L’Istituto Superiore per le Industrie Artistiche, d’ora in poi denominato ISIA Roma Design, è istituito ai sensi della Legge 21 dicembre 1999 n. 508 e successive modificazioni ed integrazioni e ai sensi del D.P.R. 28 febbraio 2003 n. 132 recante norme per il “Regolamento in materia di autonomia statutaria e regolamentare delle istituzioni di cui alla Legge 21 dicembre 1999 n. 508”. ISIA Roma Design è una istituzione pubblica di alta cultura e gode di autonomia ai sensi dell’articolo 33 della Costituzione.
ISIA Roma Design è sede primaria di alta formazione, di specializzazione e di ricerca nel campo del Disegno Industriale, d’ora in poi denominato design, e svolge correlate attività di produzione. E’ dotato di personalità giuridica e gode di autonomia statutaria, didattica, scientifica, di ricerca, amministrativa, finanziaria e contabile, anche in deroga alle norme dell’ordinamento contabile dello Stato e degli enti pubblici ma comunque nel rispetto dei relativi principi.
Titolare del trattamento dei dati personali è ISIA Roma Design – Istituto Superiore per le Industrie Artistiche, con sede in Piazza della Maddalena 53 – 00186 Roma.
Contatti:
- centralino: +39 06 6796195
- casella di posta elettronica certificata (PEC): [email protected]
- casella di posta elettronica (PEL): [email protected]
Legale rappresentante è il Presidente dell’ISIA Roma Design – Istituto Superiore per le Industrie Artistiche.
Responsabile della protezione dei dati personali è la VR Solutions srl e può essere contattata al seguente indirizzo PEL [email protected], PEC [email protected] o tel +393409250697.
La presente informativa può subire variazioni. Consigliamo, quindi, di controllare regolarmente questa informativa e di fare riferimento alla versione più aggiornata.
Finalità e basi giuridiche dei trattamenti
L’ISIA Roma Design conosce l’importanza della protezione dei dati personali e, nel suo ruolo di titolare dei dati, si impegna a trattarli adeguatamente e in maniera trasparente nei confronti dell’interessato, ossia della persona a cui tali dati personali si riferiscono.
Le informative sono uno degli strumenti di questa trasparenza perché forniscono un quadro completo dei trattamenti, delle finalità perseguite e delle modalità con cui essi vengono effettuati
Al subentrare di nuovi servizi o finalità le informative vengono aggiornate, per cui invitiamo a leggere con periodicità le informative pubblicate nella relativa sezione.
E’ importante sapere che l’ISIA Roma Design è un ente statale (assimilata alle Pubbliche amministrazioni nell’esercizio delle sue funzioni per effetto dell’art.1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 e s.m.i.) e rientra nell’insieme di istituzioni che costituiscono la rete dell’Alta Formazione Artistica Musicale e Coreutica (AFAM) predisposta dal Ministero dell’Istruzione Università e Ricerca (MIUR). Per tali motivi i trattamenti che effettua possono essere, ai sensi dell’art. 6 paragrafo 1 del Regolamento generale sulla protezione dei dati “Regolamento UE 679/2016″ o GDPR:
- Trattamenti necessari in esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (lettera b),
- Trattamenti per obblighi di legge (lettera c),
- Trattamenti per ragioni di interesse pubblico (lettera e),
- Trattamenti per legittimo interesse dell’Istituto, se non prevalgono gli interessi, diritti e libertà fondamentali dell’interessato, specie se minore (lettera f).
Se non rientrano in tali basi giuridiche, anche in forza di regolamenti o bandi dell’ISIA Roma Design, i trattamenti dei dati possono essere effettuati su consenso dell’interessato (art. 6 par. 1.a). Eccezionalmente, in caso di particolari emergenze, ISIA Roma Design potrebbe trattare i dati personali comunque acquisiti, per la salvaguardia dell’interessato o di un’altra persona fisica (art. 6, par. 1.d).
Tempo di conservazione dei dati personali
I dati raccolti saranno conservati per i tempi necessari al raggiungimento delle finalità di raccolta e stabiliti dalla normativa vigente o dai regolamenti d’Istituto. In particolare si segnala che i dati personali inerenti la carriera formativa saranno conservati illimitatamente, tenuto conto degli obblighi di tenuta, conservazione e archiviazione imposti dalla normativa vigente.
