Privacy Policy

Panoramica del trattamento#

Contesto del Trattamento: il trattamento è effettuato per finalità di ricerca scientifica da parte del maggior ente di ricerca nazionale (Consiglio Nazionale delle Ricerche-CNR). Viene effettuata un'indagine epidemiologica basata sulla raccolta di campioni ematici da un campione rappresentativo della popolazione italiana (n ≥ 10.000) stratificato per età, sesso, area geografica, condizioni di salute. Sui campioni sono effettuati test sierologici per la ricerca di titoli anticorpali, indagini di verifica di suscettibilità genetica alla patologia. È inoltre prevista in una fase successiva del progetto la costituzione di una biobanca dedicata. L’indagine è finalizzata alla conoscenza della patogenesi della Covid-19 per lo sviluppo di saggi diagnostici e trattamenti.

Ruoli e responsabilità del trattamento: il titolare del trattamento è il Consiglio Nazionale delle Ricerche (CNR), e il punto di contatto del titolare è il direttore del Dipartimento di Scienze Biomediche (DSB), direttore.dsb@cnr.it. Il CNR attraverso il DSB definisce le finalità del trattamento, le modalità del trattamento, i compiti e le funzioni congiuntamente agli altri partecipanti al progetto, individuati nei seguenti Istituti/Centri del CNR, che svolgono funzione di contitolarità (IRGB-CNR, IFC-CNR, IEOS-CNR, IRIB-CNR, IGM-CNR). Partecipano al progetto in qualità di responsabile del trattamento IIT-CNR (da ora denominato GIP), ISTI-CNR che cura la realizzazione e gestione delle piattaforme informatiche. Inoltre, partecipano al Progetto in qualità di responsabili del Trattamento gli Istituti IBB- CNR e IBPM – CNR per l’organizzazione dei punti prelievo di Torino e Roma. Inoltre, la supervisione degli aspetti etici del progetto è affidata a CID-Ethics. Al progetto collaborano laboratori esterni al CNR, nominati formalmente responsabili esterni del trattamento, afferenti all’Università degli Studi di Napoli Federico II, alla Fondazione Policlinico San Matteo Pavia, alla Fondazione Toscana Gabriele Monasterio, all’Ospedale Metropolitano di Reggio Calabria, all’Ospedale Buccheri La Ferla di Palermo, al Laboratorio Latam di Torino e al Laboratorio Analisi Cliniche “Luisa” – SAM S.r.l di Roma).

Reclutamento dei partecipanti: Il reclutamento dei partecipanti avviene sulla base dei contatti raccolti in occasione della precedente indagine EPICOVID19, di cui circa il 50% ha dato la disponibilità ad essere ricontattato per ulteriori ricerche legate al COVID-19. In ogni caso ai fini dell’indagine SerGenCovid-19 sono selezionati esclusivamente i soggetti che abbiano indicato la disponibilità verso ulteriori studi e i necessari dati di contatto. I dati di contatto sono stati trasferiti a GIP tramite un accordo tra il dipartimento di scienze biomediche e l’ITB-CNR. Questa porzione di popolazione, costituita da circa 100.000 soggetti, sarà contattata mediante e-mail inviata dalla piattaforma GIP a firma del titolare del trattamento.

Un ulteriore campione di popolazione, focalizzato in particolari sulle regioni del centro - sud, sarà reclutato presso i dipendenti afferenti alle strutture sanitarie dell’Ospedale Metropolitano di Reggio Calabria e del Dipartimento Assistenziale Medicina, Immunologia Clinica, Patologia Clinica e Malattie Infettive, Università Federico II, Napoli, che ricevono un invito a partecipare al progetto sulla loro email istituzionale da parte dei rispettivi Direttori sanitari. Successivamente il GIP invia una email a questo campione con le stesse modalità del campione reclutato tramite la mail list di epicovid-19.

