Il trattamento dei dati nella ricerca scientifica è uno degli argomenti di cui si è più dibattuto negli ultimi tempi.
Fiumi di parole e innumerevoli convegni, seminari, incontri hanno analizzato le problematiche scaturite dalla formulazione del “famigerato” l’art. 110 Codice Privacy e dalla sua consultazione preventiva ex art. 36 GDPR, obbligatoria in carenza di consenso.
Oggi il Legislatore è intervenuto su questa norma con una modifica senza dubbio di grande utilità.
Ma la materia è, a dir poco, ancora molto fluida.
Si occupano infatti di trattamento dati nella ricerca scientifica anche discipline che stanno bussando alla porta: più esattamente il Disegno di Legge sulla AI, l’AI ACT e la Proposta UE di Health Data Space.
Tutte discipline che, se non armonizzate tra loro, rischiano di gettare nuovamente una materia così delicata nel più totale caos applicativo.
Vediamo allora cosa è cambiato per l’art. 110 Codice Privacy e cosa prevedono le altre discipline in itinere, precisando sin da ora che il “nuovo” 110 è già legge, mentre gli altri atti sono ancora in corso di approvazione.
L’art. 110 Codice Privacy e le sue modifiche
Per cogliere le novità apportate all’art. 110, si reputa necessario un brevissimo inquadramento sulla disciplina in essere in Italia prima del GDPR.
La precedente Direttiva 95/46/CEE e il relativo Codice Privacy prevedevano infatti il consenso come base giuridica privilegiata per il trattamento dei dati relativi alla salute.
Il trattamento dati nella ricerca scientifica poteva poi essere effettuato (art. 110 previgente Codice Privacy)
- sulla base del consenso del paziente
- oppure, in carenza del consenso del paziente (es. studi osservazionali) previo
- parere positivo del Comitato Etico
- rispetto delle Autorizzazioni Generale del Garante
Tali Autorizzazioni Generali erano atti di natura generale, validi per ogni tipo di ricerca scientifica (l’ultima Autorizzazione Generale del Garante per la ricerca scientifica è stata n. 9/2016, emanata il 15 dicembre 2016).
L’avvento del GDPR
L’avvento del GDPR ha poi mutato in maniera importante il precedente approccio legislativo: più esattamente si è passati da un sistema prescrittivo ad un sistema di accountability, è venuta meno la distinzione nel trattamento tra pubblico e privato, le diverse basi giuridiche hanno acquisiti pari forza normativa; nello specifico poi della ricerca scientifica, il legislatore del GDPR ha introdotto facilitazioni per tale tipologia di trattamento quali la presunzione di compatibilità del trattamento secondario di dati per la finalità di ricerca scientifica (art. 5 lett. b), una base giuridica ad hoc per la ricerca scientifica (art. 9 lett. j), limitazioni all’obbligo di informazioni all’interessato (art. 14),limitazione al diritto di chiedere la cancellazione dei dati (art. 17), misure di sicurezza da implementare (art. 89).
In fase armonizzazione del Codice Privacy al GDPR, il Legislatore del Dlgs 101, senza cogliere la nuova ventata promossa dal legislatore comunitario, riproponeva per la ricerca scientifica la stessa previsione legislativa: consenso come base obbligatoria, ed in carenza in carenza di consenso l’obbligo di adottare misure appropriate per tutelare diritti, libertà e legittimi interessi dell’interessato nonché e parere positivo del Comitato Etico territorialmente competente.
Essendo poi venuto meno con il GDPR l’istituto delle autorizzazioni generali del Garante, il Legislatore decideva di sottoporre il trattamento a preventiva consultazione del Garante stesso ai sensi dell’articolo 36 del Regolamento.
Tale scelta legislativa si è rivelata non solo non pertinente, ma di difficile, complessa e costosa applicazione.
In primo luogo infatti l’art. 36 disciplina un istituto che si attiva quando la DPIA manifesta il permanere di alti rischi nel trattamento dei dati.
Ora non si capisce quali possano essere i rischi così elevati per i pazienti nell’ambito di trattamenti di ricerca che sono svolti sempre in forma altamente pseudonomizzata e spesso da parte di terzi per i quali tali dati (se seguiamo il ragionamento della sentenza Tribunale dell’Unione Europea 26 aprile 2023 – causa T-557/20) tali potrebbero essere facilmente considerati anonimi. Il vero rischio della ricerca sta nell’applicazione di principi di eticità, non tanto nel trattamento dati tout court.
