privacy e ricerca

Dati personali e ricerca: ecco lo stato delle norme da conoscere



Indirizzo copiato

L’innovazione tecnologica sta trasformando profondamente la ricerca scientifica, con un focus sempre più marcato su medicina preventiva e personalizzata. In questo contesto, le recenti modifiche normative al Codice Privacy, accompagnate dai chiarimenti del Garante per la protezione dei dati, mirano a garantire maggiore trasparenza e sicurezza nel trattamento dei dati personali per finalità di ricerca

Pubblicato il 6 set 2024

Sergio Amato

Avvocato e Data Protection Officer, CIPP/E

Elena Duggento

Avvocato, Life Sciences, Regulatory & Compliance



Geoscienza digitale

La ricerca scientifica rappresenta uno strumento fondamentale per il progresso e lo sviluppo della società moderna. Con l’avvento delle nuove tecnologie, anche nel settore della sanità i dati generati e utilizzati nella ricerca hanno subito un incremento esponenziale, supportando sempre più gli operatori sanitari nei processi decisionali e, quindi, aprendo la strada a quella che potremmo definire “medicina del futuro” (dalla medicina preventiva alla medicina personalizzata, etc.): un importante cambio di paradigma che intende incentivare la prevenzione e la diagnosi e, conseguentemente, contribuire a migliorare l’efficacia dei trattamenti.

I principali soggetti coinvolti nel processo di ricerca, dagli sponsor ai centri di ricerca, dovranno dunque adattare i propri processi e la governance tecnologica alle recenti novità in materia.

Gli articoli 110 e 110-bis del Codice privacy

Il Codice in materia di protezione dei dati personali (“Codice Privacy”) e, in particolare, gli articoli 110 e 110-bis, come recentemente modificati dal Legislatore, regolano il trattamento dei dati personali per scopi di ricerca scientifica. Questi articoli stabiliscono, difatti, le condizioni di liceità per il trattamento dei dati personali, a condizione che vengano rispettati diversi adempimenti e rigorose misure di ordine tecnico e organizzativo.

Sul punto, anche la recente relazione annuale del 2023 del Garante per la protezione dei dati personali si è focalizzata – tra gli altri – sulla ricerca scientifica e sulla protezione dei dati personali in questo ambito, delineando provvedimenti specifici e fornendo chiarimenti normativi significativi.

Il contesto normativo

Gli artt. 110 e 110-bis del Codice Privacy regolano il trattamento dei dati personali per finalità di ricerca scientifica in situazioni particolari, come l’impossibilità di ottenere il consenso degli interessati (ad esempio, per pazienti deceduti o non contattabili). In questo senso, diventerà essenziale l’integrazione delle Regole deontologiche specifiche del settore della ricerca scientifica nonché delle misure di garanzia previste dall’art. 2-septies del Codice Privacy, per assicurare che il trattamento dei dati personali avvenga nel rispetto dei diritti e delle libertà fondamentali degli interessati.

Assenza di consenso e adempimenti alternativi

Viene introdotta una doppia “scriminante” all’ottenimento di un preventivo e specifico consenso all’utilizzo dei dati per finalità di ricerca: (a) il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità alle finalità di ricerca scientifica o storica, ai sensi dell’articolo 9, paragrafo 2, lettera j) del GDPR e dell’ivi richiamato articolo 89 paragrafo 1 del GDPR, ivi incluso il caso in cui la ricerca rientri in un programma di ricerca biomedica o sanitaria; (b) il consenso non è, inoltre, necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca.

Nei casi (a) e (b) sopra menzionati, il titolare del trattamento – che solitamente nel contesto della ricerca scientifica sono per un verso lo c.d. sponsor del progetto o promotore e, per l’altro, l’ente o centro di ricerca[1] – dovrà adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato e, nello specifico:

  • è stato introdotto l’obbligo di effettuare e pubblicare una valutazione d’impatto sui trattamenti di dati (Data Protection Impact Assessment) per scopi di ricerca scientifica, ai sensi dell’art. 35 del GDPR;
  • è stato sottolineato l’obbligo di ottenere pareri positivi dai comitati etici territoriali prima di iniziare il trattamento dei dati personali per la ricerca (che, ricordiamo, sono organismi indipendenti deputati a fornire “pubblica garanzia” sui diversi aspetti etici e/o scientifici delle sperimentazioni cliniche[2]).

