Il rapporto tra Regolamento generale sulla protezione dei dati (GDPR) e la ricerca scientifica è uno dei uno dei temi più dibattuti sin dalla data di entrata in vigore del GDPR[1]. I consideranda del GDPR lasciano intendere un favor per la ricerca scientifica perché evidenziano che il trattamento di dati personali, anche sensibili, per tale finalità giustifica, a certe condizioni, deroghe alle regole applicabili alla generalità dei trattamenti di dati personali.
In particolare, i consideranda sottolineano che, quando non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati, dovrebbe essere consentito agli interessati di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista ove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica; non è necessario imporre l’obbligo di fornire all’interessato le informazioni sul trattamento dei suoi dati se – come può verificarsi nel caso di trattamenti eseguiti a fini di ricerca scientifica – informare l’interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato per via, ad esempio, del numero di interessati o del tempo decorso dalla raccolta dei dati, tenuto conto dell’esistenza di garanzie adeguate; l’ulteriore trattamento di dati personali a fini di ricerca scientifica dev’essere considerato un trattamento lecito e compatibile con la finalità iniziale della raccolta dei dati (qualunque essa sia); in deroga al divieto di trattare categorie particolari di dati personali, tale trattamento è consentito per finalità di ricerca scientifica; le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate a fini di ricerca scientifica in base al diritto dell’Unione europea (UE) o nazionale che deve perseguire un obiettivo di interesse pubblico, nonché per studi svolti nel pubblico interesse nell’ambito della sanità pubblica; anche laddove l’interessato chieda che siano cancellati e non più sottoposti a trattamento i propri dati personali, è lecita l’ulteriore conservazione di tali dati che sia necessaria a fini di ricerca scientifica; eccezionalmente, pur in assenza di un meccanismo di trasferimento dei dati personali fuori dall’UE, possono essere autorizzati i trasferimenti qualificabili come non ripetitivi e riguardanti solo un numero limitato di interessati per il perseguimento di interessi legittimi cogenti del titolare del trattamento tenuto conto dei diritti e degli interessi degli interessati, di tutte le circostanze relative al trasferimento, e, nel caso di finalità di ricerca scientifica, delle legittime aspettative della società nei confronti di un miglioramento delle conoscenze; gli Stati membri sono autorizzati, a certe condizioni e in presenza di adeguate garanzie per gli interessati, ad introdurre deroghe ai requisiti di informazione e ai diritti alla rettifica, alla cancellazione, all’oblio, alla limitazione del trattamento, alla portabilità dei dati personali, nonché al diritto di opporsi in caso di trattamento di dati personali per finalità di ricerca scientifica, incluse procedure specifiche per l’esercizio di tali diritti da parte degli interessati; il trattamento dei dati personali per finalità scientifiche deve rispettare altre normative rilevanti, come quella sulle sperimentazioni cliniche[2]. Cosí, ad esempio, “per rispondere alle specificità del trattamento dei dati personali per finalità di ricerca scientifica dovrebbero applicarsi condizioni specifiche”, per quanto riguarda la pubblicazione o la diffusione in altra forma di dati personali nel contesto delle finalità di ricerca scientifica[3].
Inoltre, i consideranda del GDPR chiariscono anche che “il trattamento di dati personali per finalità di ricerca scientifica dovrebbe essere interpretato in senso lato”, così da includere lo sviluppo tecnologico e la ricerca finanziata da privati[4].
In linea con i consideranda, le disposizioni del GDPR confermano un favor per la ricerca scientifica, in quanto adeguano l’applicazione dei principi generali sul trattamento dei dati personali alle specificità della ricerca scientifica[5]. Basti pensare al trattamento ulteriore di dati personali (art. 5(1)(b)), alla limitazione della conservazione dei dati (art. 5(1)(e)), alle categorie particolari di dati personali (art. 9(2)(j)), alle informazioni da fornire agli interessati qualora i dati personali non siano stati raccolti presso costoro (art. 14(5)(b)), ai diritti alla cancellazione dei dati (art. 17(3)(d)[6]) e di opposizione al trattamento (art. 21(6)) e alle garanzie e deroghe al trattamento dei dati (art. 89(1) e (2)).
Inoltre, il GDPR conferisce agli Stati membri la facoltà di introdurre, nelle legislazioni nazionali, ulteriori deroghe ai diritti riconosciuti agli interessati dal GDPR qualora il loro esercizio rischi di rendere impossibile o di compromettere gravemente il conseguimento degli obiettivi del trattamento dei dati personali per finalità di ricerca scientifica e le deroghe siano necessarie per il raggiungimento di queste finalità, purché sussistano adeguate garanzie[7].
Indice degli argomenti
L’interpretazione research-friendly del GDPR a livello UE
Gli Organi dell’UE hanno valorizzato i dati testuali rinvenibili nel GDPR per interpretare le norme del GDPR in modo da facilitare l’uso di dati personali per la ricerca scientifica e lo sviluppo tecnologico.
Nel Parere 3/2019 – reso il 23 gennaio 2019 su richiesta della Commissione europea – il Comitato europeo per la protezione dei dati (EDPB) ha fornito chiarimenti sulla questione della base giuridica appropriata per il trattamento dei dati personali nell’ambito di una sperimentazione clinica (“uso primario”) e sulla questione degli “usi secondari” dei dati delle sperimentazioni cliniche per altri fini scientifici[8]. Il Parere definisce l’uso primario dei dati delle sperimentazioni cliniche come l’insieme delle operazioni di trattamento relative al protocollo della sperimentazione clinica, che vanno dalla raccolta dei dati alla loro cancellazione, al termine del periodo di conservazione. Il Parere chiarisce che non tutti questi trattamenti di dati hanno la stessa base giuridica. In particolare, il trattamento dei dati relativi alle sperimentazioni cliniche a fini di sicurezza dei farmaci (safety) si può basare su un obbligo di legge (art. 6(1)(c)) e art. 9(2)(i) GDPR) imposto al titolare del trattamento (ossia il promotore della sperimentazione) e, pertanto, non è richiesto il consenso dell’interessato[9]. Tali obblighi derivano dalle norme del CTR sulla farmacovigilanza, sulle ispezioni da parte degli organismi competenti, nonché sulla conservazione dei dati delle sperimentazioni cliniche. Per contro, lo svolgimento di attività di ricerca scientifica basata sui dati delle sperimentazioni cliniche non può fondarsi su un obbligo giuridico previsto dal CTR. Secondo l’EDPB, il trattamento dei dati dei partecipanti ad una sperimentazione clinica per finalità meramente scientifiche si può basare sul consenso degli interessati, che dev’essere tenuto distinto dal consenso a partecipare alla sperimentazione clinica (cioè a sottoporsi a trattamenti medici previsti dal protocollo) richiesto dal CTR (il cosiddetto consenso informato). Al riguardo, il Parere sottolinea che il consenso al trattamento dei dati ai sensi del GDPR dev’essere prestato liberamente e, quindi, esso non costituisce una base giuridica adeguata nelle attività di ricerca in cui sussiste un evidente squilibrio di potere tra l’interessato e il titolare del trattamento, come nel caso in cui l’interessato sia in cattive condizioni di salute e non esistano alternative terapeutiche al di fuori della sperimentazione clinica, oppure appartenga ad un gruppo economicamente o socialmente svantaggiato o si trovi in una situazione di dipendenza istituzionale o gerarchica. Il consenso potrebbe non essere espresso liberamente ai sensi del GDPR persino ove siano soddisfatte le condizioni per un consenso informato ai sensi del CTR.
Le basi giuridiche alternative al consenso
Dopo aver esaminato ulteriori problematiche legate all’uso del consenso per il trattamento di dati a fini di ricerca scientifica (come la sua revocabilità in ogni momento), l’EDPB ha individuato delle basi giuridiche alternative al consenso per il trattamento dei dati “ordinari”: l’esecuzione di un compito di interesse pubblico, applicabile nel caso in cui la conduzione delle sperimentazioni cliniche rientri direttamente nel mandato, nelle funzioni e nei compiti di un organismo pubblico o privato a norma del diritto nazionale (art. 6(1)(e) GDPR) e, in tutte le altre circostanze, il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato (art. 6(1)(f) GDPR).
Per le categorie particolari di dati (essendo tali i dati sulla salute[10] e i dati genetici[11]), può operare una delle seguenti deroghe previste dal GDPR: i “motivi di interesse pubblico nel settore della sanità pubblica […] sulla base del diritto […] degli Stati membri” (art. 9(2)(i)) e i “fini di […] ricerca scientifica […] in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale” (art. 9(2)(j))[12]. In effetti, il GDPR prevede la possibilità di stabilire, nella legislazione degli Stati membri, una base giuridica per il trattamento dei dati relativi alla salute senza il consenso degli interessati, qualora ciò sia necessario ai fini della ricerca scientifica[13].
Per quanto riguarda l’uso “ulteriore” dei dati raccolti nell’ambito di una sperimentazione clinica per finalità scientifiche che esulano da quelle definite nel protocollo della sperimentazione clinica, l’EDPB ha sostenuto che si debba presumere che tali finalità siano compatibili con la finalità iniziale (cioè condurre la sperimentazione clinica), purché sussistano adeguate garanzie ai sensi dell’art. 89 del GDPR, “senza che sia necessaria una nuova base giuridica”.
Date le difficoltà nell’ottenere un consenso valido ai sensi del GDPR e le conseguenze della revoca del consenso, il Parere dell’EDPB, che ha individuato basi giuridiche appropriate per il trattamento dei dati personali nelle sperimentazioni cliniche (come la European Federation of Pharmaceutical Industries and Associations o EFPIA), è stato accolto favorevolmente dalle associazioni di categoria delle imprese che promuovono sperimentazioni cliniche[14].
Il 10 aprile 2019 la Commissione europea ha pubblicato un documento di “Domande e Risposte” sull’interazione tra il CTR e il GDPR, che conferma i chiarimenti interpretativi forniti dall’EDPB del Parere 3/2019[15]. Giova solo sottolineare che la Commissione ha evidenziato che, ove la ricerca secondaria si basi sul consenso, il titolare del trattamento deve astenersi dal ricorrere ad un consenso eccessivamente generico, nonostante un considerando del GDPR riconosca l’ammissibilità di un consenso meno specifico nell’ambito della ricerca scientifica[16]. In particolare, nelle “Domande e Risposte” si legge che “gli obblighi relativi al requisito del consenso specifico rimangono validi, nonostante la flessibilità prevista dal considerando 33”. Pertanto, i progetti di ricerca scientifica possono trattare dati personali sulla base del consenso solo se hanno una finalità chiaramente definita. Sul piano pratico, il promotore di una sperimentazione clinica può chiedere all’interessato il consenso per un uso secondario già all’inizio della sperimentazione clinica, ma deve tenerlo distinto da quello per l’uso primario dei dati (ossia la sperimentazione) e indicare le finalità di ricerca specifiche. Questa interpretazione restrittiva del consenso ha l’effetto di rendere ancor piú “limitante” il ricorso a questa base legale per il trattamento di dati a fini di ricerca secondaria, tanto piú che le “Domande e Risposte” ribadiscono che il trattamento successivo dei dati effettuato a fini di ricerca scientifica si presume compatibile con le finalità iniziali della raccolta, purché sussistano le condizioni di cui all’art. 89 del GDPR[17].
Il 2 febbraio 2021, l’EDPB ha adottato un documento che chiarisce alcune delle implicazioni del GDPR sul trattamento dei dati personali ai fini della ricerca in ambito sanitario, in risposta ad una richiesta di chiarimenti della Commissione UE ai fini di un’applicazione coerente del GDPR negli Stati membri[18]. Una questione sollevata dalla Commissione riguardava le basi giuridiche appropriate per il trattamento dei dati personali ai fini della ricerca scientifica e, segnatamente: (i) come conciliare il requisito del consenso informato richiesto dai principi etici in materia di studi clinici con il ricorso ad una base giuridica tra quelle previste dall’art. 6(1) del GDPR diversa dal consenso in combinato disposto con una deroga ex art. 9(2) del GDPR; (ii) il rischio dell’invalidità del consenso ai sensi del GDPR nel contesto degli studi clinici dato il possibile squilibrio di potere tra l’interessato e il titolare del trattamento e (iii) il fatto che lo svolgimento di un unico progetto di ricerca in diversi Stati membri possa richiedere il ricorso da parte del titolare del trattamento a basi giuridiche diverse a seconda della legislazione degli Stati membri.
Questo documento dell’EDPB ribadisce che il “consenso informato” delle persone interessate alla partecipazione a un progetto di ricerca scientifica, richiesto dalla Convenzione di Oviedo sui diritti umani e la biomedicina e dalla Dichiarazione di Helsinki della World Medical Association (WMA) sui principi etici per la ricerca medica che coinvolge partecipanti umani, dev’essere tenuto distinto dal consenso dell’interessato inteso come base giuridica per il trattamento dei dati personali ai sensi dell’art. 6(1)(a) GDPR e dal “consenso esplicito” inteso come deroga per il trattamento di categorie particolari di dati personali ex art. 9(2)(a) del GDPR[19]. Il consenso informato del partecipante ad un progetto di ricerca medica non dev’essere interpretato nel senso di imporre il consenso quale unica base giuridica per il trattamento dei dati personali ai sensi del GDPR[20]. L’EDPB ha sottolineato che se, per il trattamento dei dati personali nell’ambito di un progetto di ricerca medica, ci si avvale di una base giuridica diversa dal consenso e dal “consenso esplicito” ai sensi del GDPR dovrà essere comunque soddisfatto il requisito del consenso informato per la partecipazione a tale progetto. Un’ulteriore precisazione è che tale “consenso informato”, nel quadro del GDPR, può valere come una delle garanzie supplementari richieste dall’art. 89(1) del GDPR in caso di trattamento di dati personali a fini di ricerca scientifica.
Consenso GDPR e squilibrio di potere
In questo documento l’EDPB ha chiarito che le sue precedenti indicazioni riguardo all’invalidità del consenso in caso di squilibrio di potere tra titolare del trattamento e interessato[21] erano state fornite nel contesto specifico delle sperimentazioni cliniche e che non devono intendersi nel senso di escludere in assoluto il consenso come base giuridica per il trattamento dei dati personali nella ricerca scientifica, compresa quella medica[22]. Il consenso dell’interessato può essere utilizzato come base giuridica se è possibile dimostrare l’assenza di un rapporto di forza sbilanciato e se sono soddisfatte le condizioni per il consenso esplicito, il che dev’essere valutato caso per caso. La legislazione degli Stati membri dell’UE può altresí influire sulla possibilità di utilizzare il consenso come base giuridica per il trattamento dei dati sanitari a fini di ricerca.
