Ricerca scientifica e dati personali, le nuove Linee guida EDPB 1/2026 fanno chiarezza sul GDPR

Il 15 aprile 2026 il Comitato europeo per la protezione dei dati (EDPB) ha adottato le Linee guida 1/2026 dedicate al trattamento dei dati personali per finalità di ricerca scientifica. Si tratta di un documento atteso da tempo dalla comunità scientifica, dalle imprese che investono in R&S e dai responsabili della protezione dei dati, che da anni si confrontano con le incertezze interpretative sollevate dal GDPR in questo ambito tanto strategico quanto delicato.

L’iniziativa si inserisce nello “Helsinki statement”, con cui l’EDPB si è impegnato ad agevolare la conformità al GDPR, e risponde a una duplice esigenza: da un lato sostenere lo Spazio europeo della ricerca, valore costituzionale dell’Unione richiamato dall’art. 179 TFUE e dall’art. 13 della Carta dei diritti fondamentali; dall’altro garantire che lo sviluppo tecnologico — pensiamo all’intelligenza artificiale e alle sue applicazioni in ambito biomedico — non si traduca in una compressione dei diritti degli interessati.

Quando si parla davvero di “ricerca scientifica”?

Il primo nodo affrontato dalle Linee guida è anche il più rilevante sul piano operativo: solo la ricerca genuinamente scientifica può beneficiare del regime agevolato previsto dal GDPR. L’EDPB introduce a tal fine sei condizioni chiave che il titolare deve valutare sussistano nel caso di specie:

approccio metodico e sistematico, con un piano di ricerca strutturato;
adesione a standard etici del settore di riferimento;
verificabilità e trasparenza dei risultati, tipicamente attraverso peer review e pubblicazione;
autonomia e indipendenza dei ricercatori, dotati di qualifiche accademiche o scientifiche;
obiettivi della ricerca orientati alla crescita della conoscenza e del benessere collettivo (ammessi anche fini commerciali concorrenti);
potenziale contributo alla conoscenza scientifica esistente o all’applicazione innovativa di conoscenze già consolidate.

Quando tutte le summenzionate condizioni sono soddisfatte, l’attività si presume scientifica. In caso contrario, il titolare deve essere in grado di dimostrare — in ossequio al principio di accountability — perché l’attività debba comunque qualificarsi come tale. Resta esclusa, ad esempio, l’analisi dei dati di vendita finalizzata esclusivamente al marketing, anche se condotta con metodi statistici raffinati.

Presunzione di compatibilità e conservazione prolungata

Una novità di grande impatto pratico riguarda l’ulteriore trattamento dei dati per finalità di ricerca: l’art. 5(1)(b) GDPR stabilisce una presunzione di compatibilità con la finalità originaria, dispensando il titolare dal cosiddetto compatibility test dell’art. 6(4). Resta tuttavia ferma la necessità di verificare la base giuridica del nuovo trattamento, che spesso — ma non sempre — potrà coincidere con quella iniziale. Il consenso e l’obbligo legale rappresentano tipicamente le ipotesi più problematiche.

Sul fronte della limitazione della conservazione, l’art. 5(1)(e) consente la conservazione prolungata dei dati per finalità di ricerca, anche oltre la fine del progetto originario, purché la futura ricerca sia ragionevolmente prevedibile e sia individuata un’area di ricerca specifica. La conservazione “generica” per non meglio precisate esigenze scientifiche non è ammessa.

Le basi giuridiche: il ruolo del consenso “broad” e “dynamic”

Il capitolo dedicato alla liceità del trattamento è probabilmente quello più atteso. L’EDPB conferma e formalizza due modalità di acquisizione del consenso particolarmente rilevanti per la ricerca:

Broad consent: il consenso copre un’area di ricerca specifica, anche quando i singoli progetti non sono ancora definiti. Richiede salvaguardie aggiuntive (informazione progressiva, possibili comitati etici di supervisione, strumenti tecnici per la gestione delle scelte) per compensare la minore specificità.
Dynamic consent: il titolare richiede un consenso separato per ogni progetto o fase, man mano che le finalità diventano note. È particolarmente adatto a relazioni continuative tra ricercatori e partecipanti.

Le due modalità possono anche coesistere all’interno della stessa attività di ricerca.

Per quanto riguarda il legittimo interesse ex art. 6(1)(f), l’EDPB chiarisce che la ricerca scientifica — anche quando svolta su base commerciale — può costituire una base giuridica idonea, e che nel bilanciamento il valore sociale della ricerca pesa in modo significativo. Anche l’interesse pubblico ex art. 6(1)(e) non è prerogativa dei soli enti pubblici: i privati possono invocarlo se la legge che li investe del compito li include nel proprio ambito applicativo.

