Il GDPR (General Data Protection Regulation), regolamento UE 2016/679, ha rafforzato il concetto di contitolarità, già accennato nella direttiva UE 95/46/CE [1].
La contitolarità nel GDPR significa semplificare la vita agli interessati nell’esercizio dei diritti, concedendo loro maggiore potere. I tempi sono ormai maturi, ma serve più coraggio.
Cos’è la contitolarità nel GDPR
La contitolarità è la titolarità, in un trattamento di dati personali, condivisa fra più soggetti, quando modalità e finalità del trattamento vengono definite congiuntamente fra questi.
Con l’introduzione dell’art. 26 infatti, viene esplicitato tale concetto e si richiede appunto che i contitolari definiscano un accordo “interno” in cui si determinano le rispettive responsabilità “[…] con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14”.
Ogni titolare di un trattamento di dati personali, naturalmente, è soggetto agli obblighi previsti dal Regolamento. Di conseguenza ciò che occorre definire sono solo quegli aspetti che possono essere causa di ambiguità e confusione nell’interessato.
Il fine di tale richiesta è intuibile: è quello di semplificare la vita all’interessato nell’esercizio dei propri diritti qualora considerasse un trattamento illecito o non conforme al regolamento, evitando di essere rimbalzato fra i diversi titolari.
Tale finalità è ancora più evidente con il paragrafo 3 dell’articolo 26 dove si legge che “l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento”.
Enfasi sul concetto di contitolarità
Il concetto di contitolarità era stato già ben spiegato dall’Article 29 Data Protection Working Party (WP29) nel 2010 [2], che chiariva come la contitolarità non fosse sempre equamente distribuita nelle responsabilità e nella definizione delle finalità e modalità del trattamento ma che invece, nella realtà, l’avverbio “congiuntamente” dovesse essere interpretato come “insieme” o “non da soli”, da cui la necessità di determinare le rispettive responsabilità nell’accordo.
Le stesse linee guida sono state riprese, aggiornate e ripubblicate nel luglio 2020 dallo European Data Protection Board (EDPB) [3], composto dalle figure di vertice delle autorità di controllo degli stati membri e dal Garante europeo della protezione dei dati [4], ed anche qui il concetto di contitolarità è stato ulteriormente enfatizzato.
Tutto bene quindi? Non proprio.
GDPR, i problemi che incontra la contitolarità
Nella configurazione dei ruoli nell’ambito di un trattamento di dati personali, il ricorso alla contitolarità è ancora poco frequente in favore della titolarità autonoma fra le parti [5].
Questo avviene molto spesso, forse troppo, nelle sperimentazioni cliniche farmacologiche o di nuovi dispositivi medici utilizzando, a supporto di tale scelta, le Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali del 24 luglio 2008 pubblicate dal Garante per la Protezione dei Dati Personali (GPDP) [6].
Il GDPR nelle sperimentazioni cliniche di medicinali
Le linee guida prendono in considerazione i casi di trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali in cui c’è un promotore (o sponsor) e diversi centri di sperimentazione (tipicamente strutture ospedaliere, universitarie o di ricerca).
Il provvedimento, che in realtà non esclude la contitolarità, prevede anche la possibilità della titolarità autonoma fra lo sponsor e gli sperimentatori motivandola principalmente con l’autonomia che gli sperimentatori esercitano nel rapporto con i pazienti arruolati nello studio.
Diversamente, le linee guida dello EDPB, decisamente più recenti, indicano fra gli esempi utilizzati per illustrare il concetto di contitolarità, proprio il caso dei “clinical trials” [7], prevedendo oltre alla contitolarità anche la possibilità di un rapporto titolare-responsabile fra lo sponsor e gli sperimentatori.
Ma quale fra tutte potrebbe essere la configurazione più appropriata? Provando ad analizzare il caso specifico, sulla base della definizione di titolarità fornita dal GDPR, si possono individuare solo due situazioni: gli sperimentatori hanno contribuito alla definizione del protocollo e quindi anche delle finalità e modalità del trattamento o, al contrario, gli stessi partecipano alla sperimentazione semplicemente arruolando i pazienti ai quali applicano il protocollo definito dallo sponsor.
Fermo restando che ogni caso richiede una specifica e puntuale analisi con cui derivare l’esatta configurazione dei ruoli è possibile, generalizzando, formulare alcune osservazioni.
Primo caso
Nel primo caso la contitolarità fra sponsor e sperimentatori sarebbe la conseguenza naturale, ma le obiezioni che vengono spesso addotte riguardano il fatto che i dati raccolti dallo sperimentatore sono dello sperimentatore e non possono essere condivisi con lo sponsor. Sul concetto di “proprietà” del dato e su chi sia l’effettivo proprietario è inutile soffermarsi. È condivisibile al contrario l’inopportunità di condivisione dei dati (quando non vi è necessità) ma, come viene più volte evidenziato nelle linee guida dello EDPB sopra citate, non è necessario aver accesso ai dati per assumere il ruolo di titolare che invece deriva dall’aver definito modalità (essenziali) e finalità del trattamento.
Secondo caso
Nel secondo caso lo sperimentatore aderisce ad un protocollo definito dallo sponsor, ne consegue che si limita, in merito al trattamento di dati personali, ad eseguire le indicazioni fornite dal titolare, assumendo di conseguenza il ruolo di responsabile del trattamento. È importante sottolineare come questo non sia il caso in cui una struttura sanitaria fornisce semplicemente dei dati a un centro di ricerca, ma è invece coinvolta nello studio tramite la somministrazione di farmaci, il test di nuovi dispositivi e/o l’esecuzioni di specifici esami diagnostici.