L’EDPB ha riconosciuto che si possa ricorrere a basi giuridiche diverse per il trattamento dei dati personali in diversi Stati membri dell’UE nell’ambito dello stesso progetto di ricerca[23]. Infatti, le legislazioni degli Stati membri dell’UE possono incidere sull’operatività di alcune delle basi giuridiche previste dal GDPR, come quelle dell’adempimento di un obbligo legale (art. 6(1)(c) lettera c), del GDPR) e per il trattamento dei dati relativi alla salute. Inoltre, ai sensi dell’art. 9(4) del GDPR, gli Stati membri dell’UE possono introdurre delle limitazioni al trattamento dei dati genetici, dei dati biometrici e dei dati relativi alla salute. Tuttavia, quando si conduce un progetto di ricerca in ambito sanitario in più Stati membri, ci si dovrebbe avvalere (ove possibile) della stessa base giuridica per l’intero progetto. In ogni caso, i titolari del trattamento dovrebbero fare quanto possibile per limitare le conseguenze derivanti dalle diverse legislazioni nazionali in materia di trattamento dei dati sanitari a fini di ricerca scientifica, ad esempio riconoscendo ai soggetti partecipanti dei diritti in linea gli standards più elevati, a prescindere dalle norme specifiche degli Stati in cui essi vivono.
Il documento in esame riafferma che la presunzione di compatibilità del “trattamento ulteriore”, a fini di ricerca scientifica, di dati personali precedentemente raccolti dipende dall’esistenza di “garanzie adeguate per i diritti e le libertà dell’interessato”, pur rinviando a future linee guida per i necessari chiarimenti sul requisito di una base giuridica per l’ulteriore trattamento a fini di ricerca scientifica da parte del titolare del trattamento originario o di un titolare successivo[24]. Riguardo al trattamento ulteriore di dati relativi alla salute a fini di ricerca scientifica, il documento puntualizza che, se la deroga invocata ai sensi dell’art. 9(2) del GDPR per la finalità originaria del trattamento non è applicabile anche al trattamento ulteriore, il titolare del trattamento deve individuare un’altra deroga adeguata[25].
Broad consent e dynamic consent nella ricerca scientifica
L’EDPB ha confermato che i titolari del trattamento continuano a disporre della flessibilità necessaria per chiedere il consenso al trattamento dei dati per finalità di ricerca che non possano essere specificate sin dall’inizio[26]. È, cioè, possibile ottenere un consenso valido dagli interessati per finalità di ricerca descritte in termini generali (per tipo di questioni o ambiti di ricerca) – broad consent [27]– e per le fasi specifiche di un progetto di ricerca non appena siano note le finalità (dynamic consent). Ove un trattamento dei dati si basi su un broad consent, si devono porre in essere garanzie adeguate per rafforzare la trasparenza del trattamento nel corso del progetto di ricerca e per assicurare che i requisiti relativi alla specificità del consenso siano soddisfatti nel modo migliore e il più presto possibile. Ciò implica, tra l’altro, che debbano essere previste procedure adeguate che consentano agli interessati di revocare o precisare ulteriormente il proprio consenso all’utilizzo dei propri dati sanitari a fini di ricerca scientifica. Anche su questa questione il documento del 2021 rinvia ad un approfondimento successivo.
Quando il trattamento di categorie particolari di dati avviene sulla base di un consenso esplicito, il ricorso a questo approccio flessibile esige una valutazione particolarmente rigorosa.
Ove venga chiesto un consenso ampio per futuri scopi di ricerca che non possono essere definiti al momento della raccolta dei dati, il consenso è valido solo se tali scopi sono ragionevolmente correlati alla ricerca iniziale per cui i dati vengono raccolti[28].
Le osservazioni svolte dall’EDPB in risposta a domande specifiche poste dalla Commissione UE sull’applicazione del GDPR nell’ambito della ricerca scientifica vanno lette insieme ad altre indicazioni interpretative contenute nelle Linee guida 5/2020 sul consenso, adottate il 4 maggio 2020[29]. Nella sezione dedicata alla “ricerca scientifica”, si precisa che tale nozione, nel contesto del GDPR, va intesa nel senso di “un progetto di ricerca istituito in conformità con le pertinenti norme metodologiche e deontologiche settoriali, in linea con le buone prassi”. Viene ribadita la possibilità di basarsi su un broad consent o su un dynamic consent, ove non sia possibile ottenere un consenso specifico, ossia per finalità di ricerca specificatamente individuate al momento della raccolta dei dati. È anche possibile combinare un broad consent e un dynamic consent.
In particolare, per ottenere un valido consenso al trattamento dei dati per finalità di ricerca non specificabili appieno al momento della raccolta dei dati, viene suggerito di chiedere agli interessati, man mano che la ricerca avanza, il consenso per le fasi successive del progetto prima dell’inizio della fase corrispondente. Inoltre, per compensare la mancanza di specificazione della finalità di ricerca, il titolare del trattamento dovrebbe fornire periodicamente agli interessati informazioni sullo sviluppo della finalità durante l’avanzamento del progetto di ricerca, in maniera tale che, nel tempo, il consenso diventi il più specifico possibile. In tal modo, un soggetto interessato potrà valutare se esercitare o meno il diritto di revoca del consenso. Anche mettere a disposizione degli interessati un piano di ricerca esaustivo, che indichi nel modo più chiaro possibile i quesiti che la ricerca si pone e i metodi di lavoro previsti, può contribuire a compensare una mancanza di specificazione delle finalità di ricerca.
Il parere EDPS su tutela dei dati personali e ricerca scientifica
Un altro Organismo dell’UE, il Garante europeo della protezione dei dati (EDPS), il 6 gennaio 2020, ha adottato un “Parere preliminare su tutela dei dati personali e ricerca scientifica”[30]. Le considerazioni svolte dall’EDPS sono coerenti con quelle dell’EDPB su varie questioni relative all’applicazione del GDPR nell’ambito della ricerca scientifica. Su quest’ultima nozione, l’EDPS fornisce qualche ulteriore precisazione, sostenendo che si ritiene che “il regime speciale di tutela dei dati per la ricerca scientifica si applica qualora siano soddisfatti tutti e tre i seguenti criteri indicativi: 1) vengono trattati dati personali; 2) si applicano le norme settoriali pertinenti in materia di metodologia ed etica, compresi i concetti di consenso informato, responsabilità e controllo; 3) la ricerca è condotta con l’obiettivo di accrescere la conoscenza collettiva e il benessere della società, anziché servire principalmente uno o più interessi privati”[31].
L’EDPS ha osservato che le norme del GDPR delineano un regime speciale per la ricerca scientifica e dimostrano che quest’ultima occupa una posizione privilegiata nell’ambito del GDPR. Tuttavia – come si è visto nei precedenti paragrafi – la flessibilità concessa agli Stati membri, in assenza di una normativa UE armonizzata tranne che in alcuni settori (come quello delle sperimentazioni cliniche), implica che la portata effettiva di tale regime speciale non sia definita con precisione.
Un’altra interessante considerazione riguarda il considerando 50 del GDPR che sembra sovrapporre la specificazione delle finalità e la liceità nel caso del riutilizzo a fini di ricerca scientifica[32]. Poiché il GDPR non reca una disposizione normativa corrispondente al considerando 50, non si dovrebbe ritenere che sussista una deroga ai due requisiti distinti e cumulativi di cui all’art. 8(2) della Carta dei diritti fondamentali dell’Unione europea (CDFUE) quanto piuttosto una raccomandazione. Pertanto, secondo l’EDPS, al fine di garantire il rispetto dei diritti dell’interessato, il test di compatibilità ai sensi dell’art. 6(4) dovrebbe essere preso in considerazione prima del riutilizzo dei dati ai fini della ricerca scientifica, in particolare quando i dati sono stati originariamente raccolti per finalità molto diverse o al di fuori dell’ambito della ricerca scientifica.
Le recenti Linee guida dell’EDPB sull’interesse legittimo riconoscono che, nell’ambito della ricerca scientifica, i dati personali possono essere trattati per il perseguimento del legittimo interesse di soggetti terzi (art. 6(1)(f) GDPR)[33]. Con riguardo al concetto di ricerca scientifica, l’EDPB ricorda l’interpretazione di “attività scientifiche” suggerita dall’Avvocato Generale Mancini nella causa 234/83: “attività svolte da un ente pubblico o privato che opera nel campo dell’istruzione o della ricerca al fine di promuovere l’acquisizione, lo sviluppo, l’esposizione o la diffusione delle conoscenze scientifiche”[34].
Gli sforzi interpretativi fatti dagli Organi europei per rispondere alle varie questioni che sorgono quando si devono conciliare le esigenze di tutela dei dati personali e le specificità della ricerca scientifica derivano in larga misura dal fatto che non è possibile rispondere solo sulla base delle norme dell’UE sulla protezione dei dati personali. Occorre tener conto anche di altre normative europee e di quelle nazionali, sia complementari al GDPR che riguardanti altri settori, le quali variano da Stato membro a Stato membro. Infatti, da un lato, la ricerca scientifica ha tipicamente ad oggetto dati sulla salute o genetici, un ambito in cui il GDPR lascia uno spazio d’azione significativo ai legislatori nazionali degli Stati membri (si vedano l’art. 9(2)(i) e (j) e (4) e l’art. 89(1) e (2)). Dall’altro, normative orizzontali (ad esempio, le cossidette EU Digital Laws[35] e ) o settoriali (come il CTR, ma anche il Regolamento (UE) 2017/745 del 5 aprile 2017 relativo ai dispositivi medici e il Regolamento (UE) 2025/327 sullo spazio europeo dei dati sanitari[36]), a livello europeo o nazionale, possono incidere sul trattamento dei dati personali e vanno, quindi, coordinate con il GDPR e con le norme adottate dagli Stati membri per attuare o integrare le disposizioni del GDPR.
I molteplici approcci degli Stati membri al trattamento dei dati per finalità di ricerca scientifica
Sin dalla data di applicazione del GDPR, gli Organi dell’UE hanno commissionato vari studi per analizzare cosa le legislazioni nazionali e le linee guida delle autorità degli Stati membri stabiliscono in tema di trattamento di dati personali per finalità di ricerca scientifica. Ne emerge un quadro frammentato ed eterogeneo che, ancorché spiegabile con la diversità dei sistemi giuridici e istituzionali nazionali in ambito sanitario, rischiano di compromettere la conduzione di studi clinici o altri progetti di ricerca scientifica aventi ad oggetto dati sanitari di individui che si trovano in vari Stati membri (e al di fuori dell’UE). Ciò ha un impatto negativo sull’innovatività scientifica e tecnologica (in particolare, digitale) e sulla competitività dell’UE. Infatti, persino il “Rapporto Draghi” dedica una riflessione a questo tema, affrontandolo dal punto di vista dell’accesso ai dati sanitari elettronici per lo sviluppo dell’intelligenza artificiale (“AI”) nel settore farmaceutico: “sebbene il GDPR preveda la possibilità di utilizzare i dati dei pazienti per la ricerca sanitaria, il ricorso a tale possibilità è stato disomogeneo tra gli Stati membri, impedendo al settore di attingere alla grande quantità di dati elettronici disponibili”[37]. Il Rapporto sottolinea che il GDPR è stato attuato, a livello nazionale, con un elevato grado di frammentazione che compromette gli obiettivi digitali dell’UE. In effetti, la ricerca e lo sviluppo nel settore farmaceutico esigono l’acceleramento della digitalizzazione dei sistemi sanitari e uno spazio europeo dei dati sanitari (“EHDS”)[38] e questi ultimi, a loro volta, richiedono la condivisione dei dati sanitari all’interno dell’UE e il loro “riuso” a fini di ricerca scientifica e di sviluppo tecnologico. In quest’ottica, il professor Draghi raccomanda di garantire un’attuazione armonizzata del GDPR negli Stati membri, eliminando al contempo le sovrapposizioni normative con l’AI Act[39]. In tal modo, le imprese dell’UE non saranno penalizzate nello sviluppo e nell’adozione dell’AI d’avanguardia.
Nel 2021, la Commissione europea ha pubblicato uno studio sulla normative degli Stati membri dell’UE in materia di dati sanitari alla luce del GDPR[40]. Riguardo alle normative degli Stati membri che hanno un impatto sull’uso dei dati relativi alla salute per la ricerca scientifica, esistono inoltre differenze tra gli Stati membri nel modo in cui distinguono tra ricerca pubblica e privata e sulla qualificazione di situazioni ibride, come quando le società commerciali erogano finanziamenti in forma non condizionante per la ricerca condotta nelle università pubbliche. Queste distinzioni sono rilevanti per la scelta della base giuridica per il trattamento dei dati relativi alla salute dei soggetti partecipanti alla ricerca. Se la ricerca è di interesse pubblico, il trattamento di tali dati potrebbe basarsi sull’art. 9(2)(j) o sull’art. 9(2)(i) del GDPR.
Lo Studio riporta che nove Stati membri non hanno adottato una normativa settoriale sull’utilizzo dei dati a fini di ricerca. Ciononostante, generalmente in questi Stati i dati sanitari possono essere trattati a fini di ricerca ai sensi dell’art. 9(2)(j) nel rispetto delle norme contenute nella legislazione generale sulla protezione dei dati adottata ai sensi del GDPR. Diciotto Stati membri dispongono di una normativa specifica che regola l’uso dei dati sanitari a fini di ricerca.
Le differenze tra le normative e le linee guida regolatorie nazionali in questo ambito riguardano soprattutto le basi legali e le misure di salvaguardia (in particolare, gli standards di anonimizzazione e pseudonimizzazione) richieste per il “riutilizzo” di dati sanitari raccolti nell’ambito della prestazione di cure mediche a fini di ricerca[41]. Ad esempio, in Germania, il trattamento di categorie particolari di dati sanitari è consentito anche senza il consenso dell’interessato per finalità di ricerca scientifica, se tale trattamento è necessario per tali finalità e gli interessi del titolare a trattare i dati prevalgono “in modo sostanziale” su quelli dell’interessato a che non siano trattati i suoi dati [42]. Il titolare del trattamento deve adottare misure adeguate e specifiche per tutelare gli interessi dell’interessato, tra cui: le misure tecniche e organizzative previste dal GDPR (ad esempio, la pseudonimizazzione e la crittografia dei dati personali); misure volte a garantire che sia successivamente possibile verificare e stabilire se e da chi i dati personali siano stati inseriti, modificati o cancellati; misure volte a sensibilizzare il personale coinvolto nelle operazioni di trattamento; la nomina di un responsabile della protezione dei dati (“DPO”); restrizioni all’accesso ai dati personali all’interno del titolare del trattamento e da parte dei responsabili del trattamento; misure volte a garantire la capacità, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi di trattamento e dei servizi connessi al trattamento dei dati personali, compresa la capacità di ripristinare rapidamente la disponibilità e l’accesso in caso di incidente fisico o tecnico; un processo per testare, valutare e verificare regolarmente l’efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del trattamento; norme procedurali specifiche volte a garantire il rispetto della legge nazionale sulla tutela dei dati personali e del GDPR in caso di trasferimento o di trattamento per altre finalità[43].