Ai sensi degli artt. 30, 32 e 35 e in attuazione dei principi applicabili al trattamento dei dati personali definiti nell’art. 5, è consentito il trattamento dei soli dati personali indispensabili per svolgere le attività istituzionali, previa verifica della loro pertinenza e completezza, ferma restando l’inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati. Qualora ISIA Roma Design, nell’espletamento della propria attività istituzionale, venga a conoscenza, ad opera dell’Interessato o, comunque, non a richiesta dell’Istituzione, di dati personali non indispensabili allo svolgimento dei fini istituzionali sopra citati, tali dati non potranno essere utilizzati in alcun modo, salvo che per l’eventuale conservazione, a norma di Legge, dell’atto o del documento che li contiene seguendo i principi di liceità del trattamento (Art. 5a).
Le operazioni di interconnessione, raffronto e comunicazione individuate nel presente documento sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati, per il perseguimento delle rilevanti finalità di interesse pubblico specificate e nel rispetto delle disposizioni rilevanti in materia di protezione dei dati personali, nonché degli altri limiti stabiliti dalla Legge e dai regolamenti. I raffronti e le interconnessioni con altre informazioni personali detenute da ISIA Roma Design sono consentite soltanto previa verifica della loro stretta indispensabilità nei singoli casi ed indicazione scritta dei motivi che ne giustificano l’effettuazione. Le predette operazioni, se effettuate utilizzando banche di dati di diversi Titolari del trattamento, sono ammesse esclusivamente previa verifica della loro stretta indispensabilità nei singoli casi e nel rispetto dei limiti e con le modalità stabiliti dalle disposizioni legislative che le prevedono. A tal fine, ed in relazione alle finalità di rilevante interesse pubblico previste dal GDPR 2016/679, nonché dal Codice privacy 196/2003 e successive modifiche introdotte dal D.lgs 101/2018, sono state identificate tre macro-categorie recanti le seguenti denominazioni dei trattamenti:
- Trattamento nell’ambito dell’attività didattica
- Trattamento finalizzato all’orientamento didattico (rivolto anche a minori)
- Trattamento finalizzato all’erogazione dei test di ingresso o alla verifica dei requisiti di accesso
- Trattamento finalizzato per l’erogazione del percorso formativo e di gestione della carriera (dall’immatricolazione al conseguimento titolo, con erogazione della didattica, atti amministrativi, gestione tasse e rimborsi)
- Trattamento finalizzato alla diffusione dell’elaborato finale o di elementi ad esso connessi
- Trattamento finalizzato all’erogazione di servizi e benefici per il diritto allo studio
- Trattamento finalizzato all’attività di tirocinio curricolare ed extra curricolare
- Trattamento finalizzato ad attività di ricerca cui l’interessato partecipi
- Trattamento finalizzato ad attività di job placement
- Trattamento finalizzato a rilevazioni statistiche e valutazione della didattica
- Trattamento finalizzato a servizi di tutorato, assistenza, inclusione sociale
- Trattamento finalizzato ad attività di fundraising, di comunicazione e informazione istituzionale e sviluppo di community
- Trattamento finalizzato alla gestione dell’elettorato attivo e passivo per le rappresentanze negli organi dell’istituto
- Trattamento ai fini della sicurezza nei luoghi dove si svolge l’attività didattica e delle coperture assicurative
- Trattamenti trasversali o connessi ad attività trasversali (riportati di seguito)
- Trattamento nell’ambito dei processi amministrativi inerenti a dipendenti e/o collaboratori
- Trattamento finalizzato allo svolgimento di prove concorsuali/selezioni
- Trattamento finalizzato alla gestione del rapporto di lavoro
- Trattamento di dati personali ai fini di formazione e aggiornamento professionale
- Trattamento di dati personali per la gestione dell’offerta formativa e della copertura degli incarichi
- Trattamento di dati personali necessario alla gestione di progetti di ricerca
- Trattamento di dati personali al fine di garantire il monitoraggio e la valutazione della ricerca
- Trattamento di dati personali nell’ambito di attività di trasferimento tecnologico
