GDPR e tesi con dati sensibili 2026: decisioni Garante Privacy
Stai scrivendo una tesi di psicologia clinica con dati di pazienti, una ricerca sociologica su migranti, o una tesi di medicina con cartelle cliniche anonimizzate? Se la tua risposta è sì, devi conoscere il quadro normativo GDPR applicabile alle tesi universitarie italiane che trattano categorie particolari di dati personali (il vecchio nome erano “dati sensibili”). Ignorare queste regole non è solo un rischio per la carriera accademica: può esporre te, il tuo relatore e l’ateneo a sanzioni concrete del Garante per la protezione dei dati personali. Questa guida — aggiornata con le decisioni del Garante 2024-2025 e le Regole deontologiche del 9 maggio 2024 — ti dà un quadro operativo completo.
Il GDPR tesi dati sensibili Garante Privacy Italia 2026 è un tema che coinvolge ogni anno decine di migliaia di laureandi in medicina, psicologia, scienze infermieristiche, sociologia, scienze politiche, criminologia e diritto. La normativa è complessa ma gestibile: con il supporto del DPO (Data Protection Officer) del tuo ateneo e di strumenti di scrittura accademica appropriati, è possibile condurre ricerche significative rispettando la privacy dei partecipanti.
Cosa sono le categorie particolari di dati
Il Regolamento UE 2016/679 (GDPR) sostituisce la vecchia distinzione italiana tra “dati comuni” e “dati sensibili” con una nomenclatura più precisa. L’art. 9 GDPR vieta in via di principio il trattamento delle cosiddette categorie particolari di dati personali, che includono:
- Dati relativi alla salute (diagnosi, terapie, cartelle cliniche, risultati di laboratorio, dati wearable)
- Dati genetici (DNA, sequenziamento genomico)
- Dati biometrici finalizzati all’identificazione univoca (impronte digitali, riconoscimento facciale, iride)
- Origine razziale o etnica
- Opinioni politiche
- Convinzioni religiose o filosofiche
- Appartenenza sindacale
- Dati relativi alla vita sessuale o all’orientamento sessuale
A queste categorie si aggiungono i dati giudiziari (art. 10 GDPR + art. 2-octies Codice Privacy italiano), che godono di una protezione separata ma analoga.
È importante notare che il GDPR non distingue tra dati di persone fisiche adulte e minori: per entrambi valgono le stesse regole, con misure di tutela aggiuntive per i minori.
Quando una tesi tratta dati sensibili
Non tutte le tesi che “parlano” di salute o di immigrazione trattano categorie particolari di dati. La distinzione cruciale è tra:
- Tesi compilative o di revisione della letteratura: analizzano studi già pubblicati, dati aggregati o statistiche senza raccogliere dati propri da persone fisiche identificate. Non trattano dati personali ai sensi del GDPR, salvo eccezioni (per esempio, analisi di commenti social riferibili a individui).
- Tesi empiriche o sperimentali: raccolgono dati direttamente da partecipanti (interviste, questionari, osservazioni, esami clinici, prelievi biologici). Se i dati raccolti rientrano nelle categorie particolari, il GDPR si applica integralmente.
Esempi concreti di tesi che trattano categorie particolari:
| Disciplina | Tipo di dato | Categoria GDPR |
|---|---|---|
| Medicina / Infermieristica | Cartelle cliniche, risultati esami | Dati sulla salute (art. 9) |
| Psicologia clinica | Diagnosi DSM-5, scale psicometriche | Dati sulla salute (art. 9) |
| Sociologia / Antropologia | Interviste a migranti, identità etnica | Origine razziale/etnica (art. 9) |
| Scienze Politiche / Diritto | Dati elettorali, appartenenza partitica | Opinioni politiche (art. 9) |
| Criminologia / Diritto penale | Sentenze penali, dati di detenuti | Dati giudiziari (art. 10) |
| Ingegneria Informatica / AI | Dataset con immagini volti o voci | Dati biometrici (art. 9) |
Basi giuridiche: consenso vs interesse pubblico
Poiché il trattamento di categorie particolari è vietato in linea di principio, occorre una delle eccezioni dell’art. 9.2 GDPR. Per le tesi universitarie le più rilevanti sono due:
Consenso esplicito (art. 9.2.a GDPR)
Il partecipante firma un modulo di consenso informato che descrive in modo chiaro: chi tratta i dati (studente + ateneo come titolare), per quale scopo (tesi di laurea/dottorato), quali dati vengono raccolti, per quanto tempo vengono conservati, chi ha accesso ai dati (relatore, eventualmente commissione), se la tesi sarà pubblicata su IRIS e in quale forma, come può essere esercitato il diritto di revoca del consenso.