Le differenze nazionali nel riutilizzo dei dati per la ricerca scientifica
In Spagna il riutilizzo dei dati personali a fini di ricerca biomedica è considerato lecito e compatibile quando, dopo aver ottenuto il consenso per una finalità specifica, i dati siano utilizzati per finalità o ambiti di ricerca correlati al settore in cui lo studio iniziale era scientificamente integrato[44]. In tali casi, i titolari del trattamento devono pubblicare le informazioni ai sensi dell’art. 13 del GDPR in un posto facilmente accessibile sul sito internet aziendale del centro in cui viene svolta la ricerca o lo studio clinico e, se del caso, sul sito del promotore, e informare gli interessati dell’esistenza di tali informazioni per via elettronica. È considerato lecito l’uso di dati personali pseudonimizzati a fini di ricerca in ambito sanitario e, in particolare, biomedico[45]. L’utilizzo di dati personali pseudonimizzati a fini di ricerca deve essere soggetto all’approvazione preventiva del Comitato Etico competente per la ricerca. L’utilizzo di dati personali pseudonimizzati a fini di ricerca biomedica richiede una separazione tecnica e funzionale tra il gruppo di ricerca e coloro che effettuano la pseudonimizzazione e conservano le informazioni che rendono possibile la reidentificazione; che i dati pseudonimizzati siano accessibili al gruppo di ricerca solo quando: i) esiste un impegno esplicito alla riservatezza e a non svolgere alcuna attività di reidentificazione e ii) siano adottate misure di sicurezza specifiche per impedire la reidentificazione e l’accesso da parte di terzi non autorizzati. La reidentificazione dei dati può avvenire quando, nel corso di una ricerca che utilizza dati pseudonimizzati, risulti evidente l’esistenza di un pericolo reale e specifico per la sicurezza o la salute di una persona o di un gruppo di persone, o di una grave minaccia ai loro diritti, oppure che sia necessario per garantire un’adeguata assistenza sanitaria[46].
I Paesi Bassi hanno regolato il trattamento ulteriore di dati dei pazienti a fini di ricerca in una normativa settoriale, la Legge sui contratti di assistenza medica[47]. La condivisione dei dati dei pazienti al di fuori dell’équipe medica che li ha in cura richiede il consenso degli interessati, salvo che non sussista un’eccezione prevista da tale Legge[48]. Quest’ultima prevede un’eccezione limitata nel caso della ricerca, qualora sia impossibile o non fattibile chiedere il consenso. In tal caso, i dati dei pazienti possono comunque essere condivisi a fini di ricerca se la ricerca è nell’interesse comune, non può essere svolta senza tali dati, sono state adottate misure di sicurezza sufficienti per impedire la reidentificazione e il paziente non si è opposto a tale utilizzo[49]. Pertanto, la legge olandese prevede un’eccezione al principio del segreto medico solo nel caso della ricerca. In ogni caso, il ricercatore destinatario dei dati deve avere una base giuridica per il trattamento dei dati. Nel caso di ricercatori che operano all’interno dello stesso titolare del trattamento (come in un grande ospedale universitario), il titolare del trattamento e, quindi, la ricerca potrebbero avvalersi dell’art. 5(1)(b) del GDPR. Se i dati vengono trasmessi ad un nuovo titolare del trattamento, come un’organizzazione di ricerca separata, tale nuovo titolare del trattamento avrebbe bisogno di una propria base giuridica. In assenza di consenso ai sensi del GDPR, l’art. 24 della legge di attuazione del GDPR stabilisce che la ricerca possa essere svolta senza consenso se sono soddisfatte determinate condizioni[50].
Le garanzie ex art. 89(1) del GDPR
Un panorama legislativo frammentato nell’UE emerge anche dallo Studio sulle garanzie adeguate richieste ai sensi dell’art. 89(1) del GDPR per il trattamento dei dati personali ai fini della ricerca scientifica commissionato dall’EDPB[51]. Questa norma, come si è visto, è essenziale ai fini dell’applicabilità dell’art. 5(1)(b) (sulla compatibilità dell’“ulteriore trattamento” a fini di ricerca scientifica) che dell’art. 9(2)(j) (sul trattamento di dati sensibili per finalità di ricerca scientifica). Lo Studio spiega che sono possibili due interpretazioni dell’art. 89(1) GDPR: una è che gli Stati membri debbano adottare una normativa specifica che definisca le misure di sicurezza da essi richieste; l’altra è che sia imposto ai ricercatori, in qualità di titolari del trattamento, l’obbligo di attuare tali misure di sicurezza.
Lo Studio sostiene che in Francia le garanzie richieste per il trattamento dei dati a fini di ricerca scientifica sono collegate alle deroghe ai diritti degli interessati, che, ai sensi della legge francese sulla protezione dei dati personali[52], possono essere introdotte con un decreto adottato dall’autorità di controllo nazionale (la Commission Nationale de l’Informatique et des Libertés o CNIL). In base al Decreto n. 2019-536 del 29 maggio 2019 i dati risultanti da trattamenti per finalità di ricerca scientifica, conservati dal titolare del trattamento o dal suo responsabile, devono essere accessibili o modificabili solo da persone autorizzate. Tali persone rispettano le norme deontologiche applicabili ai rispettivi settori di attività. Le autorizzazioni concesse dai titolari del trattamento a tali persone sono conformi alle specifiche finalità del trattamento, nonché a determinate garanzie. In particolare, i dati non possono essere diffusi senza essere stati preventivamente resi anonimi, salvo che l’interesse di terzi a tale diffusione prevalga sugli interessi o sulle libertà e sui diritti fondamentali dell’interessato. Per quanto riguarda i risultati della ricerca, tale diffusione deve essere assolutamente necessaria alla loro presentazione. I dati diffusi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati[53].
Nello Studio sulle garanzie ex art. 89(1) del GDPR, si legge che il trattamento dei dati sensibili necessario a fini di ricerca pubblica è consentito purché sussista il consenso esplicito dell’interessato oppure un’autorizzazione preventiva da parte della CNIL con riferimento ad un trattamento specifico[54]. Tale deroga al divieto di raccolta di dati sensibili è, però, limitata alla ricerca pubblica, non potendo, quindi, essere invocata per la ricerca privata.
Va precisato che, ai sensi della legge francese sulla privacy, i trattamenti di dati relativi alla salute possono essere effettuati solo in considerazione della finalità di interesse pubblico che essi perseguono e la garanzia di elevati standards di qualità e sicurezza dei medicinali e dei dispositivi medici costituisce una finalità di interesse pubblico[55]. La CNIL adotta regolamenti applicabili, in via generale, ai trattamenti di dati sulla salute per le finalità di interesse pubblico[56]. I trattamenti conformi a tali standards possono essere attuati a condizione che i titolari del trattamento presentino preventivamente alla CNIL una dichiarazione che ne attesti la conformità[57]. La CNIL ha adottato metodologie di riferimento che stabiliscono requisiti per il trattamento di dati personali specifici per i vari tipi di ricerca scientifica. Esse si applicano anche a titolari del trattamento di natura privata. Ad esempio, la MR-001 riguarda i trattamenti di dati personali nell’ambito degli studi clinici interventistici ed è comunemente applicata dalle aziende farmaceutiche quando promuovono sperimentazioni cliniche in Francia[58].
Un altro Studio commissionato dall’EDPB riguarda l’uso secondario dei dati relativi alla salute in diciotto Stati europei (incluso un ex Stato membro dell’UE, il Regno Unito)[59]. Viene rilevato che, nella stragrande maggioranza delle legislazioni nazionali, manca una definizione generale e onnicomprensiva di “ricerca scientifica”. Una definizione normativa di portata generale di “ricerca scientifica” è presente solo in Bulgaria, Francia, Grecia, Romania e Slovenia. Tuttavia, in vari Paesi la nozione di ricerca scientifica è presente in normative di carattere settoriale, come quelle riguardanti l’ambito sanitario o la ricerca medica.
Lo Studio ha esaminato se le leggi nazionali prevedano una base giuridica adeguata per il trattamento dei dati personali nel contesto della ricerca scientifica, compreso l’uso secondario, come previsto dall’art. 9(2)(j) del GDPR. Il risultato è che circa metà dei diciotto Stati considerati hanno dato attuazione a tale disposizione europea (Bulgaria, Danimarca, Francia, Germania, Grecia, Ungheria, Lettonia, Portogallo, Romania, Slovacchia, Italia e Regno Unito). L’Estonia ha riconosciuto la ricerca come base giuridica autonoma alternativa al consenso. Tuttavia, è previsto un ruolo per i Comitati Etici nell’applicazione di questa base giuridica, dovendo essi verificare che il titolare del trattamento rispetti i requisiti stabiliti dalla legge. In Norvegia, l’approvazione preventiva di un Comitato Etico è considerata una base giuridica necessaria e adeguata per il trattamento dei dati sanitari personali nella ricerca medica e sanitaria. In Belgio non sembra chiaro se la legge nazionale sulla protezione dei dati preveda una base giuridica appropriata per il trattamento dei dati personali nel contesto della ricerca scientifica e dei dati sanitari. Nei Paesi Bassi il trattamento dei dati sensibili è consentito per la ricerca ove esso sia necessario, serva un interesse generale, il consenso esplicito sia impossibile e siano previste garanzie sufficienti.
Per quanto concerne la possibilità di basarsi su un broad consent per il trattamento dei dati a fini di ricerca, circa un terzo degli Stati esaminati lo ritiene possibile, ma, generalmente, non in termini assoluti. Ad esempio, sia il Belgio che la Norvegia specificano che non è possibile dare un consenso generale a tutti i tipi di ricerca (consenso indiscriminato), ma ciò è possibile nel caso della ricerca sul cancro. In Germania, il considerando 33 del GDPR può essere invocato a determinate condizioni chiarite dalla Conferenza (tedesca) sulla protezione dei dati, composta dalle autorità di controllo del Governo federale e dei Länder[60].
Nei sistemi giuridici degli Stati considerati non si fa distinzione tra l’uso del consenso quale base giuridica per l’uso primario e per l’uso secondario dei dati.
Nella maggioranza degli Stati non è chiarito se la presunzione di compatibilità del trattamento ulteriore per fini di ricerca scientifica di dati originariamente raccolti per un altro fine implichi che non sia richiesta una base giuridica per tale trattamento ulteriore. Solo tre Paesi – Belgio, Grecia e Italia – non richiedono, in tal caso, una base giuridica, ma prevedono delle misure di salvaguardia.
Il regime italiano sulla ricerca scientifica
Ad esempio, in Italia, il trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica è soggetto a requisiti rigorosi. Lo Studio si riferisce al regime anteriore alla riforma legislativa del 2024 che ha apportato significative modifiche alle norme del Codice della Privacy sul trattamento di dati personali e sensibili per finalità di ricerca scientifica. Prima di tale riforma, l’art. 110 bis del Codice della Privacy non richiedeva una nuova base giuridica per il riutilizzo dei dati per finalità di ricerca scientifica da parte di soggetti terzi, ma costoro erano tenuti ad ottenere l’autorizzazione preventiva del Garante (italiano) per la protezione dei dati personali (“Garante Privacy”)[61]. Tale autorizzazione poteva avvenire tramite una decisione ad hoc o attraverso un provvedimento generale di autorizzazione che specifica le condizioni e le misure necessarie che il titolare del trattamento deve attuare[62]. Nessuna autorizzazione era, invece, richiesta in caso di trattamento ulteriore dei dati da parte dello stesso titolare del trattamento a fini di ricerca scientifica[63].
Riguardo all’art. 14(5)(b) del GDPR – che, come detto, esonera il titolare del trattamento dall’obbligo di informazione ove fornire le informazioni agli interessati sia impossibile o comporterebbe uno sforzo sproporzionato, in particolare per il trattamento a fini di ricerca scientifica – solo alcuni Stati membri (Francia, Germania, Italia e Ungheria) ha dettato condizioni specifiche per l’operare di tale deroga. In Germania la giurisprudenza ha stabilito che lo “sforzo sproporzionato” non dovrebbe derivare da ostacoli creati inutilmente dal titolare del trattamento e non può considerare esclusivamente i costi finanziari o organizzativi. Ad esempio, in Francia, il titolare che intenda invocare l’art. 14(5)(b) del GDPR deve chiedere un’autorizzazione alla CNIL prima dell’inizio del trattamento dei dati. La CNIL valuta le ragioni e le circostanze dell’eccezione invocata (tra cui la difficoltà sostanziale di reidentificare le persone interessate, il carico di lavoro umano, il costo finanziario, l’epoca di raccolta dei dati, il numero di interessati), nonché le garanzie presentate dal titolare del trattamento. Tali valutazioni vengono effettuate tenendo conto dei mezzi a disposizione del titolare del trattamento per rispettare il diritto all’informazione dell’interessato.
Con riguardo all’Italia, lo Studio in commento riferisce che il Codice della privacy, nella versione allora vigente, stabiliva che l’utilizzo secondario dei dati personali per scopi di ricerca scientifica da parte di terzi era soggetto all’autorizzazione del Garante Privacy, qualora informare gli interessati risultasse impossibile o comportasse uno sforzo sproporzionato per motivi specifici, oppure qualora rischiasse di rendere impossibile o di compromettere seriamente il raggiungimento degli scopi della ricerca[64].
Poiché si sono menzionate le norme del Codice della Privacy prese in esame nello Studio sull’uso secondario dei dati nel contesto della ricerca scientifica, sembra opportuno riassumere il regime attualmente vigente in Italia, risultante da una riforma del 2024[65]. Per quanto riguarda il trattamento di dati personali e sensibili a fini di ricerca scientifica di dati già raccolti (ad altri scopi) dal parte dello stesso titolare del trattamento, esso può essere effettuato senza il consenso degli interessati[66] ove, “a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca”. In tal caso, il titolare del trattamento deve osservare le garanzie per i diritti e gli interessi degli interessati di cui all’art. 89(1) del GDPR, le quali – ed è questa la novità introdotta nel 2024 – possono essere previste da Regole Deontologiche promosse dal Garante Privacy, nonché ottenere il parere favorevole sul progetto di ricerca da parte del Comitato Etico competente[67]. Questa norma si presta ad essere applicata ad un trattamento ulteriore di dati personali a fini di ricerca scientififca da parte dello stesso titolare, perché è in questo caso che potrebbe risultare impossibile o estremamente problematico ottenere il consenso da parte degli interessati. Questa evenienza può verificarsi in caso di studio retrospettivo di dati raccolti per l’assistenza sanitaria o per un precedente progetto di ricerca.
Con il Provvedimento n. 298 del 9 maggio 2024[68], il Garante Privacy ha individuato le garanzie per trattamenti di dati sanitari per finalità di ricerca medica, biomedica ed epidemiologica quando i soggetti sono deceduti o non contattabili per specifici motivi etici od organizzativi, nell’ottica di un bilanciamento dell’esigenza di ricerca con la tutela dei dati personali. Viene chiarito che il trattamento dei dati senza il consenso degli interessati può essere giustificato da determinati motivi etici o organizzativi. I motivi etici sono riconducibili alla circostanza che l’interessato ignora la propria condizione[69].
I motivi di impossibilità organizzativa sono riconducibili alla circostanza che la mancata raccolta dei dati riferiti al numero di interessati che non è possibile contattare, rispetto al numero complessivo dei soggetti che si intende arruolare nella ricerca, produrrebbe conseguenze significative per lo studio in termini di qualità dei risultati della ricerca stessa; ciò avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché al periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati sono stati originariamente raccolti. I motivi di impossibilità organizzativa possono consistere nella circostanza (da ritenersi residuale) che contattare gli interessati implicherebbe uno sforzo sproporzionato vista la particolare elevata numerosità del campione oppure nella circostanza che, all’esito di ogni ragionevole sforzo compiuto per contattarli (ivi compresi la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto pubblicamente accessibili), essi risultino al momento dell’arruolamento nello studio, deceduti o non contattabili.