- Trattamento necessario per politiche Welfare e per la fruizione di agevolazioni
- Trattamenti per la salute e la sicurezza delle persone nei luoghi di lavoro
- Trattamento dei dati personali nell’ambito dell’erogazione del servizio di telefonia fissa e mobile
- Trattamento dei dati per la valutazione del personale
- Trattamento dei dati inerenti i procedimenti disciplinari
- Trattamenti trasversali o connessi ad attività trasversali (riportati di seguito)
- Trattamenti trasversali o connessi ad attività trasversali
-
- Trattamento dei dati nell’ambito della gestione degli spazi anche con sistemi di videosorveglianza
- Trattamento dei dati personali per la gestione delle postazioni ed i servizi offerti dall’Istituto
- Trattamento per attività di gestione degli organi e delle cariche istituzionali
- Trattamento per la gestione degli infortuni
- Trattamento in ambito bibliotecario
- Trattamento di dati nell’ambito dei servizi di protocollo e conservazione documentale
- Trattamento finalizzato all’acquisto di beni e servizi, stipula di contratti, recupero crediti, gestione del contenzioso
- Trattamento di dati nell’ambito dei servizi di posta elettronica, strumenti di collaborazione e condivisione
I dati personali potranno essere trattati da dipendenti o collaboratori del Titolare che, operando sotto la diretta autorità di quest’ultimo, sono nominati responsabili o autorizzati del trattamento e ricevono al riguardo adeguata formazione ed istruzioni operative. In particolare saranno trattati dal personale tecnico-amministrativo e docente in relazione alle differenti attività previste dai trattamenti di competenza.
I dati personali potrebbero essere comunicati anche ad altre amministrazioni pubbliche, qualora queste debbano trattare i medesimi per eventuali procedimenti di propria competenza istituzionale.
In alcuni casi, ISIA Roma Design si avvale di società esterne per l’erogazione e la gestione di particolari servizi. Esse potrebbero venire a conoscenza dei dati personali trattati ai soli fini della prestazione richiesta e pertanto verranno qualificate come responsabili esterni del trattamento, vincolate contrattualmente al Titolare per garantire il trattamento dei dati personali secondo le modalità previste dal GDPR.
I dati personali potranno essere comunicati anche ad autorità pubbliche o soggetti privati presso le quali potrebbero svolgersi attività didattiche, di ricerca o di tirocinio inerenti il percorso di studio prescelto o l’attività lavorativa, come pure ad autorità giudiziarie su loro richiesta.
I dati personali per attività di ricerca e di didattica potranno essere oggetto di trasferimento all’estero verso altre istituzioni universitarie e o enti di ricerca, ovvero nell’ambito di progetti di mobilità internazionale. Le garanzie che fornirà il titolare saranno conformi a quanto richiesto al Capo V del GDPR, alle disposizioni del Miur o alle normative di settore.
Il Regolamento riconosce numerosi diritti alla persona a cui si riferiscono i dati. Diritto di accesso ai dati personali.
- Diritto di rettifica.
- Nei casi previsti dalla legge e in mancanza di interessi legittimi prevalenti dell’Istituto, il diritto alla cancellazione dei dati (cd. diritto all’oblio).
- Nei casi previsti dalla legge, il diritto alla limitazione del trattamento dei dati.
- Nei casi previsti dalla legge e se il trattamento è basato sul consenso o su un contratto, il diritto alla portabilità dei dati.
- Nei casi previsti dalla legge e se il trattamento è basato sul consenso, il diritto di opporsi alle attività di trattamento.
- In caso di trattamento basato sul consenso, la possibilità di revocarlo in ogni tempo fermo restando la liceità del trattamento basato sul consenso successivamente revocato.
Per esercitare questi diritti, utilizzare il modello del Garante per l’esercizio dei diritti in materia di protezione dati personali e inviarlo ai dati di contatto del titolare del trattamento ([email protected]) e del responsabile per la protezione dei dati ([email protected]), oppure inoltrarlo scrivendo a [email protected]. Prima della risposta l’ufficio provvederà ad accertarsi della sua identità.
