La risposta breve: secondo il GDPR, registrare un'intervista di ricerca costituisce trattamento di dati personali fin dal momento in cui premi il tasto di registrazione.
I ricercatori dell'UE hanno bisogno di una base giuridica valida ai sensi dell'articolo 6, del consenso informato di ogni partecipante prima dell'inizio della registrazione e di un accordo sul trattamento dei dati (DPA) firmato con qualsiasi servizio di trascrizione di terze parti che utilizzano.
La regola si applica sia che l'intervista si svolga di persona, su Zoom o per telefono.
Questo articolo ha finalità puramente informative e non costituisce una consulenza legale. I ricercatori con domande sui requisiti specifici di una determinata giurisdizione dovrebbero rivolgersi all'ufficio per l'etica della ricerca della propria istituzione e, ove necessario, a un professionista legale qualificato.
Perché il GDPR si applica nel momento in cui premi registra
La registrazione di un'intervista è un dato personale.
Nel momento in cui una registrazione cattura la voce di una persona insieme al suo nome, alla sua qualifica professionale o a qualsiasi altro dettaglio identificativo, rientra nella definizione di dati personali del GDPR ai sensi dell'articolo 4(1).
Questo rende il ricercatore il titolare del trattamento, il partecipante all'intervista l'interessato e qualsiasi servizio esterno che gestisce la registrazione, compreso uno strumento di trascrizione cloud, un responsabile del trattamento.
| Ruolo | Chi è in un contesto di ricerca | Obbligo principale |
|---|---|---|
| Titolare del trattamento | Il ricercatore o la sua istituzione | Determina le finalità e i mezzi del trattamento; ha la responsabilità primaria della conformità |
| Responsabile del trattamento | Il servizio di trascrizione o un'altra terza parte | Tratta i dati solo su istruzione del titolare; richiede un accordo sul trattamento dei dati (DPA) firmato |
| Interessato | Il partecipante all'intervista | Detiene i diritti: accesso, rettifica, cancellazione e revoca del consenso |
L'ambito di applicazione extraterritoriale del GDPR (articolo 3) significa che questi obblighi si applicano a prescindere da dove abbiano sede il ricercatore o la sua istituzione.
Se i partecipanti risiedono nell'UE, il regolamento si applica.
Questo vale anche per i gruppi di ricerca con sede negli Stati Uniti, in Australia o in qualsiasi altro luogo.
📌 Importante:
Tieni presente che il GDPR disciplina solo la protezione dei dati nei confronti dei partecipanti dell'UE; possono applicarsi anche leggi statali separate in materia di intercettazioni e consenso se stai registrando dagli Stati Uniti. Consulta la nostra guida alle leggi sul consenso alla registrazione negli Stati Uniti per i ricercatori per maggiori dettagli.
Ad aprile 2026, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato le linee guida in bozza 1/2026 sul trattamento dei dati personali per finalità di ricerca scientifica. È la dichiarazione normativa più dettagliata finora su come il GDPR si applica alle attività di ricerca. Le linee guida sono ancora aperte alla consultazione pubblica, quindi non sono ancora definitive.
Non menzionano esplicitamente la trascrizione delle interviste. Ma trattano aree che riguardano direttamente i ricercatori in questa situazione.
Tra queste rientrano il consenso per studi la cui portata completa non è nota in anticipo, come si ripartisce la responsabilità tra titolari e responsabili del trattamento e quali obblighi di trasparenza si applicano quando i dati vengono raccolti direttamente dai partecipanti. Uno degli esempi pratici elaborati dall'EDPB riguarda persino le interviste.
Nel complesso, questi elementi segnalano un'attenzione di vigilanza più stretta su come le istituzioni di ricerca gestiscono il consenso e i rapporti con i responsabili del trattamento.
Ricorda che, per i ricercatori che si occupano di trascrizione della ricerca qualitativa, la conformità non è un compito amministrativo a sé stante da svolgere prima dell'inizio della ricerca. Fa parte del disegno stesso della ricerca.
