Alex Barbulescu: Salut Raluca,

Deloc nu ți se pare, e o zonă absolut plină de nuanțe și da, poate fi uneori o adevărată artă să navighezi prin ea, mai ales când vine vorba de contracte temporare și DPI. Am avut și eu peripluri prin zone similare.

Ce mi s-a părut mie adesea neclaritate sau punctele unde apar întrebări sunt legate de:

1. Definirea clară a duratei "temporare": Deși legea ne dă niște intervale, contextul specific al cercetării poate fi cel care impune această temporaritate. Uneori, scopul unei cercetări nu se aliniază perfect cu o durată fixă prestabilită, mai ales dacă pe parcurs apar noi direcții sau elemente neprevăzute. Ca să nu vorbim de situațiile când o cercetare e prelungită iterativ...
2. Legătura cu scopul final: De ce anume e nevoie de colectarea temporară a datelor? Dacă scopul e bine definit și limitat, contractul temporar e justificat. Dar uneori, pare că datele sunt colectate "în așteptarea unui scop", ceea ce nu e chiar ideal din punct de vedere a protecției datelor.
3. Rolul prestatorului/furnizorului de servicii: Când e vorba de contracte cu terți pentru servicii de cercetare (ex. colectare date, analiză), e crucial să fie foarte clar cine răspunde de protecția datelor și în ce măsură. Suntem noi ca instituție inițiatoare principalul responsabil, sau se poate delega o parte din responsabilitate? Și cum facem asta legal și sigur?

Am avut o situație unde trebuia să colectăm date pentru o cercetare despre un anumit comportament pe o perioadă estimată de 6 luni. La jumătatea perioadei, am realizat că rezultatele preliminare sugerează că ar fi mult mai util să extindem studiul cu încă 3 luni, dar într-o direcție puțin diferită, cu un set de date suplimentar, dar nu complet nou. Aici a trebuit să reevaluăm dacă noul scop, deși legat de scopul inițial, necesită un nou tip de consimțământ sau o nouă justificare legală pentru prelucrare. De asemenea, a fost esențial să verificăm dacă acest "upgrade" al cercetării se încadrează tot sub umbrela "temporară" sau devine o prelucrare pe termen mai lung.

Cel mai bine e să te gândești la DPI ca la un partener în procesul de cercetare, nu ca la un obstacol. O analiză clară de la început, pe cât posibil, a riscurilor și a temeiului legal pentru fiecare etapă a prelucrării datelor, te poate salva de multe bătăi de cap ulterior.

Sper că aceste câteva gânduri te ajută să descurci ițele! Sunt curios să aud și alte experiențe.

Raluca Puscasu: Alex, îți mulțumesc mult pentru răspunsul detaliat! Exact la asta mă gândeam, că nu sunt singură în a percepe această zonă ca fiind una cu multe interpretări. Parcă totul se învârte în jurul definiri precise a „temporarității" și a scopului, și cum acestea se intersectează cu realitatea dinamică a cercetării.

Ce spui despre legătura cu scopul final sună foarte relevant. Mi s-a întâmplat să mă lovesc de cazuri în care scopul inițial pare a fi fost o justificare pentru a porni colectarea, dar pe parcursul studiului apar alte direcții, alte întrebări care ar putea fi adresate cu aceleași date, dar care depășesc scopul inițial. Și atunci, reevaluarea consimțământului sau a temeiului legal devine esențială, corect? E ca și cum s-ar deschide o nouă fereastră de oportunitate, dar și o nouă "capcană" din punct de vedere GDPR.

Și punctul despre prestatorul de servicii este extrem de important. De multe ori, externăm o parte din proces, și e crucial să înțelegem clar cine răspunde de ce și cum se face delegarea responsabilității în mod legal și sigur. Ce reguli ați urmat voi în situația pe care ai menționat-o? Ați avut nevoie de un acord de prelucrare de date separat, sau a fost suficient să instruiți furnizorul și să verificați conformitatea lui?

Exemplul tău cu extinderea studiului este elocvent. Cum ați gestionat acea reevaluare a scopului și a consimțământului? A trebuit să re-contactați participanții pentru un nou consimțământ, explicând clar direcția nouă și prelungirea? Mă ajută enorm să văd cum au fost abordate astfel de situații practice.

