Tra i temi più dibattuti del mondo della data protection ed in generale delle innovazioni tecnologiche non può non essere menzionato quello legato alle soluzioni e alle strategie per sostenere la ricerca medica internazionale, pur garantendo il controllo da parte dei cittadini dei propri dati sanitari.
Si tratta di una delle questioni più dibattute dell’attuale scenario giuridico e come tale è stata affrontata nel corso del recente Privacy Symposium, luogo di dialogo internazionale, cooperazione e condivisione di conoscenze in materia di protezione dei dati personali e di tecnologie innovative.
La disciplina italiana nel contesto europeo
Durante il panel Compliance and Conditions for Secondary Use of Medical Data, in particolare, si è in primo luogo ripercorsa la stringente disciplina italiana, di cui all’articolo 110 del Codice privacy, che prevede che la base giuridica per l’uso dei dati a fine di ricerca medica, biomedica ed epidemiologica sia il consenso dell’interessato, e che, nel caso in cui non sia possibile ottenerlo, sia necessaria una preventiva consultazione del Garante per la Protezione dei dati personali ai sensi dell’art 36 del Regolamento generale per la protezione dei dati personali (GDPR), e non invece una autorizzazione generale, come previsto dalla normativa italiana previgente.
In secondo luogo, sono state analizzate anche le normative di paesi diversi che, nella maggior parte, prevedono discipline sul tema più flessibili. Tali discipline, del resto, si pongono in linea con gli orientamenti espressi dalle autorità europee ed in particolare con il parere 3/2019 dell’European Data Protection Board (EDPB) sull’interazione tra CTR e GDPR e con il Documento del febbraio 2021 dell’EDPB in cui si evidenziano le difficoltà, soprattutto con riferimento agli studi clinici multicentrici in paesi diversi, che derivano da un approccio frammentato e non armonizzato dei differenti Stati con riguardo alla base giuridica della ricerca scientifica.
La normativa nel Regno Unito
Volendo brevemente fornire un quadro comparatistico delle diverse legislazioni nazionali sul tema, appare particolarmente interessante analizzare il quadro giuridico esistente nel Regno Unito ed in particolare il Regolamento generale per la protezione dei dati personali (GDPR UK) ed il Data Protection Act del 2018. Infatti, l’Autorità competente (Information Commissioner’s Officer- ICO), nelle recenti linee guida sul tema (“guidelines on scientific research”) conferma che giuridiche sottese all’uso secondario dei dati possono essere sia l’interesse pubblico che l’interesse legittimo; al contrario, la base giuridica del consenso dell’interessato può essere utilizzata solamente in casi residuali ed eccezionali (in particolar modo quando quest’ultimo era la base giuridica del trattamento originario). Invero, il consenso non viene considerato una base giuridica appropriata nella misura in cui in numerosi casi, a causa dello squilibrio di potere tra il titolare dei dati, spesso un’autorità pubblica, e l’interessato, il consenso non può essere considerato realmente libero. Inoltre, data la sua intrinseca revocabilità, utilizzare il consenso come base giuridica potrebbe dar luogo a gravi difficoltà operative.
Ad ogni modo ai sensi del considerando 33 GDPR UK, è espressamente previsto il così detto broad consent che permette di utilizzare dati personali raccolti originariamente sulla base del consenso per un particolare progetto di ricerca per un ulteriore e diverso progetto. I diritti e le libertà dell’interessato godono comunque di una particolare protezione dal momento che, in materia di ricerca scientifica, l’articolo 89 GDPR UK prevede la necessità di adottare alcune misure tecniche e organizzative in grado di rispettare i principi di minimizzazione, pseudonimizzazione e se possibile anonimizzazione dei dati.
