L’EDPB fa chiarezza sulla ricerca scientifica e approva Europrivacy come strumento ufficiale per i trasferimenti internazionali di dati

Durante la sua ultima sessione plenaria, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato linee guida cruciali sul trattamento dei dati personali per scopi di ricerca scientifica e ha approvato i criteri della certificazione Europrivacy come Sigillo Europeo per la Protezione dei Dati (European Data Protection Seal) da utilizzarsi come strumento per i trasferimenti internazionali.

Queste novità mirano a fornire maggiore chiarezza normativa, facilitando la conformità al GDPR e garantendo, al contempo, la tutela dei diritti fondamentali degli individui.

Nuove Linee Guida per la Ricerca Scientifica

L’elaborazione dei dati personali è alla base di importanti scoperte scientifiche e le nuove tecnologie, come l’intelligenza artificiale, consentono ai ricercatori di analizzare i dati in modi innovativi. Per facilitare questo processo, l’EDPB ha delineato sei fattori chiave per determinare se un trattamento rientra nella “ricerca scientifica” ai sensi del GDPR: un approccio metodico e sistematico, l’adesione a standard etici, verificabilità e trasparenza, autonomia, specifici obiettivi di ricerca e il potenziale contributo alla conoscenza scientifica.

Un aspetto fondamentale chiarito dall’EDPB è che il trattamento ulteriore dei dati per scopi di ricerca scientifica si presume compatibile con lo scopo iniziale della raccolta. Inoltre, nei casi in cui gli obiettivi della ricerca non siano del tutto noti al momento della raccolta dei dati, i titolari del trattamento possono affidarsi a un “consenso ampio” (broad consent), purché vengano rispettati rigorosi standard etici e implementate salvaguardie aggiuntive. Le linee guida chiariscono anche come applicare le limitazioni ai diritti di cancellazione e opposizione degli interessati per non compromettere gravemente gli obiettivi della ricerca.

Il Sigillo Europrivacy per i Trasferimenti di Dati

Oltre al lavoro sulla ricerca scientifica, l’EDPB ha adottato l’Opinione 15/2026, riconoscendo ufficialmente i criteri Europrivacy come strumento per i trasferimenti internazionali di dati in conformità agli Articoli 42 e 46 del GDPR.

Questa certificazione è destinata agli importatori di dati stabiliti al di fuori dello Spazio Economico Europeo (SEE) che non sono soggetti al GDPR. Attraverso l’ottenimento del sigillo, l’importatore dimostra di disporre di garanzie adeguate affinché il livello di protezione garantito dal GDPR ai cittadini europei non venga compromesso durante l’esportazione dei dati.

Garanzie Adeguate e Impegni Vincolanti

Perché il trasferimento sia legittimo, il meccanismo di certificazione deve essere accompagnato da impegni vincolanti ed esecutivi sottoscritti dall’importatore nei confronti dell’esportatore. I criteri Europrivacy richiedono esplicitamente la firma di un contratto prima che avvenga qualsiasi trasferimento.

Tra i requisiti più stringenti previsti dal sigillo Europrivacy vi sono:

• Diritti dei Terzi Beneficiari: I soggetti interessati sono riconosciuti come “terzi beneficiari”, avendo il diritto di far valere le regole della certificazione direttamente contro l’importatore dei dati.
• Valutazione del Paese Terzo (TIA): L’importatore deve analizzare le leggi e le pratiche del proprio paese per assicurarsi che non ostacolino la conformità alla certificazione. Qualora vi siano rischi, devono essere adottate misure supplementari; in caso contrario, il trasferimento deve essere sospeso o interrotto.
• Cooperazione con le Autorità EEA: L’importatore si impegna contrattualmente a cooperare con le Autorità per la Protezione dei Dati del SEE, accettando audit, ispezioni e decisioni vincolanti.
• Gestione delle Violazioni: Devono essere documentate tutte le violazioni dei dati (data breach) e, qualora sussista un rischio per i diritti delle persone, queste devono essere notificate all’Autorità competente nel SEE e ai soggetti interessati.

In sintesi, l’approvazione di questi criteri conferma il ruolo chiave delle certificazioni come strumenti di conformità al GDPR, offrendo garanzie pratiche e trasparenti per la tutela dei dati personali su scala globale.