La email è trasmessa dalla piattaforma GIP a nome del Direttore del Dipartimento di Scienze Biomediche, in qualità di coordinatore del progetto, e contiene una informativa sintetica e un link che rimanda alla piattaforma gestita da GIP, nella quale è presente:

  • l’informativa sul trattamento dei dati comuni, sanitari e genetici e la conservazione dei campioni nella biobanca;
  • Il modulo di consenso con la possibilità di differenziare l’adesione in ragione delle diverse finalità descritte nell’informativa (dati sanitari, dati genetici, usi secondari (sieroteca/biobanca) sintesi semplificata del progetto;
  • Privacy Policy di progetto;

Raccolta dati: a seguito della sottoscrizione del consenso è emesso un codice univoco di identificazione, che non potrà in alcun modo essere riconducibile all’identità del partecipante, se non attraverso la lista di corrispondenze. La generazione del codice è affidata a GIP, che gestisce la lista di corrispondenza tra nominativi e i codici. A seguito della raccolta delle adesioni, GIP assegna in base alla loro numerosità e alla collocazione geografica, ad ogni sede CNR, il campione di partecipanti che dovranno recarsi ai punti-prelievo per i prelievi ematici. I responsabili delle sedi locali degli istituti del CNR coordinano le visite per l’invio dei partecipanti al punto-prelievo. La raccolta dei campioni potrà essere effettuata presso le sedi del CNR coinvolgendo un laboratorio esterno o direttamente presso un laboratorio esterno alla sede. Quale ulteriore misura di garanzia, ai partecipanti è resa informativa cartacea ai fini di uno specifico consenso al prelievo. Il modulo di consenso informato è conservato dalla biobanca, poiché la conservazione del consenso è funzionale alla certificazione della liceità per la conservazione dei campioni nella biobanca stessa.

I punti-prelievo utilizzano le etichette che rispettano a standard di biosicurezza e che contengono i codici anonimi per le provette dove raccogliere i prelievi, e a fine raccolta aggiornano il database di GIP con la lista dei nomi e codici di coloro che si sono effettivamente presentati per verifica. GIP, abilita tramite password i punti prelievo ad accedere all’elenco con i nomi dei partecipanti che dovranno eseguire i prelievi, al fine di garantire la correttezza dell’attribuzione dei campioni pseudonimizzati e la qualità del dato. Inoltre, il punto-prelievo verifica i consensi resi dal partecipante in fase di accesso alla piattaforma. In caso di modifiche del consenso, la piattaforma invia una mail al partecipante con il nuovo consenso.

Il responsabile della sede CNR organizza, sulla base del numero e delle tempistiche, le spedizioni dei campioni dai punti prelievo alle sedi dei partner scientifici in cui saranno eseguite le analisi, tramite un corriere reclutato a livello nazionale e che rispetta gli standard di biosicurezza richiesti dalla UNI ISO 20387. Al completamento delle analisi sierologiche da parte dei laboratori, il siero restante, tramite corriere, viene inviato alla biobanca costituita presso la sede IFC-CNR di Pisa. Analogamente avverrà per la parte di sangue contenente DNA tratto dallo stesso campione ematico che rimarrà alla fine delle analisi genetiche eseguite da IRGB. I campioni biologici verranno inviati tramite corriere da IRGB-CNR (sede di Lanusei) a IFC Pisa per essere conservati nella biobanca.

Il laboratorio accede alla piattaforma e utilizzando il codice identificativo inserisce l’esito dei test sierologico (true/false, senza includere ulteriori informazioni in merito ai titoli anticorpali). La piattaforma GIP, nel momento in cui verrà inserito l’esito del sierologico da parte del laboratorio, invierà in automatico una email all’interessato con l’indicazione del link alla piattaforma dell’ISTI a cui collegarsi per avere l’esito sui titoli anticorpali. Il partecipante, nel caso in cui l’esito del sierologico sia positivo, è tenuto ad informarne il medico di medicina generale. Gli Istituti CNR avranno accesso alla piattaforma per avere l’esito del sierologico conoscendo solo il codice identificativo riportato nella provetta senza conoscere i dati identificativi del soggetto.

