Sanità e privacy

Dati sanitari, perché sono cruciali per la ricerca: le norme vigenti e le proposte per usarli meglio

In Italia il trattamento di dati sanitari a fini di ricerca scientifica è sottoposto al consenso. In caso di sforzo sproporzionato di raccolta, si può ricorrere all’autorizzazione del Garante Privacy, che ha sempre negato il trattamento secondario. Le motivazioni e come inciderà lo Spazio Europeo dei Dati Sanitari

Pubblicato il 30 Set 2022

Raffaele Conte

Data Protection Officer - Consiglio Nazionale delle Ricerche

nuovo modello organizzativo One stop sta rivoluzionando l'Ospedale Maggiore di Bologna, grazie a una nuova area dedicata al percorso di assistenza per i pazienti con ictus

Per ottenere risultati affidabili nel campo della ricerca medica, biomedica ed in particolare epidemiologica è necessario disporre di un numero elevato di dati. Dati spesso già presenti presso le amministrazioni pubbliche e che potrebbero essere utilizzati, almeno in apparenza, senza nessuna difficoltà. Vediamo invece quali sono i nodi più comuni e le proposte in discussione per superarli.

La ricerca scientifica leva di ripartenza: ecco la svolta che serve all’Italia

Dati e ricerca scientifica: cosa dice il GDPR

L’art. 5, al par. b, del General Data Protection Regulation (Regolamento UE 2016/679, di seguito GDPR), indica che la comunicazione di dati verso un terzo, e quindi il loro trattamento[1], da parte di un titolare è possibile solo se ciò non sia incompatibile con le finalità per cui i dati sono stati raccolti e tali finalità siano determinate, esplicite e legittime, fatti salvi gli obblighi previsti dall’articolo 14 dello stesso GDPR.

Assunto quindi che i dati trattati da una pubblica amministrazione siano raccolti con finalità determinate, esplicite e legittime, nella maggior parte dei casi, tali finalità non corrispondono alla ricerca scientifica (come nel caso di dati raccolti o prodotti per finalità di diagnosi e cura).

In linea di principio quindi (si veda appunto il principio di “limitazione delle finalità” definito dall’art. 5 del GDPR), una pubblica amministrazione non potrebbe trattare i dati raccolti per una finalità diversa da quella iniziale, senza informarne l’interessato, né tantomeno potrebbe comunicarli ad un soggetto che li utilizzerebbe per una finalità diversa (quindi ulteriore rispetto a quella iniziale).

D’altro canto, però, l’utilizzo ulteriore per fini di ricerca scientifica non è considerato incompatibile con le finalità iniziali, qualunque esse siano.

È sempre l’art. 5 del GDPR che infatti afferma: “un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali”.

Tale indicazione deriva dal considerando 50 del GDPR, che infatti afferma: “Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. […] L’ulteriore trattamento a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile”.

Il GDPR, d’altronde, mira a fornire garanzie per i diritti e le libertà delle persone fisiche con il chiaro intento di creare quel clima di fiducia necessario per consentire la circolazione dei dati personali, ritenuta essenziale per lo sviluppo della società sul territorio dell’Unione europea[2].

È per tale ragione, infatti che il par. 3 dell’art. 1 del GDPR afferma che “la libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”. E ancora il considerando 4 del GDPR afferma che “Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.

E proprio la prevenzione sanitaria, oltre alla protezione dei dati personali, è uno dei diritti previsti dalla Carta di Nizza, ovvero la Carta dei Diritti Fondamentali dell’Unione Europea.

Trasferimento dati sensibili: le regole deontologiche

Se quindi non sembrano essere presenti limitazioni che possano essere d’ostacolo all’utilizzo ma anche al riutilizzo di dati personali di carattere sanitario, è evidente come il trasferimento, da un soggetto ad un altro, di dati sensibili da destinare ad un trattamento differente da quello originario, senza ottenere l’approvazione degli interessati, possa comunque nella pratica generare criticità di carattere etico.

