Il trattamento dei dati nella ricerca scientifica è al centro di una trasformazione normativa che riguarda l’intero sistema europeo, ma che in Italia stenta ancora a trovare una direzione coerente.
Le recenti novità legislative — dall’art. 110-bis del Codice Privacy alla legge sull’intelligenza artificiale, fino all’Ecosistema dei dati sanitari — aprono nuovi spazi, ma ripropongono distinzioni tra soggetti pubblici e privati che il GDPR aveva già superato. Un quadro ancora incompleto, che vale la pena esaminare nei dettagli.
Indice degli argomenti
Il trattamento dei dati nella ricerca scientifica: un quadro ancora incompiuto
Queste mie riflessioni nascono dalla consapevolezza che le regole stanno cambiando, ma che questo cambiamento (di estrema importanza) presenta ancora molte ombre.
Non vi è dubbio infatti che dopo l’emanazione del GDPR (ormai 10 anni fa), tutti hanno pensato che sarebbe soffiato un vento nuovo per il trattamento dei dati nella ricerca scientifica. In Italia però – come ben noto – l’applicazione è stata invece molto rigida: la porticina lasciata aperta dall’art. 9 par. 4 è stata infatti interpretata come possibilità di imporre, sempre e comunque, il consenso come unica base giuridica.
Sembra che ora, l’impellente bisogno di dati per non perdere di competitività, stia portando il nostro paese ad introdurre nuove regole per allentare questa morsa – dall’art. 110-bis, comma 4, del Codice Privacy all’art. 8 della Legge sull’intelligenza artificiale (L. 132/2025) all’Ecosistema dei dati.
Ma tali novità, seppure senza dubbio positive, presentano discriminazione e bias che non trovano fondamento nel quadro europeo: sulla scia infatti di una discutibile cultura giuridica italiana (che sarebbe veramente tempo di superare) il trattamento dei dati nella ricerca scientifica continua ad essere diversificato in Italia tra enti pubblici e privati nonché tra soggetti profit e no profit.
Questa distinzione non solo non ha ragione di esistere, ma costituisce un limite alla competitività della ricerca e alla capacità del Paese di attrarre innovazione. Gli altri ordinamenti europei – tedesco, francese e olandese – non hanno tale distinzione ed il dibattito internazionale della Open Science e dei data commons sta spingendo nella direzione di considerare i dati come un bene comune.
Sarebbe quindi venuto il momento (e l’occasione) per superare veramente questo approccio di natura soggettiva in favore di una disciplina di natura funzionale che consideri la ricerca scientifica come attività di rilevanza sociale (indipendentemente dalla natura del soggetto che la svolge) e il dato come bene comune, utile allo sviluppo del nostro paese.
Vediamo allora, nello specifico, cosa sta succedendo.
Il GDPR e il favor per la ricerca: neutralità tra pubblico e privato
Come sopra accennato il GDPR ha introdotto una disciplina della protezione dei dati nella ricerca scientifica tecnologicamente e istituzionalmente neutrale. La parola chiave infatti è finalità, senza distinzioni tra ente pubblico ed ente privato: il GDPR guarda a cosa si fa con i dati, non a chi lo fa.
Nel GDPR il trattamento per finalità di ricerca scientifica può fondarsi poi su diverse basi giuridiche: più esattamente l’art. 6, par. 1, lett. e) – compito di interesse pubblico; l’art. 6, par. 1, lett. f) legittimo interesse del titolare ed altresì per le categorie particolari di dati (tra cui i dati sanitari) l’art. 9, par. 2, lett. j) per finalità di ricerca scientifica o statistica sulla base del diritto dell’Unione o degli Stati membri.
In nessuna di queste previsioni compare una distinzione tra soggetti pubblici e privati, tra enti profit e non profit.
Inoltre il GDPR introduceva un vero e proprio favor per la ricerca scientifica: la compatibilità tra finalità originarie del trattamento e ricerca scientifica (art. 5, par. 1, lett. b); un regime specifico di garanzie e deroghe (art. 89); la possibilità di un consenso ampio (broad consent) per progetti di ricerca non interamente definiti al momento della raccolta (considerando 33); un’interpretazione ampia della nozione di ricerca scientifica (considerando 159-162).
In questo quadro, il consenso non è l’unica base giuridica e le regole sono identiche, indipendentemente dalla natura del soggetto.
Questa impostazione è stata confermata dall’EDPB in una serie di atti interpretativi coerenti e inequivocabili: le Guidelines 05/2020 on consent under GDPR, l’Opinion 3/2019 on Clinical Trials Regulation e, da ultimo, l’Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models. In tutte queste interpretazioni non emerge alcuna distinzione tra pubblico e privato.