È opportuno, in conclusione, far riferimento ad una recente proposta di legge dei testi legislativi britannici sulla Protezione dei dati personali denominata “Data Protection and Digital Information Bill” che prevede una definizione più chiara di dato personale. Invero quest’ultimo sarebbe il dato che è identificabile dal titolare, dal responsabile del trattamento o da un terzo, utilizzando mezzi ragionevoli, “al momento del trattamento stesso”: attraverso tale definizione, che limita temporalmente la valutazione della identificabilità, si permetterebbe una più facile anonimizzazione dei dati con conseguente non applicabilità dei principi di cui al GDPR UK.
La normativa in Francia
Volendo volgere uno sguardo ai territori dell’Europa continentale, una prima interessante analisi riguarda la disciplina del trattamento dei dati personali ai fini della ricerca scientifica in Francia, contenuta nel capitolo 3 sezione 3 della Loi Informatique et Libertés (LIL). Invero, l’articolo 6 LIL identifica alcune eccezioni al divieto di trattamento dei dati sensibili e fa un richiamo esplicito a tutte le ipotesi di cui all’articolo 9 paragrafo 2 GDPR (e non solamente al consenso); inoltre, l’articolo 44 LIL sempre nell’individuare alcune eccezioni al divieto di trattamento di dati sensibili, richiama i trattamenti necessari ai fini di ricerca pubblica. In altre parole, ai sensi del dettato francese, sarebbe possibile utilizzare come base giuridica dell’uso secondario dei dati ai fini di ricerca scientifica, sia l’interesse legittimo, che l’interesse pubblico che il consenso.
Solamente nel caso di ricerche che coinvolgano dati genetici, come espressamente previsto dall’articolo 75 LIL, è necessario raccogliere il consenso informato ed espresso dell’interessato.
È proprio da tale espressa previsione che numerosi interpreti deducono, a contrario, la possibilità di utilizzare basi giuridiche diverse dal consenso laddove la ricerca non coinvolga dati genetici. Avvalora la medesima interpretazione il fatto che l’articolo 74 LIL preveda il diritto dell’interessato di opporsi al trattamento ai fini di ricerca scientifica attraverso un opt out, ma che non si rinvenga in nessuna disposizione la necessità di un opt in.
Del resto, recentemente la Commission Nationale de l’Informatique et des Libertés ha precisato che le basi giuridiche relative all’uso secondario dei dati ai fini di ricerca scientifica possono essere diverse ed ha espressamente richiamato tra queste il consenso dell’interessato, l’interesse pubblico e l’interesse legittimo. Si tratterebbe quindi di una scelta rimessa al titolare che, caso per caso, potrebbe decidere quale base giuridica utilizzare.
La normativa tedesca
Continuando questo excursus attraverso l’analisi delle legislazioni europee, l’attenzione si è concentrata sull’articolo 27 della legge federale sulla Protezione dei Dati tedesca (BDSG), che disciplina il trattamento di categorie particolari di dati e quindi anche di dati sanitari. Tale articolo, infatti, prevede la possibilità di utilizzare come base giuridica del trattamento non solo il consenso, ma anche l’interesse legittimo dell’interessato qualora l’interesse del titolare del trattamento prevalga significativamente sull’interesse della persona interessata a che il trattamento non sia effettuato. In estrema sintesi, il titolare dovrà effettuare una ponderazione degli interessi in gioco e nel caso in cui da tale assessment risulti che i diritti e le libertà fondamentali dell’interessato siano posti a rischio o che non vi sia una preponderanza dell’interesse del titolare su quello dell’interessato, la base giuridica utilizzata dovrà essere il consenso specifico ed informato del paziente.
Il titolare del trattamento deve tuttavia, per salvaguardare gli interessi della persona interessata, implementare misure appropriate così come espressamente previsto dall’articolo 22, c. 2 BDSG. Quest’ultimo enuclea, infatti, un elenco non esaustivo di misure organizzative e di sicurezza che dovranno essere di volta in volta implementate dal titolare del trattamento, tenendo anche conto dello stato dell’arte, dei costi di attuazione e della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché della diversa probabilità e gravità dei rischi per i diritti e le libertà degli interessati.
