Il 10 marzo 2026 l’EDPB e l’EDPS hanno adottato la Joint Opinion 3/2026 sulla proposta di Regolamento europeo sulle biotecnologie — il cosiddetto European Biotech Act (COM(2025) 1022 final/2).
Documento che vale la pena leggere con attenzione non soltanto perché contiene raccomandazioni tecniche puntuali, ma perché segnala un cambio di paradigma nel modo in cui le autorità di protezione dei dati europee si rapportano all’innovazione biomedica.
Sembra onestamente che il vento stia cambiando.
In relazione alla protezione dei dati infatti la Proposta contiene novità di tutto rilievo, stabilendo per le sperimentazioni cliniche il superamento del consenso come base giuridica, il riconoscimento di una unica base giuridica armonizzata per tutti gli Stati, la possibilità di trattamento ulteriore dei dati dopo la sperimentazione e, finalmente, il divieto agli Stati membri di aggiungere condizioni ulteriori ai sensi dell’art. 9, par. 4 GDPR.
Su questa visione innovativa, il tono della Joint Position è costruttivo e propositivo: EDPB e EDPS non si limitano a segnalare rischi ma appoggiano l’obiettivo della Proposta, ne sostengono l’impostazione di fondo e formulano suggerimenti tecnici per rafforzarla. Una posizione che rispecchia gli impegni della Helsinki Statement del luglio 2025 e che, per chi opera nel life science digitale, ha implicazioni concrete e immediate.
Vediamo allora le novità partendo da una breve analisi del Biotech Act per poi vedere cosa cambierà nel mondo dei dati.
Indice degli argomenti
Il Biotech Act: cos’è e perché nasce
Il 16 dicembre 2025 la Commissione europea ha presentato la Proposta di Regolamento che istituisce un quadro per il rafforzamento dei settori della biotecnologia e della biofabbricazione nell’UE, in particolare nel settore della salute — COM(2025) 1022 final/2, CELEX 52025PC1022.
È il primo atto legislativo europeo dedicato in modo organico alle biotecnologie sanitarie, e uno dei più ambiziosi della Commissione von der Leyen II.
Il quadro nel quale si muove la proposta è preciso: l’UE produce ricerca di eccellenza, ma fatica a trasformarla in prodotti competitivi; il divario con Stati Uniti e Cina nel settore biotech è significativo e in crescita; la Proposta vuole correggerlo agendo su più fronti contemporaneamente: accesso ai finanziamenti, semplificazione normativa, uso dell’intelligenza artificiale nel ciclo di vita dei medicinali, rafforzamento della biosicurezza.
I regolamenti modificati dalla proposta
Sul piano tecnico, la Proposta modifica ben sei regolamenti vigenti:
– Reg. (CE) n. 178/2002 (sicurezza alimentare)
– Reg. (CE) n. 1394/2007 (ATMP — medicinali per terapie avanzate)
– Reg. (UE) n. 536/2014 (sperimentazioni cliniche — CTR)
– Reg. (UE) 2019/6 (medicinali veterinari)
– Reg. (UE) 2024/795 e Reg. (UE) 2024/1938 (sostanze di origine umana — SoHO)
Le modifiche al Reg. (UE) n. 536/2014 sono quelle di maggiore rilievo per chi si occupa di protezione dei dati.
La Joint Position propone infatti di sostituire integralmente l’art. 93 CTR, introducendo una disciplina organica e armonizzata del trattamento dei dati nelle sperimentazioni. Un terreno che, fino ad oggi, ha sofferto di una frammentazione profonda: basi giuridiche diverse, ruolo del consenso interpretato in modo difforme, garanzie aggiuntive imposte da ciascuno Stato membro in autonomia.
Il 18 dicembre 2025 la Commissione ha formalmente consultato EDPB e EDPS ai sensi dell’art. 42, par. 2 EUDPR (Reg. (UE) 2018/1725). Il Parere congiunto 3/2026, adottato il 10 marzo 2026, è il risultato di quella consultazione.