Scegliere la base giuridica: consenso o interesse pubblico?
Molti ricercatori scelgono di default il consenso perché sembra l'opzione più sicura.
Ma in realtà il consenso non è sempre la base giuridica più appropriata per le interviste di ricerca ai sensi dell'articolo 6 e, in alcune situazioni, è giuridicamente invalido.
L'articolo 6 prevede sei basi giuridiche per il trattamento dei dati personali. Tre sono le più rilevanti per le interviste di ricerca:
1. Consenso: articolo 6(1)(a)
L'articolo 6(1)(a) richiede un chiaro accordo affermativo che sia liberamente espresso, specifico, informato e inequivocabile.
Ai sensi del considerando 43 del GDPR e delle linee guida dell'EDPB sul consenso, il consenso non è considerato « liberamente espresso » quando esiste un evidente squilibrio di potere tra l'interessato e il titolare del trattamento.
Questo crea un problema diretto quando un ricercatore è anche un manager, un supervisore o un docente rispetto al partecipante: lo squilibrio di potere può rendere il consenso giuridicamente invalido fin dall'inizio.
2. Interesse pubblico: articolo 6(1)(e)
L'articolo 6(1)(e) copre il trattamento necessario per l'esecuzione di un compito svolto nell'interesse pubblico, autorizzato dal diritto dell'UE o nazionale. La ricerca finanziata dalle università con un protocollo pubblicato spesso rientra in questo caso.
Questa base non elimina l'obbligo di informare i partecipanti.
Ma poiché l'interesse pubblico non si fonda sul consenso, i partecipanti non hanno alcun consenso da revocare. Conservano il diritto di opposizione ai sensi dell'articolo 21, che il titolare del trattamento può superare se il trattamento è necessario per l'esecuzione di un compito di interesse pubblico.
L'articolo 21(6) rende esplicita questa prevalenza specificamente per la ricerca. È ciò che rende l'interesse pubblico più solido del consenso per la ricerca longitudinale: il consenso, infatti, un partecipante può revocarlo del tutto, interrompendo immediatamente ogni trattamento futuro.
3. Legittimo interesse: articolo 6(1)(f)
Disponibile per le organizzazioni private ma generalmente non per le autorità pubbliche. Richiede un test di bilanciamento ed è più difficile da giustificare per la ricerca tramite interviste che coinvolge dati personali.
Le linee guida in bozza dell'EDPB del 2026 confermano che il consenso ampio è ammissibile per la ricerca scientifica quando le specifiche finalità future non possono essere pienamente definite al momento della raccolta dei dati, a condizione che i ricercatori descrivano chiaramente l'area di ricerca e applichino garanzie come la pseudonimizzazione.
Usa il seguente schema per decidere quale base giuridica si adatta al tuo progetto:
| Situazione | Base giuridica consigliata | Motivo |
|---|---|---|
| Ricercatore indipendente, finalità d'uso unica e chiara | Consenso (Art. 6(1)(a)) | Trasparente; dà ai partecipanti un controllo chiaro |
| Ricerca finanziata dall'università nell'interesse pubblico | Interesse pubblico (Art. 6(1)(e)) | Tutela l'integrità della ricerca; i partecipanti conservano il diritto di opposizione (Art. 21), che può essere superato per la ricerca di interesse pubblico |
| Evidente squilibrio di potere (datore di lavoro-dipendente, docente-studente) | Interesse pubblico (istituzioni pubbliche) o legittimo interesse (istituzioni private) | Il consenso potrebbe non essere « liberamente espresso » ai sensi del considerando 43 del GDPR e delle linee guida dell'EDPB sul consenso |
| Ricerca longitudinale o di archiviazione, finalità parzialmente sconosciute | Consenso ampio con area di ricerca definita | Consentito dalle linee guida EDPB 1/2026 con garanzie aggiuntive |
📌 Importante:
La base giuridica ai sensi del GDPR e il consenso etico richiesto da un comitato etico (institutional review board, IRB) sono due cose distinte.
