Nel settore sanitario e farmaceutico viene generata ogni giorno una mole impressionante di dati sanitari e la loro raccolta, conservazione ed elaborazione rappresentano il presupposto per le attività di ricerca scientifica, l’indagine statistica e la gestione efficiente delle imprese del settore, contribuendo al progresso sociale e alla ricerca medica per la prevenzione e cura di diverse patologie.
Per comprendere il merito delle implicazioni tecniche e giuridiche, è necessario chiarire che il trattamento di dati personali ai fini di ricerca scientifica in ambito sanitario può essere rappresentato come uno o più processi i cui risultati determinano l’evoluzione della scienza medica, attraverso una serie di attività di interpretazione e di revisione di numerosi dati personali, di cui quelli idonei a rilevare lo stato di salute degli interessati.
Trattamento dati sanitari, i rischi
I rischi legati a questa tipologia di trattamenti sono notevoli se si considera l’obbligo di proteggere tali dati da persone non autorizzate, registrando anche la forte crescita del fenomeno cybercrime nel settore sanitario, e la tutela del diritto di riservatezza e della dignità dei soggetti coinvolti.
Ne è la riprova l’attenzione posta dall’Autorità Garante negli anni, fino ad arrivare alla programmazione dell’attività ispettiva per il periodo gennaio-giugno 2018, indirizzata ad accertare la conformità agli obblighi previsti dalla normativa in materia di protezione dei dati personali per trattamenti di dati sanitari effettuati dalle ASL, in relazione al trasferimento degli stessi in favore di terzi per il loro utilizzo a fini di ricerca (Registro dei provvedimenti n. 49 del 1° febbraio 2018).
Maggiori tutele giuridiche per i proprietari dei dati
Il progresso tecnologico e scientifico ha comportato la definizione nel tempo di maggiori regole giuridiche a tutela dei soggetti proprietari dei dati personali trattati, gli interessati, al fine di evitare utilizzi impropri o dannosi e considerando la maggiore disponibilità di tali dati, anche attraverso l’utilizzo sempre più diffuso di sistemi informatizzati e di reti di comunicazione elettronica, e la loro conseguente esposizione ad azioni illecite da parte di terzi, arrivando oggi all’applicazione del Regolamento UE 679/2016, anche GDPR, e a quanto il legislatore italiano e l’autorità Garante disporranno per rendere pienamente operativo tale legge nel nostro ordinamento.
Il punto sul quadro normativo attuale
In riferimento al quadro normativo attuale, è necessario fare il punto per comprendere come gli operatori del settore possano e debbano trattare i dati idonei a rilevare lo stato di salute degli interessati ai fini di ricerca scientifica. A partire dal 25 Maggio 2018, il D.lgs. n. 196 del 2003 (Codice Privacy) non è più applicabile, in virtù della piena attuazione in tutta l’Unione Europea del GDPR. Al riguardo, le norme integrative nazionali che dovranno essere emanate, come previsto dalla Legge di delegazione europea (Legge 25 ottobre 2017, n. 163), completeranno il quadro normativo nazionale anche per le parti relative al trattamento dei dati in sanità e per finalità di ricerca scientifica, come previsto, ad esempio, dal GDPR al Capo IX per specifiche tipologie di trattamento.
GDPR, manca ancora il decreto di adeguamento
Ad oggi, il Governo non ha adottato, entro i sei mesi previsti dalla pubblicazione della legge di delegazione europea, il decreto Gdpr. Ossia un decreto legislativo di adeguamento del quadro normativo nazionale alle disposizioni del GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR prevede la competenza al diritto dello Stato Membro. Tuttavia l’art. 13 par. 3 della Legge 25 ottobre 2017, n. 163, prevede che il Governo eserciti la delega secondo le procedure previste dall’art. 32 della Legge 24 dicembre 2012, n. 234, che a sua volta specifica le condizioni di proroga, della durata di tre mesi, quando gli schemi dei decreti delegati vengano inviati alle Commissioni parlamentari per il previsto parere e manchino meno di 30 giorni alla scadenza della delega.
