Con un importante Provvedimento, il n. 170 del 27 aprile 2023, l’Autorità Garante per la Protezione dei Dati Personali è tornata recentemente ad occuparsi della Biobanca genetica Ogliastrina, nata nei primi anni 2000 da un’intesa tra il Consiglio Nazionale delle Ricerche e la Società Shar.Dna S.p.A..
Il Provvedimento del 27 aprile è di estrema rilevanza perché va a ribadire quanto sia fondamentale per il Titolare del trattamento osservare il principio di accountability stabilito dal secondo paragrafo dell’articolo 5 del Regolamento UE 2016/679 (di seguito Regolamento) e ricorda che tale onere nasce già con la mera disponibilità dei dati personali.
La vicenda (e le vicende) della Biobanca ogliastrina
Le travagliate vicende che hanno interessato la Biobanca, che racchiude più di 230.000 campioni biologici riferiti a 11.700 abitanti dell’Ogliastra, sono tristemente note.
Scopo della Biobanca doveva essere quello di studiare il segreto della longevità dei tanti abitanti ultracentenari di quell’angolo di mondo e diffondere i risultati ottenuti, a beneficio della scienza e della collettività.
Nell’anno 2016, a seguito del fallimento della Società Shr.Dna, titolare del trattamento dei dati personali, il ramo d’Azienda che comprende la Biobanca viene ceduto alla società Tiziana Life Sciences PLC, con sede nel Regno Unito.
Il blocco del trattamento dei dati personali
L’Autorità Garante (di seguito Garante ), chiamata ad esprimersi a fronte delle preoccupazioni degli interessati e dei loro rappresentanti, dispone allora con il Provvedimento del 6 ottobre 2016 il blocco del trattamento dei dati personali e obbliga Tiziana Life Sciences PLC ( di seguito Tiziana) ad astenersi dallo svolgere attività di trattamento diversa dalla conservazione sicura dei campioni.
In capo alla stessa, oltre all’onere della conservazione viene imposto anche quello di informare ciascun interessato in merito al trattamento dei loro dati personali e di acquisire da questi una nuova manifestazione di consenso degli stessi, come previsto dall’articolo 9, paragrafo 2, lettera a) del Regolamento, necessaria anche per successive iniziative per finalità di ricerca scientifica.
Tali iniziative, come noto, potrebbero avviarsi, nei casi di impossibilità di acquisire lo specifico consenso degli interessati, applicando le disposizioni di cui all’articolo 110 del Decreto Legislativo 196/2003 ( di seguito Codice), previa autorizzazione del Garante.
Il Provvedimento del Garante, avverso al quale Tiziana ricorre avanti al Tribunale Ordinario di Cagliari, è da questo prima annullato con la Sentenza 1569/2017 e successivamente confermato dalla Suprema Corte di Cassazione con la Ordinanza del 21 marzo 2021.
A distanza di più di due anni dall’ultimo capitolo di questa complessa vicenda, l’Associazione che supporta i centenari superstiti e i loro familiari (Associazione dell’Identità Ogliastrina e della Barbagia di Seulo) ha sporto un nuovo reclamo al Garante, lamentando l’inerzia di Tiziana nell’attuare le prescrizioni ricevute e, in particolare, nell’informare gli interessati ai sensi dell’articolo 14 del Regolamento e nel chiedere una nuova espressione del consenso al trattamento dei dati personali.
Le richieste del Garante e la risposta di Tiziana
Alle richieste di informazioni formulate dal Garante in sede istruttoria ai sensi dell’articolo 157 del Codice, Tiziana non ha negato la circostanza oggetto di reclamo, ma, al contrario, ha giustificato l’inadempimento alle prescrizioni del Provvedimento del 2016 con l’impossibilità di “…definire oggetto, ambito e finalità del trattamento, ossia le informazioni di base necessarie per redigere un’informativa sulla privacy completa e conforme alla normativa vigente”.
Causa principale di tale impossibilità risiederebbe, secondo Tiziana, nel fatto di non essere “…mai riuscita ad accertare compiutamente il contenuto della Biobanca (compresi i campioni e la relativa documentazione informatica e cartacea) di cui ha acquisito formalmente la proprietà”.
I pochi documenti informatici disponibili correlati alla Biobanca, sarebbero infatti accessibili solo ricorrendo a tecnici specializzati in un linguaggio di programmazione ormai obsoleto, posto che la gestione del database digitale richiede infatti competenze e procedure specifiche per tecnologie progettate negli anni ‘90.
