In un contesto in cui il Piano Nazionale di Ripresa e Resilienza (PNRR) promuove l’innovazione e la crescita economica, è fondamentale favorire l’uso secondario dei dati o cioè il loro utilizzo in un contesto diverso da quello per cui sono stati raccolti.
Questo non solo contribuirà al progresso scientifico e tecnologico, ma anche all’implementazione di soluzioni efficaci per le sfide globali, come la salute pubblica e l’ambiente. Per questo, l’Italia non dovrebbe perdere l’occasione di partecipare attivamente al progresso.
L’uso secondario dei dati come fattore di crescita e sviluppo
L’utilizzo secondario dei dati rappresenta una delle sfide e opportunità più significative del mondo digitale in costante evoluzione. Parte della strategia della digitalizzazione avviata dall’Unione Europea ormai da un paio d’anni e che ha come obiettivo il 2030 punta alla creazione di un mercato dei dati europeo che possa aiutare lo sviluppo competitivo delle imprese europee e la trasformazione digitale. In un’epoca in cui i dati sono il “nuovo petrolio” ponendosi al centro della nuova geopolitica internazionale, la possibilità di sfruttamento ed il loro potenziale informativo oltre gli scopi originariamente previsti, diventa un obiettivo di crescita e sviluppo che caratterizza pressoché tutte le politiche industriali.
L’uso secondario e la condivisione di dati tra diverse organizzazioni consente una collaborazione sinergica tra attori diversi; l’analisi avanzata dei dati è in grado di offrire al mercato informazioni di valore, identificare tendenze e sviluppare nuovi servizi che migliorano la vita delle persone.
I settori che traggono maggiori vantaggi dall’uso secondario dei dati
Alcuni esempi concreti per comprendere appieno l’importanza e i risultati positivi derivanti da questa pratica includono l’uso secondario dei dati nei seguenti settori.
Ricerca scientifica e nuovi trattamenti medici
Nel settore della sanità, l’utilizzo secondario dei dati rappresenta un’opportunità straordinaria. I dati sanitari raccolti da istituzioni mediche possono essere utilizzati per la ricerca scientifica e lo sviluppo di nuovi trattamenti. Questa pratica ha dimostrato di essere cruciale per accelerare le scoperte mediche e migliorare la comprensione delle malattie. Ad esempio, gli studi osservazionali basati sui real world data, cioè dati raccolti in condizioni di vita reale, forniscono una prospettiva preziosa che spesso va oltre i limiti degli studi clinici controllati. L’utilizzo secondario di questi dati può contribuire a individuare correlazioni significative e guidare lo sviluppo di terapie più mirate.
Analisi epidemiologiche e prevenzione delle malattie
L’uso secondario dei dati è stato fondamentale anche in ambito epidemiologico. L’analisi di dati aggregati su una vasta scala può rivelare tendenze e pattern di malattie, contribuendo a prevenire epidemie o a implementare strategie di salute pubblica più efficaci. Questo è stato evidente nel contesto della pandemia di COVID-19, in cui i dati sono stati utilizzati per monitorare la diffusione del virus e pianificare risposte a livello globale.
Miglioramento della pianificazione urbana
In un contesto più ampio, i dati raccolti sulle abitudini di spostamento e il consumo energetico delle comunità possono essere utilizzati per migliorare la pianificazione urbana. Questo aiuta a creare città più sostenibili, riducendo l’impatto ambientale e migliorando la qualità della vita dei cittadini.