Categorie particolari di dati: quando serve una norma e quando basta il consenso

Il trattamento di dati sensibili per finalità di ricerca trova solitamente fondamento nelle deroghe dell’art. 9(2)(g), (i) e (j), che richiedono però una base nel diritto dell’Unione o degli Stati membri, accompagnata da misure appropriate e specifiche. In assenza di tale base normativa, il titolare può ricorrere al consenso esplicito (anche in forma broad o dynamic) o, in casi limitati, alla deroga per i dati manifestamente resi pubblici dall’interessato — ipotesi che le Linee guida circoscrivono con rigore, richiedendo un’azione affermativa chiara e non potendosi dedurre automaticamente dalla mera presenza dei dati su social network.

Trasparenza, diritti degli interessati e ruoli

L’EDPB dedica ampio spazio agli obblighi informativi, raccomandando — soprattutto per ricerche di lunga durata — l’adozione di pagine web dedicate, dashboard privacy, punti di contatto digitali e analogici, nonché aggiornamenti periodici agli interessati. Significativa la precisazione secondo cui l’obbligo informativo persiste anche quando il titolare non abbia contatto diretto con gli interessati: in tali casi può avvalersi del responsabile o di altri contitolari.

Sul diritto all’oblio, l’art. 17(3)(d) consente al titolare di rifiutare la cancellazione solo quando questa renderebbe impossibile o comprometterebbe gravemente gli obiettivi della ricerca. Si tratta di una soglia elevata, da valutare caso per caso e tipicamente più ricorrente nei progetti con campioni ridotti o in studi longitudinali.

Quanto al diritto di opposizione, l’art. 21(6) ammette il rigetto quando il trattamento sia necessario per un compito di interesse pubblico, anche laddove il titolare operi in regime di legittimo interesse coincidente con un interesse pubblico.

Particolarmente utile la sezione sull’attribuzione dei ruoli: la mera partecipazione al finanziamento o alla consulenza su un protocollo non basta a configurare la contitolarità, mentre la partecipazione attiva alla definizione di scopi e mezzi essenziali — tipica delle partnership pubblico-private e dei consorzi di ricerca — può comportarla anche per soggetti che non trattano direttamente i dati.

Le garanzie dell’art. 89: oltre la pseudonimizzazione

Le Linee guida ricordano che l’anonimizzazione deve essere la prima opzione, seguita dalla pseudonimizzazione quando le finalità lo richiedano. Ma le garanzie dell’art. 89(1) GDPR vanno oltre: governance e comitati di supervisione, secure processing environments, PET (privacy enhancing technologies) come la cifratura omomorfica o i dati sintetici, obblighi di riservatezza, federazione delle banche dati, misure rafforzate per dati genetici e biometrici (la cui natura immutabile e relazionale impone cautele specifiche). Codici di condotta e certificazioni sono indicati come strumenti utili per declinare queste misure nei diversi contesti.

Considerazioni conclusive

Le Linee guida 1/2026 rappresentano uno sforzo significativo di sistematizzazione di una materia che, fin dall’entrata in vigore del GDPR, ha generato più dubbi che certezze. Pur lasciando ampio spazio al diritto nazionale — cui spetta di completare il quadro su molti aspetti, dai dati genetici alle deroghe ex art. 9(2)(j) — il documento offre alle organizzazioni di ricerca una bussola operativa che era oggettivamente mancata.

Per imprese, università, IRCCS, sponsor di sperimentazioni cliniche e research infrastructure si apre ora una fase di adeguamento: occorrerà rivedere informative, consensi, DPIA, accordi tra titolari, policy di conservazione e governance dei dataset alla luce dei criteri ora esplicitati dall’EDPB. Un esercizio impegnativo, ma anche un’occasione per consolidare la fiducia degli interessati — vero presupposto, in ultima analisi, di qualsiasi progetto scientifico che voglia avere un impatto reale.

The post Ricerca scientifica e dati personali, le nuove Linee guida EDPB 1/2026 fanno chiarezza sul GDPR appeared first on Key4biz.

FORUM FPA

Ticker

Ricerca scientifica e dati personali, le nuove Linee guida EDPB 1/2026 fanno chiarezza sul GDPR

Quando si parla davvero di “ricerca scientifica”?

Presunzione di compatibilità e conservazione prolungata

Le basi giuridiche: il ruolo del consenso “broad” e “dynamic”

Categorie particolari di dati: quando serve una norma e quando basta il consenso

Trasparenza, diritti degli interessati e ruoli

Le garanzie dell’art. 89: oltre la pseudonimizzazione

Considerazioni conclusive

Enregistrer un commentaire

0 Commentaires

Subscribe Us

Popular Posts

L’AI svuota il mercato degli hard disk rendendo impossibile archiviare su intenet

L’algoritmo AI che cambierà il mondo? La recensione del libro di Luciano Pilotti

La Giornata Parlamentare. La settimana di Camera e Senato

La Giornata Parlamentare. Legge elettorale, possibile un tavolo maggioranza-opposizioni?

Festival di Cannes 2026: “Con l’AI il cinema rischia di diventare una menzogna”

Sovranità digitale, Santoni: “Controllo e libertà di scelta punti di partenza. Ma serve investire sui talenti”

Tim non delude le aspettative: ricavi a 3,3 miliardi (+1,4%)

Private 5G: la spina dorsale della Smart Factory