METODO: ETICA
DELLA RICERCA

Un fattore importante per tutte e tre le dimensioni di misurazione delle prestazioni di un trial è rappresentato dai problemi relativi all'etica della ricerca. Le regole e le norme pertinenti all'etica della ricerca fanno parte della TGM e devono essere considerate durante la configurazione di un trial. Laddove vi siano esseri umani coinvolti nelle attività, sarà necessario seguire le norme e i requisiti di protezione dei dati al fine di proteggere la loro privacy e regolamentare la loro partecipazione. Questi obblighi sono definiti in dettaglio nel regolamento generale sulla protezione dei dati (GDPR) dell'UE. Il GDPR è strutturato attorno a una serie di principi di privacy, descritti brevemente qui di seguito. In base a questi principi, la presente guida elenca i requisiti e le raccomandazioni chiave collegati a ciascuna delle tre fasi del trial: preparazione, esecuzione e valutazione. Ai sensi del nuovo regolamento, un'azienda può essere soggetta a multe del 2% se non mette in atto misure adeguate per il trattamento dei dati (articolo 28 del GDPR), se non comunica una violazione all'autorità di tutela e al soggetto interessato o se non effettua una valutazione dell'impatto. Nello svolgimento di un trial, i cambiamenti portati dal nuovo regolamento si riferiscono principalmente ai diritti dei cittadini. Nel GDPR i diritti degli interessati sono indicati al capitolo III. Sebbene le nuove regole per le aziende pertengono anche al contesto del trial, l'implementazione e l'applicazione del GDPR spettano alla singola azienda/attività/organizzazione che partecipa al trial. In breve, questa linea guida etica (nell'ambito della Trial Guidance Methodology) non mirerà ad assistere le imprese ad adattarsi al GDPR, ma prenderà prima di tutto in considerazione i diritti dei soggetti interessati che partecipano potenzialmente alle attività del trial.  

Le seguenti linee guida riflettono le questioni e i concetti per organizzare un trial, ma non sono del tutto esaustive. Il motivo di ciò è che per identificare con precisione quali siano le questioni etiche rilevanti per il trial, sono necessarie più informazioni sulla configurazione, tra cui lo scenario e l'entità del coinvolgimento di partecipanti esterni come i volontari. Le linee guida offrono tuttavia un'indicazione adeguata di quali potrebbero essere le questioni più importanti e di come risolverle.

Legalità, correttezza e trasparenza: il GDPR dichiara espressamente che il trattamento dei dati deve essere lecito solo se e nella misura in cui si applichi almeno una di svariate condizioni [articolo 6 del GDPR]. Queste condizioni sono, ad esempio, che il soggetto interessato abbia fornito il consenso al trattamento dei propri dati personali per uno o più scopi specifici. Le condizioni per il consenso sono state rinforzate e il consenso deve essere fornito in forma intellegibile e facilmente accessibile, utilizzando un linguaggio semplice.

Raccolta, trattamento e limitazioni della finalità: il GDPR afferma che i dati personali possono essere raccolti unicamente "per finalità determinate, esplicite e legittime" [GDPR, articolo 5, par. 1(b)]. Il GDPR afferma inoltre che gli interessati dovrebbero avere la possibilità di "prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista". Ai sensi dell'articolo 17 ciascun interessato ha il diritto di ottenere la cancellazione dei propri dati personali qualora revocasse il proprio consenso o si opponesse al loro trattamento, nonché qualora i dati non fossero più necessari per le finalità per le quali sono stati raccolti. In conformità al GDPR, non è necessario inviare comunicazioni/registrazioni a ciascuna autorità di protezione dei dati locale in relazione a tali attività. Esistono invece dei requisiti interni in materia di registrazione della documentazione e in alcuni casi è obbligatoria la nomina di un responsabile della protezione dei dati.

Accuratezza: il GDPR afferma che i dati devono essere "esatti e, se necessario, aggiornati" [GDPR, articolo 5, par. 1(d)].

Minimizzazione dei dati e "privacy by design": il GDPR afferma che i dati raccolti di un soggetto devono essere "adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati" [GDPR, articolo 5, par. 1(c)]. Il concetto di "privacy by design", un nuovo requisito ai sensi del GDPR, implica l'inclusione della protezione dei dati fin dalla progettazione dei sistemi, piuttosto che un'aggiunta successiva. Ai sensi dell'articolo 23 i responsabili del trattamento sono tenuti a detenere e trattare solo i dati assolutamente necessari per il completamento delle loro finalità (minimizzazione dei dati), nonché a limitare l'accesso ai dati personali solo a coloro che devono attuarne il trattamento.