Miglioramento dei prodotti ed efficientamento della produzione
La disponibilità di dati sul funzionamento dei prodotti e servizi consentirà ad aziende ed imprese di ottimizzare i cicli operativi, le linee di produzione e la gestione della supply chain, anche sulla base del machine learning. Ad esempio, nell’agricoltura di precisione, l’analisi dei dati dalle apparecchiature connesse può aiutare gli agricoltori ad analizzare i dati in tempo reale, come meteo, temperatura, umidità o segnali GPS, e fornire informazioni su come ottimizzare e aumentare la resa, migliorare la pianificazione dell’azienda agricola e prendere decisioni più intelligenti sul livello delle risorse necessarie. Ancora, i motori dei veicoli (siano essi a combustione o elettrici) sono dotati di migliaia di sensori che raccolgono e trasmettono dati per garantire un funzionamento efficiente. L’accesso a tali informazioni migliorerebbe la manutenzione e la durata
Tuttavia, la libera circolazione dei dati e la possibilità di un uso secondario degli stessi non può prescindere dalla tutela dei diritti fondamentali dell’individuo e, in particolare, delle normative in tema di protezione dei dati personali. La pratica dell’utilizzo secondario dei dati è una doppia lama: può portare notevoli benefici, ma richiede una responsabile gestione dei dati personali e un’attenzione costante alla conformità normativa.
L’attuale framework normativo
Come noto, nel contesto europeo, la protezione dei dati personali è regolata dal Regolamento Generale sulla Protezione dei Dati 679/2016 (GDPR). Già il titolo per esteso del GDPR – i.e. “…protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati…” – fa intendere che la normativa è stata concepita proprio per armonizzare i diversi interessi: da un lato, quello della protezione della persona e delle informazioni che la riguardano, dall’altro, quello dell’interesse generale alla libera circolazione dei dati personali, almeno all’interno dell’Unione Europea.
Ciononostante, la principale criticità che il GDPR pone all’uso secondario dei dati personali è data dal principio di finalità di cui all’art. 4, paragrafo 1, lett. b) e dai corollari contenuti negli art. 6 e 9 del GDPR. In breve, occorre definire una base giuridica adeguata che autorizzi l’uso secondario dei dati personali nel rispetto delle norme citate.
Nello specifico dei dati personali “comuni”, sicuramente la norma più flessibile – che è stata infatti utilizzata per giustificare il trattamento dei dati personali nell’ambito delle attività di training degli algoritmi di intelligenza artificiale – è senza dubbio l’art. 6, paragrafo 1, lett. f) ossia quella che fa riferimento all’interesse legittimo del titolare del trattamento o di un terzo. Tuttavia, il successivo l’art. 6, paragrafo 4, fornisce indicazioni specifiche sull’elaborazione dei dati personali per scopi diversi da quelli originariamente previsti. Questo articolo sottolinea che l’elaborazione successiva dei dati per scopi compatibili con quelli per cui sono stati originariamente raccolti è ammissibile. Appare quindi necessario che vi sia una rigorosa valutazione della compatibilità delle finalità per garantire il rispetto della normativa.
Il test di compatibilità delle finalità, come sancito nell’ultimo periodo del considerando 33 del GDPR, richiede che l’elaborazione successiva dei dati sia coerente con il contesto in cui i dati sono stati originariamente raccolti.
Questo implica una valutazione della relazione tra le finalità originarie e quelle secondarie, tenendo conto di fattori come la natura dei dati, le aspettative degli interessati e il contesto in cui avviene il trattamento. Inoltre, è essenziale garantire che i principi di trasparenza, proporzionalità e la possibilità per gli interessati di opporsi a tale utilizzo siano rigorosamente rispettati.
Nella sentenza 77/21 la Corte di Giustizia sul tema ha affermato che tali criteri: “riflettono la necessità di un nesso concreto, logico e sufficientemente stretto tra le finalità della raccolta iniziale dei dati personali e l’ulteriore trattamento di tali dati, e consentono di assicurarsi che tale ulteriore trattamento non si discosti dalle legittime aspettative degli abbonati quanto all’ulteriore utilizzo dei loro dati. Tali criteri consentono (…) di inquadrare il riutilizzo di dati personali precedentemente raccolti garantendo un equilibrio tra, da un lato, la necessità di prevedibilità e di certezza del diritto riguardo alle finalità del trattamento di dati personali in precedenza raccolti e, dall’altro, il riconoscimento di una certa flessibilità a favore del titolare del trattamento nella gestione di tali dati, e contribuiscono così alla realizzazione dell’obiettivo consistente nell’assicurare un livello coerente ed elevato di protezione delle persone fisiche”.
