Condivisione e riutilizzo sono due concetti che sempre più connotano il mondo della ricerca contemporanea e fra i dati personali che sono protagonisti di questi movimenti, i dati genetici rivestono un ruolo di particolare interesse.
Ricerca genetica: lo scenario attuale e l’importanza dei dati
La ricerca genomica si basa su dati molecolari e fenotipici, sul confronto dei risultati all’interno di grandi insiemi di dati, su metadati ricercabili e, infine, sulla traduzione dei risultati della ricerca in ambito clinico. Tutti questi passaggi richiedono un uso massivo, il riuso e la condivisione, anche transfrontaliera, di dati sanitari sensibili e, in particolare, di dati genetici. Inoltre, le attività di ricerca beneficiano sempre più dell’integrazione strutturata fra dati di diversa natura, provenienti da fonti differenti, la cui lettura combinata consente di comporre delle immagini estroflesse della persona, delle dilatazioni spaziali dell’essere umano. L’integrazione sistematica e in parte imponderabile fra dati e fra usi sembra quindi la chiave di lettura del mondo della ricerca contemporanea.
Questa realtà, sempre più complessa, basata sulla disponibilità di enormi quantità di dati, riutilizzabili per diverse finalità, in spazi geografici e temporali diversi, rappresenta un’occasione preziosa per i ricercatori e, al tempo stesso, una sfida per i soggetti incaricati di regolamentare l’ambito della ricerca scientifica, in particolare quella genetica[i].
Alla ricerca di un difficile equilibrio trea diritti e competitività
Si tratta di costruire equilibri complessi fra le esigenze di tutela dei diritti dei partecipanti e lo sviluppo di un mondo della ricerca attuale e competitivo con l’estero, in grado di produrre e impiegare dati rappresentativi che possano essere effettivamente utili. Sul primo fronte è importante tenere a mente che, oltre alle esigenze di tutela della privacy e della riservatezza, è essenziale garantire al partecipante il proprio diritto all’autodeterminazione, che è più ampio e che si traduce in una adesione informata e consapevole alle attività di ricerca che impiegano i dati individuali. Sul fronte della ricerca, al contempo, in un contesto sempre più globale, torna attuale quanto affermato più di venti anni fa da un epidemiologo, secondo il quale, in molti casi, non fare ricerca sarebbe “almeno altrettanto non etico che farla col rischio di danneggiare le persone”[ii].
Il necessario e delicato bilanciamento fra ‘aperture’ e ‘chiusure’ non sembra essere sempre dominato nel modo più efficiente dai regolatori della ricerca.
Una normativa nazionale talvolta troppo ‘chiusa’
In taluni casi, per esempio, l’approccio adottato dal regolatore italiano è apparso eccessivamente restrittivo e, per taluni profili, addirittura iniquo. Un esempio è rappresentato dalla regolamentazione relativa agli studi osservazionali retrospettivi, ricerche scientifiche condotte sulla base di protocolli di studio che “osservano” popolazioni di pazienti, attraverso l’acquisizione e l’analisi di dati già presenti nelle cartelle cliniche ospedaliere o ambulatoriali, senza che si alteri la normale pratica clinica e senza che si introducano elementi di sperimentazione. In riferimento a questi, la normativa italiana in materia di protezione dei dati personali ha introdotto una serie di limiti che non erano previsti dalla normativa europea di riferimento (il Regolamento UE 2016/279, General Data Protection Regulation – GDPR) e che rischiano di rappresentare un esempio paradigmatico di regime giuridico che “scoraggia la buona ricerca”.
Decidendo di avvalersi della facoltà prevista dallo stesso GDPR di introdurre “ulteriori condizioni, comprese limitazioni” con riguardo al trattamento dei dati relativi alla salute (articolo 9, comma 4, GDPR), ai sensi dell’art. 110 del Codice Privacy il trattamento dei dati a fini di ricerca scientifica è possibile in assenza del consenso dell’interessato, alternativamente qualora:
- il trattamento sia effettuato in base a disposizioni di legge, regolamento o in forza del GDPR (art. 9, par. 2, lett. j) e sia condotta e resa pubblica una valutazione di impatto;
- risulti impossibile o eccessivamente oneroso informare gli interessati, purché (i) siano adottate misure appropriate a tutelare i diritti e le libertà degli interessati, (ii) il programma di ricerca sia oggetto di parere favorevole del competente comitato etico e (iii) il programma sia sottoposto a preventiva consultazione del Garante ai sensi dell’art. 36 del GDPR.
Similmente, il trattamento ulteriore dei dati (uso secondario) può essere autorizzato dal Garante, anche mediante provvedimenti a carattere generale, quando sussistono le medesime ragioni di impossibilità o difficoltà oggettiva nel contattare gli interessati, o comunque ne possa essere pregiudicata l’attività di ricerca (art. 110-bis del Codice Privacy). L’ultimo comma dell’art. 110-bis introduce poi una norma di favore per gli Irccs, in ragione della loro finalità istituzionale di ricerca, prevedendo che essi non siano soggetti alla disciplina prevista dall’articolo stesso, creando una situazione ancor più impari (seppur in parte comprensibile).
