La legge europea 20 novembre 2017 n. 167 contiene due disposizioni relative al Garante privacy italiano. La prima (art.28) riguarda due modifiche introdotte un po’ surrettiziamente all’attuale Codice privacy. La seconda (art.29) prevede un incremento di risorse umane e strumentali dell’Autorità, anche in vista dell’imminente applicazione del nuovo GDPR.
VEDI ARTICOLO QUADRO SU LEGGE EUROPEA
Le due norme si prestano a critiche di metodo e di merito.
Le considerazioni di metodo riguardano il fatto che esse sono state approvate mentre già è in vigore la delega recentemente data al Governo dall’art. 13 della legge di delegazione europea 25 ottobre 2017 n. 163 al fine di provvedere entro cinque mesi ad adeguare la normativa italiana al Regolamento europeo. E’ ragionevole chiedersi che senso abbia e quale sia l’urgenza di inserire, quasi di soppiatto, nella legge europea le due norme in questione.
Nel merito, mentre si può capire che si sia deciso di accelerare il (troppo modesto) incremento di risorse umane e strumentali a favore dell’Autorità Garante, è difficile capire per quali ragioni si sia voluto innovare nei rapporti tra titolare e responsabile, inserendo nel Codice attuale ipotesi che appaiono ampiamente insufficienti alla luce del ruolo che col nuovo Regolamento il responsabile (Processor) è destinato ad avere. Ancor più difficile però è comprendere perché si sia voluto inserire nel Codice privacy un nuovo articolo, il 110 bis, che prevede che il Garante possa autorizzare per finalità di ricerca scientifica o scopi statistici “il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee alla tutela degli interessati”.
Per capire la portata di questa innovazione merita sottolineare che l’attuale Codice di protezione dati italiano prevede all’art.26 che “i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante…”. L’art.40 del medesimo Codice prevede poi che possano essere rilasciate anche autorizzazioni generali, relativamente a determinate categorie di titolari e di trattamenti, da pubblicare in Gazzetta Ufficiale.
Di tali autorizzazioni il Garante ha fatto ampio uso specialmente per i trattamenti di dati sensibili per scopi storici, statistici o scientifici, sempre fermo restando l’obbligo del consenso informato dell’interessato, richiesto anche quando si manifesti l’esigenza di trattare i dati per finalità diverse da quelle per cui il consenso è stato inizialmente prestato.
In materia di ricerca medica, biomedica ed epidemiologica, l’art.110 dell’attuale Codice privacy prevede che il consenso dell’interessato non sia necessario in casi specifici, dettagliatamente definiti, e sempre che i trattamenti relativi siano espressamente oggetto di autorizzazione generale del Garante (art.110).
L’art. 90, specificamente riferito ai trattamenti di dati genetici e donatori di midollo osseo prevede poi in ogni caso una specifica autorizzazione rilasciata dal Garante, sentito il Ministero della salute e il parere del Consiglio superiore della Sanità.
L’attuale autorizzazione generale del Garante in materia di dati genetici 8/2016 prevede esplicitamente che l’interessato debba dare il suo consenso informato e possa limitare (ma quindi anche ampliare) l’ambito di comunicazione dei dati genetici e il trasferimento dei campioni biologici nonché l’utilizzo per ulteriori scopi.
Come si vede, un quadro molto restrittivo ed estremamente tutelante per gli interessati. Una tutela che per le ricerche mediche, biomediche e biologiche può superare il necessario consenso dell’interessato solo in presenza di casi puntualmente indicati e specifica autorizzazione del Garante e comunque solo quando non sia possibile informare gli interessati.
Per questi motivi il Codice attuale è sempre stato considerato dai ricercatori, specialmente nelle materie sanitarie e biomediche, rigido e burocratico, soprattutto per una ricerca che in questi settori si svolge a livello tendenzialmente globale e mal sopporta limitazioni alla circolazione e scambio di dati, sempre più frequentemente essenziali, specialmente in materia di tutela della salute e prevenzione delle malattie.