Analisi della Joint Opinion
Vediamo allora più nel dettaglio il “nuovo” art. 93 contenuto nella proposta e le raccomandazioni che il Parere congiunto 3/2026 suggerisce al legislatore comunitario.
La base giuridica nelle sperimentazioni cliniche
La base giuridica
L’art. 93 par. 1 e 2 fissano una lista tassativa di finalità per cui sponsor e sperimentatori sono tenuti a trattare i dati personali sanitari. Per gli sponsor (par. 1): presentazione delle domande di autorizzazione, conduzione delle attività di ricerca secondo il protocollo, segnalazioni di sicurezza, registrazione e conservazione delle informazioni, archiviazione, trasmissione dei risultati al portale UE. Per gli sperimentatori (par. 2): attività di ricerca, segnalazioni di sicurezza, registrazione, archiviazione.
Il trattamento è configurato come obbligo giuridico ex art. 6, par. 1, lett. c), GDPR, non come attività fondata sul consenso.
Il Parere congiunto 3/2026 accoglie con favore questa scelta (par. 8), e aggiunge tre raccomandazioni migliorative:
– revoca del consenso informato possano continuare ad essere utilizzati, con garanzie aggiuntive per i partecipanti vulnerabili (soggetti incapaci, minori, situazioni di emergenza) (par. 14).
Il par. 3 obbliga sponsor e sperimentatori a mettere a disposizione i dati personali alle autorità competenti degli Stati membri per la vigilanza (art. 78 CTR) e alla Commissione per i controlli (art. 79 CTR).
Il Parere congiunto interviene con una raccomandazione di principio, fondata sul canone della minimizzazione: l’accesso ai dati dei partecipanti deve avvenire solo nella misura necessaria all’esercizio delle funzioni delle autorità. Quando possibile, i dati devono essere condivisi in formato pseudonimizzato — in linea con le Linee guida EDPB 01/2025 sulla pseudonimizzazione (par. 17). Il Parere suggerisce inoltre di inserire in un considerando esempi concreti delle situazioni in cui l’accesso a dati direttamente identificabili si rende necessario: una specificazione che aumenterebbe la prevedibilità della norma, come richiesto dall’art. 52, par. 1 della Carta dei diritti fondamentali UE.
Biotech Act e titolarità dei dati
Il paragrafo 4 dell’art. 93 designa sponsor e sperimentatori come titolari del trattamento ai sensi dell’art. 4, par. 7 GDPR.
Il Parere accoglie con favore questa designazione esplicita nel dispositivo normativo, coerente con la giurisprudenza della CGUE: la designazione legislativa di un titolare è valida se le finalità e le modalità del trattamento derivano con sufficiente certezza dal ruolo conferito dalla legge stessa (CGUE, 27 febbraio 2025, Amt der Tiroler Landesregierung c. Datenschutzbehörde, C-638/23, ECLI:EU:C:2025:127, punti 28 e 37; CGUE, 11 gennaio 2024, État belge c. Autorité de protection des données, C-231/22, ECLI:EU:C:2024:7, punto 30).
Il Parere solleva però due criticità pratiche che i colegislatori sono invitati a risolvere.
I nodi tra sponsor, sperimentatori e contitolarità
- Sponsor e sperimentatori: titolari indipendenti o contitolari? Quando sponsor e sperimentatori determinano congiuntamente finalità e modalità del trattamento, devono essere considerati contitolari ai sensi degli artt. 4, par. 7 e 26 GDPR, con obbligo di accordo scritto sulla ripartizione delle responsabilità. Lo stesso vale per i co-sponsor ai sensi dell’art. 72 CTR (par. 22-23).
- lo sperimentatore individuale come titolare? Il termine “sperimentatore” ex art. 2, par. 15 CTR indica la persona fisica responsabile della conduzione della sperimentazione — spesso un medico che opera all’interno di una struttura. Qualificarlo come titolare del trattamento lo rende personalmente responsabile della compliance al GDPR. Il Parere invita i colegislatori a valutare se non sia più corretto attribuire la titolarità all’organizzazione — il centro di sperimentazione clinica — di cui lo sperimentatore fa parte (par. 25).
