La definizione di finalità di ricerca scientifica ha implicazioni sostanziali per la gamma di attività di trattamento di dati che un titolare del trattamento può intraprendere. L’espressione “ricerca scientifica” non è definita nel regolamento. Il considerando 159 afferma: “[…] Nell’ambito del presente regolamento, il trattamento di dati personali per finalità di ricerca scientifica dovrebbe essere interpretato in senso lato. […]”, tuttavia il Gruppo di lavoro ritiene che tale nozione non possa essere estesa oltre il suo significato comune e che per “ricerca scientifica” in questo contesto si intenda un progetto di ricerca istituito in conformità con le pertinenti norme metodologiche e deontologiche settoriali, in linea con le buone prassi.
Quando il consenso costituisce la base legittima per condurre ricerche in conformità con il regolamento, tale consenso all’uso dei dati personali dovrebbe essere distinto dagli altri requisiti del consenso che fungono da norme deontologiche od obbligo procedurale. Un esempio di obbligo procedurale, in cui il trattamento si basa non sul consenso ma su un’altra base giuridica, figura nel regolamento sulla sperimentazione clinica. Nel contesto del diritto in materia di protezione dei dati, quest’ultima forma di consenso potrebbe essere considerata una garanzia aggiuntiva. Allo stesso tempo, il regolamento generale sulla protezione dei dati non limita l’applicazione dell’articolo 6 al solo consenso, per quanto riguarda il trattamento di dati per fini di ricerca. Fintantoché sussistono garanzie adeguate, quali i requisiti di cui all’articolo 89, paragrafo 1, e il trattamento è corretto, lecito, trasparente e conforme alle norme sulla minimizzazione dei dati e ai diritti individuali, potrebbero essere disponibili altre basi legittime quali l’articolo 6, paragrafo 1, lettera e) o f). Ciò vale anche per le categorie particolari di dati ai sensi della deroga di cui all’articolo 9, paragrafo 2, lettera j).
Il considerando 33 sembra consentire una certa flessibilità al grado di specificazione e granularità del consenso nel contesto della ricerca scientifica. Esso afferma: “In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista”.
In primo luogo, va osservato che il considerando 33 non inficia gli obblighi relativi al requisito del consenso specifico. Ciò significa che, in linea di principio, i progetti di ricerca scientifica possono includere dati personali sulla base del consenso soltanto se hanno una finalità ben descritta. Nei casi in cui le finalità del trattamento dei dati nell’ambito di un progetto di ricerca scientifica non possono essere specificate in via preliminare, il considerando 33 consente in via eccezionale che la finalità possa essere descritta a un livello più generale.
Tenuto conto delle condizioni rigorose stabilite dall’articolo 9 in merito al trattamento di categorie particolari di dati, il Gruppo di lavoro rileva che quando categorie particolari di dati vengono trattate sulla base del consenso esplicito, l’applicazione dell’approccio flessibile di cui al considerando 33 sarà soggetta a un’interpretazione più rigorosa e richiede un elevato livello di controllo.
Considerato nel suo insieme, il regolamento generale sulla protezione dei dati non può essere interpretato in maniera tale da consentire al titolare del trattamento di aggirare il principio chiave della specificazione delle finalità per le quali viene richiesto il consenso dell’interessato.
Quando non è possibile specificare appieno le finalità della ricerca, il titolare del trattamento deve cercare altri modi per garantire il rispetto dell’essenza dei requisiti del consenso, ad esempio permettendo agli interessati di acconsentire a una finalità di ricerca in termini più generali e a fasi specifiche di un progetto di ricerca che si sa già sin dall’inizio avranno luogo. Mano a mano che la ricerca avanza, sarà quindi possibile ottenere il consenso per le fasi successive del progetto prima dell’inizio della fase corrispondente. Tuttavia, tale consenso dovrebbe comunque essere in linea con le norme deontologiche applicabili alla ricerca scientifica.
Inoltre, il titolare del trattamento può applicare ulteriori garanzie in questi casi. L’articolo 89, paragrafo 1, ad esempio, sottolinea la necessità di prevedere garanzie nelle attività di trattamento di dati per fini di ricerca scientifica o storica o per fini statistici. Tali finalità “[sono] soggett[e] a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento”. Come possibili garanzie si menzionano la minimizzazione dei dati, l’anonimizzazione e la sicurezza dei dati. L’anonimizzazione rappresenta la soluzione preferita non appena la finalità della ricerca possa essere conseguita senza il trattamento di dati personali.
La trasparenza è un’ulteriore garanzia quando le circostanze della ricerca non consentono un consenso specifico. La mancanza di specificazione della finalità può essere compensata dalla fornitura periodica, da parte del titolare del trattamento, di informazioni sullo sviluppo della finalità durante l’avanzamento del progetto di ricerca, in maniera tale che, nel tempo, il consenso sia il più specifico possibile. In tal modo l’interessato ha quanto meno una conoscenza di base dello stato di avanzamento, che gli consente di valutare se esercitare o meno, ad esempio, il diritto di revoca del consenso ai sensi dell’articolo 7, paragrafo 3.
Anche la messa a disposizione di un piano di ricerca esaustivo al quale gli interessati possano fare riferimento prima di esprimere il loro consenso potrebbe contribuire a compensare una mancanza di specificazione delle finalità. Il piano di ricerca dovrebbe specificare nella maniera più chiara possibile i quesiti che la ricerca si pone e i metodi di lavoro previsti. Il piano di ricerca potrebbe altresì contribuire al rispetto dell’articolo 7, paragrafo 1, in quanto, per poter dimostrare che il consenso è valido, il titolare del trattamento è tenuto a dimostrare quali informazioni erano disponibili agli interessati al momento dell’espressione del consenso.
È importante ricordare che quando il consenso costituisce la base legittima del trattamento, l’interessato deve avere la possibilità di revocarlo. Il Gruppo di lavoro rileva che la revoca del consenso potrebbe compromettere taluni tipi di ricerca scientifica che richiedono dati che possano essere collegati a persone fisiche, tuttavia il regolamento è chiaro nello stabilire che il consenso può essere revocato e che il titolare del trattamento deve tenerne conto: non vi è alcuna esenzione a questo requisito per la ricerca scientifica. Se riceve una richiesta di revoca, il titolare del trattamento deve, in linea di principio, cancellare immediatamente i dati personali se vuole continuare a utilizzare i dati per le finalità della ricerca.
