privacy

Cessione di una biobanca, obblighi informativi e nuovo consenso: i paletti della Cassazione

La Corte di Cassazione ha enunciato il principio per cui, nella vigenza della disciplina ante GDPR, nel caso di cessione di una banca dati il cessionario è obbligato a rinnovare informativa e consenso, poiché il trasferimento determina l’avvio di un nuovo trattamento ad opera di un nuovo titolare

13 Dic 2021
Gianluca Fasano

Istituto di Ricerca ISTC-CNR

Laura Milita

Centro Interdipartimentale per l’Etica e l’Integrità nella Ricerca del CNR

Una recente decisione della Corte di Cassazione (Ord. n. 27325/2021) solleva una questione di portata generale assai rilevante in tema di biobanche, inerente al valore del consenso nella relazione fiduciaria che si instaura tra il titolare e l’interessato.

È bene precisare che si controverte in merito ad un provvedimento del Garante emesso sotto la vigenza del Codice Privacy nella stesura anteriore alle modifiche introdotte con il d.lgs. n.101 del 10 agosto 2018, ma le riflessioni addotte dalla Suprema Corte hanno una rilevanza che travalica i confini della stretta vigenza normativa.

Biobanche e protezione dei dati: le norme da rispettare

Il caso

Per maggiore chiarezza espositiva pare opportuno riepilogare per cenni la vicenda giudiziaria decisa dal provvedimento in commento.

In punta di fatto, risulta che una società registrata nel Regno Unito, e avente sede in Londra, specializzata nella ricerca biomedica, in particolare nello sviluppo di farmaci antitumorali, aveva acquistato dal fallimento della società Shar DNA s.r.l. in liquidazione il complesso aziendale della predetta società. Più in dettaglio, il compendio aziendale risultava composto da:

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza

a) circa 230.000 campioni biologici estratti da circa 11.700 individui;

b) dichiarazioni di consenso informato dei suddetti soggetti;

c) valutazioni mediche, storia clinica e familiare dei donatori;

d) risultati degli esami e delle visite specialistiche realizzate sugli intervistati;

e) ricostruzione delle genealogie, risalenti in taluni casi fino al 1600;

f) genotipizzazioni dei suddetti individui.

Tutti i donatori provenivano da pochi paesi di una regione dell’entroterra sardo, l’Ogliastra, la cui popolazione è caratterizzata, oltreché da una inconsueta longevità, da un’elevata omogeneità genetica, derivante da un isolamento geografico e culturale plurisecolare, dando luogo a quello che viene definito un “isolato genetico”. Tale omogeneità risulta di estrema utilità per lo studio delle cause genetiche delle malattie ereditarie complesse.

L’operazione di acquisto destava sin da subito l’attenzione del Garante per la Protezione dei Dati Personali. Infatti, immediatamente dopo il predetto acquisto, l’Autorità formulava nei confronti della società acquirente una richiesta di chiarimenti volta ad indagare la vicenda sotto il profilo della disciplina in materia di protezione dei dati personali.

Di lì a qualche mese il Garante emetteva la misura temporanea del blocco del trattamento dei dati personali contenuti nella biobanca “..con conseguente obbligo a carico di tale soggetto di astenersi da ogni ulteriore trattamento dei dati degli interessati e utilizzo dei campioni biologici”, Provv. n. 389 del 6 ottobre 2016 [doc. web n. 5508051].

Il provvedimento conteneva ulteriori prescrizioni rivolte alla società acquirente, finalizzate a ricondurre le attività di trattamento nell’alveo dei livelli di protezione dei dati personali definiti dal GDPR. In particolare, era previsto l’onere di ricontattare gli interessati al fine di rendere loro un’idonea informativa e raccogliere una nuova manifestazione di consenso.

La motivazione addotta dal Garante scaturisce dall’assunto che il consenso è caratterizzato da un elemento essenziale, quale quello dell’intuitus personae (la fiducia dell’interessato in ragione delle caratteristiche e qualità del titolare), per cui il mutamento nel ruolo del titolare del trattamento dei dati personali e dei campioni biologici contenuti nella biobanca determinerebbe una irrimediabile “cessazione di efficacia” del consenso originariamente prestato (alla società fallita). Di guisa che, la società acquirente dovrebbe acquisire “una nuova manifestazione del consenso da parte degli interessati previa idonea informativa, in conformità a quanto prevede la disciplina sulla protezione dei dati personali riguardo, in particolare, all’utilizzo di dati sensibili e genetici per scopi di ricerca scientifica (artt. 23, 90 e 107 del Codice; aut. gen. n. cit. n. 8/2014, punto 3, lett.c))”.

