Dati personali in Sanità e per la ricerca: i provvedimenti del Garante Privacy nel quadro Ue

Per garantire la libera circolazione dei dati personali all’interno dell’Ue, è essenziale che le autorità nazionali interpretino e applichino le norme del GDPR in modo quanto più possibile uniforme. È pertanto auspicabile che, nell’adottare i propri provvedimenti, il Garante per la protezione dei dati personali tenga conto dell’indirizzo interpretativo che si sta delineando a livello europeo.

Sembra, dunque, utile delineare qui i rispettivi ambiti di applicazione dei provvedimenti sui trattamenti di dati personali in ambito sanitario e a fini di ricerca scientifica adottati dal Garante tra dicembre 2018 e giugno 2019 e vedere come essi si iscrivano nel quadro normativo risultante dalle disposizioni del GDPR, come interpretate dal Comitato europeo per la protezione dei dati (EDPB) ed integrate da quelle del Codice della privacy (D.lgs. n. 196/2003).

I provvedimenti del Garante sui trattamenti di dati personali in ambito sanitario e a fini di ricerca scientifica

I provvedimenti adottati dal Garante privacy in ambito sanitario e a fini di ricerca scientifica chiariscono l’impatto del rinnovato quadro normativo europeo in tema di protezione dei dati personali su attività rilevanti per la tutela della salute e per lo sviluppo della ricerca scientifica.

Si tratta del provvedimento n. 146 del 5 giugno 2019, che individua le prescrizioni relative al trattamento dei dati personali per scopi di ricerca scientifica, contenute nell’autorizzazione generale n. 9/2016, ritenute compatibili con il GDPR e con il D.lgs. n. 101/2018 – che ha novellato il Codice della privacy, per allinearlo con il GDPR–^[1]; del provvedimento n. 515 del 19 dicembre 2018, recante le regole deontologiche per i trattamenti di dati personali a fini di ricerca scientifica, e del provvedimento n. 55 del 7 marzo 2019, che fornisce chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario.

Come risulta dai loro titoli, questi provvedimenti del Garante riguardano trattamenti di dati personali che presentano alcune analogie, perché, ad esempio, sono effettuati dagli stessi soggetti o per scopi simili o hanno ad oggetto i medesimi dati. Ciononostante si tratta di provvedimenti che hanno ambiti di applicazione distinti e in ragione di ciò recano previsioni alquanto diverse.

Su un diverso versante, merita segnalare che, a livello dell’UE, il Comitato europeo per la protezione dei dati (EDPB), su richiesta della Commissione europea, ha reso un parere sull’interazione tra il Regolamento sulla sperimentazione clinica 536/2014 – che dovrebbe diventare applicabile nel 2020 – e il GDPR (parere 3/2019 del 23 gennaio 2019). Dopodiché la Commissione ha pubblicato le “Question and Answers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation” (Q&A).

Questi due documenti prospettano delle soluzioni (non vincolanti, ma autorevoli) su questioni che si porranno quando, una volta divenuto applicabile il Regolamento 536/2014, le disposizioni del GDPR dovranno essere armonizzate con quelle sulla sperimentazione clinica. Tale coordinamento è necessario per realizzare la finalità comune ai due Regolamenti: favorire la libera circolazione dei dati personali trattati nell’ambito della sperimentazione nell’Unione europea, sul presupposto che in tutti gli Stati membri sia assicurato un livello coerente ed elevato di protezione delle persone fisiche^[2].

Le Q&A della Commissione e il parere dell’EDPB hanno oggetto e finalità diversi dai provvedimenti del Garante precedentemente citati. Essi concernono alcuni aspetti del trattamento dei dati personali nello specifico ambito della sperimentazione farmacologica, attualmente regolati dalle Linee guida dettate dal Garante nel 2008 (v. infra).

Le norme del Codice della privacy su cui si basano i provvedimenti del Garante

Ai sensi del GDPR, il trattamento dei dati relativi alla salute è consentito solo in presenza di determinati presupposti, previsti dall’art. 9, paragrafi 2 e 3, del GDPR^[3], nonché alle condizioni ed entro i limiti eventualmente stabiliti dagli Stati membri (art. 9, par. 4, del GDPR).

Ne deriva che i trattamenti dei dati sulla salute sono soggetti alle norme contenute nel GDPR, integrate da quelle emanate dal legislatore nazionale, le quali possono attribuire al Garante il potere di adottare dei provvedimenti che regolano questioni specifiche. Le norme e i provvedimenti nazionali devono essere compatibili con il GDPR.

Il Codice della privacy demanda al Garante l’individuazione delle “misure di garanzia” per il trattamento dei dati sulla salute, quali, ad esempio, le misure di sicurezza e di minimizzazione, specifiche modalità per l’accesso selettivo ai dati e per rendere l’informativa agli interessati, nonché eventuali misure necessarie a garantire i diritti degli interessati (art. 2-septies)^[4].

Nell’adottare tali misure il Garante dovrà attenersi ai criteri indicati dal legislatore, tra cui quello di tutelare l’«interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea» (art. 2-septies, comma 2, del Codice della privacy). Questo richiamo di una delle finalità del GDPR – posta sullo stesso piano dell’altra, che consiste nel tutelare efficacemente i dati personali – è oltremodo opportuno, in quanto sottolinea l’esigenza di garantire una tutela uniforme all’interno dell’UE, in modo da facilitare gli scambi di dati tra diversi Stati membri^[5].

Tale esigenza è particolarmente evidente in ambito sanitario (per via, ad esempio, della mobilità dei pazienti) e nella ricerca clinica (dove la qualità e l’attendibilità dei risultati è legata alla disponibilità di un numero elevato di dati clinici, grazie alla loro condivisione a livello europeo e internazionale).

