Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board, EDPB), con le sue Linee Guida 03/2020[1], è intervenuto a disciplinare il trattamento dei dati relativi alla salute per finalità di ricerca scientifica, in un momento storico in cui tutti gli sforzi dei ricercatori convergono verso una soluzione definitiva del problema Covid-19, andando a dipanare quelle che sono le zone grigie che possono dare atto a problemi e fraintendimenti.
Vediamo quelli che sono i punti più importanti affrontati dall’EDPB.
Le basi giuridiche: il consenso
Tutti i trattamenti di dati personali relativi alla salute devono essere conformi ai principi applicabili di cui all’Art. 5 GDPR, nonché a una delle condizioni di liceità di cui agli Artt. 6 e 9 GDPR.
Tra le basi giuridiche applicabili alla ricerca scientifica, il consenso svetta su tutte. L’EDPB specifica che il consenso dell’interessato, raccolto ai sensi dell’Art. 6.1 lett. a) e dell’Art. 9.2 lett. a) GDPR, può fornire una base giuridica valida per il trattamento dei dati relativi alla salute nel contesto del Covid-19. Tuttavia, puntualizza l’Autorità europea, devono essere soddisfatte tutte le condizioni per l’ottenimento di un consenso esplicito. Inoltre, il consenso deve essere prestato liberamente e deve essere specifico, informato e inequivocabile, espresso mediante una dichiarazione o un “atto positivo inequivocabile”.
L’EDPB puntualizza che, come indicato al considerando 43 GDPR, “è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento”; è quindi importante che l’interessato non sia sottoposto a pressioni e non subisca svantaggi se decide di non dare il proprio consenso. Nel caso, ad esempio, di un’indagine che viene condotta nell’ambito di uno studio non interventistico su una determinata popolazione, alla ricerca di sintomi e per l’analisi del progresso di una malattia, per l’elaborazione dei dati relativi alla salute i ricercatori possono chiedere il consenso della persona interessata alle condizioni previste dall’Art. 7 del GDPR. Secondo l’EDPB, questo esempio non è considerato un caso di “evidente squilibrio” di potere. Nell’esempio, le persone interessate non si trovano in una situazione di “dipendenza” dai ricercatori che potrebbe influenzare in modo inappropriato l’esercizio della loro libera volontà ed è anche chiaro che non vi saranno conseguenze negative se rifiutano di dare il loro consenso. Tuttavia, i ricercatori devono essere consapevoli del fatto che, se il consenso viene utilizzato come base giuridica per il trattamento, deve esserci la possibilità per le persone di “revocare il proprio consenso in qualsiasi momento” ai sensi dell’Art. 7.3 GDPR. Se il consenso viene ritirato, tutte le operazioni di trattamento dei dati che erano basate sul consenso rimangono lecite ai sensi del GDPR; tuttavia il titolare del trattamento deve interrompere il trattamento in questione e, se non vi sono altre basi giuridiche che giustifichino la conservazione per un ulteriore trattamento, i dati devono essere cancellati.
I principi del trattamento
L’EDPB specifica che i principi applicabili al trattamento dei dati personali di cui all’Art. 5 GDPR devono essere rispettati tanto dal titolare che dal responsabile del trattamento, considerando che nel contesto di una ricerca scientifica può essere trattata una grande quantità di dati personali.
Trasparenza e informazioni all’interessato
L’EDPB specifica che il principio della trasparenza esige che i dati personali siano trattati in modo corretto e trasparente nei confronti dell’interessato. Un principio che è fortemente connesso agli obblighi di informazione ai sensi degli Artt. 13 e 14 GDPR. In generale, l’interessato deve essere informato individualmente dell’esistenza del trattamento e del fatto che i dati personali (relativi alla salute) sono trattati per scopi scientifici. Le informazioni fornite all’interessato, ribadisce l’EDPB, devono contenere tutti gli elementi di cui agli Artt. 13 e 14 GDPR.
Per l’EDPB i ricercatori trattano spesso dati relativi alla salute che non hanno ottenuto direttamente dalla persona interessata, ad esempio utilizzando dati provenienti da cartelle cliniche o dati di pazienti di altri paesi. Pertanto, l’Autorità vuole focalizzarsi sull’Art. 14 GDPR, in quanto determinante nel contesto in esame.
