by: Posted on:

Informativa trattamento dati personali

L’informativa è pubblicata nel sito del progetto di ricerca (https://acoi.scipol.unipg.it/) ai sensi dell’art. 14 del GDPR e dell’art. 105, co. 4 del d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali” e s.m.i. nonché dell’art. 6, comma 3 delle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica”, di cui all’allegato 1 della delibera del Garante per la protezione dei dati personali n.  515 del 19 dicembre 2018

La valutazione del conflitto di interessi è fondamentale per prevenire e contrastare la corruzione amministrativa. È anche un elemento critico della legittimità dei poteri pubblici, in quanto i conflitti di interessi possono minare la fiducia del pubblico nell’esercizio imparziale delle funzioni pubbliche. Un problema caratteristico nel campo del conflitto di interessi è l’asimmetria informativa, a vantaggio del portatore dell’interesse deviante: la denuncia delle situazioni di conflitto è solitamente affidata agli stessi interessati (gli unici ad avere piena conoscenza delle situazioni di conflitto), sanzionati con sanzioni (anche penali) in caso di false dichiarazioni. Una valutazione efficace del conflitto di interessi richiede di colmare questa lacuna informativa. Tuttavia, colmare questa lacuna informativa – proprio a causa delle diverse condizioni di partenza – richiede uno sforzo cognitivo notevole. Uno sforzo economicamente costoso, poiché richiede la mobilitazione di risorse (informative e organizzative), e giuridicamente impervio e delicato, poiché comporta necessariamente il trattamento di dati personali.

Il progetto di ricerca di interesse nazionale PRIN PNRR “Assessing conflict of interest – ACOI” intende indagare come la mappatura sistematica degli interessi che fanno capo ai soggetti che sono tenuti a presentare una dichiarazione relativa al conflitto d’interessi possa alleviare questo “sforzo cognitivo”, colmando l’asimmetria informativa in tempi ragionevoli e a costi ragionevoli.

Il progetto si basa su due filoni di ricerca:

1) il primo filone, principalmente di natura giuridica, si concentrerà su due argomenti: la ricostruzione analitica della morfologia del regime di conflitto di interessi; e uno studio approfondito delle condizioni e dei limiti al trattamento dei dati personali, con riferimento ai metodi/tecniche di trattamento più rilevanti, ai requisiti di base giuridica, al potenziale set di dati da elaborare.

2) il secondo filone studierà, sperimenterà e testerà la fattibilità di soluzioni basate sull’elaborazione di dati personali (dati pubblici o comunque reperibili da fonti di dati in possesso di soggetti pubblici), per analizzare, mappare e rilevare i rischi di conflitti di interesse.

I due filoni di ricerca si alimentano a vicenda. La sperimentazione in vitro è utile per evidenziare i rischi e modellare soluzioni in conformità con i principi e gli istituti del regime giuridico del GDPR; correlativamente, è essenziale uno studio approfondito sul fronte più strettamente giuridico per trasporre le componenti elementari del conflitto di interessi in meccanismi applicabili al trattamento automatizzato

 

