Il rischio di violazione della privacy cresce di giorno in giorno data la maggiore frequenza e granularità dei dati raccolti, e progressi nella tecnologia per la loro elaborazione. Questo ha, inevitabilmente, ha portato alla necessità di leggi per proteggere la privacy dei dati personali.

I ricercatori e i dati della ricerca non sono esenti:i progressi nell'analisi dei big data per la ricerca hanno guidato la raccolta di quantità ancora più significative di dati. I ricercatori si sono tradizionalmente autoregolamentati. Ma le leggi sulla protezione dei dati personali hanno iniziato ad aumentare le restrizioni. I ricercatori devono essere consapevoli.

In Kenia, una nuova legge è entrata in vigore alla fine dello scorso anno che colpisce in modo significativo i ricercatori. Passato nel 2019, il Kenya Personal Data Protection Act è stato progettato per portare la protezione dei dati personali dall'uso improprio in Kenya nel 21° secolo. È un significativo passo avanti perché facilita l'uso lecito dei dati personali, compresa la ricerca, rafforzando così i diritti fondamentali degli individui. La nomina del primo Commissario per la protezione dei dati del Kenya a novembre ha finalmente reso operativa la legge.

La legge disciplina l'uso, in lavorazione, e archiviazione dei dati personali, istituisce l'Ufficio del Garante per la protezione dei dati personali, prevede la disciplina del trattamento dei dati personali, sancisce i diritti dei produttori di dati, e specifica gli obblighi dei titolari e degli incaricati del trattamento.

Ha implicazioni significative per i ricercatori in generale, e per coloro che operano nel settore sanitario in particolare. La legge definisce i dati sanitari come dati relativi allo stato di salute fisica o mentale degli interessati. Nella ricerca, i dati sanitari possono provenire dalla revisione delle cartelle cliniche o dall'accesso alle informazioni dei database sanitari nazionali.

La questione di quali dati vengono raccolti, e che fine hai fatto, è diventato molto più urgente alla luce degli sforzi accelerati per trovare un vaccino contro il COVID-19. La bozza di regolamento è stata emessa dal nuovo commissario del Kenya per la ricerca sul COVID-19. Questi forniscono una cartina di tornasole su come la nuova legge potrebbe influenzare la ricerca e su ciò di cui i responsabili del trattamento e i responsabili del trattamento devono essere consapevoli.

Le normative proposte per COVID-19 riflettono i nuovi requisiti di legge. Questi sono che i ricercatori possono raccogliere dati solo da individui e che i dati personali possono essere utilizzati solo per rilevare, contenere e prevenire la diffusione del COVID-19.

Consenso specifico e anonimizzazione

Il ruolo del Data Commissioner è quello di far rispettare la nuova legge registrando e monitorando la nomina dei Data Protection Officer, titolari e responsabili del trattamento. La persona è anche responsabile della sensibilizzazione del pubblico sulle questioni relative ai dati e della fornitura di un codice di condotta per accompagnare la legge.

I responsabili del trattamento sono coloro che determinano le finalità e i mezzi del trattamento dei dati personali. Responsabili del trattamento, d'altra parte, tratta i dati personali per conto del titolare del trattamento. Per esempio, gli scienziati elaborano i dati durante il ciclo di vita della ricerca:raccolta, analisi, e pubblicazione.

Un interessato è qualcuno che è oggetto di dati personali.

I ricercatori devono conoscere le implicazioni della nuova legge per la ricerca che utilizza i dati personali. Devono anche sapere chi sono i responsabili del trattamento e i responsabili del trattamento dei dati per le istituzioni di ricerca e accademiche. Per esempio, i responsabili del trattamento dei dati possono includere coloro che offrono servizi di trascrizione e sequenziamento del DNA o servizi di traduzione per società di analisi dei dati. Gli enti di ricerca e le università sarebbero i responsabili del trattamento tramite l'autorità designata.

La nuova legge prevede l'enorme costo dell'assunzione di un responsabile della protezione dei dati. Prevede la condivisione tra le istituzioni consentendo agli istituti di ricerca di riunirsi in un consorzio per assumerne uno.

La legge prevede anche disposizioni che esentano i dati destinati alla ricerca se resi anonimi. I dati genetici e i dati biometrici (incluso il DNA) sono considerati informazioni sensibili e identificative. Perciò, gli studi che coinvolgono i dati di sequenza di un individuo rientrerebbero nel regolamento ma sarebbero soggetti alle esenzioni sui dati personali per la ricerca.

La legge richiede un espresso, esplicito, inequivocabile, gratuito, specifica, e consenso informato al trattamento dei dati personali da parte degli interessati. I ricercatori erano già tenuti a ottenere il consenso per raccogliere dati personali per la ricerca ottenendo l'approvazione etica per lo studio. Ma la necessità di specifica consenso, specificando la raccolta dei dati durante la pianificazione e la creazione dei dati, può ostacolare la ricerca e il riutilizzo dei dati in quanto è difficile delineare chiaramente l'ambito dell'uso dei dati personali per la ricerca.

I dati personali relativi alla salute dell'interessato possono essere trattati solo sotto la responsabilità di un operatore sanitario, per l'interesse pubblico, o da una persona soggetta all'obbligo del segreto professionale ai sensi di qualsiasi legge.

La nuova legge stabilisce che i dati personali non possono essere trasferiti al di fuori del Kenya "a meno che non vi sia la prova di adeguate garanzie di protezione dei dati o il consenso dell'interessato".

Rimangono le domande

La legge non è stata formulata per regolamentare i dati della ricerca. Ma alcune sezioni riguardano la ricerca. Le normative sulla protezione dei dati che seguiranno dovrebbero avere a cuore gli interessi dello scienziato e promuovere la ricerca. I ricercatori dovrebbero avere il tempo di allineare il loro lavoro alla nuova legge.

Ci sono anche alcune domande senza risposta. Per esempio, le esenzioni per i dati della ricerca sembrano applicarsi solo al trattamento. Ciò limita il trasferimento di dati personali destinati alla ricerca? Cosa significa questo per la pubblicazione dei dati di ricerca, dove hanno sede le riviste al di fuori del paese? Cosa significa questo per la collaborazione alla ricerca?

La restrizione è una preoccupazione poiché molti paesi in Africa devono ancora adottare una legge simile.

Inoltre, il rispetto della legge richiede l'adozione di pratiche di ricerca —consenso, anonimizzazione:per proteggere i dati personali che non sono comunemente utilizzati. Le pratiche di gestione dei dati di ricerca mancano nella maggior parte delle istituzioni accademiche e di ricerca, mettendo in discussione come sarebbero in grado di far rispettare la legge.

Resta inoltre la necessità di sensibilizzare e dotare i responsabili del trattamento e i produttori kenioti delle competenze per conformarsi alla nuova legge. Gli istituti di ricerca e accademici devono elaborare politiche di gestione dei dati di ricerca in linea con le disposizioni della legge per guidare i ricercatori e assumere funzionari per la protezione dei dati.

Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Leggi l'articolo originale.