La normativa spagnola
Infine, analizzando la normativa del Regno di Spagna si può evidenziare come, nonostante la disciplina di cui alla Ley Organica 3/2018 Disposición adicional decimoséptima. Tratamientos de datos de salud – preveda espressamente il consenso dell’interessato o del suo legale rappresentante come base giuridica del trattamento di dati personali relativi alla salute ai fini di ricerca scientifica, all’interno della medesima normativa sono previsti degli elementi che rendono la disciplina più flessibile. In primo luogo, infatti, è presente un espresso riferimento ad un consenso ampio, sancendo così la possibilità che le finalità possano riguardare anche aree generali di ricerca, pur legate ad una specialità medica o di ricerca, e alla possibilità di utilizzare il consenso reso per una specifica finalità nell’ambito del progetto iniziale anche per finalità o settori di ricerca diversi ma connessi all’originario.
In secondo luogo, ai sensi del paragrafo 2b della disposizione citata, le autorità sanitarie e gli enti pubblici con competenze in materia di vigilanza sulla salute pubblica potranno condurre studi e ricerche scientifiche senza il consenso in situazioni di eccezionale rilevanza e gravità per la salute pubblica; in altre parole, le basi giuridiche applicabili saranno quelle previste dagli articoli 6 e 9 GDPR ed in particolare 6.1.e e 9.2.i.
Inoltre, alcuni interpreti forniscono una lettura particolarmente innovativa del paragrafo 2 d della disposizione che permette così di superare la base giuridica del consenso per l’uso secondario dei dati per la ricerca. Invero quest’ultimo, pur non facendo espresso riferimento al consenso né ad altre basi giuridiche, delinea le condizioni per cui sarà legittimo il trattamento dei dati per ricerca scientifica/biomedica. In particolare, l’articolo statuisce la legittimità dell’uso di dati pseudonimizzati per ricerca scientifica e biomedica, prevedendo la necessità di separare tecnicamente e funzionalmente l’equipe di ricerca e coloro che sono in possesso della chiave di codifica dei dati pseudonimizzati e che dunque sono gli unici soggetti in grado di operare una re-identificazione. L’equipe di ricerca potrà accedere ai dati solamente nel caso in cui vi sia un impegno specifico alla riservatezza e alla confidenzialità e si adottino specifiche misure di sicurezza per impedire la re-identificazione e l’accesso a terzi non autorizzati.
Dal momento che il paragrafo richiamato non presenta alcun espresso riferimento ad alcuna base giuridica e tantomeno al consenso, ma si limita ad enucleare le condizioni che rendono legittimo e lecito l’uso secondario dei dati, alcuni interpreti lo considerano una norma di apertura all’applicabilità delle basi giuridiche 6.1.e e 9.2.i sia per enti pubblici che privati qualora la ricerca venga condotta per motivi di interesse pubblico. Tuttavia, gli interpreti si spingono anche oltre e ritendono possibile applicare anche le basi giuridiche 6.1.f e 9.2.j; in questo modo infatti l’applicazione e l’implementazione delle misure di sicurezza previste dal paragrafo .2.d viene letta come garanzia a tutela delle libertà e diritti gli interessati. In estrema sintesi, qualora si applicasse come base giuridica l’interesse legittimo del titolare, grazie all’implementazione di tali misure di sicurezza, gli interessi del titolare non potranno mai finire per prevalere sugli interessi, diritti e libertà degli interessati.
Conclusioni
Dall’analisi delle legislazioni dei diversi stati e dalla loro evidente frammentazione con particolare riferimento alla base giuridica dell’uso secondario dei dati appare condivisibile la preoccupazione rappresentata in premessa dalla EDPB nel documento del febbraio 2021 in cui si è sottolineato che non è possibile e corretto interpretare gli standard etici in modo tale che solo il consenso esplicito degli interessati possa essere utilizzato per legittimare il trattamento dei dati sanitari a fini di ricerca scientifica.