In relazione ad un trattamento che non ritiene conforme alla normativa, può contattare il Responsabile della protezione dati all’indirizzo [email protected] e/o proporre reclamo alla competente autorità di controllo che, per l’Italia, è il Garante per la protezione dei dati personali. In alternativa può proporre reclamo presso l’Autorità Garante dello Stato UE in cui risiede o abitualmente lavora oppure nel luogo ove si è verificata la presunta violazione.
NOTA: La cancellazione non è consentita per i dati contenuti negli atti che devono obbligatoriamente essere conservati dall’Istituto
Definizione e caratteristiche del consenso
Il consenso non deve essere considerato come una forma di esonero dagli altri principi di protezione dei dati bensì come una salvaguardia dei diritti dell’interessato. E’ una base giuridica sulla quale può essere legittimamente effettuato un trattamento di dati personali senza comportare una rinuncia, da parte del Titolare, all’applicazione degli altri princìpi applicabili al trattamento dei dati personali, di cui all’art. 5 del GDPR.
Il consenso consiste in “qualsiasi manifestazione di volontà libera, specifica, informata, inequivocabile ed esplicita dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Per “libera” si intende che l’interessato deve poter scegliere se accettare o meno un trattamento senza condizionamenti, vincoli o conseguenze negative in caso di rifiuto. Ha il diritto di revocarlo in qualsiasi momento, con la stessa facilità con la quale lo ha accordato.
Per “specifica” si intende che il consenso va raccolto separatamente, in riferimento a ciascuna specifica finalità, descritta con chiarezza nell’informativa. Raggruppare più finalità all’interno di un unico consenso invaliderebbe la libertà di scelta dell’interessato, che sarebbe obbligato ad accettarle o rifiutarle in blocco.
Per “informata” si intende che l’informativa, oltre ai contenuti minimi dovrà contenere quanto necessario perché egli sia reso consapevole delle finalità e degli eventuali rischi del trattamento, della modalità di revoca del consenso e delle conseguenze della mancata prestazione, prima di accettare o meno di prestare il consenso.
Per “inequivocabile” si intende che l’interessato deve esprimerlo tramite un comportamento “attivo” e non, ad esempio, con “silenzio assenso” o campi preselezionati. Se il consenso è richiesto nel contesto di una dichiarazione scritta che riguarda anche altre questioni, deve essere presentato in modo chiaramente distinguibile dalle altre materie del trattamento.
Infine il consenso deve essere esplicito, ossia il Titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. E’ pertanto consigliabile registrare il consenso acquisito in forma scritta, in modalità cartacea o digitale; nel secondo caso, in presenza di trattamenti con maggiore rischio per gli interessati, è preferibile l’utilizzo di meccanismi a doppia autenticazione, ossia facendo seguire all’accettazione on line di un trattamento l’inserimento di un codice inviato via email o sms all’interessato.
Quando chiedere il consenso
Il consenso va richiesto per quei trattamenti che non sono derivanti da un obbligo legale né sono necessari: per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, per l’esecuzione di un contratto di cui l’interessato sia parte, per un legittimo interesse dell’Istituto o per tutelare gli interessi vitali di un soggetto.
Il consenso va richiesto all’interessato prima dell’inizio del trattamento e deve essere acquisito una volta sola. Se cambiano le finalità del trattamento si dovrà richiedere un nuovo consenso.
Attenzione: Prima di chiedere il consenso, verificare se una eventuale revoca sarebbe compatibile con l’espletamento delle attività complessivamente correlate alle finalità da raggiungere, diversamente l’attività di trattamento potrebbe basarsi su una diversa base di legittimità e il consenso non dovrà essere richiesto.
Come richiedere il consenso
Il consenso deve essere “dimostrabile”: va quindi acquisito in una forma scritta che riporti la data, a partire dalla quale è considerato valido, e il collegamento inequivocabile all’informativa e al contesto in cui è stato prestato.
L’ informativa potrà quindi avere una sezione, separata rispetto agli eventuali trattamenti obbligatori, che specifichi le differenti finalità per cui viene richiesto ogni singolo consenso, le conseguenze dell’eventuale mancata prestazione del consenso, la durata del trattamento, l’esistenza del diritto di revocare il consenso, le modalità e condizioni per esercitare tale diritto, richiedendone la sottoscrizione da parte dell’interessato. Il linguaggio dovrà essere semplice e chiaro per ogni finalità del trattamento, senza ricorrere a formule mirate a forzare la prestazione del consenso ed evidenziando anche eventuali aspetti del trattamento che possano essere in contrasto, p.e., con i valori, le convinzioni personali o i precetti di fede religiosa dell’interessato.