Il consenso deve essere specifico, informato, inequivocabile e liberamente prestato. Un consenso ottenuto come condizione per partecipare a un servizio (per esempio, trattamento dati per partecipare a un corso gratuito) non è valido.
Interesse pubblico nella ricerca scientifica (art. 9.2.j GDPR)
Quando il consenso è difficile da ottenere (dati retrospettivi, impossibilità di contattare i soggetti, rischio di pregiudicare la ricerca), l’art. 9.2.j consente il trattamento sulla base dell’interesse pubblico nella ricerca scientifica, purché:
- la ricerca sia condotta nel rispetto delle Regole deontologiche del Garante;
- ci sia il parere favorevole del Comitato Etico competente;
- siano adottate misure di pseudonimizzazione o anonimizzazione dei dati;
- i dati non siano usati per finalità incompatibili con la ricerca originaria.
“Il consenso non è necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, e il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale.”
— Art. 110 Codice Privacy (DLgs 196/2003 e successive modificazioni), come aggiornato dalla L. 45/2025
Le Regole deontologiche del Garante (Delibera 298/2024)
Il 9 maggio 2024, il Garante per la protezione dei dati personali ha adottato con Delibera n. 298 le nuove Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, che costituiscono l’Allegato A.5 al Codice Privacy. Queste regole sostituiscono la versione del 2018 e si applicano a tutte le ricerche condotte da enti che svolgono istituzionalmente attività di ricerca, incluse le università italiane.
Le principali novità rispetto alle regole del 2018 riguardano:
- Intelligenza artificiale e dataset di ricerca: nuove prescrizioni per i trattamenti automatizzati che utilizzano categorie particolari come training data per modelli AI.
- Ricerca longitudinale: regole specifiche per la conservazione a lungo termine di dati identificativi in studi che richiedono follow-up multipli.
- Open Science e FAIR data: chiarimenti su come rendere disponibili i dataset di ricerca nel rispetto dei principi FAIR (Findable, Accessible, Interoperable, Reusable) senza violare la privacy.
- Pseudonimizzazione come misura minima obbligatoria per tutte le ricerche con categorie particolari condotte su base art. 9.2.j.
Le Regole deontologiche non sono linee guida opzionali: il loro rispetto è condizione per poter invocare l’art. 9.2.j GDPR come base giuridica. Un ateneo che non le rispetta non può legittimamente trattare categorie particolari per finalità di ricerca senza consenso esplicito individuale.
Quando serve la DPIA per una tesi
La Data Protection Impact Assessment (DPIA, o Valutazione d’Impatto sulla Protezione dei Dati) è uno strumento previsto dall’art. 35 GDPR. È obbligatoria quando il trattamento presenta rischi elevati per i diritti e le libertà delle persone fisiche.
Per le tesi universitarie, la DPIA è tendenzialmente necessaria quando:
- il trattamento è su larga scala (centinaia o migliaia di partecipanti) e riguarda categorie particolari;
- si utilizzano tecnologie innovative (riconoscimento facciale, analisi biometrica, geolocalizzazione continua);
- i partecipanti sono soggetti vulnerabili (minori, pazienti psichiatrici, detenuti, richiedenti asilo);
- i dati vengono incrociati da fonti diverse (profilazione incrociata).
Per una tesi singola con 20-30 partecipanti e consenso esplicito, la DPIA di norma non è obbligatoria. Tuttavia, la decisione deve sempre essere documentata per iscritto (anche solo come nota nel fascicolo della tesi) e condivisa con il DPO dell’ateneo (Data Protection Officer, obbligatorio nelle università ai sensi dell’art. 37 GDPR).
Pseudonimizzazione e anonimizzazione
Questi due concetti sono spesso confusi ma hanno effetti giuridici completamente diversi:
Anonimizzazione
L’anonimizzazione è il processo che rende irreversibilmente impossibile risalire all’identità dell’interessato. Un dato anonimizzato non è più un dato personale ai sensi del GDPR: il regolamento non si applica. Tuttavia, la vera anonimizzazione è tecnicamente difficile da realizzare: bastano spesso pochi attributi (età, professione, comune di residenza) per re-identificare una persona in un dataset apparentemente anonimo (re-identification attack).
Pseudonimizzazione
La pseudonimizzazione sostituisce le informazioni identificative dirette con un codice o uno pseudonimo, ma la chiave di corrispondenza viene conservata separatamente. I dati pseudonimizzati restano dati personali ai sensi del GDPR, ma con un livello di rischio ridotto. Nelle tesi che usano l’art. 9.2.j come base giuridica, la pseudonimizzazione è la misura minima richiesta dalle Regole deontologiche 2024.
La procedura pratica per una tesi:
- Assegna a ogni partecipante un codice alfanumerico (P001, P002, …).
