sentenza CGCE

Ricerca scientifica: perché l’art. 110 del Codice Privacy va ripensato

Home
Indirizzo copiato

Una recente sentenza CGCE esplora l’interpretazione dell’art. 9 GDPR, in particolare sulla legittimità del trattamento dei dati sensibili da parte di un datore di lavoro per valutare l’inabilità di un dipendente. La decisione solleva questioni sulla discrezionalità degli Stati membri e sulla conformità dell’art. 110 del Codice Privacy italiano con il quadro comunitario

Pubblicato il 22 feb 2024
Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

Silvia Stefanelli

Studio Legale Stefanelli & Stefanelli

microscopio ricerca

La recente sentenza CGCE 21 dicembre 2023,  C-667/21 affronta un caso interessante relativo alla corretta applicazione dell’art. 9 lett. h) GDPR.

La sentenza ha messo in luce alcuni aspetti critici dell’art. 9 comma 4 del GDPR e dell’art. 110 del Codice Privacy italiano, ha evidenziato la necessità di una riconsiderazione delle normative vigenti in materia di protezione dei dati personali. Questo per garantire non solo la sicurezza dei cittadini europei ma anche per consentire alla ricerca scientifica di proseguire senza incontrare ostacoli insormontabili.

Codice Privacy, l’art. 110 è una norma iniqua: danneggia la ricerca no profit

Il caso analizzato dalla Corte di Giustizia

Un soggetto, dipendente da una società che redige perizie per le Casse Mutue (in Germania), viene collocato in stato di inabilità; la sua Cassa Mutua chiede alla società da cui lo stesso soggetto dipende di effettuare la perizia per la valutazione del livello di inabilità; nel redigere la perizia i colleghi del ricorrente vengono a conoscenza delle informazioni di salute dello stesso.

Il ricorrente chiede allora di valutare se tale trattamento può considerarsi legittimo o meno ai sensi dell’art. 9 GDPR.

La controversia finisce in Corte di Giustizia ed i giudici colgono l’occasione per esprimersi su vari aspetti del trattamento delle particolari categoria di dati.

Nello specifico:

La prima questione al vaglio dei giudici

Con la prima questione si chiedeva se, hai sensi dell’art. 9GDPR lett. h), si può ritenere che il soggetto che tratta i dati debba essere un “terzo neutrale”.

Sul punto la CGCE afferma che l’art. 9 GDPR contiene un elenco esaustivo di eccezioni al principio del divieto di trattare tali dati sensibili: pertanto la sua interpretazione deve essere restrittiva [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali d’uso di un social network), C‑252/21, EU:C:2023:537, punto 76].

Nello specifico poi la lettera h) dell’art. 9 prevede la possibilità di trattare i dati in presenza di 3 condizioni: le presenza di una delle finalità elencate (tra cui vi è la valutazione della capacità lavorativa di un lavoratore), la base giuridica (norma o contratto), la riservatezza delle persone che effettuano il trattamento.

Tra le condizioni previste non vi è la “neutralità” del soggetto che tratta: conseguentemente tale requisito non può essere richiesto.

La seconda questione

Con la seconda questione si chiede se, alla luce di principi del GDPR, il titolare di un trattamento di dati relativi alla salute sia comunque tenuto a garantire che nessun collega dell’interessato possa accedere ai dati relativi allo stato di salute dell’interessato stesso.

La Corte, dopo avere preso atto che tale previsione non è espressamente contenuta in nessun punto del GDPR, dichiara che tale requisito ulteriore potrebbe, tutt’al più, essere introdotto da uno Stato Membro, utilizzando il margine di discrezionalità lasciato dal comma 4 dell’art. 9.

Qui il giudice chiarisce che gli Stati Membri che intendano avvalersi della facoltà concessa all’articolo 9, paragrafo 4, di detto regolamento devono conformarsi principio di proporzionalità.

La terza e questione

Circa la terza questione si afferma – ma è ormai giurisprudenza pacifica –  che i trattamenti di cui all’elenco dell’art. 9 devono altresì rispettare i contenuti dell’art. 6 GDPR.

La quarta e la quinta questione

Le ultime due questioni riguardano la natura giuridica del risarcimento danni, i profili soggettivi e l’onere della prova.

Più precisamente si afferma che l’articolo 82 GDPR sul risarcimento danni ha natura meramente compensativa (mentre hanno natura punitiva gli art. 83 e 84 GDPR).

In relazione poi ai profili soggettivi, si afferma che la risarcibilità deve essere legata ad un profilo di responsabilità almeno per colpa, mentre sotto il profilo dell’onere della prova si precisa che sta in capo al titolare dimostrare le misure poste in essere, la cui adeguatezza va valutata in concreto.

In queste settimane la sentenza è stata commentata da più autori, in particolare in relazione agli aspetti dell’interpretazione restrittiva dell’art. 9 GDPR e dei profili della colpa e dell’onera della prova.

Non pare invece sufficientemente indagata la portata delle statuizioni della Corte in relazione alla seconda questione sollevata: vala a dire ai limiti della discrezionalità degli Stati membri .

L’art. 9 comma 4 del Gdpr: la discrezionalità degli Stati membri

Come noto l’art. 9 GDPR al comma 4 stabilisce che: “Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”

La sentenza sopra commentata appare particolarmente interessante in quanto, rispondendo alla seconda questione,  precisa quali sono i limiti della discrezionalità in capo in capo agli Stati membri.

