Ricerca medica e trattamento dati personali

La modifica dell’art. 110 Codice privacy e il decreto IA

di Michele Di Salvo

L’art. 110 del Codice della privacy costituisce la principale base normativa per il trattamento di dati personali nell’ambito della ricerca medica.

Il legislatore ne ha proposto una modifica: “per i trattamenti di dati personali relativi alla salute a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, in assenza di una norma di legge e quando non è possibile acquisire il consenso degli interessati, in quanto a causa di particolari ragioni, informarli risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, al titolare del trattamento non è più richiesto di consultare preventivamente il Garante, ai sensi dell’art. 36 del Regolamento (UE) 2016/679 (“GPDR”), ma di osservare le garanzie che l’Autorità è ora chiamata a individuare ai sensi dell’art. 106, comma 2, lett. d) del Codice (cfr. art. 44, comma 1-bis della legge 29 aprile 2024, n. 56)

Lo strumento prescelto non è una legge ad hoc, semmai a seguito di un ampio e articolato dibattito e confronto, ma una legge di conversione del decreto-legge 2 marzo 2024, n. 19, recante disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR) nel contesto a sua volta delle linee guida sull’uso della IA.

L’art. 110 del Codice, nella formulazione antecedente alla modifica operata dal d.lgs. 10 agosto 2018, n. 101 per l’adeguamento al GDPR, prevedeva che i titolari del trattamento promotori di studi clinici (necessariamente di natura retrospettiva) per la realizzazione dei quali risultava necessario arruolare soggetti deceduti o non contattabili -con la conseguente impossibilità di acquisirne il consenso-, dovessero preventivamente richiedere l’autorizzazione del Garante, ai sensi dell’allora vigente art. 40 del Codice, fermo l’obbligo di ottenere altresì il parere favorevole del comitato etico territorialmente competente. L’art. 40 del Codice consentiva che le autorizzazioni potessero essere sostituite da atti di carattere generale relativi a determinate categorie di titolari o di trattamenti.

L’Autorità aveva quindi prontamente adottato l’Autorizzazione generale n. 9/2016 al trattamento dei dati personali effettuato per scopi di ricerca scientifica del 15 dicembre 2016, rispettando i contenuti della quale i titolari del trattamento risultavano esonerati dell’onere di preventive richieste al Garante.

L’evoluzione della disciplina, nell’ottica dell’approccio basato sul rischio e, in particolare, del principio di accountability, ha innovato questa impostazione, affidando alle autorità garanti principalmente ruoli di promozione della consapevolezza e conoscenza della normativa di settore e di controllo.

Nella prima riscrittura dell’art. 110 Codice, all’indomani dell’entrata in vigore del Regolamento, la richiesta di autorizzazione è stata sostituita con l’obbligo di consultare preventivamente il Garante ai sensi dell’art. 36 GDPR, prevedendo anche una specifica sanzione amministrativa per i titolari inadempienti, ai sensi dell’art. 166 del Codice.

I promotori degli studi clinici che in qualità di titolari ritenevano necessario il trattamento di dati sulla salute riferiti a soggetti deceduti o non contattabili, in assenza di altri presupposti normativi, dovevano quindi, presentare al Garante per la liceità dei trattamenti un’istanza di consultazione preventiva avente ad oggetto non solo il protocollo dello studio (per una chiara definizione, in particolare, dello scopo del trattamento) ma -come è proprio nell’ambito di tale istituto- la valutazione di impatto sulla protezione dei dati, svolta ai sensi dell’art. 35 GDPR, sui quali il Garante era chiamato ad esprimere un parere ai sensi dell’art. 36 del Regolamento.

Se l’art. 110 del Codice si colloca nello spazio di normazione di cui all’art. 9, par 2, lett. j) GDPR, questo specifico adempimento poteva considerarsi quale ulteriore condizione per il trattamento dei dati sulla salute, ai sensi dell’art. 9, par. 4 GDPR.

Pur essendo stata l’occasione per il Garante di fornire, negli oltre 30 provvedimenti adottati ai sensi dell’art. 110 del Codice nel corso di questi 6 anni, indicazioni utili per il trattamento dei dati personali in ambito di ricerca in campo medico, biomedico epidemiologico, la disposizione è stata sin da subito invisa agli operatori del settore.

La consultazione preventiva del Garante è stata percepita, infatti, come un pesante adempimento burocratico per il trattamento dei dati, utile solo a rallentare la ricerca minando la competitività dell’Italia a livello comunitario e internazionale in tale settore. Ciò con degli effetti ancor più sgraditi vista la rilevanza degli studi retrospettivi nel nostro paese, favorita dalla ricchezza del patrimonio informativo del quale dispongono le strutture ospedaliere in forza della specifica policy di conservazione, sine die, delle cartelle cliniche (Circolare del Ministero della sanità del 19 dicembre 1986 n. 900).

La recente modifica dell’art. 110 del Codice, contribuendo a completarne l’evoluzione nel segno dell’accountability, rappresenta un’importante misura di semplificazione nel settore della ricerca medica.