L’EHDS conferma l’approccio funzionale europeo
Questo paradigma europeo si ritrova anche nel Regolamento (UE) 2025/327, che istituisce lo Spazio europeo dei dati sanitari (EHDS), entrato in vigore il 26 marzo 2025. L’EHDS prevede infatti l’uso secondario dei dati sanitari per finalità di ricerca scientifica: la ricerca scientifica è intesa in senso ampio, comprensiva di sviluppo tecnologico, ricerca fondamentale, ricerca applicata e ricerca finanziata con fondi privati.
E anche qui non vi è nessuna distinzione soggettiva.
L’Italia e la nuova evoluzione normativa: aperture con criticità
In forza di una interpretazione restrittiva dell’art. 110 del Codice Privacy, il consenso è sempre stata considerata in Italia la base giuridica obbligatoria.
Di recente però, sulla spinta di una evoluzione normativa, culturale ed economica (e – diciamocelo – perché abbiamo bisogno dei dati per non perdere in competitività) il nostro legislatore ha introdotto alcune aperture di estremo rilievo.
Senza dubbio un grande passo avanti, ma non si può negare che tali novità del nostro ordinamento funzionano secondo una logica soggettiva – cioè riguardano solo determinate categorie di soggetti – e non operano invece secondo la logica oggettiva e funzionale proprie del GDPR e dell’EHDS.
Ciò in ragione del fatto che, culturalmente, soffriamo di un bias: ciò che fa il pubblico è fatto bene, ciò che fa il privato no (o comunque richiede un maggior controllo).
Ora, se vi sono settori in cui la rilevanza pubblicistica richiede senza dubbio un intervento diretto della PA, non è però certamente questo il caso del trattamento dei dati nella ricerca scientifica: non solo perché quando la PA fa ricerca non svolge attività pubblicistica e la ricerca è sua natura è trasversale, ma anche perché il focus deve essere sul dato e sulla compliance del trattamento, non sul soggetto.
Ci possono essere PA che hanno un alta compliance sui dati e privati poco attenti; ma molto spesso è vero il contrario.
Vediamo allora perché le importanti novità introdotte presentano ancora criticità.
L’art. 110-bis, comma 4: una deroga solo per gli IRCCS
L’art. 110-bis del D.Lgs. 196/2003 non è esattamente una norma nuova (perché è stata introdotta nel Codice Privacy nel 2018), ma solo di recente sta trovando applicazione, dopo la pubblicazione di specifiche FAQ da parte del Garante Privacy.
Più esattamente la norma stabilisce (in generale) che il trattamento di dati per ulteriori finalità da parte di terzi deve essere sottoposta all’autorizzazione del Garante Privacy. Il comma 4 stabilisce però che, per gli IRCCS (qui sia pubblici che privati), il trattamento dei dati personali raccolti per l’attività clinica e trattati successivamente per ricerca, non costituisce un “trattamento ulteriore”.
Ora, in un ordinamento normativo che ha sempre visto preclusa la possibilità dell’uso secondario dei dati per la ricerca (trattamento considerato non compatibile quando la base giuridica è il consenso), tale deroga crea una posizione di favore solo per gli IRCCS.
La domanda è: perché?
È certamente vero che gli IRCCS hanno come compito istituzionale la ricerca: ma la previsione di un compito istituzionale specifico indica la direzione che deve percorrere quel soggetto ma non lo legittima automaticamente ad un favor nel trattamento dei dati.
Sarebbe come dire che il compito istituzionale garantisce – di default – una protezione delle persone fisiche nel trattamento dei dati che altri soggetti non possono garantire.
Onestamente non si vede il senso del limite soggettivo di tale deroga.
La legge sull’intelligenza artificiale: strada aperta ma percorso a ostacoli
Veniamo ora alle grandi novità nella ricerca sulla intelligenza artificiale.
L’art. 8 della L. 132/2025 stabilisce che il trattamento dei dati (anche ex art. 9 GDPR) per ricerca e sperimentazione scientifica per lo sviluppo di sistemi di intelligenza artificiale in ambito sanitario possono trovare il loro fondamento giuridico nel pubblico interesse rilevante (art. 9 lett. g GDPR). Trattamento che copre anche uso secondario ed operazioni di anonimizzazione, pseudonimizzazione e sintetizzazione.
In sostanza: spazzato via il consenso, strada aperta per la base giuridica del pubblico interesse, richiamando anche gli art. 32 e 33 della Costituzione.