Tale articolo dovrebbe essere letto, nella prospettiva dell’uso secondario congiuntamente con l’art. 5.1.b e con il considerando 50, secondo cui “) Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. Se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento, il diritto dell’Unione o degli Stati membri può stabilire e precisare le finalità e i compiti per i quali l’ulteriore trattamento è considerato lecito e compatibile. L’ulteriore trattamento a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. La base giuridica fornita dal diritto dell’Unione o degli Stati membri per il trattamento dei dati personali può anche costituire una base giuridica per l’ulteriore trattamento”
Per quanto riguarda le particolari categorie di dati, come quelli relativi alla salute, l’art. 9 del GDPR richiede si applichi una delle eccezioni previste dall’articolo stesso come il consenso, motivi di interesse pubblico rilevante nel settore della sanità pubblica o necessità per scopi di ricerca scientifica.
Gli ostacoli normativi all’uso secondario dei dati
In Italia, alcune disposizioni del Decreto Legislativo n. 196 del 2003, noto come il “Codice in materia di protezione dei dati personali,” sono particolarmente intrusive nel contesto dell’uso secondario dei dati. Tra queste, spiccano gli articoli 110 e 110-bis, che svolgono un ruolo chiave nella regolamentazione di questa pratica.
Il nodo del consenso
In particolare il trattamento dei dati a fini di ricerca medica secondo quanto stabilito dall’articolo 110 del Codice Privacy può essere condotto senza il consenso dell’interessato solo in alcune situazioni specifiche:
- Quando previsto da leggi specifiche e quando è stata effettuata e resa pubblica un’adeguata valutazione di impatto ovvero
- quando diventa impossibile informare gli interessati o risulta eccessivamente oneroso, o vi è il rischio di pregiudicare gli obiettivi della ricerca. In questo caso, è richiesto che siano adottate misure adeguate per proteggere i diritti e le libertà degli interessati, che il programma di ricerca abbia ricevuto un parere favorevole da parte del comitato etico competente e che sia stata effettuata una consultazione preventiva presso il Garante, come richiesto dall’articolo 36 del GDPR.
L’art. 110 sembra dunque non tenere conto della chiara situazione di squilibrio di potere tra il partecipante e il promotore/lo sperimentatore implica che il consenso non è “espresso liberamente” ai sensi del GDPR, come segnalato anche dall’EDPB nelle sue FAQ sulla sperimentazione clinica.
Questa complessità può essere attribuita in parte alla mancanza di coordinamento tra i nuovi regolamenti riguardanti la sperimentazione clinica e i dispositivi medici e il regolamento sulla protezione dei dati personali.
Infatti, il regolamento sulla sperimentazione clinica si concentra sul consenso per i casi in cui il promotore desidera trattare i dati della sperimentazione clinica “al di fuori di quanto previsto nel protocollo”, permettendo di raccogliere lo stesso contestualmente al informato per partecipare alla sperimentazione clinica. Tale consenso, tuttavia, non va confuso con quello, ben distinto, disciplinato dal GDPR, la cui validità ha caratteristiche ben più precise e vincolanti.
Il provvedimento nei confronti di “THIN”
Infatti nel provvedimento del 1 giugno 2023 nei confronti di “THIN”, il Garante infatti ha sostenuto che anche se il GDPR, nel Considerando n. 33, riconosce che non sempre è possibile definire pienamente le finalità del trattamento dei dati per la ricerca scientifica al momento della raccolta, ciò non autorizza a derogare ai principi noti di specificità e dettaglio del consenso. Pertanto, l’utilizzo di dati già precedentemente raccolti, richiedere un rinnovo del consenso degli interessati una volta che i protocolli delle future ricerche saranno stati approvati e le finalità del trattamento saranno state definite in modo specifico. Nei casi in cui non sia possibile “integrare” il consenso precedentemente ottenuto dagli interessati, sarà necessario richiedere una consultazione preventiva in base all’articolo 110 del Codice Privacy.