La richiesta non dovrà interferire immotivatamente con il servizio per il quale il consenso viene richiesto, nel caso in cui ciò avvenga attraverso mezzi elettronici.
Cosa non è ammesso
Non è ammesso alcun comportamento che violi le caratteristiche del consenso inizialmente elencate. Non è quindi ammesso il consenso tacito o presunto, prestato con l’inattività o la preselezione di caselle. Non è ammesso subordinare l’esecuzione di un servizio principale ad un consenso al trattamento dei dati personali per altri trattamenti. Non è ammesso violare il diritto di revoca del consenso o superare gli eventuali limiti temporali per i quali il consenso è stato prestato.
E’ buona norma prestare particolare attenzione nei casi in cui venga richiesto il consenso per dati ulteriori e non necessari all’esecuzione del contratto (c.d. dati superflui); la mancata prestazione del consenso non potrà impedire, in tal caso, la conclusione del contratto.
Come revocare il consenso
Il consenso deve poter essere revocato in ogni momento, con facilità e gratuitamente, senza impedimenti, utilizzando, se possibile, gli stessi canali con i quali è stato richiesto il consenso.
La revoca del consenso non pregiudica la liceità dei trattamenti basata sul consenso prestato prima della revoca e comporta, per il Titolare, l’impossibilità di continuare ad utilizzare i dati per le finalità per le quali aveva chiesto il consenso.
Il Titolare ha l’obbligo di cancellare i dati richiesti con il consenso e relativi all’interessato, sempre che non siano in corso altri trattamenti fondati su una diversa base giuridica che li richiedano o si pregiudichi la legittimità dei trattamenti effettuati prima della revoca. In entrambi i casi, il Titolare dovrà impedire la prosecuzione dei trattamenti basati sul consenso, ove possibile rendendo anonimi i dati precedentemente acquisiti per quei trattamenti. La risposta, con l’accoglimento dell’istanza e le azioni che ne sono conseguite, dovrà essere data all’interessato entro 30gg solari dal ricevimento della richiesta.
Entro lo stesso termine il Titolare può eventualmente comunicare all’interessato di aver necessità di una proroga, di non oltre due mesi, con le motivazioni per cui ciò si renda indispensabile per la complessità del trattamento.
Trattamenti di categorie particolari di dati personali
La normativa prevede, in linea di principio, che sia “vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” (art. 9 del GDPR). E’ analogamente previsto che il trattamento dei dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sia consentito solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 10 GDPR e art. 2-octies del D.Lgs. n. 196/2003 e s.m.i.).
Sono previste delle deroghe, in virtù delle quali l’Istituto può effettuare operazioni di trattamento su categorie particolari di dati personali solo per motivi di interesse pubblico rilevante, previsti da norma di legge o di regolamento dell’ordinamento europeo o nazionale, che specifichino i dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate, specifiche e proporzionate alla finalità perseguita, per tutelare gli interessi e i diritti fondamentali dell’interessato. La definizione di interesse pubblico rilevante è data all’art. 2-sexies del D.Lgs. 196/2003 (Codice per la protezione dati personali e s.m.mi.) per il quale “si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri” in un varie materie, tra cui quelle “di istruzione e formazione in ambito scolastico, professionale, superiore o universitario, nonché (…) di archiviazione nel pubblico interesse, di ricerca storica (…), per fini di ricerca scientifica, per instaurazione, gestione ed estinzione di rapporti di lavoro” (punti bb), cc) e dd)).
Occorre, in ogni caso, applicare ai trattamenti misure di sicurezza opportune a garantire la minimizzazione dei dati e il rispetto di diritti e libertà per gli interessati, avendo cura di utilizzare la pseudonimizzazione e l’anonimizzazione dei dati, se le finalità da perseguire lo consentono.