Il Gdpr è in vigore, senza il decreto italiano: che succede ora
Pertanto, in attesa della pubblicazione nei prossimi mesi del decreto di adeguamento del quadro normativo nazionale, il GDPR deve essere pienamente e integralmente attuato, considerando eventualmente i provvedimenti e linee guida del Garante che non risultino in contrasto con tale legge.
Cosa dice il GDPR sul trattamento dati in sanità
In linea di massima, il GDPR agli Artt. 9, par. 2, lettera j) e 89, par. 1 dispone, anche a chi tratta dati sanitari a fini scientifici, di garantire i diritti e le libertà dell’interessato e che tali garanzie consistano nell’adozione di misure tecniche e organizzative volte a garantire il rispetto del principio della minimizzazione dei dati e la loro pseudonimizzazione, purché le finalità in questione possano essere conseguite in tale modo. Nello specifico, è necessario individuare i casi per cui il trattamento sia da considerare legittimo ed eventuali ulteriori condizioni.
Con particolar riguardo ai trattamenti effettuati per finalità di ricerca scientifica, il GDPR delinea un regime che affianca garanzie a deroghe, fornendo ampio spazio interpretativo per includere diverse attività svolte in ambito sanitario. Al Considerando 159, il GDPR ricomprende nei trattamenti di dati personali per finalità di ricerca scientifica quelli per: “sviluppo tecnologico e dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata da privati, oltre a tenere conto dell’obiettivo dell’Unione di istituire uno spazio europeo della ricerca ai sensi dell’articolo 179, paragrafo 1, TFUE”, come anche “gli studi svolti nell’interesse pubblico nel settore della sanità pubblica”.
Trattamento dati e ricerca scientifica
Il principio di legittimità del trattamento per finalità di ricerca scientifica può essere rintracciabile, ad esempio, nei Considerando 156 e 157 e Art. 6, par. 1, lett. f), nel perseguimento di un interesse pubblico prevalente sul diritto del singolo interessato (ad esempio, prevenzione e cura di epidemie), comportando l’esenzione della raccolta del consenso e prevedendo al Considerando 156 e Art. 89, par. 2 che gli Stati Membri possano introdurre deroghe all’esercizio dei diritti dell’interessato, a condizione che siano adottate misure appropriate e specifiche, come la conferma che sia in corso un trattamento di dati personali che lo riguardi e la conoscenza dei suoi termini, la rettifica di quelli inesatti, la cancellazione e portabilità dei dati personali trattati.
È da tenere in considerazione, ai sensi del Considerando 50 e dell’Art. 6, par. 4, del GDPR, che il trattamento ulteriore rispetto a quello per cui i dati sono stati originariamente raccolti è ammissibile come lecito e compatibile con il GDPR se viene effettuato per perseguire finalità di ricerca scientifica e sussistano le dovute garanzie per gli interessati. Se è vero che l’Art. 9, par. 4 consente ai singoli Stati membri di “mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”, è ancor più vero che dette restrizioni non potranno ostacolare la libera circolazione delle informazioni, ferma restando la salvaguardia delle libertà fondamentali delle persone, e dovranno essere coordinate tra loro al fine di consentire una disciplina e una tutela uniformi del diritto alla protezione dei dati personali dei cittadini europei.
L’importanza dei registri
In riferimento alla finalità di ricerca scientifica, storica e statistica, il Considerando 157 sottolinea, inoltre, l’importanza dei registri come fonte in grado di combinare informazioni utili ai ricercatori al fine di ottenere nuove conoscenze su patologie diffuse come le malattie cardiovascolari, il cancro e la depressione ed in generale tutte le malattie che colpiscono ampie fasce di pazienti, come, ad esempio, i protocolli e le ricerche sull’Alzheimer o altre gravi patologie. Pertanto, la consultazione di tali registri si configura come un trattamento necessario per il miglioramento delle conoscenze, in grado di “migliorare la qualità della vita per molte persone e migliorare l’efficienza dei servizi sociali”. In questo caso, il GDPR riconosce la legittimità di trattare dati personali ricavati da registri per finalità di ricerca scientifica, fatte salve condizioni e garanzie adeguate previste dal diritto dell’Unione o degli Stati membri.