Quando i dati personali non siano stati ottenuti presso l’interessato, l’Art. 14.3 lett. a) GDPR stabilisce che il titolare del trattamento deve fornire le informazioni “entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati”. Nel contesto attuale, va osservato in particolare che, ai sensi dell’Art. 14.4 GDPR, “Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità […]”. In caso di ulteriore trattamento di dati per finalità scientifiche e tenendo conto della “sensibilità” dei dati trattati, un’adeguata “salvaguardia” ai sensi dell’Art. 89.1 GDPR, consiste nel fornire le informazioni all’interessato entro un periodo di tempo ragionevole prima dell’attuazione del nuovo progetto di ricerca. Ciò consente all’interessato di venire a conoscenza del progetto di ricerca e gli consente di esercitare i suoi diritti in anticipo. Tuttavia, l’Art. 14.5 GDPR prevede quattro esenzioni dall’obbligo di informazione. Nel contesto attuale di Covid-19, specifica l’EDPB, l’esenzione di cui all’Art. 14.5 lett. b) (“comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato”) e c) (“l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato”) GDPR sono di particolare rilevanza, soprattutto per affrontare l’obbligo di informazione di cui all’Art. 14.4 GDPR.
L’EDPB sottolinea che il WP29 nelle sue Linee Guida in materia di trasparenza[2] ha già sottolineato che una situazione in cui sia impossibile fornire le informazioni è una situazione di “o tutto o niente”, perché qualcosa o è impossibile o non lo è: non ci sono “gradi” di impossibilità. Pertanto, se un titolare del trattamento dei dati cerca di avvalersi di tale esenzione, deve dimostrare gli elementi che gli impediscono effettivamente di fornire le informazioni in questione agli interessati. Se, dopo un certo periodo di tempo, gli elementi che hanno determinato l’impossibilità non esistono più, e diventa possibile fornire le informazioni agli interessati, il titolare del trattamento deve farlo immediatamente. In pratica, a detta dell’EDPB, ci saranno pochissime situazioni in cui un titolare del trattamento potrà dimostrare che è effettivamente impossibile fornire le informazioni agli interessati.
Per quanto attiene lo “sforzo sproporzionato” il considerando 62 GDPR fa riferimento al numero di interessati, all’antichità dei dati e a eventuali garanzie adeguate in essere come possibili fattori indicativi. Riprendendo le Linee Guida del WP29 sulla trasparenza, l’EDPB raccomanda che il titolare del trattamento effettui un esercizio di bilanciamento per valutare lo sforzo necessario per fornire le informazioni agli interessati rispetto all’impatto e agli effetti sull’interessato qualora non riceva le informazioni. Esempio: un numero elevato di persone interessate e la mancanza di informazioni relative ai loro contatti potrebbe essere considerato uno sforzo sproporzionato. Per potersi avvalere di tale eccezione, il titolare del trattamento deve dimostrare che il conferimento delle informazioni di cui all’Art. 14.1, di per sé renderebbe impossibile o comprometterebbe gravemente il raggiungimento delle finalità del trattamento.
L’Art. 14.5 lett. c) GDPR consente una deroga agli obblighi di informazione di cui all’Art. 14 pp. 1, 2 e 4, nella misura in cui “l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato. L’EDPB ricorda che il titolare del trattamento deve essere in grado di dimostrare in che modo il diritto in questione si applica nei loro confronti e impone loro di ottenere o comunicare i dati personali in questione.
Limitazione della finalità e non incompatibilità
Ai sensi dell’Art. 5.1 lett. b) GDPR, i dati sono “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”. Tuttavia, tale “presunzione di compatibilità” stabilisce che “un ulteriore trattamento dei dati personali a fini […] di ricerca scientifica […] non è, conformemente all’Art. 89, paragrafo 1, considerato incompatibile con le finalità iniziali”. L’Art. 89.1 GDPR stabilisce che il trattamento dei dati a fini di ricerca “è soggetto a garanzie adeguate” e che “Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo”. Di conseguenza, tenuto conto della natura “sensibile” dei dati relativi alla salute e dei rischi connessi al riutilizzo di tali dati a fini di ricerca scientifica, devono essere adottate misure rigorose per garantire un livello di sicurezza adeguato, come richiesto dall’Art. 32 GDPR.