Altre garanzie per il trattamento di dati particolari

Fermo restando le condizioni di cui sopra e in attesa della divulgazione delle nuove Regole deontologiche – di cui si attende ad oggi l’attuazione a seguito della consultazione pubblica indetta dallo stesso Garante con il provvedimento del 9 maggio 2024 – il Garante ha già individuato, nel citato documento, alcune delle garanzie necessarie per il trattamento, per finalità di ricerca, dei dati sanitari riferibili a soggetti deceduti o non contattabili per motivi etici[3] o organizzativi[4]. Nei casi citati, il titolare dovrà in ogni caso adottare misure appropriate per tutelare i diritti e le libertà degli interessati, acquisendo il parere favorevole del Comitato etico territoriale ed effettuando una valutazione di impatto, all’interno della quale motivare e comprovare la sussistenza di tali motivi.

  • Abrogazione dell’obbligo di preventiva consultazione del Garante: il regime di obbligo della preventiva consultazione pubblica al Garante di cui all’art. 36 del GDPR, a seguito di una valutazione d’impatto che presenti un rischio elevato, è stato di fatto “superato” dal doppio adempimento di esecuzione obbligatoria di una valutazione d’impatto (che, nel regime previgente, era comunque necessaria, costituendo una condicio sine qua non per la consultazione pubblica) e di parere positivo dei comitati etici competenti territorialmente.

Implicazioni pratiche per la Ricerca Scientifica e la Privacy

Le novità sopra analizzate hanno, chiaramente, un impatto significativo sulle modalità attraverso cui viene gestita la ricerca scientifica in Italia. Ricapitolando le principali implicazioni si riferiscono, senz’altro, a:

Maggiore trasparenza e rafforzamento dell’accountability

Nel contesto della ricerca scientifica, i titolari del trattamento dovranno essere maggiormente trasparenti e responsabili nella gestione dei dati personali, garantendo una governance adeguata dei progetti di ricerca svolti e dei relativi trattamenti di dati sottostanti, in conformità rispetto al principio cardine della c.d. responsabilizzazione di cui all’art. 24 del GDPR;

Misure di sicurezza

Viene ribadita l’importanza di implementare misure di pseudonimizzazione e anonimizzazione per proteggere i dati personali trattati. Sul punto, interessanti sono le posizioni – tra loro contrastanti – del Tribunale dell’Unione europea con la sentenza del 26 aprile 2023 (causa T-557/20) e del Garante per la protezione dei dati personali nel caso “Thin”, (Provvedimento 226/2023): entrambi hanno fornito una peculiare interpretazione di dati pseudonimizzati e anonimizzati. L’interpretazione del Tribunale, certamente di più ampio respiro, potrebbe senz’altro fornire delle soluzioni al passo con i tempi per il trattamento dei dati a scopo di ricerca – ovviando, tra l’altro, agli adempimenti finora indicati. In tal senso, un ricorso responsabile ed etico alle “Privacy-Enhancing Technologies” e alle forme di sintetizzazione dei dati potrà essere di primaria importanza e aprire nuove prospettive per la ricerca scientifica e lo sviluppo di terapie innovative, sollevando i titolari da possibili rischi di violazione della privacy e della riservatezza dei soggetti cui i dati sono riferiti.

Necessità di consensi specifici e granulari

Laddove le “scriminanti” introdotte dalle recenti novità normativa al Codice Privacy non siano ravvisabili, rimane di fondamentale importanza mantenere una separazione dei consensi (a) per il trattamento dei dati strettamente connessi alle finalità “di cura”[5] e (b) per il trattamento dei dati per finalità “di ricerca”. I primi, difatti, sono i dati trattati nell’ambito delle attività sanitarie per la cura del paziente (ad esempio, i dati delle cartelle cliniche) – in conformità, inter alia, al diritto fondamentale alla salute ex articolo 32 della Costituzione; i dati di ricerca, invece, derivano dai dati di cura e sono trattati per lo sviluppo di conoscenze scientifiche, implementazione di nuove terapie, etc.[6]

Gestione delle biobanche

La corretta gestione delle biobanche è cruciale per garantire la qualità e l’integrità dei dati sanitari utilizzati nella ricerca scientifica. La mancanza di raccolta del consenso e la violazione dei principi di trasparenza possono infatti compromettere la validità dei risultati della ricerca e la fiducia del pubblico nei progetti scientifici. È quanto accaduto nell’ambito di un provvedimento sanzionatorio emanato dal Garante in data 27 aprile 2023 nei confronti di una società proprietaria di una biobanca per la mancata raccolta del consenso e per la violazione dei principi di trasparenza e responsabilizzazione. In tale contesto, è stato difatti accertato che la società conservava i dati personali in violazione dei principi di trasparenza, accountability e dell’obbligo di rendere l’informativa agli interessati. La società era entrata legittimamente in possesso dei dati e dei campioni biologici di riferimento a seguito di una cessione da parte della società cedente (la quale era stata assoggettata a procedura fallimentare), non dovendo richiedere inizialmente alcun consenso; tuttavia, tale consenso era invece necessario per eseguire ulteriori operazioni di trattamento degli stessi dati per finalità di ricerca.

