Chi opera nell’ambito delle biobanche per scopi di ricerca futura conosce bene la questione: il cosiddetto consenso per fasi progressive, chiarito dal Garante per la Protezione dei Dati Personali con il parere reso nell’ambito della consultazione preventiva relativa allo studio “DB Torax” dell’Azienda Ospedaliera Universitaria Integrata di Verona (Registro dei provvedimenti n. 238 del 30 giugno 2022), viene spesso indicato come un ostacolo significativo all’attività di queste organizzazioni. Ma siamo sicuri che lo sia davvero in tutti i casi?
Un’analisi attenta del quadro normativo, rafforzata dalle recenti indicazioni dello European Data Protection Board, suggerisce che, in determinate situazioni tutt’altro che infrequenti, il problema potrebbe essere un falso problema.
Indice degli argomenti
Il contesto: le biobanche per ricerca futura
Le biobanche per scopi di ricerca futura sono organizzazioni che raccolgono campioni biologici e dati associati per metterli a disposizione di attività di ricerca, svolte dalla stessa organizzazione o, più tipicamente, da organizzazioni terze. Quando ben strutturate, queste biobanche aderiscono al network BBMRI, con cui viene sottoscritto un accordo (il partner charter) volto a garantire determinati standard qualitativi e procedurali.
Un elemento cruciale riguarda la natura del materiale trattato. Nella quasi totalità dei casi, i campioni biologici non possono essere anonimizzati, per almeno tre ragioni fondamentali: dai campioni è quasi sempre possibile estrarre il DNA e riassociarlo a una persona fisica (salvo particolari casi di prodotti derivati); è frequentemente necessario mantenere il legame fra il campione e il soggetto interessato – non necessariamente un paziente, potendo trattarsi anche di un soggetto sano – per consentire il follow-up; gli stessi soggetti che conferiscono il materiale non desiderano che venga anonimizzato, volendo mantenerne il controllo per conoscere eventuali sviluppi scientifici che potrebbero riguardarli o per verificare un eventuale sfruttamento commerciale dei propri campioni.
La criticità percepita: il consenso per fasi progressive
Da anni il personale coinvolto in queste attività lamenta che il consenso per fasi progressive limiti significativamente l’operatività delle biobanche e degli organismi di ricerca. La ragione è intuibile: una volta richiesto il consenso per un determinato settore di ricerca, è particolarmente oneroso doverlo ottenere nuovamente per ogni singolo progetto che utilizza quei campioni. Il peso grava sia sulle organizzazioni, costrette a gestire procedure reiterate, sia sugli stessi soggetti interessati, che potrebbero sentirsi assillati dalle numerose richieste.
Ma rileggendo con attenzione la normativa vigente, sorge un dubbio: quantomeno in determinate situazioni — che per le biobanche non sono affatto infrequenti — il problema del consenso per fasi progressive potrebbe non porsi affatto.
Le nuove indicazioni dell’EDPB: consenso ampio e consenso dinamico
Prima di sviluppare il ragionamento, è opportuno considerare un elemento nuovo e rilevante. Il 15 aprile 2026 lo European Data Protection Board ha adottato le Guidelines 1/2026 sul trattamento di dati personali per finalità di ricerca scientifica — un documento atteso da anni dalla comunità scientifica e dai professionisti della protezione dei dati — attualmente in consultazione pubblica. Le linee guida affrontano, fra i numerosi temi trattati, anche la questione del consenso nella ricerca scientifica, distinguendo espressamente fra due modalità: il broad consent (consenso ampio) e il dynamic consent (consenso dinamico), che corrisponde a ciò che in Italia è noto come consenso per fasi progressive.
Il consenso ampio consente di raccogliere e conservare dati personali per futuri progetti di ricerca all’interno di un’area scientifica definita, anche quando i singoli progetti non sono ancora determinati al momento della raccolta. Le finalità specifiche vengono definite successivamente, ad esempio al momento della stesura del piano di ricerca. Il titolare deve delimitare l’area di ricerca con sufficiente chiarezza — non è sufficiente indicare genericamente “ricerca scientifica” — e deve adottare garanzie aggiuntive a compensazione della minore specificità, fra cui informazioni dettagliate man mano che la ricerca progredisce, meccanismi di controllo dell’accesso e, eventualmente, un organismo di sorveglianza indipendente.
