Che cosa sono i dati sensibili

I dati sensibili sono dati che devono essere protetti dalla divulgazione indesiderata e il cui accesso dovrebbe essere quindi tutelato. La protezione dei dati sensibili può essere richiesta per motivi legali o etici, per questioni relative alla privacy personale o per questioni legate alla proprietà.

L’Unione Europea ha introdotto norme severe in materia di protezione dei dati personali (si veda per esempio il Regolamento generale sulla protezione dei dati – GDPR) e informazioni sensibili non personali.

Esempi di dati sensibili sono:

  • Dati personali: identificativi come nomi o numeri di identificazione, caratteristiche fisiche, fisiologiche, genetiche, mentali, economiche, culturali o sociali, inclusi dati sulla posizione da GPS o da telefoni cellulari
  • Dati riservati: segreti commerciali, indagini, dati protetti da proprietà intellettuale
  • Dati relativi alla sicurezza: password, informazioni finanziarie, informazioni relativa alla sicurezza nazionale, informazioni militari
  • La combinazione di dataset diversi che possono generare dati sensibili o personali
  • Dati biologici 
  • Metadati personali e sensibili

Quando si gestiscono e si trattano dati sensibili è necessario prestare particolare attenzione alla raccolta, all’elaborazione, alla gestione e alla conservazione di questi dati durante tutto il processo di ricerca. In particolare devono essere trattati con cura quei dati di ricerca contenenti informazioni attraverso cui una persona può, direttamente o indirettamente, essere identificata. Ciò riguarda sia i dati testuali sia immagini o file audio. 

Esempi di dati diretti sono il nome e l’indirizzo di qualcuno, ma lo potrebbero anche essere una foto o un’intervista. Un dato indiretto è, per esempio, il datore di lavoro di qualcuno. Per i dati personali dovrebbe sempre essere fornito il consenso informato per la raccolta, il trattamento e la conservazione.

Anonimizzazione

Un altro aspetto da considerare riguarda le procedure di anonimizzazione. È opportuno conservare le informazioni che possono identificare in modo specifico una persona per il minor tempo possibile e provvedere ad anonimizzarle quanto prima. In alternativa, se esistono delle linee specifiche dettate dall’istituzione o dai finanziatori di progetto, è raccomandabile fare riferimento alle indicazioni fornite.   
È pertanto opportuno assicurarsi di disporre di politiche sicure per la cosiddetta data retention. Andrebbero previsti processi per la cancellazione, anonimizzazione o pseudo-anonimizzazione dei dati, sia cartacei sia elettronici. Data retention non significa infatti archiviare i file dopo il raggiungimento del periodo di conservazione, ma, al contrario, che, una volta esaurito lo scopo per cui sono stati raccolti, le informazioni utili a identificare un individuo vengano eliminate.

OpenAIRE mette a disposizione Amnesia, uno strumento gratuito per procedere all’anonimizzazione dei dati.