Il consenso dell'IRB è un obbligo etico e istituzionale. La base giuridica del GDPR è un obbligo legale.
Un progetto può soddisfare i requisiti etici dell'IRB e al tempo stesso non essere conforme al GDPR, e viceversa. Entrambi devono essere affrontati in modo indipendente prima dell'inizio della raccolta dei dati.
Se non sei sicuro di quale base giuridica si applichi al tuo progetto, rivolgiti al responsabile della protezione dei dati (DPO) della tua istituzione. Ai sensi del GDPR, le università pubbliche e i responsabili del trattamento che effettuano ricerca su larga scala sono solitamente tenuti a nominare un DPO.
Cosa succede quando le tue interviste toccano categorie particolari di dati?
Il consenso standard previsto dal GDPR non è sufficiente quando un'intervista raccoglie ciò che il regolamento definisce « categorie particolari » di dati personali ai sensi dell'articolo 9. Si tratta di tipologie di dati che comportano un rischio più elevato di discriminazione o danno se gestiti in modo improprio.
Le categorie particolari che l'articolo 9 del GDPR protegge esplicitamente comprendono:
- Origine razziale o etnica
- Opinioni politiche
- Convinzioni religiose o filosofiche
- Appartenenza sindacale
- Dati relativi alla salute (compresi salute mentale, disabilità, anamnesi)
- Dati relativi all'orientamento sessuale
- Dati genetici
- Dati biometrici trattati al fine di identificare in modo univoco una persona
Le interviste di ricerca possono far emergere categorie particolari di dati anche quando il ricercatore non intende raccoglierle.
Ad esempio, un partecipante che descrive le proprie condizioni di lavoro potrebbe menzionare una disabilità. Qualcuno che parla di esperienze di comunità potrebbe rivelare la propria etnia o religione.
Se c'è una ragionevole probabilità che la tua intervista possa far emergere questo tipo di dati, devi pianificarlo prima dell'inizio della registrazione.
Per le categorie particolari di dati, l'articolo 9 richiede in alternativa:
a. Consenso esplicito: articolo 9(2)(a)
Uno standard più rigoroso del consenso standard. Il partecipante deve rilasciare una dichiarazione affermativa chiara e specifica che indichi la categoria di dati sensibili oggetto del trattamento.
Una generica casella da spuntare con scritto « Acconsento a partecipare a questo studio » non soddisfa questo standard. È necessario un elemento di consenso separato e specifico che affermi qualcosa come: « Acconsento alla registrazione e al trattamento delle informazioni sul mio stato di salute nell'ambito di questa ricerca. »
b. Esenzione per la ricerca scientifica: articolo 9(2)(j)
Trattamento per finalità di ricerca scientifica, a condizione che sia autorizzato dal diritto nazionale e accompagnato da garanzie adeguate ai sensi dell'articolo 89(1), compresa la pseudonimizzazione ove possibile.
La disponibilità di questa via dipende dall'attuazione nazionale del GDPR del tuo Stato membro.
Germania, Francia, Paesi Bassi e altri hanno adottato una normativa abilitante, ma le condizioni specifiche variano.
📌 Un approccio pratico:
Se la tua area tematica potrebbe plausibilmente generare categorie particolari di dati, progetta il tuo modulo di consenso in modo da ottenere il consenso esplicito specifico per quelle categorie, e integra la pseudonimizzazione nel tuo flusso di trascrizione fin dall'inizio.
Cosa deve contenere un modulo di consenso conforme al GDPR per le interviste di ricerca
Un modulo di consenso GDPR per le interviste di ricerca non è una formalità. Ai sensi dell'articolo 7(1), il ricercatore deve essere in grado di dimostrare che il consenso è stato prestato, il che significa che il modulo (o un registro del consenso verbale) entra a far parte della documentazione di verifica della ricerca.
Ciascun elemento di seguito corrisponde a uno specifico obbligo del GDPR.
1. Identità del titolare del trattamento: articolo 13(1)(a)
Il nome completo del ricercatore e la sua affiliazione istituzionale. Se il titolare del trattamento è l'istituzione, indicane il nome e fornisci un punto di contatto.