Laddove ricorrano determinati motivi etici o organizzativi, il titolare del trattamento è tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato. Deve, inoltre, acquisire il parere favorevole del competente Comitato Etico sul progetto di ricerca, in cui sono motivate accuratamente le ragioni etiche od organizzative per cui informare gli interessati e acquisirne il consenso risulti impossibile, richieda uno sforzo sproporzionato o rischi di compromettere il raggiungimento delle finalità della ricerca. Inoltre, è necessario documentare i ragionevoli sforzi compiuti per tentare di contattare gli interessati. Il titolare dovrà anche svolgere e pubblicare la DPIA, dopo averne dato comunicazione al Garante Privacy.
Per quanto concerne il trattamento ulteriore di dati personali e sensibili a fini di ricerca scientifica, il Codice della Privacy prevede che esso possa essere autorizzato dal Garante Privacy, “quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, a condizione che siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, in conformità all’articolo 89 del [GDPR], comprese forme preventive di minimizzazione e di anonimizzazione dei dati”. Questa autorizzazione può essere fornita per casi individuali oppure mediante un provvedimento applicabile a categorie di trattamenti ulteriori, e, in ogni caso, prescrive le condizioni e le misure necessarie per assicurare adeguate garanzie a tutela degli interessati[70].
Resta ferma la disposizione di favore per il trattamento di dati medici a fini di ricerca scientifica da parte degli IRCCS di natura pubblica o privata, il quale è esonerato dal soddisfacimento dei predetti requisiti, ma fatte salve le necessarie garanzie ex art. 89 GDPR[71].
Nonostante le ultime modifiche migliorative, la normativa italiana – al pari, peraltro, di quelle di altri Stati membri dell’UE – nell’integrare le disposizioni del GDPR sull’uso dei dati personali e sanitari a fini di ricerca scientifica, ridimensionano le possibilità prefigurate dal legislatore europeo. Quindi, le normative nazionali complementari al GDPR, oltre a differire anche significativamente tra loro, sono, in generale, restrittive per quanto concerne il trattamento dei dati nell’ambito della ricerca scientifica.
Le più recenti prese di posizione a livello normativo nell’UE
A livello europeo sono state emanate o proposte alcune nuove disposizioni normative che dettano una disciplina uniforme dell’uso (iniziale o successivo) dei dati sanitari a fini di ricerca scientifica e sviluppo, al fine di favorire tale uso. Queste disposizioni sono sia di portata generale che di natura settoriale.
L’AI si basa sui dati per il proprio sviluppo e utilizzo, rendendo fondamentali le norme in materia di protezione, accesso e (ri)utilizzo dei dati. L’addestramento dei modelli di apprendimento automatico, ad esempio, comporta spesso il riutilizzo, come set di dati di addestramento, di dati personali originariamente raccolti per finalità del tutto estranee. Sebbene non sia ancora chiaro se lo scraping di dati personali accessibili al pubblico debba essere considerato come un’ulteriore attività di trattamento soggetta alla valutazione di compatibilità ai sensi dell’art. 6(1)(b) e (4) del GDPR oppure come una nuova raccolta per la quale il soggetto in questione dovrebbe automaticamente fare affidamento su una base giuridica diversa da quella utilizzata per legittimare la raccolta originaria, ciò solleva la questione dello slittamento di funzione e della perdita di controllo sui propri dati personali[72]. L’addestramento dei modelli linguistici di grandi dimensioni pone problemi analoghi.
L’AI Act ribadisce che i sistemi di AI che comportano il trattamento di dati personali devono soddisfare i requisiti del GDPR. In alcuni casi specifici, l’AI Act integra il GDPR, imponendo obblighi ulteriori o introducendo deroghe specifiche[73].
L’art. 59(1) dell’AI Act consente il riutilizzo eccezionale dei dati personali, compresi quelli sensibili, ai fini dell’addestramento dei sistemi di AI sviluppati nell’ambito di una sandbox normativa sull’AI[74]. Questa norma è lex specialis rispetto all’art. 6(4) del GDPR, ma non esime il titolare del trattamento dall’osservare gli altri principi e requisiti previsti dal GDPR[75]. Una sandbox normativa sull’AI è un ambiente controllato che consente ai fornitori di AI di testare le proprie innovazioni in condizioni realali sotto la supervisione delle autorità di regolamentazione. Queste sandbox vengono istituite per incoraggiare l’innovazione in settori di interesse pubblico, come quello sanitario.
Il GDPR si applica integralmente ad ogni riutilizzo dei dati sanitari per l’addestramento dei sistemi AI che esuli dall’ambito di applicazione dell’art. 59 dell’AI Act[76].
Nel Parere n. 28/2024 su alcuni aspetti relativi alla protezione dei dati nel contesto del trattamento dei dati personali nell’ambito dei modelli di AI, l’EDPB ha spiegato in che modo i titolari del trattamento possano dimostrare l’adeguatezza del legittimo interesse come base giuridica per le fasi di sviluppo di un modello di AI[77]. Ai sensi del GDPR, il legittimo interesse è una base giuridica del trattamento alternativa al consenso dell’interessato e appare particolarmente rilevante nel contesto dei modelli di AI in cui non sussiste un rapporto diretto tra gli interessati e il titolare del trattamento. In linea di principio, ha chiarito l’EDPB, un titolare del trattamento può avvalersi del legittimo interesse come base giuridica per il trattamento dei dati personali nello sviluppo di modelli di AI. Facendo riferimento alle proprie Linee guida sul legittimo interesse e alla giurisprudenza della Corte di giustizia dell’UE, l’EDPB ha ricordato il test in tre fasi che il titolare del trattamento deve effettuare per valutare se possa ricorrere a tale base giuridica. Questo test comprende: (i) l’identificazione di un interesse legittimo perseguito dal titolare del trattamento o da una terza parte; (ii) l’analisi della necessità del trattamento ai fini degli interessi legittimi perseguiti; e (iii) la ponderazione degli interessi legittimi rispetto ai diritti e alle libertà fondamentali degli interessati. Per quanto riguarda in particolare la terza fase del test, nel contesto dei modelli di AI, si dovrebbero prendere in considerazione gli interessi e le libertà fondamentali degli interessati, l’impatto del trattamento sugli interessati e le aspettative degli interessati. Inoltre, l’EDPB ha suggerito delle misure di mitigazione che i titolari del trattamento possono adottare per limitare l’impatto del trattamento dei dati sugli interessati nelle fasi di sviluppo dei modelli di AI, nonché durante la raccolta di informazioni da fonti online tramite tecniche di web scraping.
Questo Parere dimostra l’impegno dell’EDPB a garantire che lo sviluppo dell’AI rispetti i principi del GDPR, conciliando l’innovazione con la data privacy.
Le deroghe dell’AI Act per i dati sensibili
L’art. 10(5) dell’AI Act contempla una deroga al divieto di trattamento di dati sensibili per lo sviluppo di sistemi di AI. In particolare, i fornitori di sistemi di AI ad alto rischio possono eccezionalmente trattare categorie particolari di dati personali nella misura in cui ciò sia strettamente necessario al fine di garantire il rilevamento e la correzione delle distorsioni di tali sistemi, fatte salve le tutele adeguate per i diritti e le libertà fondamentali delle persone fisiche. Queste tutele includono sia quelle previste dal GDPR che quelle elencate nell’art. 10(6) dell’AI Act. Il fornitore può essere chi sviluppa un sistema di AI o un modello di AI per finalità generali o che fa sviluppare siffatto sistema o modello e lo immette sul mercato. Il considerando 70 dell’AI Act stabilisce espressamente che il trattamento dei dati personali ai sensi del citato art. 10(5) costituisce un caso specifico di “motivo di interesse pubblico rilevante” ex art. 9(2)(g) del GDPR.
Anche se un fornitore di sistemi di AI (titolare del trattamento) soddisfa i requisiti di cui al citato art. 10(5) deve disporre di una base giuridica ai sensi dell’art. 6 del GDPR per trattare i dati. Tale base giuridica potrebbe essere individuata nell’obbligo di legge imposto al titolare del trattamento (cioè l’art. 6(1)(c) dell’AI Act in combinato disposto con l’art. 10(2) dell’AI Act, da cui deriva l’obbligo per i fornitori di sistemi di AI di verificare la presenza di distorsioni nei propri set di dati di addestramento suscettibili incidere sulla salute e sulla sicurezza delle persone, di avere un impatto negativo sui diritti fondamentali o di comportare discriminazioni vietate dal diritto dell’UE)[78].
Last but not least, l’art. 2(6) e del considerando 25 dell’AI Act prevedono un’importante esenzione per i sistemi di AI sviluppati e utilizzati esclusivamente per la ricerca e lo sviluppo scientifico[79]. Tali sistemi sono, cioè, sottratti agli stringenti obblighi normativi dell’AI Act. Ciò riflette l’intento dell’UE di salvaguardare l’innovazione e rispettare la libertà della ricerca scientifica, garantendo che la ricerca e la sperimentazione possano beneficiare di maggiore flessibilità normativa[80]. L’EFPIA ritiene che questa esenzione si applichi agli strumenti di sviluppo di medicinali basati sull’AI utilizzati nella ricerca e sviluppo di medicinali, poiché questi strumenti sono utilizzati unicamente nella ricerca e nello sviluppo di medicinali[81].
Data Governance Act e altruismo dei dati
Uno degli obiettivi del Data Governance Act (di seguito, per brevità, DGA) è consentire ai dati detenuti dagli enti del settore pubblico (tra cui autorità statali, regionali o locali, organismi di diritto pubblico[82]) di essere “riutilizzati” da persone fisiche e imprese per scopi commerciali o non commerciali, a determinate condizioni[83]. A tal fine, è prevista la creazione di “spazi sicuri” in cui vari tipi di dati, compresi i dati sanitari, possono essere condivisi e riutilizzati sia per scopi commerciali che altruistici, compresa la ricerca scientifica. Il DGA disciplina il “riutilizzo” dei dati personali e non personali: ovvero, tutte le informazioni registrate digitalmente, indipendentemente dal fatto che identifichino o meno una persona fisica vivente[84]. Esso, a differenza della Direttiva sugli Open Data[85], regola l’uso di informazioni non accessibili al pubblico, in quanto protette da riservatezza commerciale, riservatezza statistica, proprietà intellettuale o tutela dei dati personali[86].
Il “riutilizzo” ai sensi del DGA consiste nell’“utilizzo di dati in possesso di enti pubblici da parte di persone fisiche o giuridiche a fini commerciali o non commerciali diversi dallo scopo iniziale nell’ambito dei compiti di servizio pubblico per i quali i dati sono stati prodotti (…)”[87]. Tale riutilizzo costituisce un “trattamento ulteriore” dei dati personali ai sensi del GDPR (art.6(4) e considerando 50 del GDPR).
Il DGA non impone agli enti pubblici di consentire il riutilizzo dei dati da essi detenuti; esso offre bensí un quadro normativo uniforme entro il quale il riutilizzo dei dati può essere consentito (inclusi requisiti tecnici, obblighi di assistenza, limiti agli accordi di riutilizzo esclusivo, strutture tariffarie ragionevoli e tempistiche decisionali)[88].
Il DGA crea nuovi meccanismi per la disponibilità e la riutilizzabilità dei dati detenuti da enti pubblici. Una di queste modalità è l’“altruismo dei dati”, che – per quanto qui interessa – include la condivisione volontaria e gratuita di dati personali sulla base del consenso accordato dagli interessati al trattamento per obiettivi di interesse generale, stabiliti nel diritto nazionale, tra cui la ricerca scientifica nell’interesse generale[89]. In particolare, gli individui possano volontariamente condividere i propri dati personali con organizzazioni per l’altruismo dei dati, le quali devono operare senza scopo di lucro e perseguire obiettivi di interesse generale.
Il DGA prevede espressamente che il trattamento dei dati personali da parte di tali organizzazioni si basa sul consenso degli interessati[90] ex articoli 6(1)(a) e 9(2)(a) del GDPR[91].
Il DGA, richiamando il GDPR, riconosce che possa essere validamente prestato un broad consent al trattamento dei dati per finalità di ricerca scientifica, cioè per settori di ricerca[92]. Nel contempo, esso stabilisce anche che il modulo di consenso fornito ai fini dell’altruismo dei dati deve consentire agli interessati di prestare il consenso ad una “specifica operazione di trattamento dei dati”[93].
Anche il trattamento dei dati personali da parte degli utenti dei dati sembra basarsi sul consenso degli interessati[94]. Infatti, il DGA stabilisce che le organizzazioni per l’altruismo dei dati devono informare gli interessati, in maniera chiara e facilmente comprensibile, circa gli obiettivi di interesse generale e la finalità determinata, esplicita e legittima “per i quali acconsentono al trattamento dei loro dati da parte di un utente dei dati”[95].
Qualora il riutilizzo dei dati non possa essere consentito ai sensi del DGA e non vi sia alcuna base giuridica per la trasmissione dei dati ai sensi del GDPR, l’ente pubblico deve adoperarsi al meglio, conformemente al diritto dell’UE e nazionale, per fornire assistenza ai potenziali riutilizzatori nel richiedere il consenso degli interessati i cui diritti e interessi possono essere interessati da tale riutilizzo, ove ciò sia fattibile senza un onere sproporzionato per l’ente pubblico[96].
Il DGA mira a fare in modo che i dati generati o raccolti da enti del settore pubblico, compresi quelli personali e sanitari, apportino benefici alla società, in particolare alla ricerca o all’innovazione per l’interesse generale. Purtroppo, il non sempre chiaro coordinamento tra il DGA e le disposizioni del GDPR sulla ricerca scientifica potrebbe depotenziare l’impatto del DGA sul raggiungimento di questo importante obiettivo dell’UE.EHDS e uso secondario dei dati sanitari nell’UE
Il Regolamento EHDS mira a risolvere il problema della frammentazione dei dati sanitari in Europa promuovendo un “riutilizzo” etico e responsabile dei dati, cercando di trovare un equilibrio tra le opportunità offerte dal riutilizzo dei dati e i rischi che esso comporta[97]. L’EHDS offre notevoli prospettive per il progresso dell’assistenza sanitaria, migliorando l’accessibilità dei dati a fini di ricerca e innovazione.
Uno dei pilastri fondamentali dell’EHDS è l’introduzione di un obbligo giuridico per i titolari dei dati di condividere i dati sanitari elettronici per finalità “secondarie”, purché siano soddisfatte determinate condizioni (“uso secondario”)[98]. L’uso secondario consiste nel trattare i dati sanitari per un fine diverso da quello per cui sono stati raccolti[99].
Ai sensi dell’EHDS, qualsiasi persona fisica o giuridica può richiedere l’accesso ai dati sanitari elettronici (data user) ad un titolare dei dati (data holder) mediante una richiesta di dati, purché soddisfi i requisiti di cui al Capitolo IV del Regolamento EHDS[100]. Nonostante l’obbligo legale di condividere i dati per un uso secondario, l’accesso può essere soggetto a tariffe volte a coprire i costi relativi alla valutazione di una richiesta di dati, alla preparazione e alla messa a disposizione dei dati[101]. I dati sanitari sono quelli raccolti principalmente attraverso l’assistenza clinica o la ricerca e comprende, tra l’altro, cartelle cliniche elettroniche, dati socioeconomici, ambientali e comportamentali, dati amministrativi relativi all’assistenza sanitaria e informazioni genetiche[102]. Gli utenti dei dati possono riutilizzare tali dati per scopi secondari, tra cui la ricerca scientifica (compresi lo sviluppo e l’innovazione di prodotti o servizi e l’addestramento degli algoritmi nell’ambito di sistemi di AI[103]), dopo aver ottenuto l’accesso ai dati dagli organismi responsabili designati dagli Stati membri dell’UE (Health Data Access Bodies)[104]. La Commissione europea ha spiegato che “ricerca scientifica” ai sensi del Regolamento EHDS è lo stesso concetto ampio di “ricerca” definito nel considerando 159 del GDPR e include la ricerca svolta da organizzazioni del settore privato (come, ad esempio, l’addestramento di algoritmi di AI utilizzabili in ambito sanitario, svolta spesso da enti del settore privato)[105]. Pertanto, le attività che sono considerate ricerca ai sensi del GDPR dovrebbero essere considerate “ricerca” anche ai sensi del Regolamento EHDS, purché soddisfino anche i requisiti specifici ivi stabiliti.