L’aspetto più significativo è che, secondo le linee guida, il consenso ampio può essere utilizzato come base giuridica non soltanto per le operazioni di raccolta, conservazione e messa a disposizione dei dati, ma anche per le successive operazioni di trattamento nei singoli progetti di ricerca, purché il trattamento resti all’interno dell’area di ricerca pertinente e delle ragionevoli aspettative degli interessati (par. 47). Inoltre, più titolari possono avvalersi dello stesso consenso ampio (par. 43).
Il consenso dinamico, d’altra parte, prevede che il titolare ottenga il consenso dell’interessato per ciascun nuovo progetto man mano che le finalità specifiche diventano note, ed è considerato particolarmente appropriato in presenza di un rapporto prolungato con gli interessati. Le linee guida presentano i due approcci come complementari e combinabili: il consenso ampio costituisce il punto di partenza, e il consenso dinamico interviene quando un singolo progetto esce dai confini del consenso ampio o dalle ragionevoli aspettative dell’interessato.
Un’interpretazione meno restrittiva rispetto al provvedimento DB Torax
L’interpretazione del consenso ampio fornita dall’EDPB appare sensibilmente meno restrittiva rispetto a quella che è derivata, nel contesto italiano, dal provvedimento DB Torax del Garante. Quest’ultimo, nella prassi, ha di fatto confinato il consenso ampio alla sola fase di selezione dei pazienti (o dei campioni biologici, nel caso delle biobanche) da arruolare o utilizzare in uno studio, richiedendo poi un ulteriore consenso specifico per l’effettivo utilizzo nel progetto di ricerca.
Le linee guida dell’EDPB chiariscono invece che, con opportune e maggiori garanzie, il consenso ampio può coprire anche l’utilizzo nei singoli progetti, senza l’obbligo di un ulteriore consenso specifico, purché il progetto sia coerente con l’ambito di ricerca per cui il consenso è stato rilasciato.
A ben vedere: il consenso per fasi progressive era già un falso problema
A ben vedere, tuttavia, il consenso per fasi progressive probabilmente non era un problema nemmeno prima della pubblicazione delle linee guida, quantomeno nello scenario — che dovrebbe rappresentare la maggioranza per le biobanche — in cui un’organizzazione di ricerca terza richieda materiale per un proprio progetto scientifico. Occorre premettere due aspetti rilevanti. Da un lato, le biobanche, al momento della raccolta del materiale, dichiarano quali saranno le tematiche di ricerca per le quali quel materiale sarà utilizzato. Dall’altro, dati e campioni vengono comunicati in forma pseudonimizzata, anche in forza dell’art. 89 del GDPR: è la stessa biobanca ad assumersi l’onere di mantenere i dati associati necessari per il follow-up del soggetto.
In questo scenario, a parere di chi scrive, non si pone una questione di consenso per fasi progressive. L’organizzazione di ricerca terza dovrebbe infatti disporre di una propria e distinta base giuridica per utilizzare quei dati e campioni, operando come titolare autonomo del trattamento. La biobanca, in genere, non partecipa al progetto di ricerca — non ne ha determinato finalità e mezzi — ma si limita a mettere a disposizione il materiale e a mantenere i contatti con l’interessato. Il rapporto tra biobanca e organizzazione di ricerca viene regolato da un preciso accordo (Data/Material Transfer Agreement) che disciplina le condizioni di trasferimento dei dati e dei campioni.
Il fondamento normativo
A supporto di questa ricostruzione intervengono le stesse Prescrizioni dell’Autorità Garante (Provvedimento n. 146/2019). L’ultimo paragrafo della sezione 4, dedicata al trattamento dei dati genetici, stabilisce che i dati genetici e i campioni biologici raccolti per scopi di ricerca scientifica e statistica possono essere comunicati o trasferiti a enti e istituti di ricerca, associazioni e altri organismi pubblici e privati aventi finalità di ricerca — qualora questi siano autonomi titolari del trattamento — limitatamente alle informazioni prive di dati identificativi, per scopi scientifici direttamente collegati a quelli per i quali i dati sono stati originariamente raccolti e chiaramente determinati per iscritto nella richiesta. In tal caso, il soggetto richiedente si impegna a non trattare i dati e a non utilizzare i campioni per fini diversi da quelli indicati nella richiesta e a non comunicarli o trasferirli ulteriormente a terzi.