L’anonimizzazione per emanciparsi dal consenso
Una delle soluzioni al problema relativo alla validità e tenuta del meccanismo consenso-centrico previsto dal Codice per la protezione dei dati personali potrebbe essere l’adozione di adeguate tecniche di anonimizzazione che consentano di escludere l’identificabilità degli interessati
La problematicità dell’anonimizzazione ai sensi del GDPR è un aspetto fondamentale nella gestione dei dati personali e nella protezione della privacy. Sebbene l’anonimizzazione possa essere uno strumento utile per ridurre i rischi associati al trattamento dei dati personali, essa comporta alcune sfide significative. In particolare, dal parere 5/2014 dell’Art. 29 WP in poi gli standard per l’anonimizzazione sono stati sempre valutati rigidamente, richiedendo che i dati siano resi irrecuperabili in modo che non sia possibile identificare gli interessati direttamente o indirettamente.
A quasi dieci anni da tale parere, non sorprende che la decisione del Tribunale UE T-557/20, SRB v EDPS sia stata accolta con notevole entusiasmo dagli operatori del settore che da tempo aspettano che l’EDPB emani nuove e aggiornate linee guida. Tale decisione, infatti, prospetta una valutazione dell’anonimizzazione non in termini assoluti ma alla luce dell’effettiva identificabilità da parte del destinatario, in ragione della disponibilità di informazioni aggiuntive, degli scopi e di un generale principio di ragionevolezza.
Tuttavia, la crescente complessità delle tecniche di analisi dei dati e l’ampia disponibilità di fonti di informazioni pubbliche mettono costantemente in discussione l’efficacia dell’anonimizzazione. Ad esempio, la cosiddetta “ricomposizione” dei dati può consentire a terzi di ricollegare dati precedentemente anonimizzati a individui specifici, mettendo così a rischio la privacy. Questa situazione richiede un costante monitoraggio delle tecniche di anonimizzazione e una rigorosa valutazione dell’efficacia dell’anonimizzazione stessa.
L’interesse pubblico e l’uso secondario dei dati
L’articolo 6, paragrafo 1, lett. e) del GDPR include lo svolgimento di compiti di interesse pubblico tra le basi giuridiche per il trattamento dei dati personali. Ma cosa si intende con “interesse pubblico”?
L’interesse pubblico è un concetto ampio e può includere una vasta gamma di settori e obiettivi. Ad esempio, il trattamento dei dati personali può essere giustificato per scopi di salute pubblica, sicurezza nazionale, lotta contro il crimine, protezione dei diritti e delle libertà fondamentali, e altro ancora. Tuttavia, è fondamentale che il trattamento dei dati per fini di interesse pubblico rispetti i principi di proporzionalità e necessità. In altre parole, deve essere adeguato e limitato a ciò che è strettamente necessario per raggiungere l’obiettivo in questione.
Il successivo paragrafo 3 dell’art. 6 restringe il campo ai soli interessi pubblici che sia certificati dal diritto dell’Unione ovvero di uno Stato Membro. In tal senso, di notevole rilievo sono le modifiche apportate dal Decreto Capienze nel 2018 al Codice in materia di protezione dei dati personali che hanno ampliato il concetto di interesse pubblico in conformità con il GDPR, estendendo il novero degli atti che possono fondarlo.
Nella sua ultima formulazione l’art. 2-ter prevede che base giuridica secondo l’articolo 6, paragrafo 3, lettera b) del GDPR si fonda non solo su leggi e regolamenti ma anche su atti amministrativi generali. Inoltre, il trattamento dei dati personali da parte di amministrazioni pubbliche, società a controllo pubblico statale e gestori di servizi pubblici locali è consentito se è necessario per svolgere compiti di pubblico interesse o esercitare i poteri pubblici loro attribuiti. Questo deve essere fatto in modo da non pregiudicare i diritti e le libertà degli interessati, nel rispetto dell’articolo 6 del GDPR.