Inoltre, il provvedimento adottato dal Garante il 5 giugno del 2019 prevede che, qualora l’utilizzo avvenga nell’ambito di progetti di ricerca diversi da quelli originari e al di fuori dei casi di legge – e non fosse possibile informare gli interessati – la conservazione e l’ulteriore impiego dei dati genetici siano possibili qualora una ricerca di analoga finalità non possa essere realizzata mediante il trattamento di dati riferibili a persone delle quali può essere acquisito il consenso. Inoltre, nel caso in cui non si intenda optare per l’anonimizzazione dei dati, il progetto deve essere oggetto di un parere motivato da parte del competente comitato etico e sottoposto a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento.
Un quadro complesso che rischia di generare una fase di stallo, stagnazione o ritardo della ricerca.
I rischi di un’eccessiva apertura in sede sovranazionale
D’altro canto, anche un atteggiamento di eccessiva apertura in questa materia rischia di introdurre sbilanciamenti del tutto disfunzionali.
Secondo alcuni, questo è un pericolo che accompagnerebbe allo stato attuale la proposta di Regolamento europeo relativo alla creazione di uno European Health Data Space, un ecosistema specifico per la salute composto da regole, standard e pratiche comuni, infrastrutture e un quadro di governance che, secondo quanto dichiarato dalle istituzioni europee, ha l’obiettivo di dare potere alle persone attraverso un maggiore accesso e controllo digitale dei loro dati sanitari elettronici personali e sostenere la loro libera circolazione, fornire una struttura coerente, affidabile ed efficiente per l’uso dei dati sanitari per la ricerca.
Il testo proposto ha sollevato diverse reazioni preoccupate, in particolare in ragione dei seguenti aspetti:
- La proposta introduce deroghe relative alle informazioni a livello individuale (art. 38.2)
- La proposta introduce un approccio di sfavore rispetto all’utilizzo del consenso come base giuridica per la condivisione dei dati elettronici (art. 33.5)
- La proposta si orienta nel senso proporre come soluzione quasi “di default” quella di un uso secondario dei dati individuali per ampi scopi di ricerca e innovazione (artt. 34 e 46) da parte di diversi soggetti, incluse le grandi società di tecnologia digitale[iii].
Specialmente intorno a questo terzo punto si sono concentrate le perplessità e gli emendamenti proposti sembrano aver richiamato l’attenzione intorno all’esigenza di fare ricorso a meccanismi maggiormente garantisti, come ad esempio una soluzione basata sulla logica dell’opt-out, che consentirebbe alle persone di “chiamarsi fuori” dallo svolgimento di (determinate) attività di ricerca.
Il potenziale impatto trasformativo sull’erogazione dell’assistenza sanitaria e sull’attuazione della ricerca e dell’innovazione di questo tipo di proposta impone il massimo riguardo ai delicati bilanciamenti coinvolti.
I limiti della ‘hard law’ e le regole di condotta per nutrire la fiducia
All’interno di questi complessi scenari, lo strumento giuridico trova da sempre significative difficoltà ad imporsi. Da un lato l’esigenza di intervenire in termini ‘generali e astratti’ e dall’altro i tempi dilatati necessari alla costruzione e all’adattamento del comando giuridico sono caratteristiche che lo rendono poco adatto a una efficiente disciplina delle dinamiche descritte.
È dunque importante ragionare intorno a strumenti più agili che consentano di disegnare scenari pratici e specifici e che mettano a disposizione degli operatori della ricerca criteri di orientamento certi e condivisi. Fra questi, per esempio, importanza significativa potrebbero rivestire i codici di condotta: tali strumenti, previsti dall’art. 40 del GDPR e già implementati in alcuni casi dal Garante, idealmente pensati quali meccanismi attraverso i quali poter dimostrare la conformità al GDPR, potrebbero contribuire alla governance complessa del mondo della ricerca genomica.
Queste forme di regolamentazione volontaria di comunità, infatti, soprattutto laddove condivise su ampia scala, potrebbero consentire il superamento di alcuni persistenti cortocircuiti, delineando alcune best practices di estremo valore per gli operatori della ricerca.
In particolare, i codici di condotta potrebbero consentire di chiarire alcune aree grigie e di superare alcuni fraintendimenti, costruendo procedure legate a specifici contesti situazionali connessi, per esempio, alla irresoluta questione della possibilità concreta di rendere anonime o pseudonime le informazioni genetiche[iv], alle procedure da seguire in caso di coinvolgimento di dati provenienti da soggetti deceduti o irreperibili o alle modalità di giustificazione dei tempi di conservazione di campioni biologici e dati, ipoteticamente anche molto estesi.
Inoltre, queste potrebbero contribuire a restituire valore al consenso, uno strumento che per certi versi, anche nell’ambito della ricerca, è ridotto a operazione di mera cosmesi, essendosi persa la sua natura di strumento di adesione concretamente consapevole alle attività di ricerca[v].