Focus sugli IRCSS

Rilevante, in questa ricostruzione sistemica dell’attuale framework normativo in materia di trattamento dei dati per scopi di ricerca scientifica, è il recente documento contenente le FAQ del Garante volte ad individuare (e/o chiarire) i presupposti giuridici e i principali adempimenti per il trattamento, da parte degli Istituti di Ricovero e Cura a Carattere Scientifico (IRCCS), dei dati personali raccolti a fini di cura della salute per ulteriori scopi di ricerca.

Presupposti giuridici per il trattamento dei dati

Per tali attività di ricerca, gli IRCCS potranno, a fondamento dei propri trattamenti, utilizzare le seguenti basi di liceità:

  • Consenso degli interessati: questo consenso deve essere preventivo, specifico (quindi, riferibile ad un singolo progetto di ricerca), libero, informato, espresso, inequivocabile, reso per iscritto e sempre revocabile.
  • Art. 110-bis, comma 4, del Codice Privacy: il quale prevede che il trattamento dei dati personali raccolti per l’attività clinica, a fini di ricerca, non costituisce trattamento ulteriore se effettuato da “istituti di ricovero e cura a carattere scientifico, pubblici e privati, in ragione del carattere strumentale dell’attività di assistenza sanitaria svolta da tali istituti”. Questo dovrà avvenire nell’osservanza dell’articolo 89 del GDPR. In quest’ultimo caso, il titolare del trattamento dovrà svolgere e pubblicare la valutazione d’impatto svolta sui propri siti web (anche per estratto, qualora questa rischi di ledere diritti di proprietà intellettuale o segreti commerciali) e, qualora permanga un rischio elevato in assenza di misure di mitigazione del rischio, procedere con una consultazione preventiva del Garante ai sensi dell’art. 36 del GDPR.

Principali adempimenti

A prescindere dalla base di liceità scelta e individuata, sarà onere del titolare del trattamento adempiere gli obblighi informativi nei confronti dei pazienti/interessati. In questo senso le modalità variano a seconda della fonte dei dati:

  • Dati raccolti direttamente presso gli interessati: l’IRCCS è tenuto a fornire preventivamente informazioni chiare e intellegibili, evidenziando eventuali nuovi elementi informativi.
  • Dati raccolti presso banche dati interne o terzi: l’IRCCS dovrà pubblicare le informazioni, per tutta la durata dello studio, secondo le modalità previste dall’art. 14, par. 5, lett. b) del GDPR, che può includere – ad esempio – la pubblicazione sul sito web del promotore nonché dei centri partecipanti in caso di studi multicentrici.

Cenni alla bozza di DDL in materia di ricerca e IA

Infine, di particolare rilevanza, seppur trattasi di una bozza soggetta ad approvazione formale, riveste  a parere di chi scrive l’art. 8 della bozza di DDL in oggetto  – recentemente oggetto di un parere favorevole da parte del Garante privacy[7], derubricato “Ricerca e sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale in ambito sanitario, il quale prevedeva che i trattamenti di dati personali eseguiti da soggetti pubblici e privati senza scopo di lucro per la ricerca e sperimentazione scientifica nella realizzazione di sistemi di IA sono dichiarati di rilevante interesse pubblico.

Ai medesimi fini, fermo restando l’obbligo di informativa dell’interessato che può essere assolto anche mediante messa a disposizione di un’informativa generale sul sito web del titolare del trattamento e senza ulteriore consenso dell’interessato ove inizialmente previsto dalla legge, è sempre autorizzato l’uso secondario di dati personali, anche appartenenti alle categorie indicate all’ articolo 9 del GDPR, da parte di soggetti pubblici e privati senza scopo di lucro.