Ma – ed ecco il punto critico – la norma limita questa facoltà solo a determinati soggetti: enti pubblici (non è chiaro quali), gli IRCCS ed i soggetti privati senza scopo di lucro; tutti gli altri (direi i privati for profit) possono usufruire di questa base giuridica solamente ove operino in collaborazione con tali enti di cui sopra.
Quindi non in autonomia, ma sempre previo accordo con pubblici e non profit.
Se andiamo poi al meccanismo concreto, la situazione appare ancor più paradossale.
La base giuridica dell’interesse pubblico rilevante ex art. 9, par. 2, lett. g) GDPR e art. 2-sexies del D.Lgs. 196/2003 richiede infatti la sussistenza di una disciplina specifica di legge, di regolamento o atto di amministrazione generale. In carenza quindi di atto normativo specifico, la Pubblica amministrazione può “crearsi” una base giuridica specifica, emanando l’atto di amministrazione generale. Il privato (e qui anche quello no profit) non può farlo.
Ne consegue un circolo vizioso: il soggetto privato for profit che oggi potrebbe avere i mezzi, le competenze e le tecnologie per sviluppare sistemi di IA per la sanità si trova in una duplice impasse: da un lato, può trattare i dati sulla base dell’interesse pubblico solo se collabora con enti pubblici, IRCCS o soggetti non profit; dall’altro, anche qualora apra tale collaborazione, se l’ente pubblico non emana un atto di amministrazione generale idoneo, la ricerca non può partire perché priva di base giuridica. Se si tiene conto che moltissimi enti pubblici hanno oggi “paura” ad emanare tali tipologia di atto (perché non hanno nessuna esperienza sul punto), il risultato finale è che abbiamo la norma, ma è tutto fermo.
L’Ecosistema dei dati sanitari (EDS): un grande archivio con accesso limitato
Il quadro si completa con l’istituzione dell’Ecosistema dei Dati Sanitari (EDS), disposta dal Decreto del Ministero della Salute del 31 dicembre 2024, emanato ai sensi dell’art. 12, comma 15-quater, del D.L. 18 ottobre 2012, n. 179.
L’EDS – progetto chiave della Missione 6 del PNRR – è una banca dati centralizzata progettata per raccogliere, organizzare ed elaborare i dati sanitari dei cittadini italiani, alimentata dai dati provenienti dal Fascicolo Sanitario Elettronico (FSE), dalle strutture sanitarie e socio-sanitarie, dagli enti del SSN e dal Sistema Tessera Sanitaria. Titolare del trattamento è il Ministero della Salute; la gestione operativa è affidata ad AGENAS, in qualità di responsabile del trattamento.
L’architettura dell’EDS è poi organizzata in tre componenti separate e indipendenti, ciascuna corrispondente a un diverso livello di identificabilità del dato: l’Unità Dati in chiaro (UD-C), l’Unità Dati Pseudonimizzati (UD-P) e l’Unità Dati Anonimizzati (UD-A). Questa tripartizione non è meramente tecnica: determina chi può accedere a cosa.
I dati in chiaro sono accessibili esclusivamente per finalità di cura diretta, da parte dei professionisti sanitari e delle strutture sanitarie, previo consenso specifico dell’assistito (artt. 8 e 13 del Decreto). Si tratta dell’unico livello in cui il dato conserva la piena identificabilità del paziente.
I dati pseudonimizzati – privi degli elementi identificativi diretti, ma ancora qualificabili come dati personali ai sensi del GDPR – sono accessibili per finalità di governo, programmazione sanitaria e prevenzione. L’accesso è riservato al personale dei competenti Uffici del Ministero della Salute, di AGENAS e delle Regioni e Province autonome (art. 16 del Decreto). I dati sono messi a disposizione in forma pseudonimizzata irreversibile e trattati nel rispetto del principio di minimizzazione. Il personale che accede a questi dati per finalità di governo non può, peraltro, accedere ai dati messi a disposizione per altre finalità.
Per le finalità di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico – ed è questo il nodo critico per il nostro ragionamento – il Decreto prevede un accesso esclusivamente a dati anonimizzati (art. 17). L’accesso diretto è riservato al personale dei competenti Uffici del Ministero della Salute, di AGENAS e delle Regioni e Province autonome, mentre gli altri soggetti che istituzionalmente perseguono finalità di studio e ricerca possono accedere al medesimo servizio di estrazione di dati anonimizzati, ma solo per il tramite di AGENAS, previa valutazione da parte dell’Agenzia. In questo caso la regola vale per pubblico e privato.