Il Garante ha avviato la redazione dei provvedimenti recanti le misure di garanzia. Nel frattempo, esso ha individuato le prescrizioni contenute nelle autorizzazioni generali, adottate prima dell’applicazione del GDPR, ritenute compatibili con quest’ultimo^[6]. Tali prescrizioni – contenute nel provvedimento recentemente adottato dal Garante in via definitiva, all’esito della consultazione pubblica sul suo precedente provvedimento avente il medesimo oggetto^[7] – hanno carattere provvisorio, in quanto avranno efficacia sino all’adozione delle misure di garanzia di cui all’art. 2-septies del Codice novellato^[8] (art. 21, comma 4, del D.lgs. n. 101/2018).

Questa “ultrattività” delle autorizzazioni generali appare difficilmente conciliabile con il GDPR, che non prevede che l’autorità nazionale di controllo abbia il potere di autorizzare determinati trattamenti di dati personali. Siffatto potere autorizzatorio appare in contrasto specialmente con il principio di «responsabilizzazione» del titolare del trattamento, in base al quale spetta a quest’ultimo sincerarsi della conformità al GDPR dei trattamenti dei dati che ricadono nella sua sfera di controllo.

Inoltre, a ben vedere, l’ambito di applicazione delle autorizzazioni generali non coincide con quello delle misure di garanzia e dunque le prime sono inidonee a “sopperire” provvisoriamente all’assenza delle seconde.

Con riguardo ai trattamenti di dati relativi alla salute, il Codice della privacy prevede che il Garante (oltre ad adottare “misure di garanzia”) possa promuovere l’adozione di regole deontologiche (art. 2-quater). Così, il Garante ha individuato le disposizioni contenute nel Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici – che era allegato al Codice della privacy prima che divenisse applicabile il GDPR – ritenute compatibili con il GDPR (art. 20, commi 3 e 4, del D.lgs. n. 101/2018). Tali disposizioni sono ridenominate regole deontologiche, per rimarcare la differenza rispetto ai codici di condotta approvati ai sensi dell’art. 40 del GDPR (v. infra).

Inoltre, il Garante, svolgendo uno dei suoi compiti in forza del GDPR – quello di favorire la consapevolezza da parte del pubblico dei rischi, delle norme, delle garanzie e dei diritti inerenti al trattamento dei dati e la comprensione da parte dei titolari del trattamento e dei responsabili del trattamento degli obblighi ad essi imposti dal GDPR (art. 57, par. 1, lett. b e d) –, ha reso dei chiarimenti sull’applicazione delle norme del GDPR ai trattamenti dei dati sulla salute in ambito sanitario.

In effetti, ai sensi del GDPR, a certe condizioni, è lecito trattare dati relativi alla salute per fini di diagnosi, assistenza o terapia sanitaria ovvero per la gestione dei sistemi e servizi sanitari (art. 9, par. 2, lett. h e par. 3^[9]).

Il Codice della privacy amplia il novero dei trattamenti di dati sanitari che non richiedono il consenso dell’interessato, includendo tra i trattamenti «necessari per motivi di interesse pubblico rilevante» ai sensi dell’art. 9, par. 2, lett. g) del GDPR quelli effettuati da soggetti che svolgono compiti del SSN e che operano in ambito sanitario (art. 2-sexies, comma 2, lett. u).

Per quanto concerne il trattamento di dati relativi alla salute necessario per scopi di ricerca scientifica, esso è consentito alle condizioni previste dall’art. 9, par. 2, lett. j) del GDPR, che richiama le garanzie di cui al successivo art. 89, par. 1. Anche in questo ambito vi è un margine di intervento per il legislatore nazionale^[10].

Il Codice della privacy disciplina il trattamento dei dati relativi alla salute a fini di ricerca scientifica in campo medico, biomedico o epidemiologico (art. 110) e il trattamento ulteriore da parte di terzi (ossia diversi dai titolari del trattamento originari) dei dati personali (inclusi quelli relativi alla salute) a fini di ricerca scientifica (art. 110-bis).

L’art. 110 prevede che «il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea […] ovvero a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca».

Ai sensi dell’art. 110-bis, il Garante può autorizzare il «trattamento ulteriore di dati personali» a fini di ricerca scientifica da parte di soggetti terzi che svolgano principalmente attività di ricerca, «quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca». Sennonché siffatto potere autorizzatorio non è contemplato dal GDPR e stride con uno dei suoi principi cardine.

Le prescrizioni del Garante relative al trattamento dei dati per scopi di ricerca

Le autorizzazioni generali adottate dal Garante prima che divenisse applicabile il GDPR avrebbero dovuto cessare di produrre effetti con l’inizio dell’applicazione del Regolamento (il 25 maggio 2018). Tuttavia, mentre era in corso l’iter legislativo da cui è scaturito il D.lgs. n. 101/2018, il Garante ne ha prorogato l’efficacia sino all’adozione delle misure che sarebbero state adottate ai sensi di tale Decreto (provvedimento n. 146 del 5 giugno 2019).

In virtù del D.lgs. n. 101/2018, le autorizzazioni generali sono mantenute in vigore, per le parti che il Garante ha ritenuto compatibili con il GDPR o ha allineato con quest’ultimo, sino all’adozione delle misure di garanzia previste dal Codice novellato^[11].