Il nuovo GDPR ha adottato una linea profondamente diversa. L’art.9 stabilisce che i dati sensibili possono essere trattati non solo se vi è il consenso informato dell’interessato ma anche quando ricorrono molte altre condizioni, fra le quali la necessità del trattamento “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali” (art. 9, lettera i). Lo stesso vale quando il trattamento è necessario per fini di “ricerca scientifica…in conformità all’art. 89 paragrafo 1” (cfr.art.9, lettera j).
A questo va aggiunto che l’art.9 del GDPR prevede al comma 4 che gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo ai trattamenti di dati genetici, dati biometrici o dati relativi alla salute”. Norma questa che, come vedremo, va interpretata tenendo conto che l’art. 1, paragrafo 3 del GDPR afferma che la tutela dei dati personali non deve mai ostacolare la libera circolazione dei dati ma soltanto assicurare che essa avvenga nel rispetto dei diritti fondamentali della persona.
Il GDPR lascia dunque largo margine alle attività connesse alla salute e alla ricerca scientifica in ambito di trattamenti di dati biometrici, compresi i dati genetici, ampliando esplicitamente i casi in cui non è necessario il consenso dell’interessato.
E’ evidentissimo che si privilegia anche in questo campo, e per le finalità ad esso connesse, la libera circolazione dei dati, in coerenza con l’art. 1 del Regolamento.
Inoltre non vi è alcun cenno ad autorizzazioni specifiche dei Garanti nazionali, istituto questo previsto nell’attuale Codice italiano ma non nel GDPR. Dunque appare difficile considerare conforme a Regolamento una disposizione come l’art. 28 della legge europea che, in linea generale, subordina a un’autorizzazione del Garante la possibilità di riutilizzo dei dati relativi alla ricerca scientifica, e in via specifica vieta comunque il loro riutilizzo se si tratta di dati genetici.
Per comprendere meglio merita esaminare le innovazioni introdotte dalla legge europea. Essa, inserisce nel Codice privacy l’art. 110 bis il quale prevede che:
a) è rimesso al Garante il potere di autorizzare, sia in ambiti scientifici che di ricerca statistica, il “riutilizzo” dei dati, anche sensibili dei cittadini italiani, prevedendo come sole forme di tutela degli interessati l’ adozione di misure preventive di minimizzazione e di anonimizzazione dei dati;
b) sono escluse forme di riutilizzazione dei dati genetici senza neppure prevedere che gli interessati possano consentirlo.
Insomma, per quanto riguarda il riuso (finora in via generale vietato) di dati a fini di ricerca e statistici la norma appare estremamente generica e permissiva. Al contrario, essa è nettamente restrittiva per quanto riguarda il “riutilizzo” dei dati genetici.
Tutto questo solleva molti dubbi.
In primo luogo non si comprende l’urgenza di questa disposizione in presenza della delega al governo per un complessivo riordino della normativa italiana al fine di adeguarla (finalmente) al nuovo GDPR.
In secondo luogo non è chiaro il significato del termine riutilizzo, potendo intendersi come nuovo utilizzo del dato per il medesimo fine o come nuovo utilizzo del dato per finalità diverse da quelle oggetto del consenso informato. Inoltre non si comprende se il riutilizzo sia consentito solo ai titolari che già hanno trattato i dati o a chiunque, anche soggetti diversi dal titolare, al quale questi possa cederli, ed eventualmente a quali condizioni.
Se il “riutilizzo” consentisse anche la cessione di dati a terzi diversi dal titolare, e per finalità uguali o diverse da quelle per le quali i dati sono stati raccolti e trattati saremmo in presenza di una norma innovativa e estremamente generica. Una norma che di fatto rimetterebbe ogni decisione in merito all’autorizzazione dell’Autorità garante, la quale deciderebbe limitandosi a verificare il principio di minimizzazione del dato. Principio, questo, del tutto normale ma che senza alcun limite alla finalità dei trattamenti né alla trasferibilità o meno a terzi rischia di essere una pura “foglia di fico”. Addirittura incomprensibile poi il riferimento alle forme di anonimizzazione dei dati, le quali, se davvero tali, escluderebbero ogni intervento dell’Autorità garante e l’applicazione stessa delle norme in materia di protezione dei dati personali. Infatti, come recita il considerando 26 “il Regolamento non si applica al trattamento di informazioni anonime, anche per finalità statistiche o di ricerca”.