Limitazioni di archiviazione/integrità e riservatezza: il GDPR afferma che i dati personali devono essere "conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati" [GDPR, articolo 5, par. 1(e)]. Il GDPR dichiara inoltre che i responsabili del trattamento dei dati devono farlo "in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali" [GDPR, articolo 5, par. 1(f)]. Il diritto all'oblio, o cancellazione dei dati, consente all'interessato di richiedere al responsabile del trattamento la cancellazione dei propri dati personali, l'ulteriore diffusione di tali dati e il potenziale trattamento dei dati da parte di terzi. Le condizioni per la cancellazione, come definito nell'articolo 17, premettono che i dati non siano più pertinenti alle finalità originali del trattamento o che l'interessato revochi il proprio consenso.

Requisiti e raccomandazioni del GDPR per la fase di preparazione

Decidete se è necessaria una valutazione d’impatto sulla protezione dei dati (DPIA) [vedere la Sezione 3, Articolo 35 del GDPR]. In particolare, una DPIA è necessaria nei casi seguenti:

• una valutazione sistematica e completa degli aspetti personali relativi a persone fisiche basata sul trattamento automatizzato, tra cui la profilazione, e su cui vengano basate decisioni che producano effetti legali riguardanti la persona fisica o che influiscano notevolmente in modo simile sulla persona fisica;  
• trattamento di una vasta scala di categorie speciali di dati a cui si fa riferimento nell'articolo 9(1) o di dati personali correlati a condanne o reati penali riportati nell'articolo 10; oppure  
• un monitoraggio sistematico di un'area pubblicamente accessibile su vasta scala.
• Assicurare che i dati siano raccolti per finalità specifiche, esplicite e legittime e non trattati ulteriormente in una maniera che sia incompatibile con tali finalità [GDPR, articolo 5, par. 1(b)].
• Informare l'interessato (la persona i cui dati personali vengono raccolti) sull'identità e i recapiti del titolare del trattamento, sul tipo di dati che saranno raccolti e trattati, e su come il risultato del loro contributo verrà usato; assicurare che i dati effettivamente raccolti corrispondano a questa descrizione. Fornire informazioni sulla finalità della ricerca, chi avrà accesso ai dati e per quanto tempo sarà archiviato il materiale. Queste informazioni devono essere fornite in un modulo di consenso informato, da far firmare all'interessato prima della raccolta dei dati.
• Rendere lo svolgimento delle attività di osservazione o registrazione molto chiaro. Dare a chiunque sia potenzialmente colpito la possibilità di non acconsentire a essere osservato o registrato.
• Informare sempre tutti i partecipanti e i potenziali astanti in modo appropriato e con largo anticipo della ricerca condotta. Nel caso in cui gli astanti possano essere colpiti dall'attività, ad esempio essendo esposti a uno scenario del trial con una componente del campo, è necessario fornire più informazioni possibili in anticipo. Ciò può essere fatto, per esempio, affiggendo poster informativi nei pressi dell'area del trial. Questa sarà considerata una buona pratica anche se gli astanti non sono gli "interessati", ma dipende comunque dalla situazione. In caso di videosorveglianza o monitoraggio degli astanti dai solution provider, anche gli astanti potrebbero diventare interessati.

Requisiti & rraccomandazioni del GDPR per la fase di preparazione continua

• Se necessario, consultare le autorità locali preposte al trattamento dei dati per assicurarvi che tutte le norme e le regole che garantiscono i diritti alla protezione dei dati vengano opportunamente seguite. Laddove richiesto, è necessario effettuare la registrazione con le autorità nazionali. Ai sensi dei GDPR, non è più necessario comunicare il trattamento dei dati all'autorità di protezione dei dati, ma vigono comunque altre responsabilità che potrebbero influenzare i diritti dei partecipanti, tra cui il dovere di effettuare una valutazione d'impatto sulla protezione dei dati e di condurre consultazioni preliminari (le descrizioni dei casi in cui ciò è applicabile si trovano agli articoli 35 e 36 del GDPR).
• L'interessato ha il diritto di non essere oggetto di una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. (articolo 22 del GDPR).  
• Pianificare la pratica della minimizzazione dei dati, ossia evitare di raccogliere dati non necessari.  
• Pianificare e assicurare che i dati personali raccolti siano archiviati in modo sicuro, ad es. utilizzando la famiglia di standard ISO/IEC 27000 o le linee guida fornite dal Centro nazionale di sicurezza informatica.  
• Rendere anonimi e criptare i dati personali come regola generale.  
• Usare la tecnologia per la registrazione dei dati solo se necessario. Fornire una giustificazione.  