Si potrebbe in particolare intervenire, con indicazioni puntuali e sfruttando le potenzialità offerte dalla tecnologia, in riferimento a due storture che riguardano l’informazione.
In primo luogo, l’idea che l’informazione sia tutta egualmente dovuta, mentre è evidente che la possibilità di esercitare un’opzione su determinati aspetti (come il coinvolgimento in attività con fine di lucro o in ricerche estranee all’ambito propriamente sanitario) incida in maniera di molto superiore sull’idea di autodeterminazione di quanto non faccia la possibilità di esprimersi su altre distinzioni sempre più effimere (la distinzione, per esempio, fra diversi ambiti di patologia sempre più interconnessi). In secondo luogo, regole precise ma adattabili ai singoli contesti potrebbero aiutare a contrastare l’eccesso di informazioni che spesso vengono riversate sui partecipanti, con il rischio che questo extra-carico finisca per corrispondere a uno sgravio di responsabilità del decisore pubblico.
Conclusioni
Si tratta, come si intuisce, di questioni di governance concreta che richiedono una flessibilità e un’attenzione alla specificità dei contesti nei quali avviene il trattamento che difficilmente si possono rivenire nel comando normativo tipico della hard law.
I codici di condotta, dei quali si è discusso con l’Autorità Garante nel tavolo tematico dedicato alla genetica nell’ambito dello State of Privacy 2023, tenutosi a Roma lo scorso 18 settembre, sono strumenti con un grande potenziale, incapaci ovviamente di derogare al dettato normativo, ma funzionali a ricostruire dinamiche di fiducia che, a fronte delle concrete difficoltà informative e di contatto delle quali si è detto, in maniera sempre più imprescindibile devono alimentare i circuiti della ricerca. Un lavoro in fieri che richiede un dialogo aperto e concretamente interdisciplinare.
Bibliografia
Budin-Ljøsne I., Teare H.J.A., Kaye J., Dynamic Consent: a potential solution to some of the challenges of modern biomedical research, in BMC Medical Ethics, 18(4), 2017.
Casonato C., Tomasi M., Diritti e ricerca biomedica: una proposta verso nuove consonanze, in BioLaw Journal, 2019.
Colapietro, C., I principi ispiratori del Regolamento UE 2016/679 sulla protezione dei dati personali e la loro incidenza sul contesto normativo nazionale, in Federalismi.it, 2018.
Di Tano F., Protezione dei dati personali e ricerca scientifica: un rapporto controverso ma necessario, in BioLaw Journal, 2022.
Iannuzzi A., Filosa F., Il trattamento dei dati genetici e biometrici, in S. Scagliarini (a cura di), Il “nuovo” codice in materia di protezione dei dati personali. La normativa italiana dopo il d. lgs. n. 101/2018, Torino, 2019.
Longo E., I trattamenti nel settore dell’istruzione e a fini di ricerca (scientifica, storica, statistica), in L. Califano, C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017.
Martignago D., Una governance dei dati genetici per lo sviluppo della ricerca scientifica, in Rivista italiana di informatica e diritto, 2022.
Marelli L. et al., The European health data space: Too big to succeed?, in Health Policy, 135, 2023.
Mascalzoni D. et al., Ten years of dynamic consent in the CHRIS study: informed consent as a dynamic process, in European Journal of Human Genetics 30 (12), 2022, 1391-1397.
McGonigle I, Shomron N., Privacy, anonymity and subjectivity in genomic research, in Genetic Research, 2016, 98, e2.
Morosini P. La non eticità della non ricerca, in Impresa Sociale, 63: 55-68, 2002.
Scaffardi L., Giustizia genetica e tutela della persona. Uno studio comparato sull’uso (e abuso) delle Banche dati del DNA a fini giudiziari, Padova, 2017.
Shabani S., Will the European Health Data Space change data sharing rules?, in Science, . 2022 Mar 25;375(6587):1357-135
Staunton C., Slokenberga S., Mascalzoni D., The GDPR and the research exemption: considerations on the necessary safeguards for research biobanks, in European Journal of Human Genetics, vol. 27, 2019.
Stefanini E., Dati genetici e diritti fondamentali. Profili di diritto comparato ed europeo, Padova, 2008.
Tomasi M., Genetica e costituzione. Esercizi di eguaglianza, solidarietà e responsabilità, Trento, 2019.
[i] Per una visione più ampia, si consenta un rinvio a M. Tomasi, Genetica e costituzione. Esercizi di eguaglianza, solidarietà e responsabilità, Trento, 2019
[ii] Morosini P. La non eticità della non ricerca, in Impresa Sociale, 63, 2002, 55-68.
[iii] Per queste critihe, si v. Marelli L. et al., The European health data space: Too big to succeed?, in Health Policy, 135, 2023.
[iv] McGonigle I, Shomron N., Privacy, anonymity and subjectivity in genomic research, in Genetic Research, 2016, 98, e2.
[v] Mascalzoni D. et al., Ten years of dynamic consent in the CHRIS study: informed consent as a dynamic process, in European Journal of Human Genetics 30 (12), 2022, 1391-1397.