2. Finalità del trattamento e base giuridica: articolo 13(1)(c)
Una descrizione specifica della finalità della ricerca, oltre alla base giuridica su cui ti basi (consenso, interesse pubblico, ecc.).
« Ricerca accademica » non è sufficiente; indica per cosa verrà utilizzata la registrazione: analisi, pubblicazione di citazioni anonimizzate, archiviazione o una combinazione di questi.
Se stai chiedendo un consenso ampio per un'area di ricerca definita, devi descrivere chiaramente tale area.
3. Chi avrà accesso alla registrazione e alla trascrizione: articolo 13(1)(e)
Indica le categorie di persone che vi hanno accesso: il ricercatore principale, i co-ricercatori, un servizio di trascrizione, un supervisore.
Se utilizzi uno strumento di trascrizione di terze parti, i partecipanti devono esserne informati prima dell'inizio della registrazione.
4. Periodo di conservazione: articolo 13(2)(a)
Si riferisce a per quanto tempo verranno conservate le registrazioni e le trascrizioni e a quando verranno cancellate.
Se la conservazione è legata a una data di fine progetto o a una tempistica di pubblicazione, indicalo.
5. Diritti del partecipante: articoli 13(2)(b)–(d)
Si riferisce ai diritti dei partecipanti di accedere ai propri dati, al diritto alla cancellazione e al diritto di revocare il consenso in qualsiasi momento senza penalizzazioni, con un punto di contatto per esercitare tali diritti.
Nel caso in cui la tua base giuridica sia l'interesse pubblico anziché il consenso, indica invece che i partecipanti hanno il diritto di opposizione ai sensi dell'articolo 21.
6. Trasferimenti al di fuori dell'UE/SEE: articolo 13(1)(f))
Necessario se i server o i sub-responsabili del tuo servizio di trascrizione hanno sede al di fuori dell'UE o del SEE. Indica il meccanismo di trasferimento su cui ti basi, come le clausole contrattuali tipo (Standard Contractual Clauses).
In alternativa, puoi utilizzare un servizio di trascrizione europeo che mantiene i tuoi dati all'interno dell'UE.
Consulta l'art. 13 del GDPR per maggiori dettagli.
7. Consenso granulare per ogni attività di trattamento
Registrazione, trascrizione da parte di terzi, pubblicazione di citazioni dirette e archiviazione dei dati richiedono ciascuna un elemento di consenso separato. Un'unica casella « Acconsento a partecipare » non soddisfa il requisito di specificità del GDPR.
Il consenso verbale è ammesso dal GDPR, ma il ricercatore deve conservarne la prova, generalmente la registrazione stessa, con il consenso verbale acquisito all'inizio.
Ai fini della documentazione di verifica, si raccomanda vivamente il consenso scritto o tramite email, in particolare per i progetti che dovranno passare attraverso un processo di approvazione etica.
Stai caricando interviste su un servizio di trascrizione? Ecco cosa devi verificare prima
Quando carichi la registrazione di un'intervista di ricerca su una piattaforma di trascrizione cloud, stai trasferendo dati personali a una terza parte.
L'articolo 28 del GDPR richiede che questo rapporto sia disciplinato da un accordo scritto sul trattamento dei dati (DPA) tra te (il titolare del trattamento) e il fornitore del servizio di trascrizione (il responsabile del trattamento).
Un DPA non è facoltativo. Senza di esso, stai trattando dati personali al di fuori di un quadro giuridico lecito, a prescindere da quanto solide siano le pratiche di sicurezza del fornitore.