La modifica introdotta dal Decreto Capienze ha interessato anche le basi giuridiche previste dall’art. 9 del GDPR relative ai trattamenti di categorie particolari di dati personali effettuati per “motivi di interesse pubblico” nei settori della sanità pubblica, medicina del lavoro, archiviazione per pubblico interesse o per ricerca scientifica, storica o a fini statistici.
Anche in tal caso, l’interesse pubblico non è solo quello definito dal diritto dell’Unione Europea o dalle leggi nazionali ovvero dai regolamenti ma anche dagli atti amministrativi generali. Questi tuttavia dovranno specificare i tipi di dati che possono essere trattati, le operazioni consentite e il motivo di interesse pubblico rilevante. Inoltre, devono prevedere misure adeguate e specifiche per proteggere i diritti fondamentali e gli interessi degli interessati. In altre parole, questa norma stabilisce le condizioni e i requisiti per il trattamento dei dati personali in situazioni specifiche di pubblico interesse.
Il riconoscimento dell’interesse pubblico come base giuridica per il trattamento dei dati personali è di fondamentale importanza per garantire la flessibilità necessaria per scopi di rilevanza sociale, come la ricerca scientifica, l’istruzione e la sperimentazione
Le modifiche apportate al Codice in materia di protezione dei dati personali tramite il Decreto Capienze rappresentano un passo significativo, sebbene non risolutivo, verso l’allineamento con il GDPR e la promozione di scopi legittimi e di interesse pubblico nonché verso il superamento del mito del “consenso”.
Il DGA, l’Health Data Space e il futuro della strategia dei dati europea
Il Data Governance Act (DGA) fa parte del nuovo diritto europeo a supporto della strategia della digitalizzazione e della conseguente politica dei dati. Tale atto normativo si propone di disciplinare le basi fondative di un sistema di circolazione dei dati basato sulla fiducia. Di particolare rilevanza a tal proposito è la disciplina dei cd. Fornitori di servizi di intermediazione dei dati: soggetti “neutrali” che si propongono di consentire ai titolari dei dati e agli utenti degli stessi di instaurare rapporti commerciali volti a condividere i dati. Le figure che possono rientrare in tale definizione sono varie: data polls, marketplace of data, PIMS. Tale disciplina ha il pregio di creare modelli di gestione alternativi a quelli puramente proprietari, favorendo la condivisione, dirigendosi in particolare alle piccole e medie imprese.
Dall’altro lato, significativa è anche la disciplina sul riutilizzo dei dati “protetti” delle pubbliche amministrazioni che affianca il regime degli Open data dei dati pubblicamente disponibili.
La proposta di Regolamento sull’Health Data Space integra ulteriormente le previsioni con il DGA, mirando a creare a livello europeo un ecosistema dei dati sanitari fondato su regole, norme e prassi comuni non solo per l’uso primario ma anche per finalità di ricerca, innovazione e policy making. In particolare, l’uso secondario sarà consentito tramite autorizzazioni rilasciata da un organismo responsabili dell’accesso ai dati in ambienti sicuri di trattamento, in particolare attraverso l’applicazione di meccanismi di anonimizzazione.
Laddove il Data Governance Act, da poco entrato in vigore, rischia di non raggiungere i risultati sperati, a causa dell’assenza di chiare indicazioni su come coordinare lo stesso con il GDPR, l’European Health Data Space affronta direttamente tale aspetto – senza limitarsi ad un generico rinvio al rispetto delle normative in materia di protezione dei dati personali.
Infatti il considerando 37 chiarisce che lo stesso Regolamento proposto “fornisce la base giuridica in conformità dell’articolo 9, paragrafo 2, lettere g), h), i) e j), del GDPR per l’uso secondario dei dati sanitari, stabilendo le garanzie per il trattamento, in termini di finalità legittime, una governance affidabile per fornire l’accesso ai dati sanitari (attraverso organismi responsabili dell’accesso ai dati sanitari) e il trattamento in un ambiente sicuro, nonché modalità per il trattamento dei dati, stabilite nell’autorizzazione ai dati”.