Attorno a questo tema, in sintesi, si è sviluppato il giudizio in commento.

Val la pena precisare che, nonostante si controverta in merito ad un provvedimento del Garante emesso sotto la vigenza del codice della privacy (d.lgs. n.196 del 30 giugno 2003) nella stesura anteriore alle modifiche introdotte con il d.lgs. n.101 del 10 agosto 2018 (di adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679), le riflessioni addotte nell’ordinanza in commento rilevano anche nell’attuale contesto regolatorio, nei limiti in cui si dirà appresso.

La decisione in primo grado

In primo grado, il Tribunale di Cagliari aderiva alle doglianze della società cessionaria annullando il provvedimento del Garante (sentenza n. 1569, pubblicata il 06/06/2017). Preliminarmente, il giudice ha rilevato l’assenza di previsioni normative o di provvedimenti generali del Garante che disciplinassero l’ipotesi in cui all’originario titolare del trattamento dei dati personali succeda un altro titolare, nonché la mancanza di precedenti giurisprudenziali sul punto, evidenziando la novità della questione sottoposta al giudizio.

Passando ad analizzare il merito della vicenda, il Tribunale ha messo in dubbio che la relazione titolare-interessato sia caratterizzata dall’elemento essenziale dell’intuitus personae, come sostenuto dal Garante, soprattutto in relazione alle ipotesi in cui il titolare sia una persona giuridica e non una persona fisica. In altri termini, la posizione del Garante risulterebbe inadeguata a disciplinare vicende nelle quali, pur non mutando la soggettività giuridica, mutino elementi altrettanto significativi in relazione alle qualità soggettive del titolare, come ad esempio, nel caso in cui vengano cedute le quote di maggioranza della società oppure la banca dati sia concessa in affitto ovvero muti sensibilmente l’oggetto sociale ecc.

Conseguentemente il giudice di primo grado, rilevato il perseguimento da parte della società ricorrente delle medesime finalità per le quali era stato prestato il consenso originario ed evidenziata la possibilità degli interessati di esercitare i diritti loro riconosciuti dal Codice Privacy, primo fra tutti quello di revocare il consenso, ha disposto l’annullamento del provvedimento, reputando che l’imposizione della misura del blocco del trattamento fosse esorbitante rispetto alle finalità perseguite di tutela degli interessati e ingiustamente penalizzante per la società ricorrente.

La posizione della Cassazione sull’onere informativo a carico della società cessionaria

Il primo tema affrontato dalla Suprema Corte si snoda attorno all’esigenza degli interessati di essere informati laddove i dati personali siano oggetto di cessione ad altro titolare, a garanzia di un trattamento corretto e trasparente nei loro confronti.

Al riguardo, la posizione del Garante è chiara: poiché la cessione dei dati comporta un mutamento soggettivo nel ruolo del titolare diviene necessario, in ragione dell’intuitus personae che caratterizza la relazione tra titolare e interessati, procedere con una rinnovazione dell’informativa.

Nell’affrontare la questione gli ermellini non dimenticano di richiamare un loro precedente che, seppur riferito al trattamento di banche dati costituite sulla base di elenchi telefonici pubblici, rappresenta l’affermazione di un principio valido anche per la fattispecie. In particolare, con la decisione N. 17143 del 17/08/2016, la Corte di Cassazione stabilì che «Il cessionario dei dati personali presenti nelle banche dati costituite sulla base degli elenchi telefonici pubblici non può lecitamente utilizzarli per fini promozionali se non prova di aver inoltrato l’informativa prescritta dall’art. 13 del d.lgs. n. 196 del 2003 (cd. “codice della privacy”) per l’acquisizione del consenso degli interessati all’utilizzazione dei dati di loro pertinenza».