Al di fuori di queste condizioni l’Istituto, per trattare legittimamente categorie particolari di dati personali, deve sicuramente richiedere il consenso dell’interessato e in alcuni casi, anche in presenza di una base legittima rientrante nei casi su esposti, possono sussistere altre condizioni che rendano obbligatorio il consenso (ad esempio la ricerca in ambito medico o correlata a scopo di salute).
Trattamenti per finalità di ricerca scientifica
Nessuno può essere obbligato a partecipare ad un progetto di ricerca scientifica, salvo che sia previsto da una norma di legge; qualunque ricerca scientifica dovrebbe essere condotta, se possibile, su dati anonimi, così collocandosi al di fuori dell’ambito di applicazione della normativa sulla protezione dei dati (e quindi dalla richiesta di consenso). In tal caso deve potersi affermare che i dati siano raccolti in modo da impedire o non consentire più l’identificazione dell’interessato, anche ricorrendo a correlazioni con altre banche dati (vedi parere WP216 sulle tecniche di anonimizzazione, aprile 2015 WP29 e regole deontologiche del Garante docweb 9069637, art.4).
Quando le finalità non possono essere perseguite con il trattamento di dati anonimi, in linea generale è possibile trattare i dati particolari o relativi a condanne penali e reati a scopo di ricerca scientifica o statistica solo quando l’interessato ha espresso liberamente il proprio consenso sulla base degli elementi previsti nell’informativa. Occorre prestare molta attenzione alla dimostrabilità che il consenso sia stato liberamente espresso, specie in tutti quei casi in cui il rapporto tra l’interessato e il titolare della ricerca sia “squilibrato”
Nei casi in cui non sia possibile individuare pienamente le finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati (consenso specifico), dovrebbe essere consentito agli interessati di prestare il proprio consenso soltanto a determinati settori di ricerca, o parti di progetti di ricerca, nella misura consentita dalla finalità prevista (cfr. Considerando 33 del GDPR) oppure il titolare deve individuare altri modi per garantire all’interessato l’esercizio di un consenso specifico pertanto valido. Può, per esempio:
- portare a conoscenza dell’interessato gli scopi generali della ricerca e le informazioni già conosciute per fasi specifiche, oltre al piano della ricerca completa che – attraverso il chiarimento dei metodi di lavoro – può compensare la mancanza di specifiche finalità;
- permettere all’interessato di fornire un consenso “progressivo per fasi”, cioè sarà possibile, mano a mano che la ricerca avanza, chiedere uno specifico consenso per la fase successiva del progetto prima dell’inizio della fase corrispondente.
In ogni caso, il consenso dovrebbe essere in linea con le norme deontologiche e gli standard etici applicabili alla ricerca scientifica, espresso in conformità alle caratteristiche riportate nella scheda del “Consenso” e richiesto nell’ambito di un’informativa che descriva il progetto, le modalità di trattamento dei dati e le finalità che intende perseguire.
Il consenso prestato nelle ricerche scientifiche è sempre revocabile, pur se la revoca potrebbe compromettere la stessa ricerca scientifica. Il titolare deve comunque provvedere immediatamente, se possibile, dal momento della richiesta di revoca, a rendere anonimi i dati personali dell’interessato al fine di poter proseguire nella ricerca o, se non è possibile, a cancellarli.
Casi di non obbligatorietà del consenso nei trattamenti a scopi di ricerca scientifica
Ferma restando la diffusa opinione della comunità di ricerca sulla necessità del consenso informato, fintantoché sussistono garanzie adeguate quali i requisiti di cui all’art. 89 par.1 GDPR e il trattamento è corretto, lecito, trasparente e conforme alle norme sulla minimizzazione dei dati e ai diritti individuali, la ricerca potrebbe basare la legittimazione dei trattamenti sull’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (vedi doc. WP259 “linee guida sul consenso” del WP29, adottate ad aprile 2018), rendendosi possibile non richiedere il consenso. In questi casi sarà necessaria l’applicazione di altre misure di protezione dell’interessato, eventualmente subordinate al parere del comitato etico e al preventivo parere dell’Autorità Garante.