I trattamenti di cui sopra, parimenti a quanto analizzato in precedenza, devono essere oggetto di approvazione da parte dei comitati etici interessati e, in questo peculiare caso, dovranno essere comunicati all’Autorità garante per la protezione dei dati personali con l’indicazione di tutte le informazioni previste dagli articoli 24, 25, 32 e 35 del GDPR, nonché l’indicazione espressa, ove presenti, dei responsabili esterni individuati ai sensi dell’articolo 28 del predetto Regolamento, e potranno essere iniziati decorsi trenta giorni dalla predetta a comunicazione se non oggetto di blocco disposto dall’Autorità garante per la protezione dei dati personali (di cui rimangono fermi tutti i poteri ispettivi, interdittivi e sanzionatori).

Bilanciamento tra diritto alla salute e diritto alla privacy

Le recenti novità normative sopra analizzate sono un indubbio passo in avanti nel bilanciamento e connubio di due diritti fondamentali: da un lato il diritto alla salute, che vede come suo corollario applicativo – tra gli altri –lo sviluppo della ricerca scientifica, mentre, dall’altro, il diritto alla riservatezza e alla tutela dei propri dati personali.

Tali modifiche appiano coerenti anche rispetto al quadro normativo comunitario in fieri. In particolare, la “Strategia Europea per i Dati” della Commissione europea e l’European Health Data Space, di prossima approvazione da parte del legislatore comunitario, si pone proprio l’obiettivo di costruire un sistema coerente, affidabile ed efficiente per il riutilizzo dei dati sanitari per scopi di pubblico interesse, in ambiti quali la ricerca, l’innovazione, l’elaborazione delle politiche e attività normative connesse (c.d. “uso secondario dei dati”)[8].

Prospettive future e necessità di una normativa organica

La strada da percorrere è evidentemente ancora lunga e tortuosa, e passerà necessariamente attraverso l’emanazione di successive fonti e regolamentazioni di settore (ivi incluse le regole deontologiche). In tale contesto, è certamente auspicabile l’emanazione di una normativa di settore specifica che sia frutto di un intervento legislativo organico, incisivo e specifico in materia al fine di “consolidare un rapporto di alleanza e complementarità tra chi si occupa di ricerca e chi si occupa di protezione dei dati personali[9].


Note


[1] L’inquadramento dei c.d. ruoli privacy in oggetto deriva dal contratto tipo riferito alle sperimentazioni cliniche del CCNCE – istituito presso l’AIFA – e avallato dal Garante in diversi provvedimenti di settore.

[2] https://www.aifa.gov.it/-/comitati-etici-funzioni-e-stato-della-riorganizzazione#:~:text=%E2%80%9CI%20comitati%20etici%20sono%20organismi,pubblica%20garanzia%20di%20tale%20tutela.

[3] Si intendono le circostanze in cui l’interessato ignori la propria condizione (qualora dall’informativa possa derivare la rivelazione di informazioni in merito allo studio che potrebbero arrecare un danno materiale o psicologico al soggetto interessato).

[4] Si fa riferimento alle circostanze in cui la mancata raccolta dei dati riferiti al numero di interessati che non è possibile contattare, rispetto al numero complessivo dei soggetti da arruolare, avrebbe delle ripercussioni sulla qualità dei risultati dello studio stesso.

[5] Conformemente a quanto previsto, tra gli altri, dal Provvedimento del 7 marzo 2019 “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”.

[6] Sarà necessario un consenso autonomo e separato anche per le ulteriori finalità astrattamente perseguite in tale ambito, ma non sussumibili sotto la finalità di cura in senso stretto: (i) trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina; (ii) trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale (SSN); (iii) trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza); (iv) trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali; o (v) trattamenti effettuati attraverso il Fascicolo sanitario elettronico.

[7] [1] Vedasi Provvedimento n. 477 del 2 agosto 2024, reperibile al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10043532.

[8]La proposta di Regolamento del Parlamento Europeo e del Consiglio sullo spazio europeo dei dati sanitari consente infatti il c.d. uso secondario dei dati ai fini di “addestramento, prova e valutazione degli algoritmi, anche nell’ambito di dispositivi medici, sistemi di IA e applicazioni di sanità digitale”: in questo modo, l’EHDS potrebbe rappresentare una porta di accesso a dati sanitari con lo scopo favorire anche la creazione di dataset sintetici che vengano sfruttati per affinare applicazioni di IA nel campo sanitario.

[9] G. SCORZA, Privacy e salute: complementarità e non antagonismo, Fondazione Roche, Edra 2022.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4