Tiziana ha quindi rappresentato al Garante che le particolari vicende giudiziarie occorse e le caratteristiche stesse della Biobanca avrebbero impedito alla Società qualsiasi attività di trattamento dei dati personali diversa dalla conservazione dei materiali che non erano stati posti sotto sequestro e che l’effettivo controllo esercitato sugli stessi avrebbe avuto una durata di circa due mesi, intervallo tra l’effettiva cessione della Biobanca e i primi provvedimenti giudiziali.
La Società fa riferimento all’esistenza di procedimenti penali avviati negli anni 2017 e 2022, a fronte del presunto furto di 14000 campioni, e la vigenza di più Decreti di sequestro relativi sia a parte del contenuto della Biobanca sia ai consensi informati sottoscritti dagli interessati (ben 9376 moduli), sino al più recente provvedimento del GUP di Lanusei del 17/02/2022 con cui è stato addirittura nominato un custode provvisorio per la Biobanca.
L’obbligazione di trasparenza e informazione alla quale Tiziana sarebbe stata tenuta a adempiere, derivante non solo dalla Legge ma anche dai Provvedimenti del Garante e della Suprema Corte, sarebbe secondo la stessa resa impossibile dagli eventi sopravvenuti, così come si ricava dal combinato disposto degli artt. 1218 e 1256 del Codice Civile e pertanto dovrebbe ritenersi estinta.
In particolare secondo Tiziana, viste le circostanze concrete, qualsiasi “Informativa” (rectius informazioni) rilasciata agli interessati sarebbe stata relativa non tanto ad un effettivo trattamento di dati, ma piuttosto ad un’intenzione di trattamento per scopi scientifici, intenzione che non sarebbe idonea a consentire di garantire una piena trasparenza, necessaria alla possibile espressione del consenso.
I limiti del principio di accountability
Nonostante le potenzialità immense, in termini di ricerca, offerte dalla Biobanca Ogliastrina, l’interprete, di fronte al punto di vista di Tiziana e agli elementi addotti, è ben in grado di comprendere le criticità che rischiano di renderla un’occasione perduta, specie a fronte della concreta eventualità che le tecnologie e le metodiche di conservazione dei dati personali e genetici possano divenire obsolete, pregiudicandone l’utilizzo.
Andando al di là di una prima analisi della problematica, emerge però un problema che appare meramente teorico ma che in realtà presenta evidenti risvolti pratici: fino a che punto possono trovare applicazione i principi di liceità, correttezza e trasparenza, ma soprattutto di responsabilizzazione (accountability), individuati dall’articolo 5 del Regolamento?
Fino a che punto tali fondamentali principi essi devono rimanere negli angusti limiti della teoria e quale deve essere il livello di controllo effettivo (sostanziale e non meramente formale) che il Titolare deve esercitare sui dati personali per essere effettivamente chiamato a compiere e rendere conto degli adempimenti previsti dalla normativa (being accountable)?
Il parere dell’Autorità Garante per la Protezione dei Dati Personali
La risposta dell’Autorità, al termine di un complesso procedimento istruttorio, ha portato alla definizione di un approccio univoco e ha fornito un’interpretazione di assoluto rilievo dottrinale.
Il mutamento soggettivo del titolare, nel caso di specie, comporta, così come evidenziato anche dalla Suprema Corte, l’inizio di un distinto e nuovo trattamento dei dati personali, che deve essere effettuato nel rispetto della disciplina vigente anche in tema di informazioni per l’interessato finalizzate all’acquisizione del consenso ad un loro successivo trattamento .
Ciò non significa che il complesso delle norme applicabili in materia di trasparenza e obblighi informativi verso gli interessati, come anche interpretate dallo European Data Protection Board (già WP art. 29) e dallo stesso Garante, impongano al Titolare di esporre nel dettaglio le singole operazioni che si intendono svolgere, ma piuttosto si intende affermare che deve essere garantita la conoscibilità di un contenuto informativo “necessario” in conformità a quanto prevedono, in particolare, i Considerando 61 e 62 del RGPD.
A ciò si aggiunga che non si può pensare all’informativa di cui agli articoli 13 o 14 del Regolamento come a un documento statico, ma piuttosto come un supporto i cui contenuti siano in divenire, modificabili e aggiornabili a seconda del tempo e delle esigenze correlate al caso concreto.
Le caratteristiche proprie delle informative sono dunque idonee a renderle dinamiche, purché siano sempre attinenti al concreto svolgersi del trattamento dei dati personali a cui si riferiscono.