Natura dei dati: il personale di ricerca non ha possibilità di correlare i dati nominativi dei partecipanti ai codici. I dati sono raccolti nella misura strettamente necessaria alle finalità di progetto descritte qui di seguito:

Fase di reclutamento

  • uso secondario dei dati di contatto raccolti con il questionario EPICOVID 19: dati di contatto (e-mail indicata per il ricontatto). I dati sono impiegati nella definizione del campione per finalità epidemiologiche;
  • dati contenuti nel consenso: dati anagrafici, dati identificativi. Studio sierologico
  • analisi sierologiche: ricerca degli anticorpi IgG, IgM, IgA, ricerca di molecole immunologicamente rilevanti nell’infezione. I dati sono finalizzati alla valutazione della risposta anticorpale e alla verifica della positività a SARS-Cov-2.

Studio genetico

  • analisi genetiche dirette alla valutazione della suscettibilità alla patologia;
  • studio di molecole chiave nel processo di infezione virale per valutarne i livelli quantitativi nel siero;
  • analisi genetiche di suscettibilità a patologie correlate al SARS-Cov-2.

Analisi epidemiologica

  • dati socio-demografici, dati relativi al contesto familiare e ambientale, anamnestici, sanitari, psicologici, positività al virus, presenza di sintomi, condizione clinica e qualità della vita: tali dati sono correlati con i risultati dei test al fine della caratterizzazione del campione.

Creazione di una biobanca

  • creazione di una biobanca finalizzata a rendere possibili studi ulteriori sul covid 19 e studi di associazione genetica e analisi genetiche di suscettibilità a patologie correlate al SARS-Cov-2. Nel caso in cui tali analisi si rendano necessario per lo studio di ulteriori caratteristiche genetiche, i partecipanti saranno ricontattati al fine di rendere una informativa su questi ulteriori studi e di esprimere nuovamente il consenso.

Base giuridica del trattamento: il trattamento dei dati personali viene effettuato dal titolare nell’ambito di esecuzione dei propri compiti di interesse pubblico ai sensi dell’art. 6, comma 1, lett. e) del GDPR. Il trattamento delle categorie particolari di dati personali (dati sensibili) viene effettuato per fini di ricerca scientifica ai sensi dell’art. 9, comma 2, lett. j) del GDPR e sulla base di un consenso esplicito da Lei prestato (art. 9, comma 2, lett. a) del RGDP; art. 110 del D.L. n. 101 del 10 agosto 2018, che modifica e integra la precedente normativa nazionale in materia. e di ogni altra norma in materia di protezione dei dati personali. Inoltre, all’atto dell’arruolamento ai partecipanti è resa una dettagliata informativa in cui è specificata la diversa natura dei dati raccolti per ogni fase del trattamento. È adottato un modello dinamico di consenso modulato in modo da consentire una scelta differenziata per ogni tipologia di trattamento e rendere possibile un aggiornamento continuo del consenso tramite accesso alla piattaforma. I partecipanti saranno ricontattati in caso di modifiche significative alle finalità originarie o in caso di trasferimento di dati/campioni a soggetti terzi. Quale condizione di liceità di tali ulteriori finalità verrà richiesto il consenso. Il prelievo dei campioni biologici avviene previa somministrazione di una ulteriore informativa e specifico consenso in formato cartaceo.

Principi guida#

Trasparenza: le procedure e le finalità del trattamento sono chiaramente definite nel protocollo di ricerca, Sono inoltre previsti accordi tra i partner di progetto per la disciplina degli accessi e la condivisione dei dati. La biobanca è dotata di una specifica policy. Il personale autorizzato all’accesso riceve incarico formale dal direttore di istituto cui afferisce ed è adottata una policy delle password e dei privilegi di accesso. I partecipanti hanno accesso ai loro dati e ai risultati intermedi della ricerca, sono inoltre informati in merito all’identità dei responsabili e titolari del trattamento, all’identità e ai dati di contatto del responsabile della protezione dei dati del CNR.

Liceità: la liceità del trattamento è assicurata dall’acquisizione di un consenso libero, esplicito, documentato e informato. Le finalità di ricerca costituiscono un interesse legittimo del titolare del trattamento in quanto finalità istituzionali del CNR.