  • Categorie di dati trattati: Il progetto intende testare le capacità di rappresentazione e visualizzazione a partire dalla interrogazione ed interconnessione delle informazioni per le seguenti categorie di dati:
    • Dati anagrafici e dichiarazione di insussistenza conflitto di interesse: sezione Amministrazione trasparente dei siti istituzionali di PA;
    • Dati anagrafici: nome e cognome; sesso; data e luogo di nascita; codice fiscale; dati attinenti a legami familiari (fonte Anagrafe Nazionale Popolazione residente)
    • Dati patrimoniali e societari: informazioni su partecipazioni azionarie o ruoli apicali in imprese registrate, quali soci/titolari, amministratori, direttori, sindaci, di soggetti persone fisiche (fonte: Bureau van Dijk Orbis);
    • Dati catastali: informazioni su proprietà immobiliari intestate a determinati soggetti e su co-intestazioni (fonte: Cerved);
    • Raccolta di informazioni sullo svolgimento di incarichi pubblici (sezione Amministrazione trasparente dei siti istituzionali di PA)
  • Il proof of concept è impostato fin dall’origine per integrare anche i dati e le informazioni relative ai legami famigliari, da ricavare mediante interrogazione della banca dati nazionale ANPR (Anagrafe Nazionale delle Persone Residenti). Attualmente all’ANPR non è ancora stato acquisito, ma sono in corso contatti con. L’amministrazione dell’Interno, a questo fine.
  • Finalità del trattamento: i dati raccolti sono trattati esclusivamente in esecuzione di un compito di interesse pubblico, ai sensi dell’art. 6, comma 1, lett. e) del GDPR, nonché dell’art. 2-ter del Codice Privacy, comma 2 e comma 1-bis. Più in particolare, il compito di pubblico interesse coincide con le attività di attuazione del progetto di ricerca di rilevante interesse nazionale PRIN PNRR 2022, denominato “Assessing conflict of interest – ACOI” P2022JSLZW. Il trattamento dei dati raccolti è finalizzato al perfezionamento del progetto di ricerca specifico, come sopra individuato, e per le attività di monitoraggio e di rendicontazione ad esso associate, svolte da soggetti debitamente autorizzati con responsabilità per tali attività.
  • Base giuridica del trattamento: La base di liceità del trattamento è individuarsi nella strumentalità rispetto all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Il trattamento viene effettuato dal Titolare nell’ambito dell’esecuzione dei propri compiti di interesse pubblico ai sensi dell’art. 6, paragrafo 1, lett. e) del GDPR. In forza di tale disposizione, è lecito trattare dati personali quando tale trattamento è necessario per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento. Il progetto di ricerca ACOI intende esplorare le condizioni di praticabilità di una soluzione di verifica delle dichiarazioni di assenza di conflitto d’interesse, mediante la ricostruzione della mappa degli interessi che fanno capo al soggetto dichiarante, in accordo con lo schema normativo del conflitto d’interessi. Tale operazione richiede necessariamente il trattamento di dati personali (del dichiarante e dei parenti entro il quarto grado, in particolare), dal momento che tali informazioni sono indispensabili per verificare quali sono gli interessi (personali, economici, commerciali, finanziari) che fanno capo al dichiarante, così da poterli mettere a confronto ed in relazione con le finalità e gli interessi pubblici che caratterizzano l’esercizio della funzione pubblica che il dichiarante è chiamato a svolgere, così da verificare la sussistenza o meno di situazioni, anche potenziali, di conflitto. Pertanto, il trattamento dei dati personali indispensabili a individuare, mappare e verificare il conflitto d’interessi risulta necessario per il perseguimento della finalità di interesse pubblico che consiste nello svolgimento della funzione istituzionale di ricerca scientifica in capo alle università coinvolte nel progetto, in attuazione di un compito di interesse pubblico (l’esecuzione di un progetto di ricerca di rilevante interesse nazionale, in attuazione del PNRR) e come tale integra il presupposto di liceità del trattamento dei dati personali di cui all’art. 6, paragrafo 1, lett. e) del GDPR.
  • Ferma restando la sussistenza della base giuridica di cui al punto che precede in virtù della clausola di necessarietà, si aggiunge che la base di liceità del trattamento dei dati personali si rinviene anche nelle fonti abilitate dall’ordinamento nazionale italiano (cfr. art. 6, par. 2, del GDPR, a mene del quale «Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX»).
  • Il trattamento dei dati trova, pertanto, fondamento anche: nella base giuridica di cui all’art. 2-ter, comma 1, in quanto il progetto PRIN PNRR “ACOI” è stato approvato e finanziato in attuazione degli atti generali che hanno istituito e dato concreta attuazione al PNRR (a cominciare dal PNRR stesso); nella base giuridica di cui all’art. 2-ter, comma 1-bis, in quanto il trattamento dei dati personali previsto dal progetto è necessario per l’adempimento di un compito svolto nel pubblico interesse di cui sono investiti i titolati (esecuzione di un progetto di rilevante interesse nazionale, finanziato da un programma che istituzionalmente promuove e finanzia progetti di ricerca pubblica).
  • Modalità di trattamento dei dati: In sede di sviluppo, sperimentazione e test, il ciclo di vita del trattamento dei dati è strettamente funzionale alle finalità di sperimentazione, sviluppo e test, e quindi non risponde ad una scansione predeterminata e regolare delle diverse fasi, ma piuttosto è dipendente dalle esigenze contingenti, connesse alla messa a punto del prototipo.
  • Con riferimento al dato personale che rende più direttamente e specificatamente identificabili gli interessati al trattamento (nome, cognome, codice fiscale, indirizzo), sarà oggetto di trattamento esclusivamente il dato “codice fiscale”, mentre gli altri – che risultano eccedenti rispetto alle finalità e alle esigenze del progetto di ricerca – non saranno raccolti, ovvero saranno cancellati al termine della fase di pseudonimizzazione. Il dato personale “codice fiscale” in chiaro sarà trattato esclusivamente ai fini della sua pseudonimizzazione mediante applicazione di funzione di hash, tale da non consentire l’identificazione dell’interessato, secondo quanto previsto dall’art. 89, par. 1 del GPDR. In questo modo, tutti i trattamenti successivi, in base ai quali saranno ricostruire le reti di interessi, nonché operato l’analisi e il confronto con le categorie di interessi pubblici, al fine di evidenziare le red flag, saranno operati esclusivamente su dati pseudononimizzati, a tutela degli interessati (resi in questo modo non identificabili).