Specificatamente a fini di ricerca scientifica su progetti che riguardano prodotti utilizzabili in campo medico, biomedico o epidemiologico, è previsto che “il consenso dell’interessato per il trattamento dei dati relativi alla salute non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea […] ovvero a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca” (art. 110 del D.Lgs. n. 196/2003). In tali casi, il titolare del trattamento, per poter utilizzare i risultati della ricerca senza ricorrere al consenso dell’interessato, oltre ad adottare misure appropriate per tutelare i diritti, le libertà ed i legittimi interessi dell’interessato, dovrà condurre e rendere pubblica una valutazione d’impatto ai sensi degli artt. 35 e 36 del GDPR, dovrà sottoporre il programma di ricerca al parere del competente Comitato etico territoriale ed ottenere un motivato parere favorevole, nonché, infine, sottoporre lo stesso programma di ricerca a preventiva consultazione del Garante, secondo quanto previsto dall’art. 36 del GDPR.
Anche quando è possibile documentare scientificamente che i risultati del progetto di ricerca potrebbero essere compromessi dalla revoca anticipata del consenso, quando prevalgono gli interessi generali dello scopo della ricerca o i partecipanti potrebbero essere esposti ad un rischio di stress, ansia o umiliazione con la richiesta del consenso, è possibile evitare di richiederlo impegnandosi ad applicare altre misure di protezione, sulla base di valutazioni etiche, giuridiche e derivanti da disposizioni di carattere nazionale e internazionale.
Consenso per il trattamento di dati di minori di età
Fermo restando quanto riportato in generale sul consenso, le norme di diritto internazionale e la Costituzione italiana affermano il diritto del minore ad essere ascoltato, ad esprimere la propria opinione e ad essere coinvolto in tutte le situazioni che lo riguardano, al di là del fatto che i firmatari del consenso informato siano i titolari della responsabilità genitoriale.
Nell’ambito dei servizi della società dell’informazione (ovvero resi a distanza, per via elettronica, attraverso strumenti informatici), l’art. 2 quinquies del D.Lgs. n. 196/2003 ha previsto che l’età per esprimere il consenso al trattamento dei dati personali del minore sia fissata in 14 anni; sotto tale soglia il trattamento dei dati personali del minore è lecito solo se il consenso sia stato prestato da chi esercita la responsabilità genitoriale.
Al di fuori dell’ambito dei servizi della società dell’informazione, per effettuare trattamenti di dati personali dei minori di 18 anni di età occorre acquisire il consenso di chi esercita la potestà genitoriale, il quale solo ha il potere di rappresentare il minore nel compimento di atti giuridici.
L’informativa deve essere redatta in linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, che renda facilmente accessibile e comprensibile dal minore le informazioni e le comunicazioni relative al trattamento che lo riguarda, al fine di rendere legittimo il consenso richiesto ed eventualmente prestato. E’ consigliabile l’utilizzo di immagini, illustrazioni o fumetti per rendere più accessibile il contenuto rivolto ad una fascia di età particolarmente bassa.
Resta inteso che, là ove il minore possa rendere il consenso in autonomia, deve essergli parimenti garantito in autonomia l’esercizio dei diritti previsti dagli artt. 15 e seguenti del GDPR, in particolare consentendogli di revocare il consenso con la stessa facilità con cui lo ha prestato.
Nell’ambito dei progetti di ricerca, le stesse norme sottolineano che gli Stati devono promuovere e sostenere la partecipazione dei minori a qualsiasi livello, tenendo nella massima considerazione la capacità di discernimento e la volontà dei minori in ragione del grado di maturità raggiunto. Andrà pertanto effettuata una attenta valutazione della loro effettiva disponibilità alla partecipazione al progetto di ricerca, bilanciandola con il rispetto del parere dei genitori previsto dalle norme. Le preferenze del minore risultano prevalenti in caso di rifiuto a prendere parte allo studio o progetto di sviluppo prodotti rispetto alla eventuale opposta volontà degli esercenti della potestà genitoriale, secondo la regola generale prevista per le persone incapaci, rispetto al consenso espresso dal proprio rappresentante legale, contenuta nel Reg. UE n. 536/2014 (art. 31).
Per questi motivi, in caso di partecipazione di minori ad un progetto di ricerca, il responsabile deve prevedere, nell’informativa e nel relativo modulo di consenso al trattamento dei dati personali, sia la firma del minore sia quella dell’esercente la potestà genitoriale.