Equità: sono adottate misure dirette a raggiungere la popolazione residente nelle diverse aree geografiche nazionali, con l’obiettivo di garantire una equa rappresentanza dei residenti nelle aree rurali e urbane, di genere, dei diversi gruppi sociali e fasce di popolazione.

Proporzionalità: gli scopi del trattamento sono dettagliatamente descritti nel progetto di ricerca e specificati in modo esplicito nell’informativa ai partecipanti. La conservazione dei campioni e l’esecuzione di ulteriori indagini genetiche (costituzione di una biobanca) configurano un uso secondario compatibile con le finalità originarie della ricerca, e oggetto di una informativa ad hoc.

Minimizzazione: i dati identificativi e anagrafici sono raccolti all’atto del consenso e conservati esclusivamente per garantire la verifica della correttezza della corrispondenza tra codici di pseudonimizzazione e identità dei soggetti. Sono conservati in un server gestito da IIT-CNR.

Accuratezza: sono adottate misure atte a garantire la verifica della correttezza dell’attribuzione dei risultati ai singoli interessati, tramite la conservazione delle corrispondenze tra nome e codice. Sono adottate misure atte a garantire l’autenticazione dei soggetti interessati che accedono alla piattaforma per la compilazione o modifica/revoca del consenso. Il personale di ricerca del progetto aderisce alle Linee guida per l’integrità nella ricerca della Commissione per l’Etica e l’Integrità nella Ricerca del CNR.

Riservatezza: il personale di ricerca autorizzato al trattamento, sottoscrive un impegno alla riservatezza. Non sono comunicati dati personali all’esterno degli istituti afferenti al progetto, in ogni pubblicazione e diffusione pubblica sono utilizzati solo dati anonimi e aggregati.

Responsabilizzazione: è prevista una chiara definizione dei ruoli e delle responsabilità del titolare, dei contitolari e dei responsabili del trattamento (art.28 Reg 679/2016). Sono definiti accordi interni per la condivisione e accesso ai dati. Il CNR è dotato di una normativa interna in materia di compiti e funzioni dei responsabili del trattamento (circ. n.27/2019), tra i quali l’istituzione e l’aggiornamento di un registro dei trattamenti (circ. n.10/22018 e 34/2019) e la nomina di un referente per la protezione dei dati personali in ogni struttura scientifica dell’Ente (circ. n.12/2020). Il Dipartimento di Scienze Biomediche, che agisce in qualità di titolare del trattamento è dotato di un corrispondente del Responsabile della protezione dei dati del CNR.

Valutazione e gestione dei rischi#

Valutazione del rischio: in considerazione della quantità, natura, durata della conservazione e potenziale impatto sui partecipanti in caso di violazione o abuso di dati, sarà eseguita una valutazione di impatto, che sarà sottomessa al Responsabile della protezione dei dati del CNR ai sensi dell’art.39 del Regolamento 679/2016.

Misure organizzative: Il CNR attraverso il DSB definisce le finalità del trattamento, le modalità del trattamento, i compiti e le funzioni congiuntamente agli altri partecipanti al progetto, individuati nei seguenti Istituti/Centri del CNR, che svolgono funzione di contitolarità (IRGB-CNR, IFC-CNR, IEOS-CNR, IRIB-CNR, IGM-CNR). Partecipano al progetto in qualità di responsabile del trattamento IIT-CNR (da ora denominato GIP), ISTI-CNR che cura la realizzazione e gestione delle piattaforme informatiche. Inoltre, partecipano al Progetto in qualità di responsabili del Trattamento gli Istituti IBB - CNR e IBPM – CNR per l’organizzazione dei punti prelievo di Torino e Roma. Al progetto collaborano laboratori esterni al CNR, nominati formalmente responsabili esterno del trattamento, afferenti all’Università degli Studi di Napoli Federico II, alla Fondazione Policlinico San Matteo Pavia, alla Fondazione Toscana Gabriele Monasterio, al Grande Ospedale Metropolitano di Reggio Calabria, all’Ospedale Buccheri La Ferla di Palermo, al Laboratorio Latam di Torino e al Laboratorio Analisi Cliniche “Luisa” – SAM S.r.l di Roma).