 

  • Conservazione dei dati: i dati personali, dopo essere stati pseudonimizzati, saranno conservati, per un periodo ulteriore rispetto a quello strettamente necessario ai fini della chiusura e della rendicontazione del progetto ACOI, periodo che non potrà comunque superare i cinque anni dalla data di chiusura formale del progetto ACOI, e in ogni caso nel rispetto della normativa vigente e assicurati i requisiti tecnici ed organizzativi di sicurezza per la conservazione. I dati personali in chiaro, una volta proceduto all’operazione di pseudonimizzazione, saranno cancellati.
  • Usi ulteriori dei dati raccolti e conservati: il titolare del trattamento potrebbe decidere di conservare e utilizzare i dati oggetto di conservazione oltre il termine di chiusura del progetto di ricerca ACOI e l’ulteriore termine di conservazione di cinque anni, già preventivato (vedi al punto “conservazione dei dati”), qualora si concretizzassero opportunità di impiego di tali dati per finalità di ricerca e sviluppo omogenee rispetto a quelle che ne hanno giustificato la raccolta e la conservazione iniziale (quali, a titolo di esempio, ulteriori finanziamenti, attivazione di partnership di ricerca, approvazione di progetti di ricerca con il medesimo o analogo oggetto, etc.); in tali casi, il titolare del trattamento provvederà a informare preventivamente gli interessati attraverso specifiche inserzioni sul proprio sito internet e su quelli dei singoli progetti eventualmente attivati, ciò anche al fine di consentire agli interessati, nel rispetto del principio di correttezza e trasparenza, l’esercizio dei diritti loro spettanti in base al Regolamento (art. 15 e ss.)
  • Comunicazione dei dati oggetto di trattamento: i dati personali raccolti ed utilizzati nell’ambito della ricerca ACOI potranno essere oggetto di comunicazione e scambio solo tra i ricercatori che fanno parte del progetto ACOI, per le esigenze connesse allo svolgimento del progetto di ricerca e per il raggiungimento dei suoi obiettivi. La comunicazione all’esterno dei risultati del progetto di ricerca, in occasione di seminari, convegni, ovvero mediante workshop e pubblicazioni, avverrà sempre ed esclusivamente ricorrendo a dati sintetici, aggregati e/o a dati anonimi. Non è prevista la comunicazione all’esterno e/o la diffusione dei dati personali raccolti e trattati nell’ambito del progetto.
  • Trasferimento dati all’esterno: qualora il titolare – per esigenze connesse all’attività di ricerca ed elaborazione dei dati personali connesse all’attività di ricerca – proceda ad un trasferimento dei dati in paesi extra UE, verifica che esista una decisione di adeguatezza della Commissione UE o altro adeguato meccanismo idoneo a garantire l’adeguatezza del livello di tutela dei dati personali assicurato nell’ordinamento del paese terzo interessato, in conformità con quanto richiesto dall’ordinamento UE.