Analoghe criticità possono presentarsi, pur restando nell’ambito di un trattamento per ricerca scientifica, quando i dati, acquisiti per un particolare settore della ricerca, potrebbero essere ulteriormente utilizzati per indagini in altri settori[3].

Ed è con tutta probabilità questa la ragione per cui, sebbene un trattamento (primario o ulteriore) di dati sanitari possa essere svolto in maniera lecita (seguendo il ragionamento sopra illustrato) tale trattamento, nella legislazione italiana, richiede comunque il consenso dell’interessato, in base a quanto definito dalle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica”, il cui rispetto “costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali” (ex art. 2 quater del D. Lgs. 196/2003, Codice in materia di protezione dei dati personali, di seguito Codice).

In tali situazioni il legislatore italiano, utilizzando il potere conferito agli Stati membri dal par. 4 dell’art. 9 del GDPR, richiede il consenso quale “ulteriore condizione di liceità”. Affinché tale ulteriore condizione non costituisca un freno per la ricerca scientifica e biomedica, il legislatore con gli artt. 110 e 110-bis del Codice ha previsto una soluzione: nelle situazioni in cui la raccolta del consenso comporti uno sforzo sproporzionato, in considerazione del numero particolarmente elevato di interessati e/o dell’irreperibilità degli stessi e una volta compiuto ogni ragionevole sforzo per contattarli, oppure nei casi in cui la richiesta di consenso rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, è possibile sopperire all’assenza del consenso con la consultazione dell’Autorità Garante per la Protezione dei Dati Personali (previo parere favorevole del competente Comitato Etico), o con la sua autorizzazione, qualora i dati siano ottenuti da terzi e ci si trovi nelle stesse difficoltà di ottenere un consenso diretto dall’interessato.

L’art. 110-bis che disciplina il “Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici”, al paragrafo 1 infatti afferma che: “Il Garante può autorizzare il trattamento ulteriore di dati personali, compresi quelli dei trattamenti speciali di cui all’articolo 9[4] del Regolamento, a fini di ricerca scientifica o a fini statistici da parte di soggetti terzi che svolgano principalmente tali attività quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, a condizione che siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, in conformità all’articolo 89 del Regolamento, comprese forme preventive di minimizzazione e di anonimizzazione dei dati”.

Le ragioni del Garante Privacy

La questione sarebbe risolta quindi, se non fosse per il fatto che tra i pareri espressi dal Garante se ne trovano alcuni, non molti, che riguardano richieste ai sensi dell’art. 110 mentre non se ne trova alcuno che, ai sensi del 110-bis, autorizzi il trattamento ulteriore per fini di ricerca scientifica da parte di terzi.

La risposta può essere probabilmente trovata nelle motivazioni fornite nel parere rilasciato in seguito ad una recente richiesta ai sensi dell’art. 110 del Codice. Nel parere[5] il Garante ha negato l’utilizzo dei dati dei flussi regionali[6] dichiarando che “L’istanza di consultazione preventiva ivi prevista [dall’art. 110] rappresenta, invece, una norma di chiusura per consentire che trattamenti di dati personali che si sarebbero dovuti fondare sul consenso degli interessati possano comunque essere svolti”, ritenendo che il diritto di revoca del consenso, sempre possibile nei trattamenti per ricerca scientifica, verrebbe limitato da tale procedura così come verrebbe limitato il diritto di opposizione possibile nei trattamenti svolti per l’esecuzione di un interesse pubblico.

E ancora dichiara: “Sotto altro profilo, si rileva altresì come una simile iniziativa esporrebbe le banche dati sanitarie regionali ad elevati rischi di violazione e di vanificazione delle misure di pseudonimizzazione ivi implementate, giacché sarebbero di continuo accedute da soggetti terzi non necessariamente dotati di infrastrutture idonee a garantire misure di sicurezza equivalenti[7]”.