Il Centro Interdipartimentale per l’Etica e l’Integrità nella Ricerca del Consiglio Nazionale delle Ricerche (CID-Ethics), assicura la supervisione etica dell’intero progetto. Al Centro è affidata l’elaborazione dei consensi, dell’informativa, del documento di valutazione di impatto, e della privacy policy di progetto, in collaborazione con la referente privacy di IIT-CNR. Le persone autorizzate al trattamento e gli amministratori di sistema sono nominate con specifica lettera d’incarico. Inoltre, i ruoli e responsabilità degli Istituti e dei laboratori esterni sono definiti da contratti o altri accordi aventi valore giuridico.

Gli Istituti afferenti al progetto, nominati Contitolari, hanno responsabilità e ruoli differenziati in merito al trattamento dei dati, nonché alla loro conservazione e concessione di privilegi di accesso ai dati. Tuttavia, essi definiscono, insieme al titolare, le finalità del trattamento, la tipologia di soggetti, la natura dei dati, le misure di protezione, il ruolo dei partner esterni al progetto, la durata della conservazione, gli usi secondari. Tenendo conto di quanto previsto dalle linee guida del Comitato europeo per la protezione dei dati in materia (parere n.7/2020), gli istituti del DSB-CNR, inseriti all’interno del protocollo, sono stati considerati contitolari del trattamento. In ragione di ciò è stato previsto un accordo di contitolarità tra il Dipartimento di Scienze Biomediche e i singoli Istituti (art.26 GDPR). Le strutture esterne al CNR, sono designate responsabili esterni del trattamento da parte del direttore del Dipartimento di Scienze Biomediche del CNR. Le persone autorizzate al trattamento ricevono incarico formale da parte del direttore del Dipartimento di Scienze Biomediche unitamente al direttore di istituto/centro cui afferiscono. L’IIT–CNR e l’ISTI-CNR sono stati nominati responsabili del trattamento poiché agiscono su specifico mandato del Titolare del trattamento. Le persone autorizzate al trattamento ricevono incarico formale da parte del direttore del Dipartimento di Scienze Biomediche unitamente al direttore di istituto/centro cui afferiscono.
Il trattamento dei dati nominativi, e di ogni altro dato identificativo dei soggetti interessati è gestito da IIT-CNR, che agisce per conto del titolare. Sono affidate a IIT-CNR, le procedure di pseudonimizzazione, la creazione della piattaforma e la messa a punto di ogni altra misura di sicurezza informatica definite dal contratto o atto giuridico in coerenza con il protocollo del progetto depositato presso il titolare.
ISTI conserverà sulla sua infrastruttura i questionari epidemiologici (di cui il primo diretto alla raccolta di dati sanitari e il secondo di dati socio-demografici) pseudonimizzati con il relativo codice generato da GIP, i risultati dei dati clinici (analisi sierologiche/immunologiche) codificati; la piattaforma NON conterrà mai i dati identificativi del singolo paziente. Inoltre, gestirà gli accessi alla piattaforma (previa autorizzazione) dei ricercatori per la consultazione dei dati, e degli operatori dei laboratori per la memorizzazione dei risultati dei test sierologici. I campioni di sangue sono raccolti da laboratori per esclusive finalità di verifica della positività a Covid-19. Al termine dell’analisi i campioni sono trasferiti a IFC-CNR, individuata quale struttura atta alla conservazione dei campioni e dotata di una specifica policy. GIP fornisce la password ai punti-prelievo per la verifica della corrispondenza tra i dati identificativi e codici di pseudonimizzazione. Tale accesso ha l’esclusiva finalità di controllo dei prelievi e corretta attribuzione dei campioni. La password è valida fino al completamento delle verifiche. I laboratori agiscono per conto del contitolare quali responsabili esterni del trattamento, limitatamente alle finalità e procedure sopra descritte. Non è previsto il trasferimento di dati o campioni biologici a soggetti terzi.

