Ricerca (escluso il settore della salute) e protezione
I dati personali sono importanti per la ricerca. È essenziale ricordare le regole da applicare al fine di garantire un equilibrio tra gli interessi della ricerca e i diritti degli interessati. Le seguenti spiegazioni hanno lo scopo di fornire ai ricercatori e agli organi federali che trattano dati nel quadro di progetti di ricerca le informazioni necessarie affinché adempiano i requisiti relativi alla protezione dei dati.
Questa rubrica illustrativa è rivolta ai ricercatori privati o che operano per conto di un organo federale, come pure agli organi federali che fanno essi stessi ricerca, ne incaricano terzi o comunicano dati personali a ricercatori. I trattamenti di dati eseguiti da organi pubblici cantonali o comunali quali le università (ad eccezione dei PF) e gli ospedali cantonali e universitari, regionali e comunali, rientrano di principio nella competenza delle autorità cantonali o comunali di protezione dei dati ed esulano dalle seguenti spiegazioni.
La LPD non si applica nemmeno in caso di trattamento dei dati anonimizzati, se una re-identificazione da parte di terzi è impossibile (i dati sono stati anonimizzati completamente e definitivamente) o sembra possibile unicamente con dispendi eccessivi. Va tuttavia tenuto presente che il progresso tecnologico consente oggi di trattare grandi quantità di dati e di raffrontarli, con la conseguenza che i dati trattati non risultano in definitiva anonimizzati o lo sono in misura insufficiente. Inoltre, a causa dell’evoluzione tecnologica, ciò che oggi è considerato «anonimo» rischia in futuro di poter essere attribuito senza grandi difficoltà a una determinata persona.
La legge federale sulla protezione dei dati (LPD) include due disposizioni specifiche concernenti il trattamento di dati personali per scopi di ricerca, l’uno per il settore privato (art. 31 cpv 2 lett. e LPD) e l’altro per gli organi federali (art. 39 LPD).
Lo scopo del trattamento di dati personali non può essere riferito a persone; questo significa che l’identità della persona i cui dati sono trattati non svolge alcun ruolo per il trattamento e che i dati anonimizzati o per lo meno pseudonimizzati potrebbero parimenti essere utilizzati per raggiungere lo stesso obiettivo. In tal modo sia i privati sia gli organi federali beneficiano di agevolazioni qualora le condizioni disciplinate in queste due disposizioni sono adempite. Va considerato che le ricerche riferite a persone (ad es. le ricerche storiche o genealogiche) non sono rette da queste disposizioni.
Di conseguenza i dati devono essere resi anonimi non appena lo scopo del trattamento lo consenta e i risultati della ricerca devono essere pubblicati in una forma tale da non consentire l’identificazione delle persone interessate. La comunicazione di dati personali a terzi ha luogo in una forma che non consente di identificare la persona interessata. Per gli organi federali la comunicazione a terzi da parte del destinatario può essere fatta unicamente con il consenso dell’organo federale che glieli ha trasmessi.
Quando intendono trattare essi stessi dati personali nel quadro del loro proprio progetto di ricerca, a prescindere dalle condizioni generali di cui all’articolo 39 LPD, gli organi federali devono potere fondarsi su una base legale che consenta loro di trattare dati personali per scopi di ricerca [p. es. la legge federale sulla promozione della ricerca e dell’innovazione (LPRI), la legge sui PF, ecc.), in applicazione del principio della legalità (art. 34 LPD).
Requisiti
Con riserva di ciascun singolo caso che dovrà essere esaminato nel contesto della ricerca e delle sue peculiarità, i ricercatori quali responsabili della protezione dei dati nel trattamento dei dati personali si atterranno in primo luogo ai seguenti punti nel quadro dei loro progetti di ricerca:
Anonimizzazione
I ricercatori devono privilegiare l’utilizzazione di dati anonimizzati nei limiti delle possibilità del progetto, in modo che la possibilità di attribuire dati a una persona identificata o identificabile sia esclusa o sia possibile soltanto con dispendi eccessivi.
Se il tipo o lo scopo della ricerca non consentono di lavorare con dati anonimizzati – per il fatto che è necessario, ad esempio, ricontattare le persone interessate a intervalli regolari – i ricercatori devono codificare o cifrare i dati (dati pseudonimizzati).
I dati devono essere anonimizzati il più rapidamente possibile e il risultato della ricerca deve essere pubblicato in una forma che non consenta di identificare le persone interessate.
Obbligo d’informazione e consenso
Nel caso in cui la partecipazione a un progetto di ricerca sia facoltativa, la persona interessata deve acconsentire al trattamento dei suoi dati e dispone di un diritto di opporvisi (cfr. il cap. corrispondente per la ricerca medica). Il consenso da parte della persona interessata è valido soltanto se quest’ultima riceve previamente tutte le informazioni obiettive e complete sul trattamento di dati previsto. L’informazione data dev’essere trasparente, comprensibile e facilmente accessibile. Le eccezioni sono possibili.
Analisi d’impatto in materia di protezione dei dati personali
Quando il trattamento previsto può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata, ad esempio nel caso in cui il trattamento concerne un grande volume di dati personali degni di particolare protezione o confronti di dati, come può verificarsi nel quadro di progetti di ricerca medica, il titolare del trattamento (università, centro di ricerca, impresa privata, ecc.) deve procedere a una previa analisi d’impatto relativa alla protezione dei dati personali ai sensi dell’articolo 22 LPD. Le eccezioni sono possibili.
Notifica delle violazioni della sicurezza dei dati
Il titolare del trattamento deve annunciare al più presto all’IFPDT i casi di violazione della sicurezza dei dati che comportano verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata e informarne parimenti la persona interessata se necessario per la sua protezione.
Registro delle attività di trattamento
L’obbligo di tenere un registro delle attività di trattamento e di dichiararlo all’IFPDT si applica sia ai ricercatori privati sia agli organi federali (art. 12 LPD) (lien sur le formulaire de déclaration).Ovviamente i principi e le altre disposizioni della LPD (segnatamente in materia di sicurezza, comunicazione di dati personali all’estero, diritti delle persone interessate, trattamento da parte di relativi sub-responsabili ecc.) sono parimenti applicabili alle attività di ricerca.
Altri temi
.png)
.png)
Ultima modifica 26.07.2023