In un contesto di trascrizione, il DPA deve specificare:
- La finalità e la base giuridica del trattamento dei tuoi file audio da parte del fornitore
- Dove vengono conservati i dati (UE/SEE o un paese di trasferimento approvato)
- Le misure di sicurezza in atto (crittografia in transito e a riposo, controlli degli accessi)
- Un elenco dei sub-responsabili utilizzati dal fornitore, compresi eventuali modelli di IA di terze parti
- Gli obblighi di notifica delle violazioni del fornitore: ai sensi dell'articolo 33(2), il responsabile del trattamento deve avvisare il titolare senza ingiustificato ritardo non appena viene a conoscenza di una violazione, così che il titolare possa rispettare la propria finestra di 72 ore per notificare l'autorità di controllo
- Gli obblighi di cancellazione: come e quando il file audio ed eventuali dati di trattamento intermedi verranno cancellati al termine della trascrizione
Usa questa checklist prima di caricare le registrazioni delle interviste su qualsiasi piattaforma:
- Il fornitore offre un DPA?
- I dati sono conservati nell'UE/SEE?
- Il fornitore pubblica l'elenco dei suoi sub-responsabili?
- Quali sono le impostazioni predefinite di conservazione e cancellazione dei dati?
- La crittografia in transito e a riposo è confermata?
- Il fornitore possiede una certificazione SOC 2 Type II o equivalente?
- Puoi richiedere la cancellazione del file audio al termine della trascrizione?
Usa HappyScribe per trascrivere le interviste di ricerca
HappyScribe è uno strumento di trascrizione, con sede a Barcellona, che trasforma audio e video in testo, offrendo sia la trascrizione AI sia opzioni con revisione umana. I ricercatori lo utilizzano per le trascrizioni di interviste, focus group e registrazioni sul campo.
Ecco come HappyScribe si comporta rispetto ai requisiti di consenso del GDPR di cui abbiamo parlato finora:
1. Residenza dei dati nell'UE: HappyScribe gestisce i propri server nell'Unione Europea, all'interno di un data center Tier IV, conforme agli standard ISO 27001 e PCI DSS. I dati non lasciano il SEE per il trattamento.
2. Certificazione SOC 2 Type II: Revisori indipendenti verificano i controlli di sicurezza della piattaforma secondo lo standard SOC 2 Type II. I comitati etici universitari e gli institutional review board richiedono sempre più spesso questa documentazione nell'ambito dell'approvazione etica.
3. Accordo sul trattamento dei dati: Gli utenti istituzionali ed enterprise possono contattare direttamente il team per richiedere un DPA. Definisce per iscritto il rapporto titolare-responsabile, le finalità del trattamento, gli obblighi di sicurezza e le tempistiche di cancellazione, come richiesto dall'articolo 28.
4. Revisione umana per una precisione del 99%: Per i progetti in cui la precisione su contenuti di interviste sensibili è irrinunciabile, il servizio di revisione umana di HappyScribe affida le trascrizioni a linguisti esperti madrelingua, che firmano un accordo di riservatezza (NDA) prima di esaminare qualsiasi contenuto. Il flusso di lavoro resta sempre all'interno del quadro di trattamento disciplinato dal DPA.
5. Cancellazione dei file su richiesta: I ricercatori possono cancellare definitivamente i file audio dalla piattaforma una volta completata la trascrizione. Questo supporta la minimizzazione dei dati e semplifica la conformità alle richieste di cancellazione dei partecipanti.
Iscriviti a HappyScribe e inizia a trascrivere, oppure contatta il team vendite per un piano su misura.
Anonimizzare le tue trascrizioni e cosa dice il GDPR a riguardo
Una volta che esiste una trascrizione, la distinzione fondamentale è tra pseudonimizzazione e anonimizzazione, perché comportano implicazioni molto diverse ai sensi del GDPR.
