Ambito di applicazione
La DPIA si applica a tutti i progetti di ricerca svolti dall'Alma Mater Studiorum - Università di Bologna in ambito medico, biomedico ed epidemiologico e copre il trattamento di dati personali svolto all'interno del perimetro dei protocolli di ricerca ai quali partecipano ricercatori, Principal Investigator (“PI”) e soggetti specificamente autorizzati al trattamento dall'Ateneo stesso. La DPIA si applica anche ai progetti di ricerca disciplinati dall'articolo 110 del D.Lgs. 196/2003, per i quali non è possibile raccogliere il consenso degli interessati come base giuridica del trattamento.
Scopo
La DPIA ha come scopo quello di valutare il rischio per i diritti e le libertà delle persone fisiche coinvolte in progetti di ricerca medica, biomedica ed epidemiologica, i cui dati sono trattati mediante strumenti messi a disposizione o individuati dallo stesso Ateneo per il perseguimento delle proprie finalità istituzionali di ricerca e a prescindere dal ruolo privacy ricoperto dallo stesso.
L'obiettivo della DPIA è quello di svolgere un assessment, con copertura ampia, dei principali rischi che possono sussistere per ogni protocollo di ricerca che ha ad oggetto trattamenti che, ai sensi dell'articolo 35, comma 1, del Regolamento (UE) 2016/679, hanno caratteristiche simili per natura, contesto, finalità e misure di sicurezza connesse al trattamento dei dati personali.
La DPIA tiene conto delle misure di sicurezza, esistenti in Ateneo, che sono applicate al trattamento dei dati personali per le suddette finalità di ricerca, al fine di mitigare i rischi e gli impatti per gli interessati.
Valutazione del rischio
La valutazione del rischio è stata effettuata mediante un processo di analisi che esplora connessioni di sistema, modalità di invio delle informazioni, autorizzazioni del personale, conoscenze in materia di protezione dei dati personali, contratti con fornitori di servizi e altri aspetti rilevanti per la gestione del rischio. Lo schema di valutazione considera gli impatti sulla confidenzialità, integrità, disponibilità, l'impatto al sistema e la probabilità di accadimento.
La valutazione del rischio inziale, in termini di probabilità e gravità, sul trattamento in oggetto, ha prodotto un esito con livello di rischio complessivo iniziale alto.
L'implementazione di controlli di sicurezza adeguati ha permesso di ridurre i valori di impatto e probabilità producendo un esito con livello di rischio complessivo residuo basso.
In particolare, come da grafico di seguito riportato:
- il livello di rischio di confidenzialità è passato da alto a medio;
- il livello di rischio di integrità è passato da medio a basso;
- il livello di rischio di disponibilità è rimasto basso;
- il livello di rischio di impatto di sistema è passato da alto a medio;
- il livello di probabilità del rischio è passato da medio a basso.
A seguito dell’implementazione delle misure e dei controlli verificati, il rapporto tra il rischio complessivo iniziale e l’impatto residuo ha determinato un livello complessivo di rischio residuo basso.
Ulteriori informazioni
Per richiedere ulteriori informazioni sulla DPIA è possibile contattare i seguenti recapiti: privacy@unibo.it; dpo@unibo.it.