- Conserva la tabella di corrispondenza codice-nominativo in un file separato, cifrato, accessibile solo a te e al relatore.
- Elimina la tabella di corrispondenza al termine della ricerca (o al massimo 12 mesi dopo la discussione).
- Nella tesi depositata su IRIS, usa solo i codici, mai i nominativi.
Pubblicazione su IRIS: versione pubblica e embargo
IRIS è il repository istituzionale di quasi tutti gli atenei italiani (gestito da CINECA). Quando la tesi viene depositata su IRIS, il titolare del trattamento dati cambia: non sei più solo tu, ma l’ateneo che pubblica la tesi ad accesso aperto. Le categorie particolari di dati non possono comparire nella versione OA (Open Access) della tesi.
Le opzioni disponibili sono tre:
- Versione pubblica ripulita: depositi su IRIS una versione della tesi in cui tutti i dati identificativi e le categorie particolari sono omesse o pseudonimizzate, mentre conservi la versione completa per uso interno. Questa è la soluzione preferibile per la maggior parte delle tesi empiriche.
- Embargo totale: richiedi che la tesi non sia resa pubblica su IRIS per un periodo determinato (generalmente 12-36 mesi). Usato per tesi con dati industriali riservati o in attesa di pubblicazione scientifica. Richiede approvazione dell’ateneo.
- Embargo parziale: solo alcune sezioni (per esempio, l’appendice con le trascrizioni delle interviste) sono sottoposte a embargo, mentre il testo principale è pubblico. Tecnicamente possibile in alcuni atenei con versioni modulari di IRIS.
Sanzioni per atenei e dottorandi
Il quadro sanzionatorio del GDPR è significativo anche in ambito universitario. Le sanzioni si articolano su più livelli:
Sanzioni amministrative del Garante (art. 83 GDPR)
Il Garante può irrogare sanzioni amministrative pecuniarie fino a €20 milioni o al 4% del fatturato annuo globale (se superiore) per le violazioni più gravi (art. 83.5 GDPR). Per le violazioni minori (per esempio, carenza informativa) la sanzione massima è €10 milioni o 2% del fatturato. Le università italiane, avendo bilanci di centinaia di milioni di euro, sono esposte a sanzioni molto significative.
Responsabilità civile (art. 82 GDPR)
Chiunque subisca un danno materiale o immateriale da un trattamento illecito può chiedere il risarcimento al titolare del trattamento (l’ateneo) e all’eventuale responsabile (lo studente, se agisce in modo autonomo). Il danno immateriale include l’angoscia, la perdita di controllo sui propri dati, la stigmatizzazione sociale.
Sanzioni penali (art. 167 Codice Privacy)
Il trattamento illecito di dati giudiziari o di categorie particolari con dolo o colpa grave, quando arreca nocumento, è punito con la reclusione da 1 a 3 anni (o da 6 mesi a 1 anno per i casi meno gravi). Si applica in casi di deliberata violazione delle norme, non per errori in buona fede.
Casi e provvedimenti recenti 2024-2025
Il Garante ha intensificato l’attività di controllo sugli atenei italiani negli ultimi anni. Alcuni casi rilevanti:
Università di Pisa — Provvedimento PRIMAGE (2023)
Il Garante si è pronunciato su un’istanza di consultazione preventiva presentata dall’Università di Pisa per la raccolta retrospettiva di dati necessari per uno studio clinico. Il provvedimento ha chiarito le condizioni per l’uso dell’art. 9.2.j in ricerche retrospettive, confermando la necessità del parere del Comitato Etico e delle misure di pseudonimizzazione.
Ateneo meridionale — Riconoscimento biometrico in aula (2024-2025)
Un ateneo ha adottato un sistema di riconoscimento biometrico del volto per la verifica delle presenze ai corsi per l’abilitazione all’insegnamento (TFA). Il Garante ha irrogato una sanzione di €50.000 per violazione degli artt. 5, 6, 13, 25, 35 e 88 GDPR, rilevando che il trattamento biometrico costituiva sorveglianza non proporzionata agli scopi dichiarati (Provvedimento del 29 gennaio 2026, docweb 10221611).
Delibera Garante n. 298 del 9 maggio 2024
Aggiornamento delle Regole deontologiche per la ricerca scientifica. Principale novità operativa per le tesi: obbligo di pseudonimizzazione dei dataset di ricerca prima del deposito in repository istituzionali (IRIS, AlmaDL) quando i dati rientrano nelle categorie particolari, anche in presenza di consenso esplicito.
Per un quadro più ampio sull’enforcement nazionale dedicato all’uso dell’intelligenza artificiale in ambito accademico, vedi il nostro approfondimento sulle decisioni Garante Privacy sull’IA accademica: casi reali con i provvedimenti più recenti su proctoring, antiplagio e dataset di training.