Tra le prescrizioni “salvate” dal Garante – con il citato provvedimento n. 146 del 5 giugno 2019 – si segnalano quelle relative al trattamento dei dati personali per scopi di ricerca scientifica. Esse concernono il trattamento effettuato per finalità di ricerca medica (o anche biomedica ed epidemiologica) da università e società scientifiche e dai ricercatori che operano presso di esse, da esercenti le professioni sanitarie e organismi sanitari, nonché da soggetti di natura privata («persone fisiche o giuridiche, enti, associazioni e organismi privati») e soggetti da essi specificamente preposti al trattamento (come ricercatori, monitor, commissioni di esperti, organizzazioni di ricerca a contratto, laboratori di analisi), che sia necessario per la conduzione di studi effettuati sulla base di un protocollo oggetto di parere favorevole del Comitato etico. Tale trattamento può avere ad oggetto dati raccolti in precedenza a fini di cura o per l’esecuzione di precedenti progetti di ricerca (o ricavati da campioni biologici prelevati in precedenza a fini di cura o per l’esecuzione di precedenti progetti di ricerca) oppure dati relativi a persone che, a causa della gravità del loro stato clinico, non sono in grado di comprendere le indicazioni rese nell’informativa e di prestare validamente il consenso.

In presenza di tali presupposti, non occorre ottenere il consenso degli interessati al trattamento dei loro dati ove la ricerca sia svolta in base a disposizioni normative europee o nazionali. Se quest’ultima condizione non si verifica, i titolari del trattamento devono acquisire il consenso degli interessati o essere in grado di dimostrare la sussistenza di circostanze eccezionali che rendono impossibile o eccessivamente oneroso rendere l’informativa e chiedere il consenso agli interessati, nonché il fatto che la mancata utilizzazione dei dati di tali persone rischierebbe di impedire o pregiudicare gravemente il conseguimento delle finalità della ricerca.

Il Garante ha prefigurato le circostanze che possono giustificare la deroga al requisito del consenso degli interessati ai fini del trattamento dei loro dati per scopi di ricerca scientifica. Si tratta, in particolare, di «motivi etici» per i quali si debba evitare che gli interessati apprendano notizie riguardanti la conduzione dello studio la cui conoscenza possa causare loro danni materiali o psicologici; di «motivi di impossibilità organizzativa», nel senso che la mancata considerazione dei dati dei soggetti di cui non si può acquisire il consenso, in quanto deceduti o non reperibili, comprometterebbe i risultati dello studio; di «motivi di salute riconducibili alla gravità dello stato clinico» che rendono impossibile per gli interessati comprendere l’informativa e prestare un valido consenso. In quest’ultima ipotesi, occorre altresì che lo studio sia volto al miglioramento dello stato clinico in cui versano gli interessati.

Resta fermo l’obbligo di rendere agli interessati l’informativa sul trattamento dei dati personali ogniqualvolta, nel corso dello studio, si verifichi la possibilità^[12], ciò anche al fine di consentire ad essi di esercitare i diritti previsti dal GDPR.

Le regole deontologiche sui trattamenti a fini di ricerca scientifica: ambito di applicazione e rapporto con le norme europee

Il Garante ha adottato le regole deontologiche sui trattamenti a fini di ricerca scientifica, inserite nell’allegato A del Codice novellato dal decreto del Ministro della giustizia del 15 marzo 2019^[13].

L’ambito di applicazione delle regole deontologiche del Garante sostanzialmente coincide con quello del previgente Codice di deontologia e di buona condotta^[14]. In effetti, le regole deontologiche «si applicano all’insieme dei trattamenti effettuati per scopi […] scientifici – conformemente agli standard metodologici del pertinente settore disciplinare –, di cui sono titolari università, altri enti o istituti di ricerca e società scientifiche, nonché ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e soci di dette società scientifiche»^[15]. Esse, invece, non si applicano ai trattamenti di dati per scopi di ricerca scientifica che siano «connessi con attività di tutela della salute svolte da esercenti professioni sanitarie od organismi sanitari, ovvero con attività comparabili in termini di significativa ricaduta personalizzata sull’interessato»^[16].

Occorre segnalare che le regole deontologiche si riferiscono ai trattamenti posti in essere da specifiche categorie di soggetti: «università, altri enti o istituti di ricerca e società scientifiche, nonché ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e soci di dette società scientifiche».

Le regole deontologiche prevedono che il trattamento dei dati relativi alla salute per scopi scientifici debba basarsi sul consenso libero e informato dell’interessato, manifestato per iscritto. Per quanto concerne le circostanze in cui non è richiesto tale consenso, le regole deontologiche rinviano alle già menzionate prescrizioni relative al trattamento dei dati personali per scopi di ricerca scientifica (ancora oggetto di consultazione pubblica), oltre che all’art. 110 del Codice della privacy.

Con specifico riguardo al trattamento dei dati nell’ambito della ricerca medica (o biomedica o epidemiologica) condotta «nel rispetto degli orientamenti e delle disposizioni internazionali e[d europee] in materia», le regole deontologiche stabiliscono che l’informativa resa all’interessato deve consentirgli di distinguere tra le attività di ricerca e quelle di tutela della salute. Saranno, inoltre, applicabili le misure di garanzia, di cui è stata avviata la preparazione, anche se esse, verosimilmente, saranno adottate dopo il rinnovo del Collegio del Garante^[17].

I Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario: ambito di applicazione e rapporto con le norme europee

I “Chiarimenti” forniti dal Garante con il provvedimento del 7 marzo 2019 hanno una duplice finalità: «supportare tutti i soggetti operanti in ambito sanitario» nell’applicazione dell’articolata disciplina relativa al trattamento dei dati relativi alla salute nel settore sanitario e «favorire un’interpretazione uniforme del nuovo assetto normativo»^[18]. In tal modo, il Garante ha promosso la consapevolezza e favorito la comprensione da parte degli interessati e dei titolari o responsabili del trattamento dei loro diritti e obblighi ai sensi del GDPR (art. 57, par. 1, lett. b e d).