Ad oggi il sistema non è ancora partito, ma ciò non toglie che ad oggi manchi completamente il decreto Ministeriale ex art. 17 comma 4 che dovrebbe stabilire i criteri per l’accesso.
Inoltre l’accesso ai fini di ricerca solamente a dati che possano essere considerati anonimi, di fatto svuota (per buona parte) il contenuto e la portata di tale progetto: infatti il dato può essere considerato anonimo solo ove abbia perso la propria capacità identificativa e per ottenere ciò occorre cancellare (o applicare altre tecniche di anonimizzazione) che riducono fortemente la portata informativa del dato. Ciò comporta che molto spesso per la ricerca il dato anonimizzato può essere largamente insufficiente: in altre parole una “buona” ricerca richiede dataset ricchi, granulari e longitudinali.
In sostanza: l’EDS crea un grande data set, ma la ricerca ne esce fortemente limitata.
Il confronto europeo: Germania, Francia e Paesi Bassi senza distinzioni soggettive
La nostra situazione appare ancor più anomala ove si alzi lo sguardo verso altri paesi della stessa UE.
Il § 27 del Bundesdatenschutzgesetz (BDSG) consente, in deroga all’art. 9, par. 1, GDPR, il trattamento di categorie particolari di dati personali per finalità di ricerca scientifica, storica o statistica senza consenso, quando il trattamento è necessario per tali finalità e gli interessi del titolare prevalgono in modo sostanziale su quelli dell’interessato. La norma richiede l’adozione delle misure di garanzia previste dal § 22, comma 2, BDSG, tra cui pseudonimizzazione e cifratura.
La disposizione si applica indistintamente a soggetti privati e autorità pubbliche federali (per le autorità dei Länder occorre fare riferimento alle rispettive leggi regionali in materia di protezione dati).
Il punto rilevante è che il legislatore tedesco non ha introdotto alcuna differenziazione tra pubblico e privato, tra profit e non profit. Il criterio è funzionale: la necessità del trattamento per la finalità di ricerca, il bilanciamento degli interessi, l’adozione di misure di garanzia adeguate.
In Francia la ricerca sanitaria è disciplinata, ai fini della protezione dei dati, anche attraverso le méthodologies de référence (MR) adottate dalla CNIL ai sensi della Loi Informatique et Libertés.
In particolare, la MR-003 (ricerca non interventistica) e la MR-004 (ricerca che riutilizza dati già raccolti) consentono il trattamento di dati di salute per finalità di ricerca senza raccolta del consenso, quando il progetto soddisfa rigorosi requisiti metodologici, etici e di sicurezza e rientra nel quadro di interesse pubblico definito dalla CNIL.
Il sistema delle MR è accessibile sia a enti pubblici sia a soggetti privati che realizzano tali ricerche in conformità alla MR di riferimento. Anche la Francia, dunque, adotta un approccio funzionale: ciò che conta è la conformità della ricerca ai requisiti metodologici e di garanzia, non la natura giuridica del soggetto.
Nei Paesi Bassi, l’Uitvoeringswet AVG (UAVG) attua il GDPR e, per la ricerca scientifica, non opera una distinzione generale tra titolari pubblici e privati.
Il trattamento per finalità di ricerca deve fondarsi su una delle basi giuridiche dell’art. 6 GDPR; per gli enti cui la legge attribuisce un compito pubblico di ricerca può essere utilizzata la base dell’interesse pubblico, mentre per altri titolari possono venire in rilievo il consenso o, in taluni casi, l’interesse legittimo.
L’art. 44 UAVG prevede deroghe specifiche all’esercizio di alcuni diritti degli interessati per i trattamenti effettuati da organismi che svolgono ricerche scientifiche, in conformità all’art. 89 GDPR, senza distinzione soggettiva.
Il quadro comparato è, dunque, piuttosto chiaro: Germania, Francia e Paesi Bassi hanno attuato il GDPR mantenendo l’impostazione funzionale del regolamento europeo, senza introdurre le distinzioni soggettive che caratterizzano il sistema italiano.
Il paradigma internazionale: il dato scientifico come bene comune
Al di là poi del confronto intraeuropeo, a livello internazionale si sta affermando un paradigma che supera radicalmente la logica soggettiva italiana: è l’idea che la conoscenza scientifica e i dati che la generano siano un bene pubblico o comune, la cui accessibilità non dipenda dalla natura del soggetto ma dal rispetto di requisiti funzionali.