Il ragionamento, passo dopo passo
La ricostruzione proposta si articola nel modo seguente.
Come biobanca per scopi di ricerca futura, si raccolgono dati e campioni e si specificano gli scopi scientifici per cui verranno utilizzati. Successivamente, un’organizzazione di ricerca terza, in qualità di titolare autonomo, richiede tali campioni e dati per un progetto di ricerca. Con tutte le garanzie e gli impegni previsti dalle Prescrizioni, la biobanca “comunica” dati e campioni in forma pseudonimizzata.
A questo punto l’organizzazione di ricerca non ha la possibilità di risalire all’identità degli interessati e potrà quindi, ragionevolmente, avvalersi dell’art. 11 del GDPR, secondo cui, se le finalità del trattamento non richiedono o non richiedono più l’identificazione dell’interessato, il titolare non è obbligato a conservare, acquisire o trattare ulteriori informazioni per identificare l’interessato al solo fine di rispettare il Regolamento. Di conseguenza, non potendo identificare gli interessati, l’organizzazione di ricerca potrà avvalersi dell’art. 110 del Codice Privacy come base giuridica.
A tal proposito è opportuno ricordare che l’art. 110 è stato recentemente modificato dall’art. 44, comma 1-bis, del d.l. n. 19/2024 (convertito in legge n. 56/2024, c.d. “Decreto PNRR”). La nuova formulazione ha semplificato la procedura eliminando l’obbligo di consultazione preventiva del Garante nei casi in cui non sia possibile acquisire il consenso dell’interessato. A seguito di tale modifica, il Garante ha adottato il Provvedimento n. 298 del 9 maggio 2024 (pubblicato in G.U. n. 130 del 5 giugno 2024) con cui ha individuato le garanzie da osservare ai sensi dell’art. 106, comma 2, lettera d) del Codice. In base a tali garanzie, il titolare del trattamento è tenuto a motivare e documentare nel progetto di ricerca le ragioni per cui non è possibile informare gli interessati, a svolgere e pubblicare la valutazione di impatto ai sensi dell’art. 35 del Regolamento, dandone comunicazione al Garante — si noti: una semplice comunicazione, non più la consultazione preventiva ai sensi dell’art. 36 del GDPR prevista dalla precedente formulazione dell’art. 110, il che significa che tale adempimento non è bloccante per le attività di ricerca — e ad acquisire il parere favorevole del competente Comitato Etico.
Sempre grazie all’art. 11, l’organizzazione di ricerca non sarà tenuta a informare individualmente l’interessato, ma potrà farlo — ai sensi dell’art. 14, par. 5, lett. b) del GDPR — pubblicando l’informativa sul sito della biobanca, con cui l’interessato mantiene il legame diretto, ed eventualmente sul proprio sito. Tale modalità è coerente con quanto previsto dall’art. 6, comma 3, delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica (allegato A.5 al Codice), che indica la pubblicazione su siti di categoria come modalità idonea quando i dati non sono raccolti direttamente presso gli interessati. L’informativa sarà specifica per il trattamento previsto dal progetto e conterrà la descrizione del progetto stesso.
Qualora un interessato volesse far valere i propri diritti, sarà lui a dover fornire all’organizzazione di ricerca gli elementi per identificare i propri dati o campioni: un ulteriore campione biologico da confrontare o, più semplicemente, lo pseudonimo ottenuto dalla biobanca.
Il caso diverso: progetto interno alla stessa organizzazione
Diverso sarebbe naturalmente il caso in cui il progetto di ricerca, e l’organizzazione che lo conduce, fossero interni alla stessa organizzazione che gestisce la biobanca. In questa ipotesi, trattandosi dello stesso titolare del trattamento, non si potrebbe sostenere di non essere in grado di identificare gli interessati.