Il periodo di conservazione: 25 anni, ma solo per il fascicolo principale
Il paragrafo 5 collega la conservazione dei dati all’art. 58 CTR, che prevede un periodo minimo di 25 anni dalla conclusione della sperimentazione per il contenuto del fascicolo principale.
La raccomandazione del Parere è di precisione terminologica, ma ha conseguenze operative rilevanti: i 25 anni si applicano esclusivamente ai dati contenuti nel fascicolo principale, non a tutti i dati personali trattati nel corso della sperimentazione (par. 26). Una distinzione importante per calibrare correttamente le politiche di data retention. Decorso il termine minimo, il principio di limitazione della conservazione ex art. 5, par. 1, lett. e), GDPR torna pienamente applicabile: i dati non devono essere tenuti più a lungo del necessario (par. 27).
L’ulteriore trattamento: base giuridica sì, ma serve più precisione
Il paragrafo 6 è tra i più attesi dagli operatori del settore: stabilisce che i dati raccolti nell’ambito di una sperimentazione possono essere ulteriormente trattati dallo stesso titolare per altre sperimentazioni cliniche o per la ricerca scientifica finalizzata a proteggere la salute pubblica, migliorare gli standard di cura e promuovere la capacità di innovazione della ricerca medica europea.
Il Parere congiunto riconosce il valore di questa disposizione e raccomanda di chiarire nei Considerando che essa fornisce una base giuridica ai sensi dell’art. 6, par. 1, lett. e), GDPR (trattamento per interesse pubblico), conformemente ai requisiti dell’art. 6, par. 3 GDPR (la base giuridica deve essere stabilita a livello comunitario o nazionale).
Tale previsione si applica quando il trattamento ulteriore avviene per finalità diverse da quelle originarie dei par. 1 e 2 (obbligo di legge).
Niente più condizioni aggiuntive nazionali
Questo è il paragrafo più importante dell’intero art. 93 per chi fa ricerca clinica in Europa. In deroga esplicita all’art. 9, par. 4 GDPR, il nuovo art. 93 par. 7 stabilisce che gli Stati membri non possono mantenere o introdurre condizioni ulteriori — incluse limitazioni — con riguardo al trattamento dei dati nelle sperimentazioni condotte ai sensi del CTR.
Per capire la portata della norma basti pensare che l’art. 9, par. 4 GDPR lascia oggi agli Stati membri la facoltà di imporre requisiti aggiuntivi per il trattamento dei dati sensibili: l’art. 110 e 110-bis del nostro Codice Privacy si basano su questa norma.
Tale apertura ha creato un mosaico di regimi nazionali che rende ogni sperimentazione multinazionale un esercizio di due diligence regolatoria diversa in ogni Stato Membro.
La Proposta chiude questo capitolo.
E il Parere congiunto 3/2026 non formula alcuna obiezione su questo paragrafo: un silenzio che equivale a piena approvazione.
L’intelligenza artificiale nelle sperimentazioni cliniche
Il Biotech Act introduce anche nel CTR un articolo interamente dedicato all’IA nelle sperimentazioni cliniche: il nuovo art. 27-sexies. È una norma attesa, che formalizza per la prima volta obblighi specifici per gli sponsor che usano modelli o sistemi di IA nel contesto di uno studio clinico.
Gli obblighi sono due.
Primo: valutare i benefici e i rischi per la sicurezza dei pazienti e per l’affidabilità dei dati derivanti dall’uso dell’IA.
Secondo: fornire nel protocollo informazioni sullo scopo specifico dell’utilizzo e una descrizione dei processi in cui i sistemi vengono impiegati.
La valutazione deve tenere conto delle linee guida non vincolanti che l’EMA elaborerà ai sensi dell’art. 31 della Proposta.
I tre profili segnalati dal Parere congiunto 3/2026
Su questi aspetti il Parere congiunto 3/2026 affronta tre profili specifici.