| Punto di differenziazione | Pseudonimizzazione | Anonimizzazione |
|---|---|---|
| Definizione | Sostituzione degli identificatori diretti (nomi, qualifiche professionali, nomi dei datori di lavoro) con codici (P1, P2) | Rimozione di tutte le informazioni che potrebbero, anche se combinate con altre fonti di dati, identificare il partecipante |
| Status GDPR | Restano dati personali. La re-identificazione resta possibile usando la chiave che associa i codici alle identità reali | Esula dall'ambito di applicazione del GDPR, se eseguita correttamente |
| Obblighi continuativi | Devono essere conservati in modo sicuro, trattati secondo la tua base giuridica e cancellati in base al periodo di conservazione dichiarato | Nessuno, una volta che l'anonimizzazione è genuina; ma raggiungere questo standard è più difficile di quanto sembri |
| Rischio nella ricerca qualitativa | I codici da soli non proteggono dalla re-identificazione basata sul contesto | Dettagli contestuali, come il ruolo di un partecipante in una specifica organizzazione, un percorso professionale particolare o un evento descritto, possono re-identificare una persona anche dopo aver rimosso i nomi |
| Errore comune da evitare | Trattare la pseudonimizzazione come se eliminasse gli obblighi del GDPR | Presumere che la sola sostituzione dei nomi equivalga all'anonimizzazione |
Segui questi passaggi pratici per pseudonimizzare le trascrizioni:
- Assegna i codici dei partecipanti (P1, P2) al momento della trascrizione, prima che la trascrizione venga condivisa con qualsiasi membro del team
- Rimuovi i nomi dei datori di lavoro, i luoghi specifici, le date e le qualifiche professionali laddove restringerebbero l'identificazione. Generalizza anziché eliminare, ove possibile, perché questo preserva il valore analitico: sostituisci una data esatta con un trimestre o un anno, sostituisci un datore di lavoro nominato con il suo settore, sostituisci una città specifica con una regione
- Conserva la chiave di re-identificazione (associazione codice-nome) separatamente dalle trascrizioni, con accesso limitato al ricercatore principale
- Tratta la chiave di re-identificazione stessa come un dato personale: deve essere protetta e conservata secondo le stesse regole di sicurezza e conservazione del resto del tuo set di dati
- Se un partecipante esercita il proprio diritto alla cancellazione, valuta se la trascrizione pseudonimizzata consente ancora la re-identificazione; in caso affermativo, deve essere cancellata o ulteriormente anonimizzata
Se stai facendo ricerca al di fuori dell'UE o lavorando con gruppi di partecipanti di giurisdizioni miste, la nostra guida più ampia sui requisiti di consenso per registrare e trascrivere interviste di ricerca spiega cosa cambia al di fuori del GDPR.
Integra la conformità nel tuo flusso di lavoro di ricerca
La conformità al GDPR per la ricerca tramite interviste si riduce a poche decisioni prese all'inizio: la base giuridica corretta, un modulo di consenso che regga davvero e un partner di trascrizione che non diventi il tuo anello più debole.
Imposta bene questi aspetti prima di premere registra, e il resto, anonimizzazione, pseudonimizzazione, conservazione e diritti dei partecipanti, ne consegue naturalmente.
HappyScribe si occupa della parte infrastrutturale: residenza dei dati nell'UE, certificazione SOC 2 Type II e un DPA su richiesta, così puoi concentrarti sulle decisioni di disegno della ricerca che solo tu puoi prendere.
Domande frequenti sul consenso GDPR per registrare e trascrivere interviste
Serve il consenso per registrare un'intervista di ricerca ai sensi del GDPR?
Ti serve una base giuridica valida ai sensi dell'articolo 6, ma tale base non deve necessariamente essere il consenso. Il consenso è una delle opzioni; l'interesse pubblico (articolo 6(1)(e)) è spesso più appropriato per la ricerca finanziata dalle università. Ciò di cui hai sempre bisogno, a prescindere dalla base, è informare i partecipanti prima della registrazione su chi sta registrando, perché e cosa accadrà ai dati. Questo obbligo, previsto dagli articoli 13 e 14, si applica a ogni registrazione di ricerca.
Il consenso verbale è sufficiente per una registrazione di un'intervista conforme al GDPR?
Il consenso verbale è ammesso. Il requisito è che tu ne conservi una traccia (articolo 7(1)). Acquisire il consenso verbale all'inizio della registrazione stessa soddisfa questo requisito, a condizione che il partecipante abbia già ricevuto le informazioni richieste. Il consenso scritto o tramite email è consigliato per i progetti che passano attraverso una revisione etica istituzionale, poiché un modulo firmato costituisce una documentazione di verifica più pulita.