Requisiti & raccomandazioni del GDPR per la fase di esecuzione

• In caso di attacco ai server o qualora una persona non autorizzata entri in possesso dei dati personali, è ora obbligatorio in tutti gli stati membri comunicare tale violazione. Ciò è particolarmente vero nei casi in cui la violazione dei dati "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche". Ciò deve essere effettuato entro  
• 72 ore dal momento in cui si prende coscienza della violazione.
• Assicurare che i dati personali raccolti siano archiviati in modo sicuro, ad es. utilizzando la famiglia di standard ISO/IEC 27000 o le linee guida fornite dal Centro nazionale di sicurezza informatica nel Regno Unito.  
• Usare la tecnologia per la registrazione dei dati solo se necessario. Fornire una giustificazione.
• Praticare la minimizzazione dei dati, ossia evitare di raccogliere dati non necessari. I dati raccolti che non sono più necessari devono essere eliminati. In caso di violazione dei dati, questa prassi riduce il numero di persone colpite.
• Evitare di trattare i dati non aggiornati.
• Rendere anonimi e criptare i dati personali come regola generale.
• Tenere presente che ai sensi del GDPR qualsiasi persona situata nell'Unione europea (chiunque risieda nell’UE, non solo i cittadini dell'UE) può richiedere che i propri dati personali siano eliminati da un database aziendale, o di sapere il motivo per cui questo non sia possibile.
• L'interessato ha il diritto di non essere oggetto di una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. (articolo 22 del GDPR). Se tale trattamento è necessario per l'esecuzione del trial (ad es. per la misurazione e la registrazione "potenzialmente automatizzata" delle prestazioni mediante la Test-bed Technical Infrastructure), la decisione deve basarsi sul consenso esplicito dell'interessato [GDPR, articolo 22, par. 2(c)].
• Assicurare che i dati siano raccolti per finalità specifiche, esplicite e legittime e non trattati ulteriormente in una maniera che sia incompatibile con tali finalità [GDPR, articolo 5, par. 1(b)].

Requisiti & raccomandazioni del GDPR per la fase di valutazione

• In caso di attacco ai server o qualora una persona non autorizzata entri in possesso dei dati personali, è ora obbligatorio in tutti gli Stati membri comunicare tale violazione. Ciò è particolarmente vero nei casi in cui la violazione dei dati "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche". Ciò deve essere effettuato entro 72 ore dal momento in cui si prende coscienza della violazione.  
• Non riutilizzare i dati senza un accordo scritto. Qualora il titolare del trattamento intenda trattare i dati per un'ulteriore finalità, sarà necessario ottenere una copia aggiornata del consenso informato firmata dall'interessato.
• Evitare di trattare i dati non aggiornati.
• I dati raccolti che non sono più necessari devono essere eliminati. In caso di violazione dei dati, questa prassi riduce il numero di persone colpite.
• Rendere anonimi e criptare i dati personali come regola generale. i dati personali devono essere "conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati" [GDPR, articolo 5, par. 1(e)].  
• I responsabili del trattamento/dell'analisi dei dati devono farlo "in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali" [GDPR, articolo 5, par. 1(f)].
• Tenere presente che ai sensi del GDPR qualsiasi persona situata nell'Unione europea (chiunque risieda nell’UE, non solo i cittadini dell'UE) può richiedere che i propri dati personali siano eliminati da un database aziendale, o di sapere il motivo per cui questo non sia possibile.
• Se la descrizione dei risultati di un trial archiviato nel PoS contiene dei dati personali, sarà necessario fornire una giustificazione.
• Oltre ad assicurare che i dati personali siano raccolti per finalità determinate, esplicite e legittime, è necessario garantire che tali dati non siano trattati ulteriormente in una maniera che sia incompatibile con tali finalità [GDPR, articolo 5, par. 1(b)].