Le garanzie per l’accesso ai dati sanitari elettronici
In effetti, al fine di garantire la conformità al GDPR e la tutela dei diritti degli interessati, il Regolamento EHDS stabilisce una serie di garanzie sostanziali e procedurali a cui devono sottostare le domande dei data users di accesso ai dati sanitari per finalità di uso secondario. Tali garanzie consistono in particolare: (i) nella predeterminazione delle tipologie di finalità consentite (l’accesso ai dati sanitari elettronici può essere richiesto solo per specifici finalità di uso secondario indicate nel Regolamento EHDS e purché non si tratti di usi secondari esplicitamente vietati dal Regolamento EHDS[106]); (ii) nella procedura per le domande di accesso (le domande di accesso dei data users vanno presentate allo Health Data Access Body competente all’interno di uno Stato membro; la domanda di accesso deve specificare le categorie di dati sanitari elettronici richieste, le finalità previste, le garanzie da attuare, se si intende accedere a dati anonimizzati o pseudonimizzati e, in quest’ultimo caso, una descrizione dettagliata di come intendono conformarsi al GDPR durante il trattamento dei dati); (iii) nella valutazione della domanda di accesso da parte dell’Health Data Access Body (prima di fornire l’accesso ad un data user, l’Health Data Access Body deve valutare se il trattamento previsto ha una base giuridica ex art. 6 del GDPR e se il richiedente possiede le competenze appropriate per lo scopo previsto, come le qualifiche pertinenti nel caso di ricerca scientifica[107]); (iv) nelle condizioni imposte dal provvedimento di autorizzazione (l’autorizzazione deve definire le condizioni per l’uso secondario dei dati, incluse le categorie e il formato dei dati, le limitazioni di finalità, l’identità degli utenti autorizzati e la durata dell’accesso[108]); (v) nelle misure di sicurezza (i dati sanitari elettronici vengono resi disponibili tramite un ambiente di trattamento che soddisfa i rigorosi requisiti di sicurezza previsti dal Regolamento EHDS[109]); (vi) nel diritto di esclusione (opt-out) del trattamento riconosciuto ai soggetti interessati (le persone fisiche hanno il diritto di escludere in qualsiasi momento e senza dover fornire una motivazione il trattamento dei propri dati sanitari elettronici per l’uso secondario, fatte salve le limitate eccezioni che possono essere stabilite a livello nazionale, ad esempio ove i dati siano funzionali ad una ricerca scientifica per importanti motivi di interesse pubblico[110]).
Riguardo al diritto di opt-out, la Commissione ha precisato che esso vale per il futuro: una volta che un individuo lo abbia esercitato, i suoi dati sanitari elettronici personali non potranno essere trattati in risposta a nuove autorizzazioni o richieste di dati successive. L’opt-out non pregiudica, invece, il trattamento dei dati sanitari personali effettuato in base ad autorizzazioni o la generazione di risposte a richieste di dati approvate prima di tale data. Inoltre, il diritto di opt-out non si applica qualora il titolare dei dati non sia in grado di identificare una persona fisica in un insieme di dati, come nel caso in cui i dati siano pseudonimizzati e il titolare non possa collegarli agli identificativi utilizzati nell’atto di esclusione.
Gli Stati membri possono introdurre a livello nazionale misure più rigorose e garanzie supplementari a livello nazionale intese a tutelare la sensibilità e il valore di determinate categorie di dati sanitari, tra cui quelli genetici[111]. Tali misure e loro successive modifiche vanno notificate alla Commissione europea.
Il rapporto tra Regolamento EHDS e GDPR
Il rapporto del Regolamento EHDS con il GDPR per quanto concerne l’uso secondario di dati sanitari è stato delineato dal legislatore europeo nei seguenti termini: il Regolamento EHDS “fornisce una base giuridica per l’uso secondario dei dati sanitari elettronici personali, comprese le garanzie richieste a norma dell’articolo 9, paragrafo 2, lettere da g) a j), del [GDPR] per consentire il trattamento di categorie particolari di dati, in termini di finalità legittime, governance affidabile per fornire l’accesso ai dati sanitari, attraverso il coinvolgimento di organismi responsabili dell’accesso ai dati sanitari, e il trattamento in un ambiente sicuro, nonché modalità per il trattamento dei dati, stabilite nell’autorizzazione ai dati”; “gli Stati membri non dovrebbero più poter mantenere o introdurre, a norma dell’articolo 9, paragrafo 4, del regolamento (UE) 2016/679, ulteriori condizioni (…)” per quanto riguarda tale uso secondario; di conseguenza “i richiedenti di dati sanitari dovrebbero […] dimostrare una base giuridica, ai sensi dell’articolo 6 del [GDPR], che consenta loro di richiedere l’accesso ai dati sanitari elettronici (…) e dovrebbero soddisfare le condizioni stabilite [dal Regolamento EHDS]”; “se l’utente dei dati sanitari invoca una base giuridica prevista dall’articolo 6, paragrafo 1, lettera e), o f), del [GDPR], il [Regolamento EHDS] dovrebbe prevedere le garanzie richieste a norma dell’articolo 9, paragrafo 2, del [GDPR]”[112].
Per quanto riguarda i data users, per accedere ai dati sanitari elettronici in forma pseudonimizzata ai sensi dell’EHDS, devono dimostrare una base giuridica appropriata ai sensi dell’art. 6 del GDPR e indicarla nella loro domanda di autorizzazione al trattamento dei dati. La base giuridica appropriata può consistere nell’interesse legittimo o nell’interesse pubblico del data user a seconda della natura (o dell’attività) privata o pubblica di quest’ultimo[113]. Non è, invece, espressamente richiesto dal Regolamento EHDS che in tale domanda sia anche invocata un’eccezione al divieto di trattare dati sensibili (come quelli relativi alla salute e genetici) ex art. 9(2) del GDPR[114]. Pertanto, quando una deroga a siffatto divieto dev’essere prevista dal diritto dell’UE (ad esempio, per la ricerca scientifica ex art. 9(2)(j) del GDPR), il titolare del trattamento può fare riferimento alla disciplina dettata dal Regolamento EHDS[115].
Difatti, la Commissione europea ha sostenuto che il trattamento dei dati sanitari elettronici personali nell’ambito dell’EHDS soddisfa le condizioni per un trattamento lecito ai sensi del GDPR[116]. Ad esempio, il trattamento dei dati personali negli ambienti di trattamento sicuri degli Health Data Access Bodies avverrà in conformità con il compito di interesse pubblico assegnato a questi ultimi dal Regolamento EHDS (quindi, in linea con l’art. 6(1)(e) del GDPR). I data holders rendono i dati disponibili agli Health Data Access Bodies in base a un obbligo legale stabilito dal Regolamento EHDS unitamente al consenso individuale al trattamento dei dati (ex art. 6(1)(c) del GDPR)[117]. Le finalità consentite, la procedura di autorizzazione, l’utilizzo di trattamenti sicuri e le altre disposizioni del Capitolo IV del Regolamento EHDS corrispondono alle garanzie stabilite dal GDPR per giustificare una deroga al divieto di trattare dati sensibili, contribuendo ad assicurare che le operazioni di trattamento siano eseguite in modo sicuro[118].
Risulta chiaro che il Regolamento EHDS integra e specifica i requisiti del GDPR, creando un quadro normativo complementare e specifico per i dati sanitari elettronici. Le norme del GDPR esistenti, in particolare quelle relative al trattamento dei dati sensibili, restano applicabili ai dati sanitari elettronici e sono integrate dalle disposizioni di settore che regolano l’EHDS. Ciò garantisce una protezione adeguata e completa dei dati personali e dei diritti individuali, consentendo al contempo uno scambio efficiente dei dati per finalità meritevoli di tutela da parte dell’ordinamento giuridico[119].
Digital Omnibus e ricerca scientifica
Vi sono recenti proposte normative sottoposte dalla Commissione ai co-legislatori europei, Parlamento e Consiglio, che vanno anch’esse nella direzione di facilitare l’uso dei dati personali per finalità di ricerca scientifica.
Viene in considerazione il cosiddetto Digital Omnibus, cioè la proposta di modifica degli atti normativi dell’UE sulla tutela dei dati personali, tra cui il GDPR adottata dalla Commissione europea il 19 novembre 2025[120]. Il Digital Omnibus può facilitare la ricerca scientifica e lo sviluppo tecnologico, innanzitutto, chiarendo la nozione di ricerca scientifica ai sensi del GDPR. Secondo tale proposta legislativa, la “ricerca scientifica” dovrebbe essere definita (nell’art. 4 del GDPR) come “qualsiasi tipo di ricerca che possa anche favorire l’innovazione, come lo sviluppo tecnologico e la dimostrazione (…)”, purché soddisfi i seguenti requisiti: “le azioni condotte nel quadro di tale ricerca contribuiscono al miglioramento delle conoscenze scientifiche esistenti o applicano tali conoscenze in modi nuovi, hanno l’obiettivo di contribuire ad accrescere le conoscenze e il benessere generali della società e rispettano le norme etiche nel settore di ricerca pertinente (…)”, il che “(…) non esclude che la ricerca possa anche mirare a promuovere un interesse commerciale”.
Inoltre, il Digital Omnibus riformula una disposizione del GDPR rilevante ai fini del trattamento di dati personali a fini di ricerca scientifica, precisandone il significato e la portata. L’art. 5(1)(b) dovrebbe stabilire che “un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è, conformemente all’articolo 89, paragrafo 1, considerato compatibile con le finalità iniziali, indipendentemente dalle condizioni di cui all’articolo 6, paragrafo 4 (…)”. Risulta, cosí, chiaro che l’effetto di questa previsione è quello di esonerare il titolare del trattamento dall’obbligo di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti.
Last but not least, il Digital Omnibus introduce ulteriori deroghe ai requisiti generali del GDPR per il trattamento di dati a fini di ricerca scientifica. È aggiunta una deroga al divieto, ex art. 9 del GDPR, di trattare categorie particolari di dati personali, quando “il trattamento è effettuato nel contesto dello sviluppo e del funzionamento di un sistema di IA quale definito all’articolo 3, punto 1), [dell’AI Act] o di un modello di IA (…)”, purché siano soddisfatte le seguenti condizioni: (i) sono adottate misure organizzative e tecniche adeguate per evitare la raccolta e il trattamento di categorie particolari di dati personali; (ii) siano rimosse le categorie particolari di dati personali che, nonostante le predette misure, permangano negli insiemi di dati utilizzati a fini di addestramento, prova o convalida oppure all’interno del sistema di AI o del modello di AI, il titolare del trattamento rimuove tali dati; (iii) ove siffatta rimozione richieda uno sforzo sproporzionato, il titolare del trattamento protegge efficacemente e tempestivamente i dati in questione affinché non siano utilizzati per produrre output, non siano divulgati o non siano messi in altro modo a disposizione di terzi.
È previsto che, anche nel caso in cui dati personali siano raccolti presso l’interessato, il titolare del trattamento sia esonerato dall’obbligo di fornire all’interessato le informazioni sul trattamento dei dati ai sensi dell’art. 13 del GDPR “qualora il trattamento abbia luogo per finalità di ricerca scientifica e la fornitura delle informazioni di cui ai paragrafi 1, 2 e 3 si riveli impossibile o implichi uno sforzo sproporzionato, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1, o nella misura in cui vi sia la probabilità che l’obbligo di cui al paragrafo 1 del presente articolo renda impossibile o pregiudichi gravemente il conseguimento delle finalità di tale trattamento (…)”. In tali casi, “il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni”.
Il legittimo interesse è esplicitamente codificato come base giuridica per il trattamento dei dati personali finalizzato allo sviluppo di un sistema o di un modello di AI, a condizione che siano in atto misure organizzative e tecniche, nonché a garanzie adeguate per la tutela dei diritti e delle libertà dell’interessato[121].
In parallelo, una proposta di modifica dell’AI Act (AI Omnibus)[122] – adottata dalla Commissione contestualmente al Digital Omnibus – prevede l’introduzione di una norma che consentirebbe, ove necessario, il trattamento di categorie particolari di dati personali da parte dei fornitori e dei deployers di tutti i sistemi e modelli di AI, fatte salve garanzie appropriate. Pertanto, la proposta estenderebbe l’ambito di applicazione materiale e personale dell’art. 10(5) dell’AI Act a tutti i sistemi e modelli di AI e coprirebbe anche i deployers[123].
European Biotech Act I e sperimentazioni cliniche
Il 16 dicembre 2025 la Commissione dell’UE ha presentato la proposta di un European Biotech Act I[124], che mira a coordinare meglio i requisiti del CTR con quelli del GDPR, stabilendo un quadro armonizzato per il trattamento dei dati personali nel contesto delle sperimentazioni cliniche.
In particolare, lo European Biotech Act I chiarisce le basi legali che, ai sensi del GDPR, sono disponibili a promotori e sperimentatori per il trattamento di dati personali nell’ambito delle sperimentazioni cliniche: si tratta dell’art. 6(1)(c) e dell’art. 9(2)(i) del GDPR[125]. A tal fine, una nuova disposizione del CTR espliciterebbe gli obblighi legali a carico dei titolari del trattamento ex art. 6(1)(c) del GDPR e i motivi di interesse pubblico nel settore della sanità pubblica ai sensi del diritto dell’UE di cui all’art. 9(2)(i)[126]. In tal modo, verrebbero meno le disparità tra le legislazioni nazionali e tra le linee guida delle autorità di controllo degli Stati membri sulle basi giuridiche appropriate per I trattamenti di dati negli studi clinici, che attualmente costringe i promotori di sperimentazioni multicentriche internazionali ad avvalersi di basi giuridiche diverse negli Stati europei interessati (come il consenso in alcuni e l’interesse pubblico in altri), creando un certo grado di incertezza giuridica e il rischio di ritardare il raggiungimento dei risultati scientifici.
La proposta della Commissione UE di definire una base giuridica uniforme nell’UE per il trattamento dei dati sanitari negli studi clinici è stata valutata favorevolmente dall’EDPB e dall’EDPS[127]. Nel loro Parere congiunto sulla Proposta di Regolamento sullo European Biotech Act, adottato il 10 marzo 2026, essi sottolineano che l’individuazione dell’obbligo legale come base giuridica primaria per il trattamento dei dati richiesti per la conduzione di una sperimentazione clinica rafforza la distinzione tra il consenso informato, inteso come prerequisito etico per la partecipazione alla sperimentazione clinica, e il consenso come base giuridica per il trattamento dei dati personali. Inoltre, se l’obbligo legale a carico del titolare del promotore è la base per i trattamenti di dati personali per le finalità di safety e di monitoraggio previste dalle norme del settore, il ritiro del consenso informato a partecipare alla sperimentazione non comporta necessariamente che i dati già raccolti debbano cessare di essere utilizzati.