Tale principio, rispetto al quale il collegio ritiene di non doversi discostare, viene oggi arricchito di ulteriori argomentazioni. Si precisa, infatti, che il trasferimento dei dati da un titolare ad un altro, determina la cessazione del trattamento originario e l’inizio di un nuovo e distinto trattamento – a opera del nuovo titolare – relativamente al quale si rinnova anche l’esigenza di tutela degli interessati attraverso una nuova informativa.

In definitiva, la Suprema Corte enuncia il seguente principio di diritto: «In tema di trattamento di dati personali sensibili, nella vigenza del codice della privacy (d.lgs. N.196 del 30 giugno 2003) – nella stesura anteriore alle modifiche introdotte con il d.lgs. n.101 del 10 agosto 2018 di adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, entrato in vigore il 25 maggio 2018 (art.99, comma 2, del Regolamento) – il titolare del trattamento dei dati che abbia acquisito i dati (o una banca dati) a seguito di cessione da altro titolare è tenuto ad informare gli interessati ai sensi dell’art.13, comma 4, CP, a meno che la fattispecie non rientri nelle ipotesi in deroga previste dall’art.13, comma 5, CP e la deroga sia fatta valere alle condizioni previste».

A fronte dell’enunciazione di un principio di così vasta portata pratico-applicativa, resta da affrontare la questione della sua validità temporale, considerato il diretto ed esplicito riferimento operato dal collegio rispetto alla disciplina del Codice Privacy nella versione antecedente all’adeguamento al GDPR (ex d.lgs. n.101 del 10 agosto 2018).

Ebbene, alla luce della disciplina attualmente vigente, possiamo ritenere comunque valido e applicabile il principio sancito dalla Corte di Cassazione, posto che il quadro regolatorio ha mantenuto quell’impronta fiduciaria, desumibile dai principi del trattamento corretto e trasparente (art. 5 GDPR), che caratterizza la relazione titolare-interessato. A riprova, si consideri la formulazione dell’art. 14 GDPR che detta una specifica disciplina proprio per l’ipotesi in cui i dati non siano stati ottenuti presso l’interessato, regolamentando in maniera più dettagliata rispetto al Codice Privacy previgente la tempistica del cd. ricontatto a scopi informativi.

L’acquisizione di un rinnovato consenso

Altro tema concerne la rinnovazione del consenso.

Sulla base della premessa che la cessione dei dati desse luogo ad un nuovo trattamento ad opera di un nuovo titolare, la Corte ha concluso per la necessità della rinnovazione del consenso, salvo il verificarsi delle ipotesi derogatorie contemplate dal Codice privacy che, nel caso di trattamento di dati sensibili, sono contenute nelle disposizioni degli artt. 26 comma 4 e 110 comma 1 CP (quest’ultimo relativo al trattamento dei dati sanitari a fini ricerca medica, biomedica ed epidemiologica), le quali richiedevano, però, il coinvolgimento del Garante cui erano attribuiti poteri istruttori ed autorizzativi a presidio della piena tutela degli interessati.

Alla luce delle richiamate considerazioni la Suprema Corte ha enunciato il principio secondo il quale “La cessione di dati o banche dati è consentita dall’art.16 del d.lgs. n. 196 del 2003; tuttavia la cessione dei dati ad un terzo, ed il conseguente mutamento soggettivo del titolare del trattamento, determina l’avvio di un nuovo trattamento, a sua volta soggetto alle disposizioni generali in tema di informativa e di consenso; in questo caso, il rinnovo dell’informativa e della raccolta del consenso può essere derogata, in misura più o meno ampia, solo ove ricorrano le specifiche condizioni previste dal codice della privacy; per quanto riguarda i “dati sensibili” e i “dati genetici”, che costituiscono un sottoinsieme dei primi, la disciplina si connota di particolare rigore, temperato mediante il riconoscimento di poteri istruttori ed autorizzativi al Garante previsti dagli artt. 13, comma 5, 26, comma 4, 110, comma 1, CP. – che non possono essere derogati, essendo volti ad assicurare lo svolgimento del trattamento ritenuto meritevole di tutela per le finalità perseguite, senza intaccare in maniera significativa i diritti degli interessati”.

Occorre ora interrogarsi sulla validità del richiamato principio nel mutato contesto normativo, a seguito dell’adeguamento del Codice Privacy al Regolamento (UE) 2016/679.