Relativamente ai campioni riguardo ai quali i partecipanti abbiano espresso il consenso alla conservazione per finalità di ricerca anche oltre la conclusione del progetto, è prevista la costituzione di una biobanca presso IFC-CNR. I dati genetici derivanti dall’analisi dei campioni, sono conservati presso IRGB-CNR in un server. IRGB-CNR è dotato di una specifica politica di gestione degli accessi e di condivisione dei dati (accesso privato VPN -Virtual Private Network) che esclude la condivisione di dati genetici individuali, e limita l’accesso alla sola conoscenza di dati genetici aggregati, ove per aggregati si intendono le statistiche emerse dallo studio sui partecipanti. Non sono trasferiti campioni biologici o file contenenti dati aggregati a soggetti terzi.

Politica degli accessi: viene eseguita la dissociazione tra nome e ogni altro dato identificativo dei partecipanti tramite un codice di pseudonimizzazione che è generato con randomizzazione da GIP a seguito dell’ indicazione dei dati personali necessari all’atto della sottoscrizione del consenso. Quale ulteriore misura di garanzia è prevista una gestione separata dei diversi flussi di dati (identificativi, sanitari e genetici) tramite la dislocazione su tre server differenti gestiti rispettivamente da IIT-CNR, ISTI-CNR, IRGB-CNR. I server non sono in rete tra di loro e non è prevista la trasmissione fisica dei dati: agli Istituti contitolari del trattamento è consentita la possibilità di accesso ai dati per specifiche esigenze di ricerca definite nell’accordo di contitolarità. Ai punti prelievo è consentito l’accesso ai dati identificativi per verificare i consensi resi in fase di registrazione alla piattaforma e la corrispondenza univoca tra il nome e il codice pseudonimizzato da apporre al campione biologico. In particolare, GIP avrà accesso alla corrispondenza nome-codice, ma non ai dati raccolti dallo studio, mentre il titolare e i contitolari non avranno accesso alla chiave di corrispondenza tra dati identificativi e i codici, ma avranno accesso ai dati scientifici codificati contenuti nel database di ISTI-CNR o ai dati genetici aggregati conservati da IRGB-CNR. L’architettura di sistema consente l’accesso da parte di un singolo soggetto solo alla classe di dati cui è autorizzato, ovvero solo alla corrispondenza tra i nominativi (e ogni altro dato identificativo, ad es. indirizzo e-mail, istituto di afferenza, qualifica ecc.) e il codice, o, viceversa, esclusivamente ai dati raccolti dal progetto resi privi di ogni elemento identificativo. I rispettivi ruoli e responsabilità sono disciplinati da un accordo tra le parti.

Misure di garanzia: il protocollo dello studio è sottomesso al Comitato etico dell’Istituto Nazionale per le Malattie Infettive “Lazzaro Spallanzani” in qualità di comitato unico nazionale per la valutazione delle sperimentazioni cliniche su pazienti affetti da Covid come da D.L. n. 18/2020 e s.m.i. È prevista la consultazione del Responsabile della protezione dei dati del CNR in relazione alla valutazione di impatto.

Quale ulteriore misura di garanzia è data la facoltà al soggetto interessato tramite le proprie credenziali, ovvero il codice, di accedere a GiP per modificare il consenso sia spontaneamente che nel caso in cui siano presenti cambiamenti nelle finalità del progetto che richiedono un nuovo consenso. Una email sarà inviata dal Titolare a tutti i contatti in caso di modifiche nelle finalità di trattamento, di trasferimento di dati/campioni a soggetti terzi, di conclusione dello studio e distruzione dei campioni/dati, aggiornamenti sulla titolarità, contitolarità, o cambiamento della base giuridica del trattamento (ad es. sicurezza sanitaria in luogo della ricerca). I consensi informati saranno gli unici file a non dover essere trattati con procedura di pseudonimizzazione. Inoltre, le persone autorizzate al trattamento hanno una adeguata formazione in materia di protezione dei dati e aderiscono ai più elevati standard etici relativi alla conduzione della ricerca e alle linee guida del settore, normativa qui di seguito sinteticamente riportata:

