determinate responsabilita'.
In tutta tale architettura, non è citato un "Comitato Etico".... che, quindi, direi che operi esternamente alle tutele previste dal GDPR rispetto ai dati trattati.
In altri termini: il focus del GDPR è garantire che i dati acquisiti dal "gruppo di ricerca" siano trattati (dal gruppo di ricerca in primis, e quindi anche dall'Istituzione cui gli umani di tale gruppo afferiscono) secondo i dettami... del GDPR. E tutto cio' è indipendente dalla presenza o meno di un Comitato Etico. Ovviamente, se il Comitato Etico viene coinvolto (e quindi ha un qualche accesso a tali dati...) anche questo tipo di "trattamento" dovra' essere compatibile con i dettami del GDPR.
La cosa piu' banale e piu' efficace che posso suggerire è che il GDPR prevede esplicitamente la figura del DPO - Data Protection Officer -, con un ruolo di responsabilita' tale per cui... si puo' certamente segnalare a lei/lui l'esigenza / l'operato del gruppo di ricerca al fine di valutarne (da parte del DPO) la compliance con il GDPR. La nomina del DPO è obbligatoria (e scommetto una pizza che una organizzazione che ha un Comitato Etico ha certamente nominato un DPO).
Viceversa, l'eventuale coinvolgimento del Comitato Etico immagino afferisca ad aspetti "organizzativi" dell'Ente di riferimento e la decisione di coinvolgerlo ( o meno ) nell'attivita' di ricerca, ritengo esuli dalle esigenze di tutela del dato (al netto del fatto che, se lo si coinvolge, allora tale coinvolgimento deve comunque garantire la tutela del dato).
...ma, ripeto, non sono un esperto.
Saluti, DV
-- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
participants (2)
-
Damiano Verzulli -
Emanuele Achino