Tuttavia, l’EDPB e l’EDPS insistono affinché lo European Biotech Act I limiti espressamente il trattamento a quanto è necessario per le finalità della sperimentazione e introduca delle garanzie aggiuntive, in modo che, da un lato, i risultati scientifici già ottenuti non siano indebitamente impattati e, dall’altro, i diritti dei partecipanti siano adeguatamente protetti. Inoltre, essi ricordano che, trattandosi di dati relativi alla salute, il diritto dell’UE si deve basare sulle eccezioni previste dall’art. 9(2) del GDPR, in particolare quelle relative all’interesse pubblico nei settori della sanità pubblica e della ricerca scientifica (art. 9(2)(i) e (j) del GDPR).
Lo European Biotech Act I prevede l’obbligo che i trattamenti di dati nella sperimentazione clinica siano soggetti a misure tecniche e organizzative adeguate, come l’obbligo di ottenere il consenso informato dei pazienti per partecipare alla sperimentazione (e non come base giuridica per il trattamento dei dati), di mantenere un adeguato livello di riservatezza e sicurezza durante la sperimentazione e di sottoporre la sperimentazione ad una valutazione etica[128].
Nel contempo, lo European Biotech Act I intende evitare che gli Stati membri mantengano o introducano – come è attualmente consentito dall’art. 9(4) del GDPR – ulteriori condizioni, comprese limitazioni, per quanto riguarda il trattamento dei dati relativi alla salute o dei dati genetici ai sensi del CTR[129].
In base allo European Biotech Act I, i dati personali raccolti e trattati nell’ambito di ciascun protocollo di sperimentazione possono essere ulteriormente trattati dallo stesso titolare del trattamento per altre sperimentazioni cliniche[130]. Tali dati possono includere nomi, recapiti, dati relativi alla salute e dati genetici dei partecipanti alla prima sperimentazione. Dovrebbe, inoltre, essere consentito ad uno stesso titolare del trattamento il trattamento ulteriore di tali dati personali per finalità di ricerca scientifica.
Al riguardo, l’EDPB e l’EDPS ritengono che lo European Biotech Act I miri a fornire una base giuridica specifica, ai sensi del diritto dell’UE, per tale ulteriore trattamento e raccomandano che sia specificato espressamente che essa consiste nell’interesse pubblico ai sensi dell’art. 6(1)(e) del GDPR. Inoltre, i due organismi europei sostengono che lo scopo di promuovere la capacità innovativa della ricerca medica europea sia eccessivamente ampio e possa dare adito ad interpretazioni divergenti. Pertanto, chiedono che siano definite le finalità del trattamento in modo più preciso e circoscritto, come pure le specifiche garanzie da porre in essere – tra cui la pseudonimizzazione, una maggiore trasparenza e obblighi di riservatezza – trattandosi di dati sensibili, quali quelli sanitari e genetici.
La proposta della Commissione prevede che i promotori debbano valutare i benefici e i rischi per la sicurezza dei pazienti e la robustezza dei dati derivanti dall’uso dei sistemi di AI nelle sperimentazioni cliniche[131]. A questo proposito, l’EDPB e l’EDPS osservano che non è chiaro se tali obblighi si aggiungano a quelli previsti dall’AI Act e raccomandano che ciò sia espressamente stabilito nel testo finale dello European Biotech Act I, come pure che sia garantita la cooperazione tra l’Agenzia europea per i medicinali (EMA) e l’EDPB nell’elaborazione delle relative linee guida, in modo da assicurare la coerenza con il GDPR.
Linee guida EDPB su GDPR e ricerca scientifica
Il 16 aprile 2026, l’EDPB ha adottato le Linee guida 1/2026 sul trattamento dei dati personali a fini di ricerca scientifica, sottoponendole a consultazione pubblica fino al 25 giugno 2026[132].
Queste Linee guida erano attese da tempo: l’EDPB aveva inizialmente annunciato la loro adozione nel 2021, al culmine della pandemia di COVID-19[133]. Per le ragioni esaminate nei paragrafi precedenti, la ricerca scientifica, soprattutto nel settore life sciences, è un ambito in cui i requisiti di tutela dei dati personali sono percepiti dagli operatori come un ostacolo alle loro attività, nonostante i consideranda del GDPR manifestino l’intenzione di facilitare il trattamento dei dati personali per scopi scientifici. L’ambiguità di alcune disposizioni del GDPR, le interpretazioni restrittive da parte delle autorità di controllo nazionali e le limitazioni introdotte dalle legislazioni nazionali di vari Stati membri hanno creato un certo grado di incertezza giuridica e ostacoli sul piano operativo per quanto concerne il trattamento di dati personali e sensibili per finalità di ricerca scientifica, esponendo ricercatori e società a significativi rischi di compliance. In questo quadro, le nuove Linee guida forniscono dei chiarimenti necessari e contribuiscono a ridimensionare alcuni di questi rischi.
Le Linee guida affrontano molteplici questioni sostanziali, tra cui il concetto di ricerca scientifica; la presunzione di compatibilità; gli obblighi di trasparenza e le basi giuridiche per il trattamento, con particolare riguardo ai limiti del consenso; l’attribuzione dei ruoli e responsabilità tra titolari e responsabili del trattamento nei progetti di ricerca; le garanzie richieste dall’art. 89 del GDPR.
Le Linee guida mirano a chiarire come applicare il GDPR alla ricerca scientifica (accademica, pubblica e commerciale, compresa quella che si basa sull’AI), ai database e alle infrastrutture di ricerca e al riutilizzo dei dati personali.
I criteri EDPB per definire la ricerca scientifica
L’EDPB chiarisce, innanzitutto, che le regole speciali del GDPR per la “ricerca scientifica” si dovrebbero applicare soltanto all’attività di ricerca che soddisfa sei criteri indicativi (cumulativamente): approccio metodico e sistematico; rispetto degli standard etici riconosciuti; verificabilità e trasparenza dei risultati (generalmente mediante peer review); autonomia e indipendenza dei ricercatori; obiettivi volti a contribuire alla conoscenza generale e al benessere della società, anche laddove vengano perseguiti interessi commerciali; possibilità di contribuire alla conoscenza scientifica esistente o di applicarla con modalità innovative. Se un’attività di ricerca soddisfa tutti questi criteri, si può presumere che costituisca “ricerca scientifica” ai sensi del GDPR; in caso contrario, il titolare del trattamento deve giustificare ed essere in grado di dimostrare perché l’attività in questione debba comunque essere considerata ricerca scientifica. Maggiore è il numero dei fattori indicativi presenti, maggiore è la probabilità che l’attività considerata costituisca “ricerca scientifica”.
L’EDPB riconosce espressamente che la ricerca scientifica può essere condotta sia da enti pubblici che privati e può avere finalità di lucro[134]. Quindi, ai fini della qualificazione di un’attività come “ricerca scientifica” non rileva la natura dell’ente che la svolge, ma solo gli elementi oggettivi indicati dall’EDPB.
Le Linee guida illustrano tre esempi che mostrano come appicare i criteri in pratica. Il primo di questi esempi conferma che un fine di profitto non esclude che un’attività sia qualificabile come “ricerca scientifica”: una sperimentazione clinica condotta da ricercatori con qualifiche accademiche secondo la buona pratica clinica, soggetta a revisione etica e finalizzata alla generazione di risultati pubblicabili, può essere considerata condotta a fini di ricerca scientifica ai sensi del GDPR, anche se sponsorizzata da un’azienda farmaceutica a scopo di lucro. Il secondo esempio riguarda una start-up di AI a scopo di lucro che collabora con un’università per condurre ricerche sui bias nei modelli di AI generativa, richiede finanziamenti esterni a determinate condizioni che prevedono metodi scientifici consolidati e revisione etica e pubblica i suoi risultati in un articolo sottoposto a peer review. Poiché queste misure concrete implicano il soddisfacimento dei sei criteri formulati dall’EDPB, l’attività di ricerca e sviluppo a scopo commerciale della start-up si qualifica come ricerca scientifica ai sensi del GDPR. Al contrario, il terzo esempio conferma che le analisi di mercato condotte dal personale commerciale di un’azienda (anziché da ricercatori indipendenti), i cui risultati non vengono condivisi né sottoposti a peer review e che sono finalizzate esclusivamente al perseguimento degli interessi commerciali (strategia di marketing e crescita commerciale), non possono essere considerate ricerca scientifica.
Questi esempi confermano che la qualificazione di una determinata attività come “ricerca scientifica” dipende da come viene condotta e non semplicemente da come viene denominata.
Le Linee guida precisano che non solo le attività di ricerca principali rientrano nella nozione di ricerca scientifica, ma anche le operazioni ausiliarie, come, ad esempio, l’identificazione dei potenziali partecipanti alla ricerca, la preparazione di dataset e l’anonimizzazione o la pseudonimizzazione dei dati prima del loro utilizzo in specifici progetti di ricerca, possono essere considerate tali, a condizione che siano effettivamente collegate ad un obiettivo di ricerca scientifica.
Presunzione di compatibilità e conservazione dei dati
Le Linee guida confermano che l’ulteriore trattamento per scopi di ricerca scientifica si presume compatibile con lo scopo iniziale della raccolta dei dati personali (art. 5(1)(b) del GDPR), il che significa che i titolari del trattamento non devono effettuare il test di compatibilità della nuova finalità con quella sottesa alla raccolta dei dati (art. 6(4) del GDPR). Tuttavia, i titolari del trattamento devono verificare che la base giuridica per il trattamento iniziale sia idonea anche per l’ulteriore trattamento (il che sarà possibile in particolare laddove siano state adottate le opportune garanzie di cui all’art. 89(1) del GDPR)[135]. In caso contrario, occorre individuare una diversa base giuridica adeguata.
In pratica, ciò limita i benefici sul piano pratico della presunzione di compatibilità laddove la base giuridica della raccolta iniziale sia il consenso dell’interessato. In tal caso, il titolare del trattamento potrebbe essere comunque tenuto ad ottenere un nuovo consenso, il che potrebbe rivelarsi difficile da attuare nella pratica o, in alcuni casi, addirittura impossibile. Di conseguenza, un meccanismo concepito dal legislatore europeo per facilitare l’uso secondario di dati personali già raccolti viene depotenziato sul piano operativo a causa dell’interpretazione delineata nelle Linee guida.
Riguardo alla limitazione della conservazione, le Linee guida confermano che i titolari del trattamento possono conservare i dati personali anche dopo il raggiungimento della finalità originaria del trattamento, qualora i dati vengano trattati esclusivamente per finalità di ricerca scientifica, nel rispetto delle opportune garanzie di cui all’art. 89(1) del GDPR. Tuttavia, la conservazione per finalità di ricerca scientifica generiche e non specificate non è giustificata. I titolari del trattamento devono specificare almeno un’area di ricerca definita, valutare periodicamente la necessità di una conservazione continua (inclusa l’eventuale anonimizzazione o pseudonimizzazione dei dati) e garantire che le future attività di ricerca siano ragionevolmente prevedibili in relazione al campo scientifico di riferimento.
I promotori e coloro che sono responsabili della conservazione dei dati possono mantenere i dataset di ricerca anche dopo il raggiungimento degli endpoint primari dello studio, ma devono avere una governance dei dataset, valutazioni documentate della necessità della conservazione e garanzie adeguate. I repository di ricerca aperti o i data lake senza limitazioni di finalità ben definiti non sono compatibili con il GDPR. I titolari del trattamento dovrebbero definire in modo preciso gli scopi e una governance della conservazione dei dati più strutturata, anziché affidarsi a generici fini di “ricerca futura”.
Basi giuridiche, consenso e interesse legittimo
Le Linee guida confermano che le principali basi giuridiche per la ricerca scientifica sono il consenso, l’interesse pubblico, l’obbligo legale e gli interessi legittimi, oltre alle deroghe per le categorie particolari di dati ai sensi dell’art. 9 del GDPR.
Per quanto concerne il consenso, l’EDPB conferma che i titolari del trattamento possono basarsi sul “broad consent” quando le finalità della ricerca non sono del tutto note al momento della raccolta dei dati, a condizione che siano poste in essere garanzie adeguate. È anche possibile una combinazione di consenso ampio e dinamico.
Per avvalersi del broad consent, i titolari del trattamento devono trattare i dati in conformità con gli standard etici e adottare ulteriori garanzie per compensare la mancanza di una completa specificazione delle finalità. Le Linee guida chiariscono che il criterio chiave per stabilire se il trattamento possa legittimamente basarsi sul broad consent è se l’interessato possa ragionevolmente aspettarsi che i propri dati vengano utilizzati per quel tipo di ricerca. Viene introdotto uno standard delle “ragionevoli aspettative” dell’interessato sulla base del quale valutare la validità del broad consent alla base di un trattamento di dati personali. Qualora le future attività di ricerca esulino dalle ragionevoli aspettative create dal consenso originario, i titolari del trattamento dovranno richiedere un consenso aggiuntivo – il cosiddetto “dynamic consent” – per progetti specifici o fasi degli stessi.
I titolari del trattamento che si basano su un broad consent sono tenuti a definire le finalità della ricerca con sufficiente precisione da consentire sia una valutazione della necessità che una comprensione significativa da parte degli interessati. Ciò può comportare la delimitazione dell’ambito di applicazione facendo riferimento a uno specifico campo di ricerca (ad esempio, l’oncologia) o ai risultati attesi (ad esempio, lo sviluppo di nuovi approcci terapeutici). Si deve, quindi, valutare, caso per caso, se il trattamento successivo rientri nell’ambito di applicazione di tale consenso, tenendo conto delle ragionevoli aspettative degli interessati e, ove opportuno, coinvolgendo gruppi rappresentativi dei partecipanti alla ricerca. Qualora il trattamento esuli da tali limiti, è necessario ottenere un nuovo consenso.
Per compensare il minore livello di specificità intrinseco al broad consent, i titolari del trattamento sono inoltre tenuti ad attuare garanzie rafforzate. Queste includono la messa a disposizione di informazioni dettagliate e regolarmente aggiornate, ad esempio tramite siti Internet dedicati, e la possibilità per gli interessati di rimanere informati nel corso del tempo, ad esempio tramite newsletters. Tali misure sono intese a preservare il controllo degli interessati sui propri dati personali, compreso l’effettivo esercizio del diritto di revocare il consenso.
I titolari del trattamento possono anche utilizzare il “dynamic consent”, ottenendo l’accordo per singoli progetti di ricerca (o parti di essi) man mano che si definiscano le finalità di ricerca. È consentita una combinazione di broad consent e dynamic consent ed essi possono essere richiesti contemporaneamente, a condizione che gli elementi del consenso previsti dal GDPR siano chiaramente identificabili e soddisfino i requisiti specifici per un consenso valido ai sensi del GDPR.