Secondo il Garante, Tiziana avrebbe dovuto (e potuto) informare gli interessati, ai sensi dell’articolo 14 del Regolamento, in ordine alla circostanza che, a seguito del fallimento della Shar.Dna e dell’acquisto della banca dati, sotto il profilo della protezione dei dati personali era intervenuto un mutamento soggettivo della titolarità del trattamento, ciò in quanto, come affermato dalla citata Ordinanza della Corte di Cassazione “…la cessione dei dati ad un terzo, ed il conseguente mutamento soggettivo del titolare del trattamento determina l’avvio di un nuovo trattamento a sua volta soggetto alle disposizioni generali in tema di informativa […]”.
Sempre secondo il Garante, Tiziana avrebbe potuto fornire agli interessati ogni informazione in ordine agli eventi medio tempore intervenuti, anche al fine di rassicurarli sulle finalità del trattamento, allo stato limitate alla sola conservazione dei dati personali.
La mera conservazione delle informazioni di natura personale, come noto, è già infatti individuata quale attività di trattamento di dati personali dal punto 2) del paragrafo 1 dell’articolo 4 del Regolamento, assieme a “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione,…….., l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Nel caso di specie, il Titolare, avrebbe dovuto attivare tutte le misure necessarie ad esercitare il proprio ruolo, pur tenendo conto delle peculiarità derivanti dal contesto specifico del trattamento.
Secondo la ricostruzione del Garante Tiziana ha “…scelto, ancorché in buona fede, un atteggiamento del tutto inerte, in particolare rispetto al principio di trasparenza; esso costituisce un atteggiamento diametralmente opposto a quello proattivo che il principio di responsabilizzazione introdotto dal Regolamento impone”.
Le succitate disposizioni codicistiche in materia di estinzione delle obbligazioni per impossibilità sopravvenuta non sono state infatti giudicate dal Garante idonee a limitare o derogare agli obblighi derivanti dalla normativa in materia di protezione dei dati personali, in quanto attengono all’ambito meramente privatistico.
Conclusioni
Come noto, il principio di responsabilizzazione introdotto dal Regolamento impone al Titolare del trattamento non solo di rispettare le disposizioni della normativa in materia di protezione dei dati personali ma anche di essere in grado di comprovare tale rispetto (art. 5, par. 2, del Regolamento).
Più specificatamente, il Titolare deve essere in grado di garantire e di comprovare che il trattamento, anche nel caso in cui lo stesso si concretizzi nella mera attività di conservazione dei dati personali, sia conforme durante tutta la sua durata al Regolamento, adottando delle specifiche misure tecniche e organizzative adeguate al contesto di riferimento.
Per questo motivo, il collegio ha ritenuto evidente che la Società avesse violato gli artt. 5, par. 1, lett. a) e 14 del Regolamento e ha sanzionato Tiziana per la somma di 30.000 euro.
A margine del Provvedimento l’Autorità si è riservata di svolgere autonome iniziative istruttorie (avviate con Prot. n. 33768 del 23/02/2023 – DSR/CdS/CL/219578) per verificare la conformità della condotta anche dell’Associazione reclamante, a seguito di notizie stampa in base ai quali la stessa avrebbe “annunciato di voler svolgere progetti di ricerca sui dati contenuti nella banca dati”.
Nonostante qualcuno avesse temuto che si aprisse una nuova pagina nella vicenda della Biobanca, si può già anticipare che, a breve distanza dall’emanazione del Provvedimento che qui si commenta, l’Autorità ha concluso l’istruttoria anche in merito a quest’ultimo profilo, chiudendo, senza addebiti, gli approfondimenti con nota del 22/05/2023, non ravvisando alcuna violazione della normativa da parte dell’Associazione dell’Identità Ogliastrina e della Barbagia di Seulo.
Il Provvedimento n. 170 del 27 aprile 2023 non sarà, presumibilmente, l’ultimo tassello della vicenda della Biobanca Ogliastrina, ma ha offerto all’Autorità l’occasione di porre in luce la necessità per ogni Titolare di attualizzare e concretizzare il principio di accountability, non limitandolo agli angusti spazi della law in books, ma riconoscendo allo stesso un rilievo in senso assoluto ai fini dell’attuazione della disciplina.
Quello che il Presidente del Collegio (in occasione dell’incontro con i Responsabili della Protezione dei Dati di tutta Italia, riunitisi a Bologna il 23 giugno scorso) ha definito “la scommessa dell’accountability”, non è infatti soltanto l’invito a considerare la data protection come un valore anziché un costo per i Titolari, ma anche uno stimolo a illuminare di una luce nuova i principi del Regolamento, allo scopo di innalzare il livello di effettività della tutela offerto ai diritti e alle libertà delle persone fisiche.