 

  • Eventuali processi di profilazione e di trattamento automatizzato.
  • Profilazione: Il proof of concept che si intende sviluppare e studiare nel corso del progetto ACOI è finalizzato a ricostruire, rappresentare e rendere evidenti, mediante mappatura e visualizzazione, gli interessi economici e finanziari, nonché i legami familiari, di persone fisiche determinate, così da agevolare la fase istruttoria volta all’accertamento della veridicità delle dichiarazioni relative all’insussistenza di situazioni di conflitto d’interesse. In particolare, lo strumento di visualizzazione della rete dei rapporti di interesse che fanno capo al soggetto interessato mira a fornire una rappresentazione più facilmente leggibile di tali rapporti in relazione all’interesse pubblico primario connesso all’esercizio della funzione. Tale rappresentazione sarà funzionale a consentire all’operatore addetto alla verifica dei conflitti d’interesse di selezionare i casi meritevoli di approfondimento, mediante eventuali atti di accertamento puntuale. Pertanto, il prototipo è costruito per verificare la fattibilità, i rischi, le caratteristiche, le opportunità ed i limiti di uno strumento utile all’attività di controllo delle dichiarazioni sul conflitto d’interessi, strumento che fornisce un supporto conoscitivo preliminare e funzionale alla selezione dei casi da sottoporre ad accertamento puntuale. La costruzione della mappa degli interessi e il confronto con gli interessi pubblici costituiscono trattamento semi-automatizzato.
  • Con riferimento alla definizione fornita dal GDPR (art. 4, (4)) e alle linee guida elaborate in proposito dal WP29 nel 2017, tale operazione – così come descritta – non è inquadrabile come “profilazione”, dal momento che l’attività semi-automatizzata di elaborazione dei dati non è finalizzata a “valutare determinati aspetti personali relativi a una persona fisica (…) in particolare per analizzare o prevedere” aspetti o comportamenti personali. La mappatura degli interessi non mira a formulare una valutazione, un giudizio o una previsione riguardo all’interessato. Né tale mappatura dà esito ad un raggruppamento e/o ad una segmentazione dei soggetti analizzati. Piuttosto, il prototipo è costruito per fornire una rappresentazione più facilmente leggibile delle relazioni, dei legami e degli interessi che ad esso fanno effettivamente capo (ritratti da fondi ufficiali) che possono configurare un conflitto d’interessi. In altre parole, il prototipo persegue la finalità di fornire una rappresentazione (oggettiva, aderente alla realtà di fatto) della rete di interessi in cui la persona è inserita e di qualificare tali relazioni (e non anche il soggetto in questione) alla luce degli interessi pubblici primari in gioco.
  • Il prototipo non mira a formulare una valutazione, un giudizio o una previsione relativamente ai comportamenti dell’interessato. Sotto questo profilo, la nozione di conflitto d’interessi rilevante ai fini della prevenzione della corruzione è quella del conflitto d’interesse potenziale, rispetto al quale non acquista rilievo l’effettiva intenzione, la propensione o la probabilità che quel singolo individuo (a differenza di altri, in analoga situazione) tragga effettivo vantaggio e/o pregiudichi l’interesse primario, mediante le scelte ed i comportamenti effettivamente osservati nel disbrigo del compito d’interesse pubblico. Ciò che acquista rilievo (e da cui derivano le eventuali conseguenze di disqualification: divieto di esercizio di un incarico esterno, divieto di accesso ad una carica/incarico; dovere di astensione, etc.) è la oggettiva (potenziale) condizione di conflitto tra l’interesse pubblico primario esercitato, la quale non richiede un’analisi ed una previsione circa il comportamento futuro del soggetto interessato (cui sarebbe invece preordinata un’operazione di profilazione). Il proof of concept che è oggetto di studio e di sperimentazione e test, dunque, non fornisce e non è costruito per fornire una profilazione del rischio di commettere comportamenti lesivi dei doveri di fedeltà, correttezza e servizio esclusivo. Il proof of concet fornisce una visualizzazione dei rapporti che fanno capo all’interessato, qualificandoli in relazione all’interesse pubblico connesso all’esercizio della funzione.