In questa ipotesi le obiezioni frequenti riguardano il fatto che i pazienti “sono” della struttura sanitaria che esegue la sperimentazione e che gestisce il rapporto con il paziente in piena autonomia. Anche in questo caso il concetto di proprietà è con tutta evidenza inappropriato.
Riguardo all’autonomia invece, questa non viene in nessun modo limitata dall’assumere un ruolo da responsabile del trattamento ma è difficile poter affermare che lo sperimentatore agisca in piena autonomia essendo vincolato al protocollo di studio che deve, necessariamente, definire almeno i requisiti dei soggetti arruolati nella sperimentazione (sesso, fascia di età, eventuali condizioni patologiche); sarebbe altrimenti difficile poter confrontare i dati ottenuti dai diversi centri sperimentatori se ognuno di loro scegliesse i pazienti sulla base di requisiti definiti autonomamente.
Obiezione nei clinical trials
Altra obiezione che viene spesso utilizzata riguarda il fatto che i dati prodotti nella sperimentazione non possono essere restituiti al titolare o distrutti (come sarebbe previsto che facesse un responsabile) alla conclusione del trattamento.
Solitamente i pazienti coinvolti nella sperimentazione vengono arruolati fra quelli che si rivolgono alla struttura sanitaria per ragioni di cura e, sulla base di un consenso esplicito, accettano consapevolmente di partecipare a un protocollo di ricerca ben definito e descritto nella documentazione che viene loro fornita.
GDPR, uso dei dati a fini di ricerca scientifica
Contestualmente gli stessi pazienti consentono anche l’utilizzo dei propri dati personali per quella che è una finalità ulteriore, di ricerca scientifica, rispetto alla finalità di cura per la quale la struttura sanitaria è sì titolare autonoma. È naturale quindi che i dati utilizzati nella sperimentazione, a conclusione di questa, non possano essere eliminati in quanto inizialmente oggetto di un diverso e distinto trattamento.
Quali dati eliminare
Eventuali ulteriori dati richiesti al paziente, non necessari per l’attività di cura e concessi solo per la sperimentazione, dovrebbero invece essere eliminati alla fine della stessa (a meno che non intervengano delle ulteriori basi giuridiche che ne giustifichino la conservazione) [8]. Di conseguenza il ruolo di Responsabile del trattamento non riduce nessun dovere nei confronti del paziente.
Regolamento europeo dei clinical trials
In entrambi i casi sopra considerati, in cui la finalità perseguita dalle parti è la stessa, ossia il raggiungimento degli obiettivi della sperimentazione, è difficile immaginare una titolarità autonoma che si concretizza invece quando, anche operando sugli stessi dati, si perseguono finalità distinte ed indipendenti.
In ultimo giova ricordare come anche le sperimentazioni cliniche di medicinali siano normate da un Regolamento europeo (2014/536) il quale, al momento della sua pubblicazione, rimandava al rispetto della direttiva UE 95/46/CE (e di conseguenza al GDPR che l’ha sostituita) per gli aspetti inerenti i trattamenti di dati personali.
Conclusioni
Uno dei motivi di confusione deriva spesso dal valutare il ruolo dell’organizzazione non in base al trattamento in questione ma alla propria mission. Tale confusione si ripercuote poi nelle informazioni fornite al paziente, che risultano inevitabilmente di difficile comprensione relativamente alle specifiche responsabilità, contravvenendo al principio di trasparenza definito dal GDPR.
È importante quindi definire correttamente i ruoli delle parti in un trattamento dati e certamente gioverebbe una maggiore chiarezza nelle indicazioni fornite dalle linee guida, ma considerato che entrambi i documenti citati prevedono la contitolarità sarebbe opportuno avvalersene, poiché costituirebbe la configurazione, nella maggior parte dei casi, più appropriata.
Il dubbio che sorge è che forse il vero ostacolo sia costituito dal dover rispondere in solido, con gli altri titolari, nei confronti dell’interessato: ciò che spaventa sembra quindi essere proprio l’essenza della contitolarità.
I tempi e gli strumenti per dare più potere agli interessati sono ormai maturi, ma forse occorre più coraggio da parte dei titolari.
Note
- Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. ↑
- Opinion 1/2010 on the concepts of “controller” and “processor”, Article 29 Data Protection Working Party, Adopted on 16 February 2010, 00264/10/EN WP 169. ↑
- Guidelines 07/2020 on the concepts of controller and processor in the GDPR, European Data Protection Board, Version 1.0, Adopted on 02 September 2020. ↑
- Con l’entrata in vigore del GDPR, nel maggio 2018, il WP29 ha lasciato il posto allo European Data Protection Board. ↑
- “The concepts of controller and processor are functional concepts: they aim to allocate responsibilities according to the actual roles of the parties”. Guidelines 07/2020, European Data Protection Board, par. 12. ↑
- Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali – Garante per la Protezione dei Dati Personali, 24 luglio 2008, G.U. n. 190 del 14 agosto 2008. ↑
- “Example: Clinical Trials”, Guidelines 07/2020, European Data Protection Board, pag. 21. ↑
- Art. 17, par. 1, lett. a) e b), Regolamento UE 2016/679 (GDPR). Per gli Istituti di Ricovero e Cura a Carattere Scientifico (IRCCS) il trattamento di dati per finalità di ricerca non è considerato ulteriore rispetto a quello di cura (art. 110-bis par. 4, D. Lgs. 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali”). ↑