E’ del tutto ragionevole chiedersi perché sia stata inserita una norma così permissiva rispetto alla disciplina attuale ma allo stesso tempo così generica quanto al concetto di “riutilizzo” e così “permissiva” nell’affidare all’Autorità garante il potere di concedere o meno il riutilizzo e di fissarne le condizioni, compresa la “anonimizzazione” dei dati, che di per sé, come si è detto, fa venir meno di default l’applicabilità stessa della normativa di protezione dati italiana ed europea.
Perplessità ancora più gravi riguardano l’altra parte della disposizione, che esclude a priori ed in ogni caso il riutilizzo di dati genetici.
La formulazione usata è così tranchant che parrebbe persino impedire tale riutilizzo anche quando vi sia il consenso informato dell’interessato, che invece la normativa italiana attuale e la autorizzazione generale dell’Autorità Garante del 2016 in materia di trattamenti relativi a dati genetici consente.
Tenendo conto dell’importanza crescente che ha la ricerca fatta a livello internazionale per le scienze mediche e biologiche, questa parte del nuovo art. 110 bis del Codice privacy introdotto dall’art. 28 della legge europea appare davvero incomprensibile, tanto più in un quadro normativo ormai dominato da un Regolamento europeo per il quale la tutela dei dati personali non può mai essere ostacolo alla libera circolazione dei dati, ferma restando la salvaguardia delle libertà fondamentali della persona.
Un principio, quest’ultimo, che si impone tanto all’Unione quanto agli Stati che, ai sensi dell’art. 9 paragrafo 4, vogliano mantenere o introdurre ulteriori condizioni con riguardo al trattamento dei dati genetici, biometrici o relativi alla salute.
E’ evidente, infatti, che nel quadro complessivo del GDPR, e tenendo presente il favor per la tutela della salute a la ricerca scientifica di cui all’art. 9, paragrafo 1 lettera i e j), almeno due punti devono essere tenuti per fermi.
Il primo è che le eventuali ulteriori misure, comprese le limitazioni ai trattamenti, adottate dall’Unione e dagli Stati membri non devono ostacolare la circolazione delle informazioni, anche relative ai dati genetici e biometrici ferma restando la protezione dei dati.
Il secondo è che, poiché scopo del Regolamento è disciplinare in modo uniforme la tutela del diritto alla protezione dei dati personali dei cittadini europei, anche le eventuali limitazioni adottate dagli Stati devono essere coordinate tra loro, ovvero giustificate da specifiche e particolari esigenze, secondo i principio di proporzionalità e ragionevolezza.
Dunque una fuga in avanti così evidentemente frettolosa e immotivata da parte del nostro legislatore non può che stupire e sollevare dubbi e interrogativi. Tanto più che essa è per un verso estremamente permissiva nel delegare all’Autorità ogni potere in merito, mentre, per altro verso, è rigidamente preclusiva nei confronti di una ricerca scientifica basata sullo scambio (e dunque il riutilizzo) di dati genetici tra diversi centri di ricerca e persino sul riutilizzo da parte di un centro di ricerca che intenda riutilizzare dati in suo possesso per nuove finalità, anche connesse alla ricerca in atto.
Difficile sfuggire alla convinzione che la fretta sia stata cattiva consigliera, forse anche per l’urgenza di rendere possibili accordi puntuali e progetti di istituzione di nuovi centri di ricerca con l’aiuto di organizzazioni multinazionali interessate a dati oggetto di possibili ricerche scientifiche, sia pure non di natura genetica. Capita spesso che quando si ha di mira un obiettivo troppo preciso anche gli esperti non diano buoni consigli ai legislatori.