Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
May 27, 2023
Questioni normative
Search article
Cerca articolo
I neurodati identificabili personalmente sono sempre considerati informazioni personali, indipendentemente dallo scopo. Tuttavia, non esiste una definizione esplicita di neurodati come forma specifica di informazioni personali o dati di categorie speciali ai sensi del GDPR del Regno Unito. Pertanto, le organizzazioni devono considerare attentamente entrambi:
Le sfide principali includono:
Quando i neurodati vengono raccolti e trattati per scopi medici, ad esempio, è probabile che si tratti di dati sanitari di categoria speciale (SCD) ai sensi dell’articolo 9, paragrafo 1, del GDPR del Regno Unito. Richiede pertanto una base legale per il trattamento ai sensi dell’articolo 6 e il soddisfacimento di una condizione per il trattamento dei dati di categorie speciali ai sensi dell’articolo 9. Le organizzazioni possono identificare una base appropriata per il trattamento e il consenso può essere la base legale appropriata e la condizione di categoria speciale.
Alcuni gruppi, come l'impresa privata Neurorights Foundation, hanno raccomandato che venga fornito il consenso esplicito prima che i dati neuronali vengano elaborati in ogni caso.14 Dovremmo gestire tali chiamate con attenzione; mentre il consenso medico rimane una questione distinta e importante, il consenso esplicito per il trattamento dei dati è solo una delle numerose condizioni di categoria speciale appropriate ai sensi del GDPR del Regno Unito. Non è intrinsecamente "migliore" di altre condizioni; le organizzazioni dovrebbero considerare attentamente ciò che è più appropriato.
Qualsiasi affidamento automatico più ampio al consenso per l’utilizzo delle informazioni personali per scopi di consumo potrebbe anche causare confusione e potrebbe essere inappropriato ai sensi del GDPR del Regno Unito. Il dialogo più ampio e le richieste di utilizzo del consenso possono indurre le persone a presumere di avere il diritto di revocare automaticamente il consenso alle organizzazioni che utilizzano le loro informazioni. In effetti, le organizzazioni possono utilizzare altre basi appropriate per il trattamento e spetta loro essere trasparenti al riguardoQuale base che hanno utilizzato e quali diritti sono applicabili. Invece di concentrarsi sempre sul consenso, la trasparenza del trattamento potrebbe rivelarsi più efficace nell’aiutare le persone a capire come le organizzazioni utilizzano le loro informazioni.
In rari casi, le organizzazioni possono utilizzare direttamente i neurodati per identificare o verificare una persona fisica. In questo caso si tratta di una categoria specialebiometrico dati che rientrano anche nell’articolo 9, paragrafo 1, del GDPR. Tuttavia, sebbene tecnicamente fattibile, è probabile che la maggior parte degli usi siano classificatori, come esplorato negli scenari. Ciò è dovuto al costo e alla complessità di identificare le persone in questo modo rispetto ad altre metodologie biometriche robuste. Dove le informazioniMaggio consentire alle organizzazioni di identificare le persone, i neurodati possono anche essere dati biometrici ai sensi dell'articolo 4, paragrafo 14, del GDPR del Regno Unito. Si tratta quindi di informazioni personali ma non di dati di categorie speciali. (I dati biometrici di categorie speciali richiedono alle organizzazioni di elaborare le informazioni personali ai fini dell'identificazione univoca). Le organizzazioni che trattano informazioni personali devono considerare quando e come le informazioni che stanno utilizzando potrebbero consentire di identificare una persona e quale potrebbe essere il probabile impatto.
Al contrario, le organizzazioni possono utilizzare ampiamente alcuni neurodati su larga scala senza applicare le garanzie aggiuntive per l’elaborazione di dati di categorie speciali.
Ad esempio, molti degli scenari sopra descritti riguardano la classificazione delle persone emotivamente e comportamentalmente, per scopi quali l’occupazione, il benessere o l’intrattenimento. Esiste quindi il rischio di un'ulteriore profilazione o addirittura di una de-pseudonimizzazione. Ciò è dovuto alla complessità delle informazioni raccolte e alla maggiore facilità con cui le informazioni possono essere associate a una persona. Le organizzazioni potrebbero collegare intenzionalmente le informazioni a una persona dopo l'identificazione o la verifica al fine di trarne il massimo vantaggio.
In questi casi, le organizzazioni potrebbero disporre di informazioni che potrebbero non soddisfare la definizione di dati di categoria speciale prevista dall’articolo 9 del GDPR del Regno Unito, ma che potrebbero comunque comportare danni sostanziali se utilizzate in modo improprio. (In particolare, perdita di autonomia, discriminazione, effetti scoraggianti e disagio personale a livello personale).15 È probabile che il trattamento su larga scala di tali informazioni rappresenti una sfida per incoraggiare le migliori pratiche. Ciò evidenzia la necessità di considerare i neurodati come ad alto impatto e ad alto rischio anche se utilizzati in contesti che non contano esplicitamente come dati di categorie speciali. Infine, le organizzazioni devono anche essere consapevoli della possibilità che le informazioni personali possano diventare dati di categorie speciali. Ad esempio, il monitoraggio delle informazioni sui dipendenti, come la concentrazione, che potrebbe rivelare dati sulla salute mentale.