Le Linee guida segnano un cambio di passo rispetto alla precedente affermazione dell’EDPB secondo cui il consenso raramente potesse costituire una valida base giuridica per il trattamento dei dati negli studi clinici, a causa dell’intrinseco squilibrio di potere tra ricercatori e soggetti dello studio. Le nuove Linee guida chiariscono ora che la condizione di paziente sottoposto ad assistenza sanitaria non esclude che possa esprimere liberamente il suo consenso; uno squilibrio di potere che incide sulla validità del consenso si verifica solo quando la capacità del soggetto interessato è seriamente compromessa da una condizione medica, fisica o mentale. Le Linee guida ribadiscono che il consenso previsto dal GDPR deve essere distinto dal consenso a partecipare alla ricerca richiesto dalla normativa etica o settoriale: il consenso informato ai sensi del CTR non soddisfa automaticamente i requisiti del GDPR.
Sempre in tema di consenso, le Linee guida precisano che un unico consenso può essere valido laddove l’assistenza sanitaria e la ricerca scientifica siano strettamente interconnesse e necessarie; in caso contrario, il consenso per la ricerca deve essere ottenuto separatamente e non può essere posto come condizione per ricevere cure o servizi. Inoltre, viene sottolineato che eventuali incentivi finanziari offerti per la partecipazione a uno studio devono essere attentamente valutati per garantire che non compromettano la volontarietà del consenso.
Per quanto riguarda l’interesse pubblico, le Linee guida chiariscono che il ricorso all’esecuzione di un compito svolto nell’interesse pubblico ai sensi dell’art. 6(1)(e) del GDPR non è limitato agli enti pubblici. Le imprese private possono invocare questa base giuridica laddove la legislazione dell’UE o degli Stati membri autorizzi le loro attività di ricerca. Questa puntualizzazione rileva per la ricerca sponsorizzata commercialmente e condotta ai sensi delle leggi nazionali in materia di ricerca o nel quadro dell’EHDS.
La ricerca scientifica, sia essa a scopo di lucro o meno, si può basare sull’interesse legittimo (art. 6(1)(f) del GDPR). Viene riconosciuto che i titolari del trattamento, inclusi gli enti commerciali, che trattano dati personali non sensibili per finalità di ricerca scientifica possono attribuire un peso significativo all’interesse alla ricerca nel bilanciamento degli interessi, in particolare laddove siano state adottate solide garanzie ai sensi dell’art. 89(1) del GDPR. Si tratta di un chiarimento significativo per l’industria, soprattutto laddove il consenso risulti impraticabile. Tuttavia, resta necessario un bilanciamento degli interessi, soprattutto considerando la sensitività e la portata dei dati di ricerca.
Qualora categorie particolari di dati (quali dati relativi alla salute e dati genetici) siano trattati per finalità di ricerca scientifica, i titolari del trattamento devono anche individuare una deroga al divieto di trattamento di tali dati (art. 9(2) del GDPR). Le Linee guida riconoscono tre vie principali: il consenso esplicito (art. 9(2)(a) del GDPR), incluso un broad o dynamic consenso, le eccezioni previste dal diritto dell’UE o degli Stati membri (art. 9(2)(j) del GDPR), tra cui, ad esempio, le disposizioni dell’EHDS sull’uso secondario e i dati manifestamente resi pubblici dall’interessato (art. 9(2)(e) del GDPR)[136].
Le Linee guida considerano la legislazione nazionale di attuazione dell’art. 9(2)(j) del GDPR (ossia il trattamento necessario per finalità di ricerca scientifica) e includono nelle note a piè di pagina esempi di normative degli Stati membri che forniscono una base per il trattamento di dati di categoria particolare a fini di ricerca scientifica. Le divergenze e le carenze del quadro normativo rilevante per l’applicazione art. 9(2)(j) del GDPR – che comprende norme europee e nazionali degli Stati membri – potrebbero indurre i titolari del trattamento a basarsi sul consenso come base giuridica preferenziale per il trattamento dei dati sensibili a fini di ricerca scientifica, soprattutto alla luce dell’approccio flessibile in materia di consenso negli studi clinici delineato nelle Linee guida. Nel contempo, l’interesse pubblico e l’interesse legittimo rimangono alternative valide, in particolare per l’utilizzo secondario, gli studi real world evidence e la ricerca autorizzata ai sensi delle leggi nazionali sulla ricerca o dell’EHDS.
Trasparenza e informativa nella ricerca scientifica
La trasparenza è strettamente legata alla legittimità del trattamento dei dati, soprattutto laddove ci si basi sul consenso, poiché quest’ultimo dev’essere informato. L’EDPB dedica particolare attenzione alla trasparenza nel contesto dei progetti di ricerca a lungo termine e in continua evoluzione.
L’EDPB stabilisce standard elevati di trasparenza per l’intero periodo di trattamento, in particolare per i progetti di ricerca di lunga durata. I titolari del trattamento devono informare gli interessati al momento della raccolta dei dati e fornire aggiornamenti in caso di modifiche sostanziali al trattamento, inclusi cambiamenti agli obiettivi della ricerca, alla base giuridica (o alle basi giuridiche) del trattamento, al coinvolgimento di nuovi partner di ricerca (in particolare quelli al di fuori dello Spazio economico europeo) o a proroghe del periodo di conservazione. Tuttavia, le Linee guida riconoscono che i titolari del trattamento che si basano sul broad consent possono descrivere le finalità di ricerca previste a un livello più generale fin dall’inizio, ad esempio facendo riferimento a un campo di ricerca definito come “oncologia” o “genetica medica”, a condizione che i titolari del trattamento tengano informati gli interessati man mano che le attività di ricerca si evolvono. L’obbligo di fornire l’informativa si applica anche quando il titolare del trattamento non ha accesso diretto ai dati personali o contatti con gli interessati, ad esempio quando il trattamento è effettuato da un responsabile del trattamento per conto del titolare del trattamento. Le misure pratiche raccomandate dalle Linee guida includono dashboard sulla privacy, portali online a più livelli e punti di contatto coordinati.
Nell’ambito della ricerca scientifica, l’informativa individuale agli interessati (art. 14 del GDPR) può in alcuni casi costituire uno sforzo sproporzionato ed è, quindi, possibile derogare a tale requisito. Le Linee guida affermano che ciò può verificarsi quando ciò implicherebbe informare un numero molto elevato di interessati, quando i dati di contatto sono obsoleti o non possono essere ragionevolmente ottenuti o quando i dati personali sono particolarmente vecchi, ad esempio dataset risalenti a più di dieci anni fa. L’EDPB ribadisce che questa deroga va interpretata in senso restrittivo. Quando si avvalgono di tale eccezione, i titolari del trattamento dovrebbero valutare lo sforzo necessario per fornire le informazioni rispetto all’impatto sugli interessati qualora non venissero informati direttamente, tenendo conto delle garanzie previste dall’art. 89 del GDPR e della possibilità di fornire le informazioni tramite mezzi indiretti.
La “ricerca sotto copertura” (in cui le informazioni agli interessati ostacolano gli obiettivi della ricerca) dovrebbe essere condotta solo se è chiaro che sia strettamente necessaria e solo con garanzie aggiuntive, come ad esempio una valutazione etica.
Le Linee guida forniscono esempi di modifiche di elementi di un trattamento dei dati che richiedono o che non richiedono l’invio di un’informativa aggiornata agli interessati. Le informazioni aggiornate dovrebbero essere condivise con gli interessati in caso di modifiche “sostanziali” alle finalità di ricerca sottostanti o alle basi giuridiche applicabili, modifiche al titolare del trattamento o ai suoi partner di ricerca, inclusi nuovi trasferimenti internazionali, estensioni dei periodi di conservazione originari, metodi di ricerca a rischio più elevato, nuove categorie di dati personali o modifiche alle modalità con cui gli interessati possono esercitare i propri diritti. Al contrario, di solito non è richiesta una nuova informativa per gli studi ricorrenti che non hanno subito modifiche, per i nuovi partner di ricerca già inclusi nelle categorie di destinatari già communicate agli interessati o per ulteriori tipologie di dati che rientrano nelle categorie di dati personali già rese note agli interessati.
Se un titolare del trattamento desidera trattare dati personali originariamente raccolti per un altro scopo e successivamente trattati per scopi di ricerca, deve informare gli interessati conformemente all’art. 13(3) del GDPR. Chiunque cancelli consapevolmente i dati di contatto pur avendo intenzione di utilizzarli in un secondo momento per scopi di ricerca viola il principio di trasparenza.
Se, nel corso di un progetto di ricerca, vengono generati nuovi dati personali (ad esempio, diagnosi, pseudonimi derivati, classificazioni), questi non sono considerati raccolti direttamente dall’interessato; si applica l’art. 14 del GDPR.
Diritti degli interessati e limitazioni nel contesto della ricerca
Le Linee guida ricordano che gli interessati mantengono i propri diritti previsti dal GDPR, ma nel contesto della ricerca si applicano alcune limitazioni. Ad esempio, il diritto alla cancellazione previsto dall’art. 17 del GDPR è soggetto ad un’eccezione ex art. 17(3)(d) del GDPR, qualora la cancellazione “renderebbe impossibile o comprometterebbe gravemente” il raggiungimento degli obiettivi della ricerca e il titolare del trattamento abbia adottato garanzie adeguate. Le Linee guida illustrano questo concetto con un esempio pratico: un istituto di ricerca privato sta conducendo una ricerca scientifica sullo sviluppo storico del software open source esaminando un albero Merkle (una struttura dati crittografica) che mostra la cronologia dello sviluppo, inclusi i nomi degli sviluppatori in ogni fase. Uno sviluppatore di software richiede la cancellazione di una voce che lo cita come coautore perché ha cambiato nome e ritiene che il mantenimento del suo vecchio nome violi il suo diritto alla vita privata. L’istituto di ricerca respinge la richiesta ai sensi dell’art. 17(3)(d) del GDPR perché la ricerca deve riflettere i fatti storici dello sviluppo del software, compresi i singoli sviluppatori coinvolti in ogni fase, e la cancellazione rischierebbe quindi di compromettere gravemente il raggiungimento degli obiettivi della ricerca. Questo esempio sottolinea che l’eccezione relativa alla ricerca scientifica richiede una valutazione specifica dei fatti e non giustifica il rifiuto indiscriminato delle richieste di cancellazione.
Analogamente, nel contesto della ricerca scientifica, un titolare del trattamento può respingere l’opposizione dell’interessato al trattamento dei suoi dati qualora quest’ultimo sia necessario per l’esecuzione di un compito svolto per motivi di interesse pubblico (art. 21(6) del GDPR)[137]. Le Linee guida chiariscono che tale disposizione non si limita agli enti pubblici; anche un titolare del trattamento di natura privata il cui legittimo interesse alla ricerca coincida con un interesse pubblico può avvalersene. Al ricevimento di tali richieste, i titolari del trattamento devono valutare e documentare caso per caso la giustificazione di ciascuna eccezione o limitazione.
Garanzie ex art. 89 GDPR, minimizzazione e DPIA
Le garanzie di cui all’art. 89(1) del GDPR sono il perno del quadro normativo del GDPR in materia di ricerca scientifica: la presunzione di compatibilità delle finalità, la conservazione prolungata e le limitazioni dei diritti degli interessati dipendono tutte dalla loro adozione. Le Linee guida prevedono che i titolari del trattamento debbano iniziare con un’analisi dei rischi – e, ove necessario, con una DPIA – che consideri non solo i rischi per la privacy, ma anche impatti più ampi sui diritti fondamentali, tra cui discriminazione, stigmatizzazione e perdita di riservatezza. Ciò è particolarmente rilevante nel campo della ricerca medica, dove il trattamento dei dati personali può avere un impatto diretto o indiretto sull’erogazione dell’assistenza sanitaria agli interessati.
Per quanto riguarda la minimizzazione dei dati, le Linee guida seguono una chiara gerarchia nel format dei dati nell’ambito della ricerca scientifica: i dati anonimizzati devono essere utilizzati laddove le finalità della ricerca possano essere raggiunte senza dati personali; laddove l’anonimizzazione non sia fattibile, i dati devono essere pseudonimizzati utilizzando metodi all’avanguardia; i dati direttamente identificabili devono essere trattati solo laddove strettamente necessario e proporzionato al raggiungimento degli obiettivi della ricerca. Laddove si ricorra alla pseudonimizzazione, le Linee guida precisano che la base giuridica per il trattamento dei dati personali si estende a tutte le operazioni di trattamento necessarie per applicare la pseudonimizzazione[138].
Oltre all’anonimizzazione e alla pseudonimizzazione, l’EDPB elenca ulteriori garanzie, tra cui: organismi di controllo indipendenti o etici; ambienti di elaborazione sicuri; tecnologie per la tutela della privacy; controlli rigorosi su finalità e accessi; obblighi di riservatezza per il personale di ricerca; misure di protezione in fase di pubblicazione dei risultati per prevenire la reidentificazione. Per la ricerca che coinvolge dati genetici o biometrici, le Linee guida sottolineano che ulteriori misure di salvaguardia, come l’archiviazione federata con accesso tramite ambienti di elaborazione sicuri, possono essere particolarmente importanti, dati i rischi specifici e persistenti posti da tali dati. Per la ricerca che utilizza l’AI o per il trattamento su larga scala di dati genetici è sempre necessaria una DPIA ex art. 35 del GDPR[139].
Le conseguenze delle Linee guida EDPB per operatori e Stati membri
Le nuove Linee guida dell’EDPB rappresentano un passo significativo verso una maggiore certezza giuridica nel trattamento dei dati personali per la ricerca scientifica, che giova in un ambito in cui la complessità normativa ha rappresentato un ostacolo all’innovazione. Chiarendo concetti chiave, come la “ricerca scientifica”, la portata della presunzione di compatibilità e le condizioni per un consenso valido, le Linee guida offrono un’utile strumento per la compliance degli operatori del settore.
Tuttavia, le Linee guida non risolvono tutti i problemi interpretativi e applicativi che si sono descritti nei paragrafi precedenti. In particolare, permangono significative limitazioni all’uso secondario dei dati personali e ciò continua a rappresentare una sfida considerevole per ricercatori e aziende che puntano all’innovazione.
Del resto, le Linee guida interpretative dell’EDPB non possono eliminare le divergenze nelle normative nazionali che rilevano ai fini delle disposizioni specifiche del GDPR per i trattamenti di dati per finalità di ricerca scientifica. In ogni caso, non solo le disposizioni del GDPR, ma anche le norme nazionali che integrano le disposizioni del GDPR sulla ricerca scientifica dovrebbero essere interpretate alla luce delle Linee guide dell’EDPB. Questo è un corollario del principio del primato del diritto dell’UE sul diritto nazionale degli Stati membri[140].
Ciò significa, ad esempio, che l’art. 110 del Codice della Privacy non dovrebbe essere interpretato nel senso che un trattamento dei dati personali per finalità di ricerca scientifica si debba sempre basare sul consenso degli interessati, visto che l’EDPB chiaramente indica la possibilità per il titolare del trattamento di ricorrere ad altri basi giuridiche (e deroghe al divieto di trattare dati sensibili)[141]. Inoltre, il trattamento ulteriore dei dati per finalità di ricerca scientifica diviene possibile anche quando la base giuridica della raccolta iniziale è il consenso, grazie all’ammissibilità del broad consent, cioè non limitato allo specifico progetto di ricerca, ma riferito ad un determinato settore scientifico (ad esempio, il settore dell’oncologia)[142].