Infine, ai sensi del Considerando 161, anche nel caso in cui i diritti dell’interessato rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di ricerca ai sensi dall’Art.89, par. 2 , è comunque imposto il consenso alla partecipazione ad attività di ricerca scientifica nell’ambito di sperimentazioni cliniche in conformità del Regolamento UE 536/2014 sulla sperimentazione clinica di medicinali per uso umano e che abroga la direttiva 2001/20/CE (GU L 158 del 27.5.2014, pag. 1).
Tale consenso deve essere raccolto mediante la compilazione di una scheda informativa che, da un lato individua le specifiche informazioni relative al soggetto interessato e al tipo di trattamento medico (farmacologico, chirurgico, ecc.) e, dall’altro lato, specifica le finalità perseguite dall’attività di ricerca effettuata e le eventuali conseguenze in termini di benefici e rischi.
Nei casi in cui “non è possibile individuare pienamente alla finalità del trattamento di dati personali a fini di ricerca scientifica al momento della raccolta dei dati”, il GDPR evidenzia al Considerando 33 che “gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita prevista”.
Equilibrio tra interesse pubblico e diritto alla protezione dei dati
In conclusione, sospendendo al momento la valutazione di ulteriori e specifici obblighi potenzialmente derivanti dal decreto di adeguamento previsto nei prossimi tre mesi, è possibile sostenere che l’ordinamento nazionale ed europeo non impediscono il riuso dei dati per finalità di ricerca scientifica, ma lo condizionano a precise procedure di tutela, basate sul bilanciamento tra finalità di interesse pubblico ed il diritto alla protezione dei dati personali degli interessati, tra cui l’adozione di misure volte a ridurre i rischi di re-identificazione degli stessi.
Al riguardo, chiarisce ulteriormente il concetto il Presidente dell’Autorità Garante, Antonello Soro, in un intervento al quotidiano “Il Messaggero”, 7 dicembre 2017, in risposta alle polemiche suscitate dalla modifica l’Art. 110-bis del Codice Privacy effettuata dalla Legge europea 20 novembre 2017, n. 167 e superata oggi dalla diretta applicazione del GDPR e dal decreto di adeguamento in itinere:
“Un’efficace anonimizzazione dei dati dipende non solo dalle robustezze delle tecniche utilizzate, ma anche dalla granularità delle informazioni, dall’ulteriore utilizzo che ne posso fare e dalle tecnologie disponibili al momento del trattamento. Per questo è necessaria una valutazione caso per caso che preveda adeguate garanzie volte a scongiurare eventuali successive operazioni di re-identificazione. L’adozione di queste cautele dovrebbe essere in capo al titolare del trattamento e non agli eventuali soggetti terzi riutilizzatoti dei dati.
L’anonimizzazione è una dimensione non statica, ma dinamica dei dati: alcuni set di dati possono sembrare all’origine apparentemente aggregati e anonimi, ma ad una valutazione più approfondita rivelarsi tali da poter rendere poi re-identificabili gli interessati: ad esempio, se in un secondo momento vengono incrociati con altre banche dati con informazioni di dettaglio riferite agli stessi interessati oppure trattati con tecniche di re-identificazione non prevedibili all’origine. Per questo è necessario essere molto cauti quando si parla di rendere pubblici interi set di dati, anche se anonimizzati “.
È ovvio che la sicurezza dei dati e dei campioni biologici deve essere assicurata in ogni fase della ricerca, adottando opportuni accorgimenti che riducano i rischi derivanti dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali. Analoghe cautele devono poi essere utilizzate nella trasmissione elettronica dei dati al promotore della ricerca o alla banca dati centralizzata in cui sono memorizzati e archiviati, considerando che qualsiasi operazione sui dati personali sia effettuata da persone autorizzate e opportunamente istruite sui compiti e le modalità dal titolare o responsabile del trattamento.
