Pubblicato il

Uscita di sicurezza

a

Nella settima riunione plenaria, tenutasi il 12 febbraio scorso, il Comitato Europeo sulla Protezione dei Dati (EDPB), temendo un’uscita del Regno Unito dall’Unione Europea senza accordo (cosiddetta Brexit with no‑deal), ha fornito le indicazioni per i titolari o i responsabili del trattamento che dovessero far transitare i dati personali proprio verso il Regno Unito. In questo caso, infatti, si tratta di trasferimento di dati personali verso paesi terzi disciplinato dal Capo V del GDPR.

L’EDPB offre le possibili soluzioni affinché titolari e responsabili siano pronti ad affrontare questa eventualità. Chiunque trasferirà dati personali verso il Regno Unito potrà:

  • usufruire delle clausole di protezione dei dati personali da inserire negli accordi con il partner inglese; le clausole standard sono contenute nelle decisioni della Commissione UE 2001/497/EC, 2004/915/EC e 2010/87/EU;
  • applicare Regole Vincolanti d’Impresa (nel caso di multinazionali con qualche appartenente al gruppo con sede nel Regno Unito); nel caso specifico, le Regole Vincolanti d’Impresa dovranno essere approvate dal Garante per la Protezione dei Dati Personali previo parere dell’EDPB;
  • applicare codici di condotta approvati dall’EDPB; i codici di condotta, tuttavia, sono ancora lontani dal vedere la luce visto che, nella stessa seduta, l’EDPB ha stabilito le linee guida per realizzarli;
  • verificare la possibilità di avvalersi delle deroghe previste dall’art. 49 del GDPR.

In ogni caso, i titolari ed i responsabili, per il principio di accountability, dovranno motivare e documentare la loro scelta oltre che, naturalmente, informare gli interessati come previsto dall’art. 13 del GDPR.

Un’uscita di sicurezza deve essere sempre a portata di mano.

Condividi
Pubblicato il

La pillola va giù

Durante la sesta riunione plenaria, il Comitato Europeo sulla Protezione dei Dati (EDPB), tenutasi il 22 e 23 gennaio scorsi, ha espresso un parere sulle sovrapposizioni tra il Regolamento UE 536/2014 riguardante la sperimentazione clinica di medicinali per uso umano (Clinical Trials Regulation – CTR) ed il GDPR.

La questione riguardava le basi giuridiche che gli enti di ricerca devono utilizzare per il trattamento dei dati personali di soggetti coinvolti nei programmi di sviluppo dei medicinali. Occorre tenere conto che, in questi programmi, sono trattati sia dati comuni (le cui condizioni di liceità sono contenute nell’art. 6 del GDPR) sia le particolari categorie di dati personali (art. 9 del GDPR).

Il parere dell’EDPB affronta la questione ragionando su due specifiche finalità:

  • l’impiego di dati personali per scopi riguardanti primariamente e direttamente la cura della salute;
  • l’impiego di dati personali per sperimentare lo sviluppo di nuovi farmaci senza collegamento immediato con la cura della salute.

Nel primo caso, individua quali basi giuridiche l’obbligo legale per i dati comuni (art. 6, par. 1, lettera c) e l’interesse pubblico alla salute per le particolari categorie di dati personali (art. 9, par. 2, lettera i).

Per il secondo caso, l’EDPB specifica anzitutto che il consenso informato previsto dall’art. 29 del CTR è differente dal consenso previsto dall’art. 7 del GDPR. Il primo riguarda la tutela della dignità e dell’integrità fisica del soggetto (art. 1 ed art. 3 della Carta dei Diritti Fondamentali dell’Unione Europea) mentre il secondo è riferito al rispetto della vita privata e familiare (art. 7 della Carta dei Diritti Fondamentali dell’Unione Europea). Quindi, il consenso informato dell’art. 29 CTR non costituisce una valida base giuridica per il trattamento dei dati personali di chi si sottopone alla sperimentazione.

Inoltre, l’EDPB ribadisce la sua consolidata opinione secondo la quale il consenso previsto dall’art. 7 del GDPR deve essere applicato con parsimonia quando esiste uno sbilanciamento tra interessato e titolare. Nel caso della sperimentazione clinica di medicinali, infatti, è frequente che i soggetti ai quali viene proposta la sperimentazione (interessati) siano in condizioni economiche difficili e, quindi, il loro consenso al trattamento dei dati non è espresso liberamente perché desiderosi di guadagnare qualcosa per la sopravvivenza.

L’EDPB, quindi, suggerisce l’applicazione di altre basi giuridiche che, peraltro, il Garante per la Protezione dei Dati Personali aveva in parte codificato nelle recenti Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.

La pillola va giù, ma con prudenza.

Condividi