Il Garante ha innanzitutto riepilogato i presupposti che, ai sensi del GDPR, legittimano i trattamenti di dati relativi alla salute in ambito sanitario pur in mancanza del consenso dell’interessato^[19]. Si tratta di: motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri di cui all’art. 9, par. 2, lett. g); oppure motivi di interesse pubblico nel settore della sanità pubblica di cui alla lett. i) della citata disposizione; oppure finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali o, più semplicemente, «finalità di cura» di cui alla lett. h). Tuttavia, non è escluso che in casi specifici possano venire in rilievo altre basi giuridiche contemplate dal GDPR.

Con riguardo ai trattamenti di dati posti in essere per «finalità di cura», il Garante ha sottolineato che essi si possono fondare sul citato art. 9, par. 2, lett. h) solo ove siano necessari per la realizzazione di tali finalità; in caso contrario, essi sono legittimi solo se sussiste un’altra base giuridica (il consenso dell’interessato o un altro presupposto di liceità ai sensi del GDPR).

Così, ad esempio, richiedono il previo consenso dell’interessato «i trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale».

Nei “Chiarimenti” il Garante affronta il problema del coordinamento del GDPR con alcune normative in ambito sanitario. In particolare, per i trattamenti effettuati attraverso il Fascicolo sanitario elettronico, l’acquisizione del consenso è prevista quale condizione di liceità del trattamento dalle disposizioni di settore precedenti all’applicazione del Regolamento^[20].

In effetti, l’art. 75 del Codice della privacy prevede che il trattamento dei dati personali effettuato per finalità di tutela della salute debba avvenire nel rispetto dell’art. 9, paragrafi 2 e 3, del GDPR, integrato dalle misure di garanzia che saranno adottate dal Garante, nonché delle «specifiche disposizioni di settore».

Il GDPR va armonizzato con le normative che regolano ambiti specifici^[21]. Ciò è confermato dal parere 3/2019 dell’EDPB e dalle Q&A della Commissione (infra)^[22].

Uno sguardo all’imminente futuro: i trattamenti dei dati nelle sperimentazioni cliniche condotte ai sensi del Regolamento 536/2014

Con significativo anticipo rispetto all’“entrata a regime” del Regolamento sulla sperimentazione clinica di medicinali per uso umano – entrato in vigore il 16 giugno 2014, ma non ancora applicabile non essendosi verificata la condizione prevista dall’art. 99, comma 2, del Regolamento^[23] –, la Commissione ha chiesto all’EDPB un parere sull’interazione tra tale Regolamento e il GDPR^[24]. In effetti, uno dei compiti dell’EDPB è di fornire «consulenza alla Commissione in merito a qualsiasi questione relativa alla protezione dei dati personali nell’Unione» (art. 70, par. 1, lett. b, del GDPR).

La Commissione si è posta il problema del coordinamento tra il Regolamento 536/2014 e il GDPR perché intravede il rischio che la finalità sottesa al primo, ossia uniformare la disciplina della sperimentazione clinica all’interno dell’UE, sia ostacolata dalla divergenza tra le misure nazionali che il GDPR consente agli Stati membri di adottare su questioni che interessano la sperimentazione clinica^[25].

In particolare, riguardo ai trattamenti dei dati sulla salute, il GDPR realizza un’uniformazione parziale, consentendo agli Stati membri di dettare norme interne che integrano quelle del Regolamento^[26]. Più in generale, le basi giuridiche per il trattamento dei dati personali previste dal GDPR, in vari casi, operano in combinato disposto con il diritto degli Stati membri^[27].

Grazie alle Q&A della Commissione (nella versione rivista alla luce del parere 3/2019 dell’EDPB) i risultati dell’analisi svolta dalla Commissione sono stati resi disponibili alcuni mesi prima dell’applicazione del Regolamento 536/2014, prevista per il 2020^[28]. Solo un punto di questo documento ha rilevanza immediata, in quanto riguarda le sperimentazioni farmacologiche soggette alla Direttiva 2001/20/CE (anzi, più precisamente, alle norme nazionali di attuazione della Direttiva)^[29]. Il promotore di tali sperimentazioni deve considerare che l’applicazione del GDPR non produce delle conseguenze sulla base giuridica per il trattamento dei dati^[30]. Pertanto, se ai soggetti partecipanti alla sperimentazione è stato chiesto di prestare il consenso al trattamento dei loro dati ai fini della sperimentazione, nell’“era GDPR”, il trattamento continua a basarsi sul consenso^[31]. Analogamente, se il trattamento dei dati in questione si fondava su un interesse pubblico, la base giuridica del trattamento resta invariata^[32].

Per quanto riguarda le sperimentazioni a cui si applicherà il Regolamento 536/2014, le Q&A evidenziano che, per il principio di responsabilizzazione (o “accountability”) di cui al GDPR, spetta ai titolari del trattamento (ossia il promotore della sperimentazione e il centro di sperimentazione dove opera lo sperimentatore) identificare i presupposti di liceità dei trattamenti dei dati dei soggetti della sperimentazione^[33].

Inoltre, le Q&A operano una distinzione, all’interno dell’insieme dei trattamenti di dati personali effettuati per svolgere una sperimentazione conformemente al relativo protocollo («primary use»), tra quelli che sono necessari per adempiere a specifici obblighi imposti ai titolari del trattamento dal Regolamento sulla sperimentazione clinica (ad esempio, agli articoli da 41 a 43, 58 e 78) e quelli meramente funzionali alle finalità di ricerca (previste dal protocollo).

Per il primo “sottoinsieme” di trattamenti viene indicata come base giuridica del trattamento quella prevista dall’art. 6, par. 1, lett. c) del GDPR, ossia «il trattamento è necessario per adempiere [ad] un obbligo legale al quale è soggetto il titolare del trattamento», e, per il trattamento di dati relativi alla salute, l’art. 9, par. 2, lett. i) del GDPR, essendo il trattamento «necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali […] la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali […], sulla base del diritto dell’Unione».

