Tre anni di GDPR. L’impatto nei progetti di R&I europei, come orientarsi? - APRE

Dal 25 maggio 2018 sono passati oltre tre anni, ma con certezza tutti ricordiamo l’entrata in vigore del GDPR (Regolamento europeo sulla protezione dei dati personali) come un importante avvenimento che ha inciso sia nelle nostre vite private che professionali.

Nel corso di questo triennio lo abbiamo studiato, analizzato ed applicato e con certezza molto frequentemente ha garantito un’elevata sicurezza ed ha protetto i nostri dati personali. Sin dal principio l’interesse del mondo della ricerca e innovazione è stato piuttosto elevato, l’attenzione è stata rivolta nel comprendere le implicazioni del nuovo Regolamento nelle attività condotte al fine di predisporre l’organizzazione e gli strumenti adeguati, garantendo dei trattamenti dei dati personali conformi alla normativa. Infatti, questi ultimi sono frequenti e molto spesso necessari per la R&I, come ben si può immaginare, basti pensare alla ricerca in ambito sanitario che si alimenta di numerosi trattamenti, molto spesso anche di categorie particolari di dati personali.

Per queste ragioni, considerato il crescente interesse verso l’argomento tra le organizzazioni italiane, nell’ottobre 2019 APRE ha deciso di intraprendere un percorso insieme ai propri Soci con lo scopo di analizzare insieme l’applicazione del GDPR nei progetti europei di ricerca, con un focus su Horizon 2020, per comprenderne le conseguenze e quindi le specifiche novità che ne sono derivate. Si è trattato di un lavoro che ha raccolto insieme le esperienze maturate in due anni di applicazione del Regolamento europeo nella gestione dei progetti di ricerca e innovazione europei da circa 20 organizzazioni italiane (principalmente centri di ricerca e università), che hanno raccolto e condiviso dubbi, perplessità, buone pratiche e risultati. Il lavoro ha condotto all’elaborazione di un documento dedicato all’impatto del Regolamento europeo sulla protezione dei dati personali 679/2016 sui progetti di ricerca e innovazione finanziati nell’ambito del programma Horizon 2020.

Le linee guida sviluppate sono racchiuse in tre volumi:

È possibile quindi ritrovare un’analisi approfondita dell’applicazione del nuovo Regolamento europeo nei progetti Horizon 2020, prendendo in considerazione tutto il ciclo di vita progettuale, alla luce delle esperienze vissute e alle criticità individuate dalle differenti organizzazioni.

Nel periodo di elaborazione del documento, sono stati pubblicati vari documenti dalle Autorità europee (European Data Protection Board -EDPB) e nazionale (Garante Protezione dati Personali) nonché sentenze, tra tutte va ricordata quella del 16 luglio 2020, con cui la Corte di Giustizia dell’UE ha invalidato il “Privacy Shield”, ovvero l’accordo con cui grandi organizzazioni e multinazionali potevano legittimare il trasferimento di dati personali tra Europa e Stati Uniti. Tutto questo ha influito sull’elaborazione di queste linee guida.

Ricordiamo in particolare i documenti di raccomandazioni dell’EDPB del novembre 2020:

  • 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE;
  • 02/2020 relative alle garanzie essenziali europee per le misure di sorveglianza.

Un altro documento di rilievo, adottato dall’EDPB durante il periodo di attività del gruppo di lavoro dei soci APRE sono le Guidelines 4/2019 on Article 25 Data Protection by Design and by Default pubblicate nell’ottobre 2020.

Con l’avvio del nuovo programma Horizon Europe non escludiamo di tornare a lavorare assieme su questo tema per aggiornare e migliorare il documento, anche alla luce di eventuali sviluppi della normativa in ambito europeo. Ad ogni modo ci auguriamo che i risultanti del gruppo di lavoro possano fornire un supporto concreto ai ricercatori e innovatori italiani, trattandosi di un documento unico nel suo genere.

 

Questo articolo è stato pubblicato in APREmagazine n. 16 di luglio 2021

Torna su