Più esattamente, richiamando il precedente della sentenza del 30 marzo 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21 (,EU:C:2023:270, punti 51 e 78), la Corte precisa che: “uno Stato membro che intenda avvalersi della facoltà concessa all’articolo 9, paragrafo 4, di detto regolamento dovrebbe, conformemente al principio di proporzionalità, garantire che le conseguenze pratiche, segnatamente di ordine organizzativo, economico e sanitario, derivanti dagli ulteriori obblighi di cui tale Stato intende imporre il rispetto, non siano eccessive nei confronti dei titolari di un tale trattamento”

Aggiunge poi che le eventuali limitazioni aggiuntive “non possono pregiudicare l’effetto utile dell’autorizzazione al trattamento che è espressamente prevista all’articolo 9, paragrafo 2, lettera h), del medesimo regolamento e disciplinata al paragrafo 3 di tale articolo.”

In sostanza gli Stati hanno sì uno spazio di discrezionalità, ma la stessa deve essere proporzionata, non deve imporre obblighi eccessivi e, soprattutto, non deve “svuotare” – nei fatti – le autorizzazioni al trattamento previste dallo stesso art. 9 GDPR

L’art. 110 Codice Privacy e l’utilizzo della discrezionalità da parte del legislatore italiano

Pare a chi scrive che il Legislatore dell’art. 110 Codice Privacy nell’esercizio della sua discrezionalità non abbia tenuto in alcun conto tali margini di natura comunitaria.

Infatti.

Il GDPR, nel disciplinare il trattamento di dati nella ricerca scientifica, ha introdotto una serie di previsioni finalizzate a facilitare il trattamento dei dati in tale ambito:

  • l’art. 5 prevede una presunzione di compatibilità per agevolare il secondary use
  • l’art. 14 stabilisce che ove non sia possibile fornire l’informativa all’interessato, il titolare del trattamento può adottare altre misure appropriate per tutelare i diritti, anche rendendo pubbliche le informazioni;
  • l’art. 21 stabilisce che nel caso di ricerca scientifica l’interessato non può opporsi al trattamento se lo stesso è necessario per l’esecuzione di un compito di interesse pubblico.
  • l’art. 89 stabilisce la facoltà per gli Stati membri di prevedere deroghe ai diritti di cui agli articoli 15, 16, 18 e 21 in questo ambito.

Per quanto riguarda poi nello specifico le particolari categorie di dati, l’art. 9 GDPR alla lettera J) autorizza legislativamente il trattamento per ricerca scientifica stabilendo che

j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica …. in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

In sostanza i requisiti posti dal legislatore del GDPR sono che:

  • la sussistenza del requisito di “necessarietà” del trattamento (da valutarsi in un sistema di accountability non in via astratta ma secondo i principi comunitari (sul punto EDPS – Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit – nov 2017)
  • una base giuridica nazionale o comunitaria che rispetti l’essenza del diritto dell’unione in materia di protezione dei dati
  • la conformità all’art. 89 GDPR
  • le misure appropriate a specifiche per il singolo caso

Non altri.

Il Legislatore italiano, avvalendosi dello spazio di discrezionalità dello stesso art. 9 comma 4, ha invece “ribaltato” il sistema del legislatore comunitario (con scelte anche molto discutibili sotto il profilo della compatibilità allo stesso diritto comunitario),  “svuotando” tutte le aperture del GDPR e ponendosi anche in diretto contrasto con le previsioni dello stesso art. 9.

L’impatto sulla ricerca scientifica in Italia

L’art. 110 Codice Privacy infatti parte da un assunto: l’obbligo del consenso come base giuridica per il trattamento di dati nella ricerca scientifica.

In altre parole il Legislatore stabilisce ex lege la base giuridica, violando in questo modo, direttamente,  il regime previsto nell’art. 9 lett. j) che combinava invece, in maniera molto più ampia, le basi legislative nazionali e/o comunitarie e la valutazione della sussistenza della “necessarietà”.

Inoltre.

Lo stesso art. 110 poi prevede che, ove non sia possibile acquisire il consenso (situazione che si presenta nella maggior parte dei casi) occorre avere

  • misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato
  • il parere positivo del Comitato Etico
  • sottoporre il progetto di ricerca a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento.

In particolare tale ultima previsione appare molto onerosa per i titolari, sia in termini di tempi (che vanno spesso ben oltre le 8 settimane previste dallo stesso art. 36) che in termini di organizzazione e costi.

Possibili scenari futuri e necessità di ripensare il sistema “consensocentrico”

Una architettura giuridica che appare peraltro del tutto “eccessiva”, specie ove confrontata con il regime in essere pre-GDPR nel quale era sufficiente il rispetto delle prescrizioni della autorizzazione generale del Garante.

Allora forse si può cominciare a pensare – come peraltro suggerito dal consigliere Scorza su questa rivista ai primi dell’anno – che il sistema “consensocentrico” per la ricerca scientifica vada assolutamente ripensato.

Tenendo conto, questa volta, dei limiti che il giudice comunitario ha posto alla discrezionalità del legislatore nazionale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • diritto d'autore

    IA, regole e accordi per il futuro dei media: le tendenze in atto

    29 Gen 2024

    di Luciano Daffarra

    Condividi

  • intelligenza artificiale

    La frontiera del linguaggio tra uomo e macchina: cosa cambia coi large language model

    23 Mag 2024

    di Matteo Grella

    Condividi

Prossimo

IA, regole e accordi per il futuro dei media: le tendenze in atto

Articolo 1 di 3