Per il secondo “sottoinsieme” di trattamenti, vengono in considerazione, a seconda delle specifiche circostanze del caso, le seguenti basi giuridiche previste dal GDPR: i) l’art. 6, par. 1, lett. e), essendo il trattamento «necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» e, per quanto concerne i dati relativi alla salute, l’art. 9, par. 2, lett. i) – poc’anzi citata – o j) del GDPR, ove il trattamento sia «necessario a fini […] di ricerca scientifica […] sulla base del diritto dell’Unione o nazionale»; ii) l’art. 6, par. 1, lett. f), ossia «il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento» e, per i dati relativi alla salute, l’art. 9, par. 2, lett. j) (già citato); iii) infine, il consenso dell’interessato ex art. 6, par. 1, lett. a), e, per i dati sulla salute, art. 9, par. 2, lett. a), purché soddisfi i requisiti di validità indicati dall’art. 4, n. 11 e dal considerando 32 del GDPR.

Riguardo al consenso quale base legale per i trattamenti dei dati dei soggetti della sperimentazione, le Q&A sottolineano che i titolari del trattamento devono verificare che il consenso sia realmente libero. Tale requisito implica un’effettiva possibilità di scelta per l’interessato. Al riguardo, vengono richiamate alcune precisazioni contenute nel Regolamento sulla sperimentazione clinica, che – pur riguardando il consenso informato a partecipare alla sperimentazione^[34] – valgono anche per il consenso al trattamento dei dati personali nella sperimentazione.

Pertanto, per valutare che il consenso al trattamento dei dati sia liberamente prestato, si deve tener conto di tutte le pertinenti circostanze che possono influenzare la decisione dell’interessato, tra cui l’eventuale appartenenza ad un gruppo economicamente o socialmente svantaggiato o una sua situazione di dipendenza istituzionale o gerarchica potenzialmente in grado di influire in maniera non appropriata sulla sua decisione.

Opportunamente le Q&A ricordano che la scelta della base giuridica ha dei risvolti pratici, in quanto l’eventuale revoca del consenso di un paziente al trattamento dei suoi dati – la quale va tenuta distinta dalla revoca del consenso a partecipare alla sperimentazione – implica che i titolari del trattamento non possano più raccogliere, utilizzare e neppure conservare i dati del paziente (non essendo prevista alcuna deroga per quanto concerne il trattamento dei dati a fini di ricerca scientifica), salvo che operino altre basi legali per il trattamento di tali dati (ad esempio, l’adempimento degli obblighi derivanti dal Regolamento sulla sperimentazione clinica).

Per quanto attiene al cosiddetto «secondary use» dei dati dei pazienti partecipanti ad una sperimentazione clinica – ossia il trattamento di tali dati, al di fuori di quanto previsto nel relativo protocollo, per finalità meramente scientifiche^[35] – l’interpretazione delle norme del GDPR risultante dalle Q&A della Commissione europea appare alquanto “research-friendly”.

Innanzitutto, le Q&A ricordano che, ai sensi dell’art. 5, par. 1, lett. b) del GDPR, «un ulteriore trattamento dei dati personali a fini di […] di ricerca scientifica […] non è […] considerato incompatibile con le finalità iniziali», purché siano adottate garanzie adeguate per i diritti e le libertà dell’interessato ex art. 89, par. 1, del GDPR. Ciò peraltro non esonera il titolare del trattamento dall’obbligo di individuare un’idonea base giuridica per il «secondary use» a fini di ricerca scientifica dei dati originariamente raccolti per una sperimentazione clinica. A questo proposito, le Q&A sottolineano che il consenso costituisce una base giuridica idonea solo se gli interessati sono stati informati delle specifiche finalità di ricerca, le quali devono essere chiaramente distinte da quelle del «primary use»^[36].

Inoltre, le Q&A prevedono che, nelle sperimentazioni cliniche in situazioni di emergenza di cui all’art. 35 del Regolamento 536/2014, ovvero quando il paziente «non [sia] in grado di fornire il consenso informato preventivo […] a causa dell’urgenza della situazione, dovuta a una condizione clinica improvvisa che ne mette in pericolo la vita o ad altra condizione clinica grave», l’uso iniziale dei dati personali necessario per sottoporre il paziente ad un trattamento sanitario e documentarne gli esiti, si può fondare sul citato art. 35 in combinato disposto con l’art. 6, par. 1, lett. d) del GDPR – essendo «necessario per la salvaguardia degli interessi vitali dell’interessato» – o, per quanto riguarda i dati sulla salute, con l’art. 9, par. 2, lett. c) del GDPR – essendo «necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso». Per ogni successivo utilizzo dei dati del paziente valgono invece le basi legali dell’interesse pubblico o dell’interesse legittimo perseguito dal titolare del trattamento. In questo specifico contesto, il consenso non è neppure menzionato.

È importante precisare che l’interpretazione delle norme del GDPR delineata dalle Q&A della Commissione europea (al pari di quella resa dall’EDPB con il parere 3/2019) non è vincolante. Infatti, nell’ordinamento dell’UE, solo la Corte di giustizia dell’UE ha il potere di “dire l’ultima parola” sul significato e la portata delle norme dell’Unione (art. 19, par. 1, del Trattato sull’Unione europea). Tuttavia, come si è detto, per garantire la libera circolazione dei dati personali all’interno dell’UE, è essenziale che le autorità (amministrative e giurisdizionali) nazionali interpretino e applichino le norme del GDPR in modo quanto più possibile uniforme. È per soddisfare tale esigenza che il legislatore europeo ha optato per un regolamento anziché per una direttiva e ha attribuito all’EDPB – un organismo composto dalla figura di vertice dell’Autorità di controllo di ciascuno Stato membro e dal Garante europeo della protezione dei dati (EDPS) – il compito di pubblicare «linee guida, raccomandazioni e migliori prassi al fine di promuovere l’applicazione coerente» del GDPR (art. 70, par. 1, lett. e, del GDPR).