Al riguardo, è necessario considerare che la Corte di Cassazione ha fondato la sua decisione, soprattutto, sul rilievo che l’unica norma che disciplina espressamente la cessione dei dati (art. 16 del Codice Privacy) qualifica la cessione come conseguenza della cessazione del trattamento. Pertanto, il trattamento che segua la cessione dei dati si configura come un nuovo e distinto trattamento, rispetto a quello originario (cessato), richiedendo la rinnovazione del consenso.

L’abrogazione del citato art. 16, ad opera del d.lgs. 101/2018, fa venir meno il principale presupposto argomentativo su cui si fonda l’enunciato della Cassazione e non consente più di escludere, sulla base di una disposizione esplicita, che la cessione dei dati abbia luogo anche senza una cessazione del trattamento, il quale potrebbe restare in vita con il subentro del nuovo titolare nella posizione di quello originario.

Peraltro, l’intero quadro regolatorio comunitario è finalizzato oltre che alla tutela degli interessati anche a favorire la libera circolazione dei dati personali, di guisa da non sottoporre più la cessione dei dati alle rigorose restrizioni della precedente disciplina.

L’argomentazione fornita dal Garante, secondo cui elemento essenziale del consenso sarebbe l’intuitus personae, appare non in linea con i principi generali del GDPR. Se è indubbia la rilevanza attribuita al clima di fiducia su cui si fonda il consenso degli interessati, tale fiducia è intesa dal regolatore europeo quale conseguenza della consapevolezza, negli interessati, della robusta tutela accordata ai propri diritti piuttosto che come qualità della relazione con il titolare del trattamento. In tale prospettiva, le caratteristiche, qualità e competenze professionali del titolare assumono rilievo (sia nella fase della manifestazione del consenso che durante il trattamento) in termini oggettivi e non soltanto con riferimento al soggetto che riveste il ruolo di titolare.

In tale scenario, assume una valenza determinante il contesto nel quale si opera, nella fattispecie quello della ricerca scientifica in ambito biomedico. E il contesto caratterizza in modo rilevante la discussione sulla valenza del consenso, non riferibile soltanto alla dimensione del dato personale ma anche alla dimensione materiale del campione biologico da cui il dato è tratto, e a cui è inscindibilmente connesso in una prospettiva di diritto all’identità genetica.

Conclusioni

La pronuncia esaminata affronta un tema di vibrante attualità, quello della valenza del consenso dell’interessato in relazione al trattamento dati effettuato da un titolare differente da chi l’ha ricevuto inizialmente, peraltro nel particolare contesto di una biobanca genetica relativa ad un c.d. “isolato di popolazione”.

Tuttavia, le argomentazioni della sentenza in commento non indugiano su tale contesto, restando confinate nella dimensione del dato personale e della relativa disciplina giuridica, mentre la discussione sulla validità del consenso andrebbe sviluppata in una prospettiva di diritto all’identità genetica, la cui tutela comprende la dimensione personalistica del dato ma non si esaurisce in essa.

Inoltre, il punto di vista degli interessi dell’individuo, cui si riferiscono i dati e i campioni biologici trattati, andrebbe collimato con quello degli interessi della comunità a cui il singolo appartiene, riconoscendo alla comunità il ruolo di un autonomo centro d’interesse volto alla salvaguardia del patrimonio genetico (omogeneità genetica).

Tutto ciò senza dimenticare il perimetro segnato dal generale divieto di trarre profitto dal corpo umano o dalle parti di esso, come sancito dall’art. 21 della Convenzione di Oviedo e dall’art. 3 della Carta fondamentale dei diritti dell’Unione Europea, a fronte del quale andrebbe regolamentata la possibilità di cedere campioni biologici intesi nella dimensione materiale di “parti staccate dal corpo”.

Resta irrisolto il nodo centrale della regolamentazione delle biobanche relativamente al quale già nel 2006 il Consiglio d’Europa (raccomandazione n. 4/2006, avente a per oggetto “la ricerca condotta sui materiali biologici di origine umana”) aveva suggerito, proprio in relazione alle biobanche di popolazione, l’adozione di una disciplina che regolasse oltreché la costituzione e l’attività anche il trasferimento e la chiusura.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 4