Minimizzazione dei dati
Nella ricerca scientifica, la minimizzazione dei dati può essere ottenuta attraverso l’obbligo di specificare le domande di ricerca e di valutare il tipo e la quantità di dati necessari per rispondere correttamente a queste domande di ricerca. Quali dati sono necessari dipende dallo scopo della ricerca, anche quando la ricerca ha carattere esplorativo; inoltre la ricerca dovrebbe sempre rispettare il principio di limitazione della finalità. Specifica l’EDPB che i dati devono essere resi anonimi quando è possibile effettuare la ricerca scientifica con l’utilizzo di soli dati anonimi. Inoltre, sono fissati periodi di conservazione proporzionati. Come stabilito dall’Art. 5.1 lett. e) GDPR, i dati sono “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’Art. 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato”. Per definire i periodi di conservazione (tempistiche), occorre tener conto di criteri quali la durata e lo scopo della ricerca. Va notato che le disposizioni nazionali possono stabilire anche norme relative al periodo di conservazione.
Integrità e riservatezza
Come già affermato, categorie particolari di dati come quelli relativi alla salute meritano una maggiore protezione in quanto il loro trattamento può avere un impatto negativo sulle persone interessate. Questa considerazione vale in particolare per la pandemia del Covid-19, poiché il prevedibile riutilizzo dei dati relativi alla salute per scopi scientifici porta a un aumento del numero e del tipo di soggetti che trattano tali dati. Va notato che il principio di integrità e riservatezza deve essere letto in combinato disposto con i requisiti dell’Art. 32.1 e dell’Art. 89.1 GDPR. Le disposizioni citate devono essere pienamente rispettate. Pertanto, considerati gli elevati rischi, devono essere attuate adeguate misure tecniche e organizzative adeguate a garantire un sufficiente livello di sicurezza.
Tali misure dovrebbero consistere almeno nella pseudonimizzazione, in crittografia, in accordi di non divulgazione e in una rigorosa distribuzione dei ruoli di accesso ai dati. Le disposizioni nazionali possono stabilire requisiti tecnici concreti o altre misure di salvaguardia come il rispetto delle norme sul segreto professionale. Inoltre, è necessario effettuare una valutazione d’impatto sulla protezione dei dati ai sensi dell’Art. 35 GDPR quando il trattamento è suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone fisiche. L’EDPB sottolinea anche l’importanza dei DPO, i quali devono essere consultati in merito al trattamento dei dati sanitari ai fini della ricerca scientifica nel contesto dell’epidemia Covid-19. Infine, le misure adottate per proteggere i dati dovrebbero essere adeguatamente documentate nei registri delle attività di trattamento.
L’esercizio dei diritti
In linea di principio, situazioni come l’attuale pandemia di Covid-19 non sospendono o limitano la possibilità degli interessati di esercitare i loro diritti ai sensi degli Artt. da 12 a 22 GDPR. Tuttavia, l’Art. 89.2 GDPR consente al legislatore nazionale di limitare (in parte) i diritti dell’interessato. Per questo motivo, le limitazioni dei diritti delle persone interessate possono variare a seconda della legislazione interna dei singoli Stati Membri UE. Inoltre, alcune restrizioni dei diritti degli interessati possono essere basate direttamente sul GDPR, come la restrizione del diritto di accesso ai sensi dell’Art. 15.4 GDPR e la restrizione del diritto di cancellazione ai sensi dell’Art. 17.3 lett. d) GDPR. Alla luce della giurisprudenza della Corte di Giustizia dell’Unione Europea, tutte le limitazioni dei diritti degli interessati devono essere applicate solo nella misura strettamente necessaria.