È auspicabile che, nell’adottare le misure di garanzia per il trattamento dei dati relativi alla salute, il Garante tenga conto dell’indirizzo interpretativo che si sta delineando a livello europeo, che, come si è visto, riconosce l’autonomia dei titolari del trattamento nell’individuazione delle basi giuridiche atte a legittimare la raccolta e il trattamento di dati personali e non presume che il consenso dell’interessato sia la base più idonea nell’ambito della sperimentazione clinica o per scopi di ricerca ulteriori a quelli previsti nel protocollo della sperimentazione^[37].

Un caso specifico: la tutela dei dati personali nella sperimentazione clinica sui medicinali nel contratto standard pubblicato sul sito dell’AIFA

Tenuto conto di quanto sopra, può essere utile esaminare un caso specifico. Il Centro di coordinamento nazionale dei comitati etici territoriali per le sperimentazioni cliniche di medicinali per uso umano ha predisposto un contratto per la conduzione della sperimentazione clinica su medicinali tra promotore e centro di sperimentazione, per «garantire l’uniformità a livello nazionale delle procedure relative alle sperimentazioni cliniche sui farmaci»^[38].

Il contratto in parola è stato pubblicato sul sito dell’Agenzia Italiana del Farmaco (AIFA) per sottoporlo a consultazione pubblica, al fine di recepire i commenti degli stakeholders^[39].

Il contratto reca una clausola sulla «Tutela della Privacy», secondo cui «prima del coinvolgimento del paziente, pertanto, il Responsabile della Sperimentazione o un suo delegato autorizzato, deve ottenere per iscritto il consenso informato del paziente […] al trattamento dei dati personali […]». Ciò implicherebbe che i trattamenti dei dati dei pazienti che partecipano ad una sperimentazione clinica richiedano in ogni caso il loro consenso.

In vista dell’entrata a regime del Regolamento 536/2014, sembra auspicabile che la clausola in parola sia rivista alla luce delle indicazioni contenute nelle Q&A della Commissione e nel parere dell’EDPB. Si dovrebbe considerare che, coordinando le norme del GDPR con quelle del Regolamento 536/2014, i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche si possono fondare su basi giuridiche diverse dal consenso degli interessati.

Qualche punto fermo e varie questioni aperte

L’art. 9 del GDPR uniforma solo parzialmente la disciplina del trattamento dei dati relativi alla salute, in quanto consente agli Stati membri di adottare delle norme di integrazione.

Il Garante ha adottato le regole deontologiche per i trattamenti di dati personali a fini di ricerca scientifica, mentre deve ancora emanare le misure di garanzia relative ai trattamenti dei dati relativi alla salute. Medio tempore, ai sensi del Codice della privacy, restano in vigore le prescrizioni contenute nelle autorizzazioni generali, alcune delle quali sono state recentemente modificate per renderle compatibili con il GDPR. Tali autorizzazioni, pur non essendo previste dal GDPR, hanno carattere provvisorio, in quanto saranno efficaci sino all’emanazione delle misure di garanzia.

Sono, dunque, molteplici le previsioni giuridiche europee e nazionali che si occupano dei trattamenti di dati personali in ambito sanitario o per finalità di ricerca clinica. Ciò pone il problema di coordinare tali previsioni al fine di applicarle correttamente.

Gli indirizzi interpretativi dell’EDPB e del Garante possono contribuire in modo decisivo alla certezza del diritto. In ogni caso, la “golden rule” nell’applicare le norme del GDPR è tener conto di entrambe le sue finalità: tutelare in modo efficace i dati personali, ma anche assicurare la loro libera circolazione nell’UE.

Al contempo, il GDPR deve “fare sistema” con le normative di settore emanate prima della sua applicazione (come quelle in ambito sanitario). Questo aspetto è messo in luce dalle Q&A della Commissione e dal parere 3/2019 dell’EDPB sull’interazione tra il Regolamento sulla sperimentazione clinica e il GDPR, nonché dall’art. 75 del Codice della privacy^[40].