- Il rapporto con l’AI Act. Il considerando 157 della Proposta richiama la conformità all’AI Act (Reg. (UE) 2024/1689) solo in termini generici. Non è chiaro se gli obblighi dell’art. 27-sexies si applichino in aggiunta a quelli dell’AI Act o li sostituiscano. EDPB e EDPS raccomandano di chiarirlo direttamente nel testo: i due regimi si cumulano (par. 53). Va segnalato che l’AI Act, ex art. 2, par. 8, non si applica alle attività di ricerca sui sistemi di IA prima della loro immissione sul mercato: nelle fasi iniziali di sviluppo di sistemi IA usati nelle sperimentazioni potrebbe quindi esistere una lacuna, che i colegislatori dovranno affrontare.
- I rischi per gli interessati. Il Parere richiama il considerando 158 della Proposta, che elenca i pericoli concreti: pregiudizi di genere e altri bias, errori di interpretazione dei dati clinici, diagnosi errate, selezione inaccurata dei pazienti. Rischi particolarmente gravi in studi su larga scala. Per questo EDPB e EDPS raccomandano di includere l’obbligo per l’EMA di cooperare con l’EDPB nello sviluppo delle linee guida ex art. 27-sexies, per quanto riguarda la protezione dei dati (par. 55).
- I sandbox per l’IA. L’art. 27-quinquies CTR prevede che i sandbox normativi per le sperimentazioni cliniche possano essere coordinati con quelli istituiti ai sensi dell’AI Act. Il Parere rinvia alle raccomandazioni del Parere congiunto 1/2026 sui sandbox per l’IA — in particolare alla richiesta che l’EDPB abbia un ruolo consultivo per garantire la coerenza sugli aspetti di protezione dei dati (par. 52; Parere congiunto 1/2026, parr. 28-29).
Biotech Act sperimentazioni cliniche: conclusioni e prossimi passi
Il Parere congiunto 3/2026 nel quale sembra di respirare un nuova visione.
Onestamente mi sembra di poter dire che non è la risposta difensiva di autorità che si preoccupano di presidiare perimetri: è il contributo costruttivo di istituzioni che vogliono fare da co-protagoniste nella costruzione del quadro normativo dell’innovazione europea.
Le raccomandazioni tecniche sono precise e circostanziate, ma il tono di fondo è di appoggio.
Le tre grandi aperture accolte con favore
Le tre grandi aperture che il Parere accoglie con favore sono chiare:
– Base giuridica armonizzata: il trattamento dei dati nelle sperimentazioni cliniche è finalmente fondato su un’unica base giuridica in tutta Europa — l’obbligo legale ex art. 6, par. 1, lett. c), GDPR — senza più la dipendenza dal consenso individuale con le sue variabili nazionali.
– Ulteriore trattamento esplicitamente lecito: i dataset delle sperimentazioni potranno essere riutilizzati per nuove sperimentazioni, con una base giuridica espressa che elimina le incertezze interpretative degli ultimi anni.
– Fine delle condizioni aggiuntive nazionali: la clausola dell’art. 9, par. 4 GDPR non potrà più essere usata dagli Stati membri per aggiungere strati normativi nelle sperimentazioni cliniche. È una scelta che la comunità scientifica e gli sponsor aspettavano da tempo.
Il calendario legislativo e l’impatto per il settore
Sul piano del calendario legislativo, la strada verso l’adozione definitiva è ancora lunga. Dopo il Parere consultivo (marzo 2026), l’iter prosegue in sede parlamentare: le commissioni ENVI, ITRE e JURI dovranno esaminare il testo, con prime posizioni attese indicativamente entro fine 2026. Il Consiglio UE avvierà i propri lavori in parallelo.
La procedura di codecisione rende difficile un’adozione prima del secondo semestre 2027, con applicazione tra il 2027 e il 2028. La Commissione ha peraltro preannunciato un Biotech Act II nel 2026, per estendere il quadro ai settori non-salute.
Per chi opera nel life science digitale il messaggio è però forte: si sta aprendo una nuova era.