  • Carta dei Diritti Fondamentali dell’Unione Europea.
  • Convenzione sui diritti dell’uomo e la biomedicina del Consiglio d’Europa (1997)
  • Protocollo addizionale alla Convenzione sui diritti dell’uomo e la biomedicina riguardante la Ricerca Biomedica (2005)
  • Recommendation CM/Rec(2016)6 of the Committee of Ministers to member States on research on biological materials of human origin, Consiglio d’Europa;
  • Dichiarazione Internazionale sui Dati Genetici Umani, UNESCO, 2003
  • Dichiarazione Universale sulla Bioetica e i Diritti Umani, UNESCO, 2005 
  • Regolamento generale sulla protezione dei dati (Regolamento UE, 2016/679;
  • Decreto legislativo 30/06/2003 n. 196 (Codice novellato);
  • Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’articolo 21, comma 1 del decreto legislativo 10 agosto 2018, n. 101. (Provvedimento n. 146/2019).
  • Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018;
  • Provvedimento CNR n. 27/2019, Compiti e funzioni dei Responsabili interni CNR in materia di Trattamento dei dati personali;
  • Codice di comporatmento del CNR, 2017 (Deliberazione C.d.a. n. 137/2017);
  • Guidelines 07/2020 on the concepts of controller and processor in the GDPR, del Comitato europeo per la protezione dei dati;
  • Guidelines 05/2020 on consent under Regulation 2016/679, del Comitato europeo per la protezione dei dati;
  • Il consenso informato nella ricerca scientifica- Ethical Toolkit, della Commissione per l’Etica e l’Integrità nella Ricerca del CNR
  • Linee guida per l’integrità nella ricerca, della Commissione per l’Etica e l’Integrità nella Ricerca del CNR;
  • Incidental Findings nella ricerca scientifica. Criteri e indicazioni per le ricerche -omiche, della Commissione per l’Etica e l’Integrità nella Ricerca.

Gestione dei data breach: il progetto adotta le procedure di gestione delle violazioni elaborate da IIT-CNR e ISTI-CNR. In particolare, è istituito un registro delle violazioni e adottata una modulistica dedicata per la segnalazione delle violazioni al Garante per la protezione dei dati personali e al soggetto interessato. È inoltre predisposto un modulo per la raccolta di segnalazioni da parte dei soggetti interessati. La policy di gestione delle violazioni è allegata al presente documento. Inoltre, il personale di ricerca afferente al progetto agisce nel rispetto delle disposizioni di cui alle seguenti atti di regolazione:

  • Linee guida sulla notifica delle violazioni di dati personali ai sensi del regolamento (UE) 678/2016, approvate, in via definitiva, il 6 febbraio 2018 del Gruppo di lavoro articolo 29 per la protezione dei dati;

  • Direttiva CNR del 24 maggio 2018 sull'applicazione del Regolamento generale sulla protezione dei dati UE Informativa per la raccolta dei dati personali. Aggiornamento. Notifica di violazione dei dati personali ex art.33 Regolamento;

  • Regolamento di organizzazione e funzionamento del Consiglio Nazionale delle Ricerche (ROF), emanato con provvedimento del Presidente n .14 di cui al protocollo AMMCNT – CNR n. 12030 del 18 febbraio 2019 di cui è stato dato l’avviso di pubblicazione sul sito del Ministero dell’Istruzione, dell’Università e della Ricerca il 19 febbraio 2019, entrato in vigore il 1°marzo 2019;

  • Provvedimento CNR n. 27/2019 che definisce “Compiti e funzioni dei Responsabili interni CNR in materia di Trattamento dei dati personali”.

Per quanto riguarda le misure tecniche di sicurezza delle piattaforme è stato utilizzato un modello di analisi del rischio elaborato sulla base delle linee guida fornite da: linee guida wp 29 - valutazione d'impatto della protezione dei dati (http://www.garanteprivacy.it/DPIA) e di ENISA - Guidelines for SMEs on the security of personal data processing (https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing9).