Tuttavia, anche in questo scenario, le nuove linee guida dell’EDPB offrono una soluzione più agevole di quanto si ritenesse in precedenza. Se esiste una relazione continuativa fra l’organizzazione e i soggetti interessati, il titolare potrà avvalersi del consenso dinamico, richiedendo il consenso per ciascun nuovo progetto nell’ambito di tale relazione. In alternativa, e in modo potenzialmente più efficiente, potrà avvalersi del consenso ampio, che — come chiarito dall’EDPB — può fungere da base giuridica anche per i singoli progetti di ricerca, purché rientrino nell’area di ricerca dichiarata al momento della raccolta. In quest’ultimo caso sarà opportuno prevedere una validità temporale limitata del consenso, come suggerito nelle stesse linee guida, rinnovandolo periodicamente.
Conclusioni
Va segnalato che con lo stesso Provvedimento n. 298/2024 il Garante ha promosso l’avvio della procedura per l’adozione delle nuove Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, ai sensi degli artt. 2-quater e 106 del Codice, i cui lavori sono attualmente in corso. Per lo scenario qui descritto, l’eventuale riscrittura non dovrebbe incidere in modo significativo, poiché i principi fondamentali su cui si basa il ragionamento derivano direttamente dal Regolamento europeo e dal Codice Privacy. Sarà tuttavia interessante verificare se la posizione dell’EDPB verrà recepita anche nelle nuove regole, rendendo esplicito a livello nazionale ciò che le linee guida europee hanno chiarito.
Alla luce delle recenti indicazioni dell’EDPB e del quadro normativo italiano già vigente, è possibile affermare che, con una procedura ben definita, dati e campioni possono essere comunicati per ricerca scientifica senza dover necessariamente ricorrere a un ulteriore consenso rispetto a quello iniziale richiesto dalla biobanca, e senza che si applichi il meccanismo del consenso per fasi progressive. Le Guidelines 1/2026 dell’EDPB hanno probabilmente chiarito ciò che era già possibile, fornendo inoltre la conferma che il consenso ampio può costituire base giuridica anche per le successive operazioni di trattamento nei singoli progetti di ricerca, purché il trattamento resti nell’area di ricerca pertinente e nelle ragionevoli aspettative degli interessati (par. 47).
Ciò che serve è una procedura chiara e rigorosa che preveda la corretta qualificazione dei ruoli, la pseudonimizzazione come garanzia strutturale e la trasparenza attraverso la pubblicazione delle informative. Quanto alla base giuridica, il ricorso all’art. 110 del Codice Privacy resta necessario quando l’organizzazione di ricerca terza non possa avvalersi del consenso ampio — ad esempio perché il progetto esula dall’area di ricerca originaria — ma potrebbe risultare superfluo laddove i successivi progetti rientrino pienamente nell’ambito per cui il consenso ampio è stato rilasciato, considerato che le linee guida prevedono espressamente la possibilità per più titolari di avvalersi del medesimo consenso (par. 43).
Un’ulteriore evoluzione della questione potrebbe derivare dalla recente sentenza della Corte di Giustizia dell’Unione Europea del 4 settembre 2025 (causa C-413/23 P, c.d. “sentenza Deloitte”), che ha affermato una visione “soggettiva” del dato personale: i dati pseudonimizzati non sono automaticamente personali per chi non dispone dei mezzi per re-identificare l’interessato. Questo principio, che la proposta di regolamento della Commissione europea del 19 novembre 2025 (c.d. “Digital Omnibus”) intende codificare nel GDPR — sebbene con riserve espresse da EDPB ed EDPS nel Joint Opinion 2/2026 — potrebbe rafforzare ulteriormente il ragionamento qui proposto, ma merita un approfondimento dedicato.
Questo articolo è stato redatto con l’ausilio di strumenti di intelligenza artificiale per gli aspetti di organizzazione, struttura e stile del testo. I contenuti, le analisi e le interpretazioni normative sono originali e di esclusiva responsabilità dell’autore.