Tale attenzione ai diritti degli interessati, per quanto condivisibile, rischia però di precludere radicalmente l’utilizzo a scopo di ricerca scientifica dei tanti dati già acquisiti dalle diverse strutture sanitarie o amministrazioni regionali, nel caso risultasse impossibile o eccessivamente oneroso acquisire nuovamente il consenso degli interessati. Ciò si tradurrebbe in un danno significativo per la ricerca scientifica, soprattutto per quella pubblica, impedendo la realizzazione di progetti di estremo rilievo ed il conseguimento di risultati scientifici in ambito biomedico a vantaggio dell’intera collettività, ancor più nell’attuale contesto odierno per cui il PNRR dovrebbe favorire la creazione di sinergie fra enti di ricerca e pubblica amministrazione.

L’importanza di poter fruire di dati di questo genere è risultata evidente proprio nel recente periodo pandemico, nel quale si è assistito ad una vasta produzione di progetti il cui obiettivo primario è stato quello di indagare le problematiche COVID-19 correlate utilizzando i dati resi disponibili dalle strutture sanitarie (sulla base di una regolamentazione straordinaria in merito al trattamento di dati personali).

La proposta dello Spazio Europeo dei Dati Sanitari

È evidente quindi che l’attuale scenario comporti due ordini di problemi: una limitazione nelle possibilità di sviluppo del paese ed una disomogeneità nell’applicazione della regolamentazione per l’utilizzo dei dati personali particolari fra i vari Stati membri dell’Unione Europea.

In effetti, tale situazione è già oggetto di discussione: è infatti recente la proposta della Commissione europea per la creazione di uno Spazio Europeo dei Dati Sanitari, che ha fra gli obiettivi il “dare maggiori possibilità alle persone conferendo loro un maggiore accesso digitale ai dati sanitari personali elettronici e un maggiore controllo di tali dati, a livello nazionale ed europeo, e sostenendo la loro libera circolazione, nonché favorire un autentico mercato unico per i sistemi di cartelle cliniche elettroniche, i dispositivi medici pertinenti e i sistemi di intelligenza artificiale ad alto rischio (uso primario dei dati)” e allo stesso tempo “fornire un sistema coerente, affidabile ed efficiente per l’utilizzo dei dati sanitari per la ricerca, l’innovazione, l’elaborazione delle politiche e le attività normative (uso secondario dei dati)”.

La proposta è in linea con quanto previsto dal regolamento europeo, in vigore dal maggio scorso, denominato “Data Governance Act” (Regolamento UE 2022/868), che diverrà applicabile dal settembre del prossimo anno il quale, a sua volta, rientra nella cosiddetta “strategia europea in materia di dati”.

Il legislatore, nei considerando del Regolamento, dichiara che l’innovazione guidata dai dati potrà generare “benefici enormi per i cittadini, ad esempio tramite il miglioramento della medicina personalizzata”. Ed in effetti la medicina personalizzata, o medicina di precisione, necessita di elevate quantità di dati per far sì che si applichi al singolo individuo, con particolari caratteristiche, il trattamento più appropriato (efficiente ed efficace) e non un trattamento approvato perché restituisce risultati positivi nella maggioranza dei soggetti su cui è stato sperimentato.