Trasferimento all’estero dei dati e l’interesse pubblico
Nell’ambito della ricerca scientifica, e in particolare nel contesto della pandemia Covid-19, l’EDPB ritiene ci possa essere la necessità di una cooperazione internazionale che può anche implicare trasferimenti internazionali di dati relativi alla salute per fini di ricerca scientifica al di fuori dell’Unione Europea e dello Spazio Economico Europeo. In questo caso il titolare del trattamento ha l’obbligo di conformarsi a quanto stabilito dal Capo V del GDPR. Oltre all’obbligo di conformarsi al principio di trasparenza, chi trasferisce i dati all’estero è tenuto ad informare gli interessati di questa scelta. Ciò comprende il portare a conoscenza dell’interessato dell’esistenza o meno di una decisione di adeguatezza da parte della Commissione Europea, ovvero se il trasferimento si basa su una delle garanzie adeguate di cui all’Art. 46 GDPR oppure su una deroga prevista dall’Art. 49.1 GDPR. Tale obbligo esiste indipendentemente dal fatto che i dati personali siano stati ottenuti direttamente presso l’interessato o meno. In generale, nel valutare come affrontare tali condizioni per i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, chi trasferisce i dati dovrebbe valutare i rischi per i diritti e le libertà degli interessati di ogni trasferimento e favorire soluzioni che garantiscano agli interessati la protezione continua dei loro diritti fondamentali e delle loro garanzie per quanto riguarda il trattamento dei loro dati, anche dopo il trasferimento. Questo sarà il caso dei trasferimenti verso paesi con un livello di protezione adeguato, o in caso di utilizzo di una delle garanzie appropriate incluse nell’Art. 46 GDPR, che garantisca agli interessati la possibilità di far valere i loro diritti e di disporre di mezzi di ricorso efficaci. In assenza di una decisione di adeguatezza o di garanzie adeguate ai sensi, l’Art. 49 GDPR prevede alcune situazioni specifiche in cui i trasferimenti di dati personali possono avvenire in via eccezionale. Siamo dinanzi a deroghe alla “regola generale” che, pertanto, devono essere interpretate in modo restrittivo e caso per caso.
All’attuale crisi Covid-19, possono essere applicate quelle di cui all’Art. 49.1 lett. d) (“trasferimento necessario per importanti motivi di interesse pubblico”) e lett. a) (consenso esplicito). In questo contesto, l’EDPB ritiene che la lotta contro il Covid-19 sia stata riconosciuta dall’Unione Europea e dalla maggior parte dei suoi Stati membri come un importante interesse pubblico, che può richiedere un’azione urgente nel campo della ricerca scientifica (ad esempio per identificare i trattamenti sanitari e/o sviluppare vaccini) e può anche comportare trasferimenti verso paesi terzi o organizzazioni internazionali.
Non solo le autorità pubbliche, ma anche gli enti privati che svolgono un ruolo nel perseguire tale interesse pubblico (ad esempio, un istituto di ricerca universitario che coopera allo sviluppo di un vaccino nel contesto di un partenariato internazionale) potrebbero, nell’attuale contesto pandemico, fare affidamento alla deroga di cui sopra. Inoltre, in alcune situazioni, in particolare quando i trasferimenti sono effettuati da soggetti privati a fini di ricerca medica finalizzata alla lotta contro la pandemia Covid-19, tali trasferimenti di dati personali potrebbero avvenire, in alternativa, anche sulla base del consenso esplicito degli interessati. Le autorità pubbliche e gli enti privati possono, nel contesto dell’attuale pandemia, quando non è possibile fare affidamento su una decisione di adeguatezza ai sensi dell’Art. 45.3 GDPR o su garanzie adeguate ai sensi dell’Art. 46 GDPR, avvalersi delle deroghe applicabili di cui sopra, principalmente come misura temporanea dovuta all’urgenza della situazione sanitaria a livello globale. Infatti, se la natura della crisi Covid-19 può giustificare il ricorso alle deroghe applicabili per i trasferimenti iniziali effettuati a fini di ricerca in questo contesto, i trasferimenti “ripetitivi” di dati verso paesi terzi che fanno parte di un progetto di ricerca di lunga durata a questo riguardo dovrebbero essere inquadrati con adeguate salvaguardie ai sensi dell’Art. 46 GDPR. Infine, va osservato che tali trasferimenti dovranno prendere in considerazione, caso per caso, i rispettivi ruoli (titolare del trattamento, responsabile del trattamento, contitolare del trattamento) e i relativi obblighi dei soggetti coinvolti (sponsor, sperimentatore) al fine di individuare le misure appropriate per inquadrare il trasferimento di dati all’estero.
- Il testo delle Linee Guida è disponibile al link che segue. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf ↑
- Guidelines on Transparency under Regulation 2016/679 (wp260rev.01) – https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227 ↑