Checklist operativa per la tua tesi
Prima di avviare la raccolta dati per una tesi con categorie particolari, verifica ogni punto della seguente lista:
- Ho identificato le categorie particolari di dati che tratterò (art. 9 GDPR)
- Ho scelto la base giuridica corretta (consenso esplicito o art. 9.2.j)
- Se uso art. 9.2.j, ho ottenuto il parere favorevole del Comitato Etico dell’ateneo
- Ho redatto un’informativa privacy (art. 13-14 GDPR) chiara e completa
- Ho predisposto un modulo di consenso informato scritto (se uso consenso)
- Ho valutato con il DPO dell’ateneo se è necessaria la DPIA
- Ho implementato la pseudonimizzazione dei partecipanti
- Ho definito un periodo di conservazione dei dati e un piano di cancellazione
- Ho concordato con il relatore la versione pubblica della tesi per IRIS
- Ho verificato se è necessario richiedere embargo su IRIS
Per approfondire il tema della privacy nelle tesi, leggi la nostra guida al ricorso TAR per voto di laurea e il cluster sull’Open Science e Plan S in Italia. Per il contesto normativo generale, vedi Tesify e la privacy RGPD. Per approfondimenti sulla norma di citazione italiana consulta UNI ISO 690 per le tesi.
Per il confronto con il framework GDPR applicato alla ricerca universitaria spagnola, vedi tracciabilità IA e dati tesi su tesify.es. Il parallelo portoghese è in etica CEI RGPD nelle tesi PT. Per il sistema francese, vedi RGPD entretiens mémoire su tesify.fr.
FAQ — GDPR tesi dati sensibili 2026
Quando una tesi universitaria tratta dati sensibili ai sensi del GDPR?
Una tesi tratta “categorie particolari di dati” (ex dati sensibili) ai sensi dell’art. 9 GDPR quando raccoglie o analizza dati relativi a: salute, origine razziale o etnica, opinioni politiche, credenze religiose, dati genetici o biometrici, orientamento sessuale, dati giudiziari. Tipici esempi: tesi di medicina con dati clinici, tesi di psicologia con diagnosi, tesi di sociologia su migranti o detenuti.
Serve il consenso del partecipante per trattare dati sensibili in una tesi?
Non sempre. Il consenso esplicito (art. 9.2.a GDPR) è la base giuridica più comune, ma per la ricerca scientifica si può ricorrere all’art. 9.2.j GDPR quando informare gli interessati è impossibile o comprometterebbe la ricerca. In questo caso occorre il parere favorevole del Comitato Etico e il rispetto delle Regole deontologiche del Garante (Delibera 298/2024).
Quando una tesi richiede la DPIA?
La DPIA è obbligatoria quando il trattamento è “su larga scala” di dati delle categorie particolari, coinvolge soggetti vulnerabili, o utilizza tecnologie innovative (AI, biometria, geolocalizzazione). Per una tesi singola con pochi partecipanti spesso non è richiesta, ma va sempre valutata con il DPO dell’ateneo e la decisione va documentata.
Come si pubblicano su IRIS i dati di una tesi con dati sensibili?
I dati particolari non possono apparire in chiaro nella versione ad accesso aperto della tesi su IRIS. Le soluzioni sono: pseudonimizzazione dei partecipanti, redazione di una versione pubblica con i dati omessi, richiesta di embargo parziale o totale su IRIS (generalmente fino a 36 mesi).
Cosa rischia uno studente che tratta dati sensibili senza le tutele GDPR nella tesi?
Lo studente risponde civilmente per i danni causati agli interessati (art. 82 GDPR). L’ateneo come titolare del trattamento può ricevere sanzioni amministrative dal Garante fino a €20 milioni o al 4% del fatturato. In casi gravi, il Garante può ordinare la cancellazione dei dati e vietare la pubblicazione della tesi.
Le Regole deontologiche del Garante del 2024 si applicano alle tesi universitarie?
Sì. La Delibera del Garante n. 298 del 9 maggio 2024 aggiorna le Regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica (Allegato A.5 al Codice Privacy). Si applicano a tutte le ricerche condotte nell’ambito universitario che trattano categorie particolari di dati, incluse le tesi di laurea e le tesi di dottorato.
Documenta la tua ricerca nel rispetto del GDPR con Tesify
Tesify ti aiuta a strutturare la sezione metodologica della tesi con le informazioni sulla gestione dei dati: base giuridica, misure di pseudonimizzazione, riferimenti alle Regole deontologiche del Garante. Una metodologia ben documentata protegge te, il tuo relatore e l’ateneo da contestazioni successive.