L’obbligatorietà quindi di singole consultazioni preventive davanti al Garante, per ogni ricerca o studio indipendentemente dalla valutazione concreta del rischio stesso e per trattamenti che prima seguivano solo le prescrizioni autorizzative del Garante, proprio non si spiega.
Alla non pertinenza giudica doveva poi associarsi l’allungamento dei tempi (le 8 settimane dell’art. 36 sono spesso diventati 6-8 mesi per il rilascio del parere del Garante) nonché il costo di consulenti per la redazione di tutta la documentazione scritta ai fini della presentazione della domanda.
Per questi motivi la norma quindi ha avuto una applicazione contestata e a dir poco tribolata, fino ad arrivare alla recentissima legge 56/2024 – misure urgenti per il PNRR.
L’art. 44 di tale legge modifica il 110, cancellando l’obbligo di consultazione preventiva e rinviando al rispetto di “garanzie individuate dal Garante Privacy ai sensi dell’articolo 106, comma 2, lettera d) del Codice”.
Da notizie informali, pare che il Garante stia già lavorando in questo senso.
Senza dubbio questa modifica legislativa rappresenta un notevolissimo passo avanti, ma non risolve tutti i problemi.
Continuare infatti a considerare quale base giuridica obbligatoria della ricerca il consenso (come continua a fare anche l’attuale art. 110) impedisce infatti ex art. 6 par. 4 GDPR) di poter effettuare qualsiasi riutilizzo dei dati (il c.d. secondary use), negando alla radice una modalità di trattamento che era invece stata espressamente suggerita dal Garante all’art. 5 lett. b) GDPR.
Il Disegno di Legge italiano sull’AI e il trattamento dei dati
Veniamo ora al recente Disegno di Legge sulla AI – presentato dal Governo in data 23 aprile 2024 – il quale all’art. 8 introduce norme specifiche per il trattamento dati nella ricerca scientifica e nella sperimentazione dei sistemi di AI che sono usati in ambito sanitario.
L’articolo presenta svariate criticità, che ci si augura vengano risolte in sede di discussione parlamentare.
Preme subito evidenziare che la norma introduce una disciplina ad hoc valida solo per soggetti pubblici e privati senza scopo di lucro.
Si crea quindi una distinzione tra il trattamento dati da parte del pubblico (e del privato no profit) rispetto al trattamento dati del privato profit, che ripesca – ingiustificatamente – modo un approccio normativo pre-GDPR e superato dal GDPR stesso.
Più esattamente l’articolo stabilisce che quando il titolare è un soggetto pubblico o un privato senza scopo di lucro ci sono due possibilità per il trattamento di dati per la ricerca nei sistemi di AI:
- si applica l’art. 9 lett. g) in ragione del fatto che il trattamento dei dati è considerato di rilevante interesse pubblico (la norma non fa poi alcun accenno all’art. 2-sexies del Codice privacy, che però essendo attuazione nazionale dell’art. 9 lett. g) del GDPR si deve intendere implicitamente applicabile, con conseguente obbligo di atto normativo o amministrativo dettaglio per i trattamento dei dati)
oppure
- i dati, privi degli identificativi diretti (quindi direi pseudonomizzati), possono essere trattati per le finalità nell’ambito della AI attraverso l’uso secondario, con informativa sul sito web (qui la norma non lo dice ma occorrerà effettuare un test di compatibilità ex art. 6 par. 4 GDPR)
In entrambi i casi poi i soggetti che trattano tali dati dovranno
- ottenere parere favorevole del Comitato Etico
- comunicare al Garante
- chi è il titolare del trattamento
- come è rispettata la privacy by design by default della AI,
- le misure di sicurezza implementate
- la DPIA effettuata
- l’elenco dei responsabili ex art. 28
Il Garante avrà 30 gg per bloccare il trattamento: dopo tale termine si forma il silenzio assenso.
Tralasciando il primo caso (che vede il limite dell’art. 2-sexies) è senza dubbio rilevante che per la prima volta il nostro legislatore prevede espressamente la possibilità di trattamento dei dati per uso secondario nella ricerca, seppure con le limitazioni soggettive di cui sopra e con una serie di obblighi di comunicazione al Garante (che in questo modo può essere allertato ai fini di controllo).
Alle aziende profit – escluse anche stavolta dall’uso secondario (non si capisce per quali motivi o per quale timore recondito) – resta solo il sopra richiamato l’art. 110 Codice privacy.