Con un tempismo (casualmente o volutamente) appropriato, la novella è intervenuta allorquando il Garante sembra avere dato, attraverso i citati pareri ex art. 110 del Codice, un novero significativo di indicazioni per il trattamento dei dati personali in ambito di ricerca medica, intervenendo con elevato grado di dettaglio rispetto a siffatti trattamenti secondari di dati, anche in coerenza con la rinnovata attenzione dedicata, anche sotto la spinta propulsiva della pandemia da Covid-19, a questo settore dal Garante europeo (EDPS), e dal Comitato europeo per i dati personali (EDPB).

La novella tuttavia non “liberalizza” del tutto ma affida al Garante il compito di individuare specifiche garanzie per il trattamento dei dati quando si può prescindere dal consenso degli interessati, secondo quanto previsto dall’art. 106, comma 2, lett. d) del Codice. Tali garanzie dovranno quindi essere definite nell’ambito delle Regole deontologiche che il Garante è chiamato a promuovere.

L’art. 89 del Regolamento è la disposizione specificamente dedicata al settore della ricerca scientifica. Con una formulazione non dissimile da quella di cui all’art. 25 GDPR, sull’obbligo di protezione dei dati sin dalla progettazione e per impostazione predefinita, o dell’art. 32 GDPR, sulla sicurezza dei trattamenti, che potrebbe farlo apparire quasi ridondante, fornisce le coordinate per il trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

L’art. 89 del GDPR è una norma priva (di per sé sola) di presidio sanzionatorio, che svolge quindi una funzione prettamente interpretativa fornendo, in primo luogo, ai titolari del trattamento e poi agli Stati membri, le leve sulle quali gravare per un equo bilanciamento tra protezione dei dati personali e libertà di ricerca, plasticamente rinvenibili nell’anonimizzazione, pseudonimizzazione e minimizzazione dei dati.

Atteso che l’anonimizzazione dei dati fa necessariamente cessare ogni dibattito sulle norme in materia di protezione dei dati personali, si segnala come alla luce dell’art. 89, par. 1 GDPR la minimizzazione dei dati, in particolare attraverso la loro pseudonimizzazione, costituisca la chiave per garantire l’effettiva applicazione dei principi in materia di protezione dei dati personali nel settore in esame, con l’effetto che la discrezionalità per il titolare del trattamento di ricorrere o meno a tale tecnica si riduce sensibilmente.

Se è vero che le garanzie a tutela dell’effettiva applicazione dei principi in materia di protezione dei dati personali devono e possono spingersi non oltre il limite nell’ambito del quale resta garantita la funzionalità dei dati per la realizzazione degli scopi (in tale caso di ricerca medica) ai quali sono finalizzati, potrebbe ora risultare altresì vero che le nuove Regole deontologiche, rappresentano in questo momento storico la sede opportuna per l’individuazione di misure concretamente efficaci sia alla tutela dei diritti e delle libertà fondamentali degli interessati che al perseguimento di scopi di ricerca, come e più di quanto non abbiano fatto le Autorizzazioni, prima, e le consultazione preventiva del Garante, poi.

Quanto detto si incastra nella quasi contestuale vicenda dispositiva in cui rientra il disegno di legge n. 1066AS con titolo “Norme per lo sviluppo e l’adozione di tecnologie di intelligenza artificiale”.

Il ddl è solo il primo, nelle intenzioni del Governo, di una serie di provvedimenti specifici di attuazione di deleghe che il Governo dovrà attuare in 12 mesi.

Le disposizioni dell’art. 8 denotano il tentativo di rimuovere alcuni degli ostacoli che il quadro normativo attuale pone rispetto all’utilizzo di dati sanitari per finalità di ricerca scientifica. Si prevede tra l’altro che i soggetti no-profit siano legittimati all’uso secondario di dati personali, anche di categorie particolari, già raccolti in occasione di precedenti progetti di ricerca, senza la necessità di richiedere agli interessati un ulteriore consenso.

Naturalmente si tratta di un testo destinato ad essere discusso e rivisto in sede parlamentare ma si possono comunque evidenziare, per un verso, dei profili di incompatibilità con le previsioni del GDPR e, per altro verso, un vuoto con riguardo all’attività di ricerca scientifica da parte di organizzazioni con scopo di lucro.

Si pone, inoltre, un problema di coordinamento con le previsioni in materia di ricerca scientifica in ambito sanitario, contenute nella legge di conversione del cosiddetto decreto PNRR, approvata in via definitiva proprio il 23 aprile (lo stesso giorno della approvazione del DDL IA), e volte ad emendare l’articolo 110 del d.lgs. n. 196/2003 (Codice Privacy).

Tali disposizioni, tra l’altro, fanno venire meno come abbiamo visto l’obbligo di consultazione preventiva del Garante nel caso di trattamento di dati relativi alla salute, in assenza del consenso dell’interessato, a fini di ricerca scientifica in campo medico.

Il vero nodo relativo a questa normativa generale è che viene taciuto ogni riferimento alla norvativa sulla gestione dei dati da parte delle società profit.