Nel novembre 2021, 193 Stati hanno adottato la Raccomandazione UNESCO sulla Open Science: il primo quadro globale di riferimento per la scienza aperta. Tra i valori fondanti, la Raccomandazione afferma il collective benefit – la scienza come bene pubblico globale che appartiene all’umanità intera – e l’equity and fairness, cioè l’accesso equo alla scienza per tutti i produttori e consumatori di conoscenza. La scienza non è soltanto produzione privata di conoscenza, ma infrastruttura sociale di interesse collettivo. E questa caratterizzazione prescinde dalla natura del soggetto che la produce.
Nella stessa direzione, l’OCSE ha adottato nel 2021 la Recommendation on Enhancing Access to and Sharing of Data, che stabilisce il principio dell’open by default per i dati della ricerca e individua sette pilastri di governance: dalla fiducia e gli standard tecnici alla cooperazione internazionale. Il dato scientifico è trattato come infrastruttura collettiva della conoscenza. Accanto alla Open Science si sviluppa il concetto di data commons – radicato nella teoria dei beni comuni di Elinor Ostrom – in cui i dati sono gestiti come risorsa collettiva attraverso regole condivise di accesso e uso.
Da questi modelli emergono requisiti ricorrenti che qualificano una ricerca come attività di rilevanza sociale, indipendentemente dalla natura del soggetto.
Più esattamente: in primo luogo, la trasparenza del processo scientifico: pubblicazione dei protocolli, registri pubblici degli studi, disclosure dei conflitti di interesse – un principio già ampiamente operativo nella ricerca clinica grazie al Regolamento (UE) 536/2014. In secondo luogo, l’accesso aperto ai risultati, senza barriere economiche, come già imposto da Horizon Europe (Reg. UE 2021/695) per la ricerca finanziata con fondi europei. In terzo luogo, la condivisione dei dati secondo i principi FAIR (Findable, Accessible, Interoperable, Reusable), oggi standard nelle infrastrutture di ricerca europee a partire dall’European Open Science Cloud. In quarto luogo, il benefit sharing: la ricerca che utilizza dati collettivi deve generare benefici condivisi – restituzione delle conoscenze ai partecipanti, innovazione accessibile, accesso pubblico ai risultati. Infine, il rispetto delle garanzie di protezione dei diritti fondamentali previste dal GDPR e dall’art. 89: pseudonimizzazione, minimizzazione, valutazione d’impatto, misure tecniche e organizzative adeguate.
Verso una legge organica: la ricerca scientifica come attività di rilevanza sociale
L’evoluzione normativa italiana sta certamente aprendo nuove possibilità per la ricerca scientifica basata sui dati: uso secondario, deroghe al consenso per gli IRCCS, dichiarazione di interesse pubblico rilevante per lo sviluppo di sistemi di IA. Queste aperture sono significative e vanno nella direzione giusta.
Tuttavia, esse avvengono attraverso un modello regolatorio che reintroduce distinzioni istituzionali che il GDPR e l’EHDS hanno superato. Il risultato è un sistema caratterizzato da maggiore libertà per enti pubblici e ricerca non profit e accesso più limitato per operatori privati for profit, nonostante il quadro europeo non imponga tale distinzione.
Questo assetto non è soltanto incoerente con il modello europeo. È un danno sociale. Chi potrebbe innovare – e spesso avrebbe i mezzi per farlo – non può accedere alla materia prima. I dati sanitari restano chiusi in un perimetro istituzionale che ne riduce il potenziale conoscitivo e terapeutico.
Pare a chi scrive che l’Italia abbia bisogno di una legge organica sulla ricerca scientifica e il trattamento dei dati che superi l’approccio soggettivo e adotti una prospettiva funzionale, coerente con il GDPR e con il paradigma internazionale.
Una legge che: non distingua tra pubblico e privato, ma stabilisca regole uniformi fondate sulla finalità della ricerca e sulle garanzie di tutela dei diritti fondamentali; definisca i requisiti etici e di governance che qualificano la ricerca come attività di rilevanza sociale, indipendentemente dal soggetto che la svolge: trasparenza, accesso aperto ai risultati, condivisione dei dati secondo i principi FAIR, benefit sharing; qualifichi il dato trattato per finalità di ricerca come bene comune, la cui accessibilità sia governata da regole di accesso condivise e non da logiche di appartenenza istituzionale; sia coerente con il Regolamento EHDS, che entrerà in piena applicazione nel 2029 e che impone un modello di condivisione dei dati sanitari senza distinzioni soggettive.
Se questi requisiti sono rispettati, la natura pubblica o privata del soggetto che svolge la ricerca diventa irrilevante. Ciò che conta è la qualità del processo, la trasparenza, la restituzione del valore sociale. Sono questi i criteri che dovrebbero orientare il legislatore italiano.