_____________________________________________________________________________________________

1. Il provvedimento n. 146 del 5 giugno 2019, pubblicato nella Gazzetta Ufficiale Serie Generale n. 176 del 20 luglio 2019, reca anche «prescrizioni relative al trattamento dei dati genetici» (v. allegato 1, punto 4), che, pur avendo attinenza con il tema qui trattato, non sarà oggetto di analisi, essendo opportuno selezionare gli argomenti in funzione dello spazio disponibile. ↑
2. La suddetta finalità è evidenziata nel considerando 10 del GDPR e nei consideranda 4 e 82 del Regolamento 536/2014. ↑
3. In pratica, è possibile trattare i dati relativi alla salute con il consenso dell’interessato o in presenza di uno degli altri fondamenti giuridici indicati dall’art. 9, par. 2, del GDPR. ↑
4. L’art. 2-septies del Codice novellato dispone che i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui all’art. 9, par. 2 del GDPR e in conformità alle misure di garanzia determinate dal Garante. ↑
5. In effetti, il GDPR precisa che «[g]li Stati membri dovrebbero rimanere liberi di mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute, senza tuttavia ostacolare la libera circolazione dei dati personali all’interno dell’Unione quando tali condizioni si applicano al trattamento transfrontaliero degli stessi» (considerando 53). ↑
6. Si veda l’allegato 1 al provvedimento n. 146 del 5 giugno 2019, punto 5. ↑
7. Ai sensi dell’art. 21, comma 1, del D.lgs. n. 101/2018, il provvedimento del Garante n. 497 del 13 dicembre 2018, che individuava le prescrizioni contenute nelle autorizzazioni generali ritenute compatibili con il GDPR, è stato sottoposto ad una consultazione pubblica della durata di 60 giorni a partire dalla data di pubblicazione sulla Gazzetta Ufficiale dell’avviso pubblico di avvio della stessa, che ha avuto luogo l’11 gennaio 2019. All’esito di tale consultazione, il Garante ha adottato il provvedimento n. 146 del 5 giugno 2019, recante la versione finale delle prescrizioni delle autorizzazioni generali considerate compatibili con il GDPR. ↑
8. Nel provvedimento n. 146 del 5 giugno 2019 si legge che il Garante ha «ritenuto di dare attuazione al citato art. 21 del d.lgs. n. 101/2018 a mezzo del presente provvedimento, che produce effetti fino all’adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui agli artt. 2-quater e 2-septies del Codice». ↑
9. L’art. 9, par. 2, lett. h) e par. 3 del GDPR specifica che il trattamento dei dati deve avvenire «sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità». ↑
10. Ai sensi del GDPR, gli Stati membri possono prevedere garanzie adeguate per il trattamento di dati personali, specialmente per quelli “sensibili”, per finalità di ricerca scientifica (v., inter alia, i consideranda 53 e 156). Tali condizioni e garanzie specifiche «possono comprendere procedure specifiche per l’esercizio di tali diritti da parte degli interessati», nonché «misure tecniche e organizzative intese a ridurre al minimo il trattamento dei dati personali conformemente ai principi di proporzionalità e di necessità» (considerando 156 del GDPR). ↑
11. In base all’art. 21, comma 4, del D.lgs. n. 101/2018, questa sorta di ultrattività delle autorizzazioni generali sussiste persino per quelle che non sono state modificate dal Garante alla luce delle novità normative introdotte dal GDPR (come, ad esempio, l’autorizzazione generale n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale). Tuttavia, è chiaro che se le autorizzazioni generali rappresentano, di per sé, una “deviazione” dal GDPR, ciò vale a fortiori per le disposizioni in esse contenute che risultano incompatibili con quest’ultimo. ↑
12. Ad esempio, l’informativa sul trattamento dei dati personali può e deve essere resa agli interessati se questi ultimi si rechano presso il centro di cura per visite di controllo o le loro condizioni di salute migliorano (v. punto 5.3). ↑
13. Si veda l’art. 20, comma 4, del D.lgs. n. 101/2018. Le regole deontologiche qui esaminate sono del tutto distinte dai codici di condotta di cui agli articoli 40 e 41 del GDPR. Le principali differenze sono che le regole deontologiche promanano dal Garante e il loro rispetto costituisce condizione di liceità del trattamento di dati personali (art. 2-quater, comma 4, del Codice della privacy), mentre i codici di condotta sono elaborati dalle associazioni o altre organizzazioni rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento e l’adesione ad essi è uno dei parametri di cui deve tener conto il Garante quando infligge le sanzioni amministrative in relazione a violazioni del GDPR (art. 83, par. 2, lett. j, del GDPR). Tuttavia, i codici di condotta possono acquisire efficacia vincolante ove siano approvati dalla Commissione, mediante atti di esecuzione (art. 40, par. 9, del GDPR). ↑
14. Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici (Allegato A.4. al vecchio Codice della privacy), adottato con provvedimento del Garante n. 2 del 16 giugno 2004. ↑
15. Art. 2, dell’allegato 1 al provvedimento n. 515 del 19 dicembre 2018. Cfr. l’art. 2 del Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici. ↑
16. Art. 2, dell’allegato 1 al provvedimento n. 515 del 19 dicembre 2018. Cfr. l’art. 2 del Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici. ↑
17. Il Garante è un organo collegiale formato da quattro membri eletti dal Parlamento per un mandato di sette anni non rinnovabile (art. 153 del Codice della privacy). L’attuale Collegio, presieduto da Antonello Soro, è stato eletto il 6 giugno 2012. ↑
18. Provvedimento n. 55 del 7 marzo 2019. ↑
19. Si vedano a tale riguardo i consideranda 52, 53 e 54 del GDPR. ↑
20. L’art. 12, comma 5, del D.L. n. 179/2012 (L. conv. n. 221/2012) dispone: «[l]a consultazione dei dati e documenti presenti nel FSE […], per le finalità di [prevenzione, diagnosi, cura e riabilitazione], può essere realizzata soltanto con il consenso dell’assistito e sempre nel rispetto del segreto professionale, salvo i casi di emergenza sanitaria secondo modalità individuate a riguardo […]». ↑
21. Nel considerando 10 del GDPR si dà atto che «[i]n combinato disposto con la legislazione generale e orizzontale in materia di protezione dei dati che attua la direttiva 95/46/CE, gli Stati membri dispongono di varie leggi settoriali in settori che richiedono disposizioni più specifiche”». ↑