Ricerca scientifica e AI Act
E veniamo ora all’AI ACT, che seppur non ancora pubblicato in GUCE è considerato da tutti in versione pressochè definitiva.
L’AI ACT è un regolamento di prodotto per cui, nella sostanza, detta le regole che devono essere rispettate per realizzare e commercializzare software contenenti sistemi di AI.
L’AI ACT si occupa quindi di regole sui dati in soli due articoli: l’art. 10 e l’art.59.
L’art. 10 introduce una serie di prescrizioni precise finalizzate a garantire la “qualità” dei dati che vengono utilizzati per la progettazione, allenamento e convalida del software (regole che, seppure non obbligatorie, sono già oggi preziosissime per tutto coloro che operano nel mondo software).
Per quanto rileva poi in questa sede, di estremo interesse è il par 5 dell’art. 10.
Qui, senza limiti di natura soggettiva tra pubblico e privato, si prevede la possibilità di trattare dati relativi alla salute (seppure in via eccezionale) ai fini di correggere distorsioni nel funzionamento del software che possano creare bias.
In sostanza di crea una base giuridica di natura legislativa finalizzata a tutelare un profilo etico del funzionamento della AI: le possibili discriminazioni.
L’art. 59 invece prevede la possibilità di trattamento per uso secondario dei dati (anche in questo caso senza distinzione tra pubblico e privato) per lo sviluppo, l’addestramentoe le prove di determinati sistemi di IA nell’ambito degli spazi controllati di sperimentazione (c.d. sandbox).
Tale possibilità è prevista, ovviamente, nel rispetto di determinati requisiti.
Health Data Space e ricerca scientifica
Da ultimo la proposta di regolamento sull’Health Data Space.
Qui l’obiettivo è proprio quello di creare uno spazio in cui i dati possono essere condivisi e quindi utilizzati.
Tutto il Capo IV si occupa quindi di disciplinare l’uso secondario dei dati, prevedendo (da una parte) l’obbligo da parte dei titolari di dati sanitari di metterli a disposizione all’interno dell’Health Data Space (art. 33 HDS) nonché (dall’altra) la possibilità per utenti terzi di chiedere l’accesso ai dati (ai c.d. Organismi di Accesso) per svariate ulteriori finalità.
In particolare tra le finalità di uso secondarie per cui si possono utilizzare i dati si legge (art. 34 HDS lett. e)
- ricerca scientifica relativa ai settori della salute o dell’assistenza, contributo alla salute pubblica o alla valutazione delle tecnologie sanitarie, o garanzia di elevati livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici, con l’obiettivo di favorire gli utenti finali, come i pazienti, gli operatori sanitari e gli amministratori della sanità, tra cui:
- (i) attività di sviluppo e innovazione di prodotti o servizi;
- (ii) formazione, test e valutazione di algoritmi, anche in dispositivi medici, dispositivi medici diagnostici in vitro, sistemi di intelligenza artificiale e applicazioni di salute digitale;
Introdotta nell’ultima versione del testo la possibilità per il paziente di chiedere che i propri dati non siano utilizzati: c.d. meccanismo dell’opt-out (art. 35 septies).
Conclusioni
Senza dubbio le problematiche relative al trattamento dati per la ricerca scientifica (sia essa per AI o per altri prodotti o servizi) troveranno una loro soluzione giuridica più stabile a livello comunitario al momento della piena vigenza dell’Health Data Space.
Ma i tempi per questo provvedimento non saranno così immediati.
Occorre quindi che gli interventi a livello nazionale non seguano le “pulsioni politiche” del momento, ma siano coordinati tra loro in un’ottica di armonizzazione della materia.
In questo senso si ritiene che il mantenimento del consenso come base giuridica per la ricerca nell’art. 110 (che continua ad impedire giuridicamente il secondary use) e la diversa disciplina tra pubblico e privato all’art. 8 del disegno di legge sulla AI siano scelte che non trovano concreta giustificazione e che non aiutano né i pazienti né il mercato: creano solo squilibri e la necessità di trovare “artifizi giuridici” per risolvere i problemi concreti che si presentano.
Occorre invece abbandonare le posizioni preconcette e valutare con senso di concretezza da una parte i “reali” rischi per i pazienti e, dall’altra, la rilevanza dell’utilizzo dei dati per lo sviluppo del nostro paese.
Poi applicare un sano principio di proporzionalità.