Posso usare strumenti di trascrizione AI per le interviste di ricerca ai sensi del GDPR?
Sì, a condizione che tu abbia un DPA firmato con il fornitore, che i dati siano trattati nell'UE/SEE o nell'ambito di un meccanismo di trasferimento approvato e che i partecipanti siano informati nel loro modulo di consenso del fatto che un servizio di trascrizione di terze parti gestirà le loro registrazioni. Il modulo di consenso dovrebbe indicare il servizio o descrivere la categoria del responsabile del trattamento: « un servizio di trascrizione conforme al GDPR con archiviazione dei dati nell'UE ».
Cosa deve contenere un modulo di consenso per registrare interviste di ricerca?
Come minimo: l'identità del titolare del trattamento, la finalità specifica della ricerca, chi avrà accesso alla registrazione e alla trascrizione, il periodo di conservazione, i diritti dei partecipanti e se sono coinvolti trasferimenti di dati al di fuori dell'UE/SEE. Il consenso deve essere granulare: registrazione, trascrizione da parte di terzi, pubblicazione di citazioni e archiviazione richiedono ciascuno un elemento separato.
Cosa succede se un partecipante revoca il consenso dopo che l'intervista è stata trascritta?
Se la tua base giuridica è il consenso, la revoca comporta che tu debba cancellare la registrazione e qualsiasi trascrizione in cui il partecipante resti identificabile, comprese le versioni pseudonimizzate in cui la re-identificazione è ancora possibile. Il trattamento avvenuto prima della revoca resta lecito, ma non puoi continuare a conservare o utilizzare i dati una volta revocato il consenso, a meno che non si applichi un'altra base giuridica.
Questo è uno dei motivi pratici per cui l'interesse pubblico può funzionare meglio per la ricerca longitudinale: non c'è alcun consenso da revocare in primo luogo. I partecipanti conservano il diritto di opposizione ai sensi dell'articolo 21, ma il titolare del trattamento può superare tale opposizione quando il trattamento è necessario per un compito di interesse pubblico. L'articolo 21(6) rende esplicita questa prevalenza per la ricerca.
Quindi i dati già trattati su questa base non vengono compromessi da un'opposizione successiva, a differenza di una revoca del consenso, che interrompe del tutto ogni trattamento futuro.
Il GDPR si applica se il mio servizio di trascrizione ha sede al di fuori dell'UE?
Sì. Il GDPR si applica a qualsiasi servizio che tratta dati personali di residenti dell'UE, a prescindere da dove abbia sede (articolo 3(2)). Un fornitore non UE deve basarsi su un meccanismo di trasferimento approvato: clausole contrattuali tipo (Standard Contractual Clauses), una decisione di adeguatezza o norme vincolanti d'impresa. Questo deve essere affrontato nel DPA e comunicato ai partecipanti nel modulo di consenso.
Il GDPR si applica se i partecipanti alle mie interviste si trovano nel Regno Unito?
Non esattamente. Quando il Regno Unito ha lasciato l'UE, ha convertito il GDPR in una normativa nazionale autonoma ora denominata UK GDPR, applicata dall'ICO anziché dalle autorità di controllo dell'UE. La base giuridica, gli standard di consenso e i diritti degli interessati funzionano in gran parte allo stesso modo, ma i requisiti di consenso per registrare interviste di ricerca nel Regno Unito differiscono su aspetti specifici come le esenzioni per la ricerca e le regole di trasferimento post-Brexit, importanti se stai redigendo un modulo di consenso per i partecipanti del Regno Unito.
Rodoshi Das
Rodoshi aiuta i brand SaaS a crescere con contenuti che convertono e scalano le SERP e gli LLM. Trascorre le sue giornate testando strumenti e trasforma la sua esperienza in narrazioni interessanti per aiutare gli utenti a prendere decisioni d'acquisto informate. Fuori dal lavoro, scambia le dashboard con romanzi gialli e terapia in giardino.