A conferma dell’attualità del tema e della consapevolezza della criticità descritta, il legislatore, ancora nel regolamento 2022/868, con un passaggio molto importante nel Considerando 6, afferma che “Spesso talune categorie di dati conservati in basi di dati pubbliche, quali dati commerciali riservati, dati soggetti a segreto statistico e dati protetti da diritti di proprietà intellettuale di terzi, compresi segreti commerciali e dati personali, spesso non sono messe a disposizione, nemmeno per attività di ricerca o di innovazione nel pubblico interesse, nonostante tale disponibilità sia possibile in conformità del diritto dell’Unione applicabile, in particolare del regolamento (UE) 2016/679 e delle direttive 2002/58/CE e (UE) 2016/680. A causa della sensibilità di tali dati, prima che essi siano messi a disposizione si devono soddisfare alcuni requisiti procedurali tecnici e giuridici al fine, se non altro, di garantire il rispetto dei diritti di terzi sui dati in questione o di limitare l’effetto negativo sui diritti fondamentali, sul principio di non discriminazione e sulla protezione dei dati. L’adempimento di tali requisiti risulta abitualmente molto dispendioso in termini di tempo e richiede un livello molto elevato di conoscenze. Ciò ha determinato un utilizzo insufficiente di tali dati. Per quanto alcuni Stati membri stiano istituendo strutture, procedure o adottando norme per agevolare tale tipo di riutilizzo, ciò non accade in tutta l’Unione. Al fine di agevolare l’utilizzo dei dati per la ricerca e l’innovazione europee da parte di soggetti pubblici e privati, sono necessarie condizioni chiare per l’accesso a tali dati e il loro utilizzo in tutta l’Unione”.

Proprio in favore di un utilizzo per finalità di interesse generale, quale è la ricerca scientifica, dei dati messi a disposizione su base volontaria dagli interessati e quindi con il consenso di questi, il regolamento mira a creare dataset di dimensioni sufficienti per consentire l’analisi e l’apprendimento automatico, basandosi sul concetto di “altruismo dei dati”. Organizzazioni create allo scopo dovranno quindi operare nella gestione di tali dati agevolando gli interessati nell’esercizio dei propri diritti, come la concessione del consenso, anche solo su settori specifici, e la sua eventuale revoca.

Il parere di EDPB e EDPS

Sullo spazio europeo dei dati personali si sono espressi congiuntamente lo European Data Protection Board (EDPB) e lo European Data Protection Supervisor (EDPS) riconoscendo che l’uso secondario dei dati sanitari elettronici può generare benefici per la società ma allo stesso tempo tali ulteriori attività di trattamento non sono prive di rischi per i diritti e le libertà delle persone.

Secondo lo EDPB e lo EDPS la proposta rischia di aggiungere complessità al già non semplice insieme di disposizioni riguardanti il trattamento di dati sanitari, invitando la commissione a chiarire meglio la relazione fra la proposta, il GDPR, le norme nazionali e le altre iniziative europee in corso, e indicando inoltre ulteriori aspetti sui quali occorrono maggiori attenzione e garanzie.

Insomma, la questione è aperta ed è di estrema attualità. Una soluzione che possa conciliare l’avanzamento della ricerca scientifica, in particolare quella medica, con la tutela dei diritti delle persone fisiche non è semplice ma è necessaria per far sì che le attuali limitazioni non diventino, rispetto agli altri Stati membri ed al resto del mondo, un handicap per lo sviluppo del paese.

_________________________________________________________________________________

Note

  1. La comunicazione rientra fra le e operazioni di trattamento, come definite dall’art. 4, punto 2, GDPR: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”. Inoltre il termine “comunicazione” è esattamente definito dall’art. 2-ter par. 4, Codice come “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’articolo 2-quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione”.
  2. Si vedano i considerando 7, 10 e 13 del GDPR.
  3. Si veda il considerando 33 del GDPR.
  4. Fra i quali ricadono i dati relativi alla salute.
  5. Provvedimento del 7 aprile 2022 [docweb 9772545] del Garante per la Protezione dei Dati Personali.
  6. Per flussi regionali si intende un insieme di dati ed indicatori necessari per descrivere e documentare l’attività di una struttura sanitaria del SSN ai fini di rimborsarne i costi, prendere decisioni operative e pianificare il servizio stesso.
  7. Da notare come il Garante, nel parere, si riferisca esclusivamente all’applicazione dell’art. 110 del CP, per cui nell’impossibilità di ottenere il consenso dall’interessato è possibile richiedere parere alla stessa autorità. Non viene invece menzionato l’art. 110-bis che prevede espressamente l’utilizzo ulteriore, per ricerca scientifica da parte di terzi di dati personali, quando ci si trovi nelle stesse precedenti condizioni.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3