22. Il GDPR riconosce espressamente che «[i]l trattamento dei dati personali per finalità scientifiche dovrebbe rispettare anche altre normative pertinenti, ad esempio quelle sulle sperimentazioni cliniche» (considerando 156). ↑
23. Ai sensi dell’art. 99, comma 2, del Regolamento 536/2014, quest’ultimo sarà applicabile una volta decorsi sei mesi dalla pubblicazione nella Gazzetta Ufficiale dell’UE di un avviso della Commissione relativo alla piena funzionalità del portale UE e della banca dati UE previsti, rispettivamente, agli artt. 80 e 81 del Regolamento. ↑
24. All’interno della Commissione europea, è la DG SANTE ad aver approfondito la questione di come il Regolamento 536/2014 si coordini con il GDPR. ↑
25. Sul punto è particolarmente chiaro il considerando 10 del GDPR. ↑
26. Si veda il citato art. 9, par. 4, del GDPR, che riguarda anche i dati genetici. ↑
27. Ai nostri fini rilevano, in particolare, l’art. 9, par. 2, lett. g), h), i) e j) del GDPR. ↑
28. Nel parere 3/2019 dell’EDPB si legge che il Regolamento 536/2014 «secondo le stime diventerà applicabile nel 2020, una volta effettuato un audit indipendente e trascorsi 6 mesi dalla pubblicazione di un avviso di conferma da parte della Commissione europea». ↑
29. Si veda la Q11 delle Q&A, relativa alle sperimentazioni autorizzate ai sensi della Direttiva 2001/20/CE del 4 aprile 2001, concernente il ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri, relative all’applicazione della buona pratica clinica nell’esecuzione della sperimentazione clinica di medicinali ad uso umano. Tale Direttiva è stata abrogata dal Regolamento, ma la normativa nazionale di attuazione (D.lgs. n. 211/2003) è applicabile fino all’entrata a regime del Regolamento 536/2014. ↑
30. In pratica, i trattamenti di dati personali necessari per la conduzione di sperimentazioni farmacologiche soggette alla normativa italiana che dà attuazione alla Direttiva 2001/20/CE dovranno continuare a basarsi sul consenso degli interessati, come previsto dalle Linee guida del Garante per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali (deliberazione n. 24 luglio 2008). In effetti, l’art. 22, comma 4 del D.lgs. n. 101/2018 dispone che, «[a] decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili» con il GDPR e il Decreto stesso. ↑
31. È necessario acquisire nuovamente il consenso degli interessati solo ove quello iniziale non soddisfi i requisiti di validità previsti dal GDPR (v. la Q11 delle Q&A). ↑
32. Indipendentemente dalla base giuridica, può essere necessario aggiornare le informazioni fornite agli interessati alla luce dei nuovi requisiti previsti dal GDPR (v. la citata Q11). ↑
33. Ai sensi del GDPR, l’Autorità nazionale di controllo può sindacare la legittimità della scelta di una base giuridica effettuata dal titolare del trattamento, ma non può imporre ex ante l’acquisizione del consenso degli interessati per determinati trattamenti di dati personali. ↑
34. Si veda il considerando 31 del Regolamento 536/2014. ↑
35. Si tratta dell’ipotesi contemplata dall’art. 28, par. 2, del Regolamento sulla sperimentazione clinica, a mente del quale «[l]a ricerca scientifica che utilizzi i dati al di fuori di quanto previsto nel protocollo della sperimentazione clinica è condotta in conformità del diritto applicabile in materia di protezione dei dati». ↑
36. Il considerando 33 del GDPR afferma: «In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Pertanto, […] gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista». Tuttavia, l’EDPB ha precisato che «[q]uando non è possibile specificare appieno le finalità della ricerca, il titolare del trattamento deve cercare altri modi per garantire il rispetto dell’essenza dei requisiti del consenso, ad esempio permettendo agli interessati di acconsentire a una finalità di ricerca in termini più generali e a fasi specifiche di un progetto di ricerca che si sa già sin dall’inizio avranno luogo» (Linee guida sul consenso ai sensi del regolamento UE 2016/679). ↑
37. Questa impostazione è suffragata dalla raccomandazione sulla tutela dei dati relativi alla salute adottata dal Comitato dei Ministri del Consiglio d’Europa il 27 marzo 2019 – CM/Rec(2019)2. Ciò è rilevante visto che la riforma delle norme dell’UE sulla tutela dei dati personali è andata di pari passo con l’“ammodernamento” della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, adottata in seno al Consiglio d’Europa nel 1981 (c.d. Convenzione 108), di cui gli Stati membri dell’UE sono parti contraenti. ↑
38. È quanto si legge nel comunicato sull’avvio della consultazione sulla bozza di contratto per la conduzione della sperimentazione clinica sui medicinali, disponibile sul sito dell’Agenzia Italiana del Farmaco (AIFA). Uno dei compiti del Centro di coordinamento dei CE, istituito presso l’AIFA ai sensi dell’art. 2, comma 1, della L. n. 3/2018, consiste nell’«individuazione del contenuto minimo del contratto relativo alla sperimentazione clinica stipulato fra il promotore ed il centro clinico coinvolto nella sperimentazione, finalizzato a garantire l’omogeneità degli aspetti amministrativi, economici e assicurativi di cui all’articolo 76 del citato regolamento (UE) n. 536/2014» (art. 3, comma 2, lett. e, del Decreto del Ministero della Salute del 19 aprile 2018). ↑
39. La consultazione è stata avviata l’11 marzo 2019 e si è conclusa il 10 maggio 2019. L’iniziativa dell’AIFA si inserisce nel quadro della riforma della normativa interna in materia di sperimentazione clinica prefigurata dalla citata L. n. 3/2018. Uno dei principi e criteri direttivi ivi formulati è «la definizione dei contenuti minimi che devono presentare i contratti per le sperimentazioni cliniche che, per gli sperimentatori, ne attestino terzietà, imparzialità e indipendenza» (art. 1, comma 2, lett. g, n. 5). ↑
40. Analogamente, l’EDPB ha precisato che «[a] number of provisions of the ePrivacy Directive “particularise” the provisions of the GDPR with respect to the processing of personal data in the electronic communication sector. […] In situations where the ePrivacy Directive “particularises” (i.e. renders more specific) the rules of the GDPR, the (specific) provisions of the ePrivacy Directive shall, as “lex specialis”, take precedence over the (more general) provisions of the GDPR» (Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities del 12 marzo 2019). ↑