Una volta approvato l’European Health Data Space, dunque, coloro che desiderano accedere all’uso secondario dei dati dovrebbero unicamente dimostrare una base giuridica, ai sensi dell’articolo 6 e, in particolare, la sussistenza di un interesse pubblico o legittimo.
L’Health Data Space nella sua prima bozza presenta scopi vietati e finalità perseguibili, tra le quali spiccano:
- attività di ricerca scientifica nel settore sanitario o dell’assistenza;
- attività di sviluppo e innovazione per prodotti o servizi che contribuiscono alla sanità pubblica o alla sicurezza sociale, oppure che garantiscono elevati livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici;
- attività di addestramento, prova e valutazione degli algoritmi, anche nell’ambito di dispositivi medici, sistemi di IA e applicazioni di sanità digitale, che contribuiscono alla sanità pubblica o alla sicurezza sociale, oppure che garantiscono elevati livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici;
- all’erogazione di un’assistenza sanitaria personalizzata che consiste nel valutare, mantenere o ripristinare lo stato di salute delle persone fisiche sulla base dei dati sanitari di altre persone fisiche.
Conclusioni
L’uso secondario dei dati, se gestito in modo responsabile, può portare a risultati positivi per operatori pubblici e privati e per la crescita e sviluppo della società nel suo complesso. Tuttavia, è necessario tenere presente le normative sulla protezione dei dati personali e valutare correttamente la presenza di una base giuridica, i ruoli dei trattamenti nonché i rischi.
Il futuro della strategia dei dati europea, come rappresentato dall’Health Data Space, dimostra come sia possibile conciliare l’innovazione con la protezione dei dati personali, aprendo la strada a un futuro in cui i dati possono essere un prezioso strumento per il progresso scientifico e tecnologico.
In conclusione, è evidente che, sebbene la protezione dei dati personali sia di fondamentale importanza, va evitato che la normativa – o, per meglio dire, una unilaterale e miope interpretazione della normativa – diventi un ostacolo per lo sviluppo della società e per il progresso
Sarebbe, dunque, auspicabile una modifica legislativa del Codice Privacy che permetta un maggiore margine di manovra per l’utilizzo dei dati a fini di ricerca. D’altra parte, una modifica in tal senso, permetterebbe di sfruttare, anche in Italia le possibilità previste dall’articolo 89 del GDPR offrendo una solida base giuridica per il trattamento dei dati personali e ponendo l’accento sull’interesse pubblico e sulla tutela dei diritti e delle libertà degli individui. .
Un’altra possibile modalità che potrebbe servire a dipanare i dubbi relativi all’utilizzo dei dati sanitari, sarebbe dare finalmente esecuzione all’art. 2 septies del Codice privacy, emanando le misure di garanzia per il trattamento di dati genetici, biometrici e relativi alla salute. D’altra parte, è proprio l’art. 2-septies a stabilire che tali misure dovrebbero integrare gli indirizzi dell’EDPB e allo stesso tempo tenere conto dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure e dell’interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea.
In particolare con riferimento ai dati sanitari, una lettura orientata costituzionalmente, alla luce dell’articolo 32 della Costituzione, ci ricorda l’importanza di bilanciare il diritto all’individuo con l’interesse della collettività. L’utilizzo di dati parziali e non rappresentativi, infatti, danneggia in ultima analisi la collettività, portando a conclusioni parziali o a previsioni meno accurate. .
La mancanza di chiarezza e le incertezze relative alla legittimità di tali trattamenti sotto il profilo della protezione dei dati personali rappresentano un costo che inibisce alle piccole e medie imprese di beneficiare dei vantaggi della libera circolazione dei dati e allo stesso tempo allontana gli investimenti di capitali stranieri.