  • Automazione: Il trattamento realizzato dal prototipo è un trattamento parzialmente automatizzato (semi-automatizzato), dal momento che la ricostruzione delle reti di rapporti sfrutta la capacità interrogazione e connessione automatizzata dei dati contenuti nelle banche dati, a partire da un connettore (tipicamente, il codice fiscale dell’interessato). Per le ragioni già illustrate, tuttavia, il prototipo non è finalizzato a determinare una decisione basata unicamente sul trattamento automatizzato. In primo luogo, perché è l’operatore umano a dover selezionare le tipologie di interessi pubblici rilevanti nel caso concreto, al fine di attivare l’analisi della mappatura di interessi realizzata dal prototipo. Inoltre, il prototipo – in via del tutto prospettica ed eventuale (e comunque, al di fuori degli obiettivi immediati del progetto di ricerca) è finalizzato a fornire un supporto di carattere meramente istruttorio all’esercizio delle funzioni di verifica e controllo, mentre la scelta di sottoporre un determinato caso ad accertamenti puntuali è rimessa integralmente all’operatore che esercita le funzioni di controllo. Inoltre, l’attività di trattamento non è destinata svolgersi nella concreta applicazione del proof of concept ad una generalità di casi, ed in modo ripetuto, ma solo in via sperimentale, ai soli casi individuati come campione sperimentale, e secondo la tecnica del one shoot. In altre parole, il trattamento parzialmente automatizzato non avviene in un contesto nel quale l’interessato può essere effettivamente oggetto di misure in conseguenza del trattamento dei dati – ciò che è radicalmente vietato dalla disciplina in materia di trattamento dei dati a fini di ricerca scientifica – ma in contesto diverso, in cui il trattamento è funzionale ad evidenziare le caratteristiche del tool sviluppato, le sue potenzialità, i suoi limiti e il contributo che potrebbe apportare in termini di semplificazione ed efficacia dell’azione amministrativa. Per altro, dal momento che la sperimentazione avviene su dati personali già pseudonimizzati, ciò rende comunque impossibile ricondurre le red flag individuate nel corso della sperimentazione e nella analisi del funzionamento del prototipo a persone identificate o identificabili.
  • Diritti dell’interessato: l’interessato dai trattamenti dei dati effettuati nell’ambito del progetto ACOI può esercitare i diritti di cui agli artt. 15 e successivi del GDPR e in particolare: l’accesso ai dati personali, la rettifica, l’integrazione, la cancellazione, la limitazione del trattamento che la riguardi e di opporsi al loro trattamento. In ogni caso, occorre tenere presente che i dati pseudonimizzati non consentono l’identificazione dell’interessato, e pertanto i diritti dell’interessato relativamente ai dati pseudonimizzati sono esercitabili entro i limiti di cui all’art. 11 del GDPR.
  • Ai sensi dell’art. 17, comma 3, lett. d) del GDPR, il diritto alla cancellazione non sussiste per i dati il cui trattamento sia necessario ai fini di ricerca scientifica qualora rischi di rendere impossibile e/o pregiudicare gravemente gli obiettivi della ricerca stessa. Per l’esercizio dei suddetti diritti può contattare il Titolare (nella figura del Responsabile scientifico del progetto/Principal Inversigator) e/o il Responsabile della protezione dei dati di Ateneo ai recapiti sopra indicati. Resta salvo il diritto di proporre reclamo al Garante per la protezione dei dati personali. Per informazioni relative al Progetto può rivolgersi al Responsabile scientifico del progetto.
  • Titolare del trattamento: Università degli Studi di Perugia, Piazza Università, 1 – 06123 Perugia: tel. +39 0755851. Il PI del progetto, prof. Benedetto Ponti, può essere contattato al recapito: ponti@unipg.it
  • DPO: il data protection officer dell’Università degli studi di Perugia può essere contattato al seguente recapito: rpd@unipg.it
  • Responsabile del trattamento: Università Cattolica del Sacro Cuore, Largo A. Gemelli 1, 20123 Milano: tel. +39 0272343893. Il responsabile dell’unità di ricerca, prof. Francesco Calderoni può essere contattato al recapito: calderoni@unicatt.it
  • DPIA: Visualizza DPIA

Università degli Studi di Perugia, 2024 – Informativa trattamento dati personali

(Ultimo aggiornamento 7 Maggio 2025)