Îți mulțumesc pentru sfatul cu DPI ca partener - e o perspectivă utilă și încurajatoare. O analiză a riscurilor de la început, chiar și pentru etape parțial neclare, cred că e cheia.

Aștept cu interes și alte perspective, dacă mai sunt colegi care au trecut prin astfel de "aventuri" cu DPI și contractele temporare în cercetare!

Raluca Puscasu: Raluca.puscasu: Mulțumesc mult, Alex, pentru răspunsul atât de detaliat și rezonant! Mă bucur să știu că nu sunt singură în a percepe această zone vagă.

Observațiile tale despre definirea duratei "temporare" sunt exact punctele mele de fricțiune. La studiul de caz la care lucrez, cercetarea inițială era planificată pentru o durată definită, dar pe parcurs am identificat noi posibilități de analiză care ar necesita colectare de date adiționale. Mă întrebam dacă o "prelungire iterativă", cum ai menționat, intră tot sub umbrela contractului inițial sau dacă ar trebui să genereze un nou acord, cu un nou DPI. Și cum documentezi corect justificarea acestei prelungiri din perspectiva scopului temporar?

Legat de scopul final, ai punctat excelent. Uneori, pare că există o linie fină între "colectare în așteptarea unui scop" și a defini scopul pe baza datelor colectate. Și sincer, ultima variantă pare problematică din punct de vedere al aderenței la principiile DPI, în special cel al limitării scopului. Cum documentezi în DPI că scopul este definit și nu emergent în mod necontrolat?

Și da, rolul prestatorilor terți este un alt calvar. Am avut discuții pe tema asta cu departamentul juridic, dar clarificările par să ducă mereu la alte întrebări. Cine e responsabil inițial și cum delegi responsabilitatea fără a o dilua complet? Cum te asiguri că contractul cu terțul reflectă corect DPI-ul și nu rămâne doar pe hârtie?

Situația ta cu extinderea studiului cu încă 3 luni este un exemplu clasic. Cum ați gestionat acest aspect din punct de vedere al DPI și al contractului inițial? Ați prelungit pur și simplu sau a fost nevoie de o reevaluare completă? Vă rog, un pic mai mult detaliu dacă e posibil, e exact genul de experiență care m-ar ajuta enorm să-mi lămuresc dilemele!

Mulțumesc din nou pentru perspectivele valoroase!

gândesc și eu, la nuanțele astea. Faptul că mai întâlnești și tu astfel de situații mă liniștește cumva, că nu e doar la mine o senzație de... "plutire".

Legat de durata "temporară", ai perfectă dreptate. Uneori, scopul cercetării impune o temporaritate, dar e greu de transpus în zile calendaristice. Mai ales că, cum ai menționat și tu, research-ul e un proces evolutiv. O prelungire iterativă sună destul de realist, dar cum o justifici legal fără să o transformi într-o prelucrare pe termen lung, care ar necesita altă bază legală și alt mecanism de consimțământ? Mă gândesc la principiul limitării scopului și limitării stocării - cum le împaci cu o cercetare care, prin natura ei, poate dura mai mult decât ți-ai propus inițial? Te-ai confruntat cu vreun caz clasic de "prelungire", cum ai numit-o tu, și cum ați gestionat-o din punct de vedere documentar și legal?

Îmi place cum ai formulat aspectul legăturii cu scopul final. Da, colectarea "în așteptarea unui scop" e exact ce mă bântuie. Cum faci diferența între o fază exploratorie necesară pentru a rafina scopul, care totuși implică prelucrare de date, și o colectare "la întâmplare" pentru că "poate o să fie util"? Acesta pare punctul sensibil pentru a demonstra necesitatea și proporționalitatea.

Și rolul prestatorului/furnizorului de servicii... e un labirint. Am lucrat cu firme care fie preiau totul și se asigură conformitatea, fie ne lasă pe noi, instituția inițiatoare, cu responsabilitatea primară, dar cu documentație minimă. Cum se face delegarea responsabilității legal? Prin contracte de tip DPA (Data Processing Agreement)? Sau trebuie să fie ceva mai mult? Mi-e teamă de situațiile în care nu e complet clar cine e "main responsible", mai ales în cazul unei breșe.

Cazul tău cu extinderea studiului de 6 la 9