Non solo: sempre in virtù del primato del diritto dell’UE sul diritto nazionale degli Stati membri, le norme nazionali che applicano le disposizioni del GDPR sulla ricerca scientifica dovrebbero essere rese compatibili con il GDPR come interpretate dall’EDPB. Ad esempio, norme nazionali che impongono che il trattamento di dati personali e sensibili per finalità di ricerca scientifica si basi sul consenso esplicito degli interessati dovrebbero essere modificate dagli Stati membri (o disapplicate dai giudici nazionali[143]) perché, come chiarito nelle nuove Linee guida europee, il titolare del trattamento può ricorrere ad altre basi giuridiche previste dall’art. 6(1) e ad altre deroghe di cui all’art. 9(2) del GDPR.
In definitiva, l’EDPB interpreta le disposizioni del GDPR in modo da non limitare la ricerca scientifica. Tuttavia, esso innalza il livello di governance richiesto ai titolari del trattamento: costoro devono dimostrare chiara definizione degli scopi, trasparenza e garanzie per avvalersi del quadro normativo del GDPR in materia di ricerca. Questo è l’approccio prescelto dall’EDPB per promuovere una regolamentazione più coerente e funzionale alla ricerca scientifica e allo sviluppo tecnologico nell’UE, mantenendo un alto livello di accountability per i titolari del trattamento.
[1] Regolamento (UE) 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in GU L 119 del 4.5.2016, p. 1-88.
[2] Consideranda 33, 39, 50, 52, 53, 62, 65, 113, 156 del GDPR.
[3] Considerando 159.
[4] Il considerando 159 precisa che la nozione di ricerca scientifica nel GDPR include, ad esempio, lo sviluppo tecnologico e la dimostrazione, la ricerca fondamentale, la ricerca applicata e la ricerca finanziata da privati, nonché gli studi svolti nell’interesse pubblico nel settore della sanità pubblica.
[5] Si veda G. Maldoff, How GDPR changes the rules for research, articolo pubblicato sul sito dello IAPP il 19 aprile 2016, secondo cui la ricerca occupa una posizione privilegiata all’interno del GDPR.
[6] Il diritto alla cancellazione non si applica se i dati sono utilizzati a fini di ricerca scientifica e l’accoglimento della richiesta di cancellazione renderebbe impossibile o comprometterebbe gravemente il raggiungimento degli obiettivi della ricerca.
[7] Si veda V. Junod – D. Gorbacheva, Medical Research on Pre-Existing Personal Health Data. The GDPR Exemptions in the European Union, Life Science Recht 4/2018, p. 230 e 231.
[8] L’8 luglio 2020 la Commissione europea ha sottoposto 21 domande all’EDPB al fine di ottenere chiarimenti e garantire un’applicazione coerente dei requisiti del GDPR in materia di sperimentazioni cliniche, soggette al Regolamento (UE) n. 536/2014 del 16 aprile 2014 sulla sperimentazione clinica di medicinali per uso umano (CTR). L’EDPB ha risposto ad alcune di queste domande nel suo Parere 3/2019, relativo alle domande e risposte sull’interazione tra il CTR e il GDPR, affermando che stava elaborando linee guida più dettagliate su tale argomento. Come vedremo di seguito, delle articolate linee guida sono state predisposte dall’EDPB solo di recente.
[9] La condizione che consente il trattamento di categorie particolari di dati nel contesto degli obblighi derivanti dalla normativa sugli studi clinici è l’art. 9(2)(i) GDPR: il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, tra cui la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’UE o degli Stati membri, che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato.
[10] Degli esempi “non scontati” di “dati relativi alla salute” ai sensi del GDPR si trovano nelle Linee-guida 03/2020 sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al COVID-19, adottate il 21 aprile 2020: “informazioni che diventano dati sanitari sulla base di riferimenti incrociati ad altri dati tali da rivelare lo stato di salute o i rischi per la salute (ad esempio, la presunzione che una determinata persona sia esposta a un rischio più elevato di infarto cardiaco sulla base di misurazioni ripetute della pressione arteriosa nel corso di un certo periodo di tempo)”; “informazioni ricavate da test di autovalutazione, in cui gli interessati rispondono a domande relative alla loro salute (ad esempio, descrivendo sintomatologie)”; “informazioni che diventano dati relativi alla salute a seguito del loro utilizzo in un contesto specifico (ad esempio, informazioni relative a un viaggio recente o alla permanenza in una regione interessata dal COVID-19 elaborate da un professionista sanitario per effettuare una diagnosi)”.
[11] I dati genetici sono definiti dall’art. 4, n. 13 del GDPR come “i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione”. Il considerando 34 precisa che si tratta di “dati personali relativi alle caratteristiche genetiche, ereditarie o acquisite, di una persona fisica, che risultino dall’analisi di un campione biologico della persona fisica in questione, in particolare dall’analisi dei cromosomi, dell’acido desossiribonucleico (DNA) o dell’acido ribonucleico (RNA), ovvero dall’analisi di un altro elemento che consenta di ottenere informazioni equivalenti”. Va sottolineato che i dati genetici di una persona potrebbero rilevare dati relativi alla salute di questa persona, ma anche di suoi familiari.
[12] Quando è stato pubblicato il Parere dell’EDPB, 25 su 31 Paesi europei richiedevano il consenso esplicito (Austria, Belgio, Cipro, Danimarca, Estonia, Germania, Islanda, Irlanda, Italia, Lettonia, Lituania, Malta; Paesi Bassi, Norvegia, Polonia, Romania, Slovenia, Spagna e Ungheria) o l’accettazione espressa (Croazia, Finlandia, Francia, Grecia, Repubblica Ceca e Repubblica Slovacca) da parte degli interessati della raccolta e del trattamento dei loro dati relativi alla salute nell’ambito di una sperimentazione clinica (P. Navarro – E. Wright, EDPB’s position on clinical trials creates friction with other EU legislation, 25 aprile 2019, su https://www.hoganlovells.com).
[13] Tale legislazione degli Stati membri deve essere proporzionata all’obiettivo perseguito, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure adeguate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (9(2)(j) GDPR).
[14] Si veda EFPIA position on EDPB Opinion 3/2019 and the Commission Questions and Answers (Q&A) addressing the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection Regulation (GDPR) under Art. 70(1)(b) GDPR, su www.efpia.eu.
[15] Commissione UE, Question and Answers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation.
[16] Si veda il considerando 33 (citato sopra).
[17] Le “Domande e Risposte” precisano che, se l’intenzione di utilizzare i dati per ulteriori ricerche al di fuori del protocollo della sperimentazione clinica dovesse emergere dopo il completamento della stessa, il promotore dovrà rivolgersi nuovamente ai soggetti interessati per ottenere un consenso specifico.
[18] Si veda l’EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research.
[19] La Convenzione per la protezione dei Diritti dell’Uomo e della dignità dell’essere umano nei confronti delle applicazioni della biologia e della medicina: Convenzione sui Diritti dell’Uomo e la biomedicina è stata conclusa ad Oviedo il 4 aprile 1997 ed è entrata in vigore il 1° dicembre 1999. La Dichiarazione di Helsinki sui principi etici per la ricerca medica che coinvolge soggetti umani è stata adottata dalla 18a Assemblea Generale dalla WMA a Helsinki nel giugno 1964 e successivamente emendata piú volte, da ultimo nell’ottobre 2024.
[20] La domanda a cui l’EDPB ha risposto è come conciliare il principio etico del consenso informato, sancito dalla Convenzione di Oviedo e dalla Dichiarazione di Helsinki, con la possibilità di trattare i dati sanitari sulla base di un interesse legittimo o dell’interesse pubblico.
[21] Si veda il Parere 3/2019 sopra citato.
[22] La domanda a cui ha risposto l’EDPB è se sia possibile per il titolare del trattamento di avvalersi del consenso esplicito come base giuridica per il trattamento dei dati relativi a pazienti e persone non ricoverate in ospedale ma a cui sono state diagnosticate determinate patologie, visto che nel Parere 3/2019 si è fatto riferimento alla difficoltà di ottenere un consenso libero ai sensi del GDPR da soggetti non in buone condizioni di salute.
[23] La domanda da cui scaturiscono le suddette osservazioni dell’EDPB è se sia possibile avere una base giuridica eterogenea o diversa per il trattamento dei dati sanitari di diversi soggetti nell’ambito di un unico progetto di ricerca condotto da un unico titolare del trattamento in diversi Stati membri e, nel contempo, soddisfare i requisiti di equità e parità di trattamento di tutti i soggetti coinvolti in uno studio clinico.
[24] L’EDPB ha cercato di rispondere ad una serie di domande sul trattamento ulteriore di dati relativi alla salute inizialmente raccolti per un progetto di ricerca per diversi progetti di ricerca.
[25] Ad esempio, se la legislazione di uno Stato membro consente il trattamento dei dati relativi alla salute da parte di un operatore sanitario solo ai fini della prestazione di assistenza sanitaria o di cure mediche (art. 9 (2)(h) GDPR), l’operatore sanitario dovrebbe comunque avvalersi di un’altra eccezione, fondata sul diritto dell’UE o sulla legislazione dello Stato membro, per il trattamento dei dati relativi alla salute a fini di ricerca scientifica.
[26] La domanda a cui ha risposto l’EDPB è se il concetto di consenso generale (broad consent) è applicabile al trattamento di categorie particolari di dati a fini di ricerca scientifica. Su quanto sia cruciale ma complesso specificare le finalità di ricerca scientifica al fine del rispetto di vari requisiti previsti dal GDPR, si veda R. Becker e altri, Purpose definition as a crucial step for determining the legal basis under the GDPR: implications for scientific research, in Journal of Law and the Biosciences, Vol. 11(1), 2024, p. 129-157.
[27] Si veda D. Hallinan, Broad consent under the GDPR: an optimistic perspective on a bright future, in Life Sciences, Society and Policy, vol. 16(1), 2020, p. 1-19, secondo cui il broad consent consiste nell’ottenere un consenso per molteplici potenziali progetti di ricerca futuri.
[28] La domanda esaminata dall’EDPB è come vadano definiti i “settori di ricerca” di cui al considerando 33 del GDPR nel momento in cui si chiede il consenso degli interessati, in particolare con riguardo a futuri progetti di ricerca, che non possono essere determinati al momento della raccolta dei dati.
[29] Si vedano le Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679.
[30] Si veda: EDPS, A Preliminary Opinion on data protection and scientific research, 6 gennaio 2020. Mentre l’EDPB opera sulla base del GDPR (che si applica agli individui e agli enti pubblici e privati che trattano dati personali di individui nell’UE), l’EDPS opera sulla base del Regolamento (UE) 2018/1725 del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati (che, quindi, si applica agli Organi dell’UE quando trattano dati personali di individui nell’UE). Nel Parere si legge che l’analisi e le raccomandazioni ivi contenute possono essere generalmente considerate rilevanti per il trattamento dei dati ai sensi di entrambi i Regolamenti.
[31] Si veda: EDPS, A Preliminary Opinion on data protection and scientific research, già citata. Com’è stato sottolineato da S. El-Sayed – F. Paspalj, No recognised ethical standards, no broad consent: navigating the quandary in computational social science research, in Sage Journals, Vol. 20(3), 2024, p. 438 e 439, non vi è nel GDPR (né nell’AI Act) una definizione di “standards etici riconosciuti”. Pertanto, il significato di questa espressione va ricostruito attraverso un’interpretazione grammaticale, sistematica, storica e teleologica. Tuttavia, in via interpretativa, non si raggiungono esiti certi. Pertanto, un’opzione chiara e precisa sarebbe quella di fare riferimento agli standard etici richiesti dalla legislazione nazionale, raccomandati dagli ordini professionali o riconosciuti da una fonte specifica. In mancanza di questi ultimi, risulta compromesso il ricorso alla deroga al requisito del consenso specifico prevista dal GDPR per la ricerca scientifica.
[32] Il considerando 50 afferma che non è richiesta alcuna base giuridica distinta da quella che ha consentito la raccolta dei dati personali e che il trattamento successivo a fini di ricerca scientifica dovrebbe essere considerato un trattamento lecito e compatibile.
[33] Si vedano le “Linee guida 1/2024 sul trattamento dei dati personali ai sensi dell’articolo 6, paragrafo 1, lettera f), del GDPR, par. 24”.
[34] Si vedano le Conclusioni del 25 ottobre 1984 sulla causa Gesamthochschule Duisburg contro Hauptzollamt München – Mitte, ECLI:EU:C:1984:332.
[35] Regolamento (UE) 2024/1689 del 13 giugno 2024 sull’intelligenza artificiale (“AI Act”), in vigore dal 1° agosto 2024; Regolamento (UE) 2022/868 del 30 maggio 2022 sulla governance dei dati (“Data Governance Act”), in vigore dal 23 giugno 2022; Regolamento (UE) 2023/2854 del 13 dicembre 2023 sui dati (“Data Act”), in vigore dall’11 gennaio 2024; Regolamento (UE) 2022/1925 del 14 settembre 2022 sui mercati digitali (“Digital Markets Act”); Regolamento (UE) 2022/2065del 19 ottobre 2022 sui servizi digitali (“Digital Services Act”); Direttiva (UE) 2022/2555 del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (“NIS2 Directive” o “NIS2”), in vigore dal 27 dicembre 2022.
[36] Regolamento (UE) 2025/327 dell’11 febbraio 2025, in vigore dal 25 marzo 2025.
[37] Secondo il professor Mario Draghi, “la posizione dell’UE in altri settori innovativi, come quello farmaceutico, sta perdendo terreno a causa delle stesse difficoltà legate agli scarsi investimenti in ricerca e innovazione e alla frammentazione normativa” (si veda: The future of European competitiveness, sezione A, settembre 2024).
[38] Si veda il dossier della Camera dei Deputati su “Il rapporto sul futuro della competitività europea di Mario Draghi” del 26 settembre 2024.
[39] Si veda: The future of European competitiveness, sezione B.
[40] Si veda l’Assessment of the EU Member States’ rules on health data in the light of GDPR del 2021, commissionato dalla Commissione UE e svolto da una serie di ricercatori.
[41] Va sottolineato che il GDPR non definisce il “trattamento ulteriore” dei dati. Tuttavia, in base al suo considerando 50, si può dedurre che tale espressione vada intesa nel senso di un trattamento dei dati personali per finalità diverse da quelle per cui i dati personali sono stati inizialmente raccolti dal titolare. Un esempio può aiutare a capire come si individua un “trattamento ulteriore” ai sensi del GDPR in caso di trasferimento di dati da un titolare ad un altro. Nel caso in cui i dati sanitari vengono utilizzati per la ricerca biomedica, se l’ospedale trasferisce i dati del paziente a un’organizzazione esterna che è l’unica a svolgere attività di ricerca, l’ospedale effettua un “trattamento ulteriore” nel momento in cui trasferisce i dati sanitari alla parte esterna in vista del loro uso per le finalità del destinatario. Invece, la raccolta e l’utilizzo dei dati per la ricerca da parte dell’organizzazione destinataria costituiscono, ai sensi del GDPR, un trattamento per la finalità primaria di tale titolare (anche se, dal punto di vista della normativa sugli studi clinici, tale ricerca sarebbe considerata un uso secondario dei medesimi dati). Infatti, il destinatario dei dati vi ha accesso e li tratta, sin dall’inizio, per lo scopo specifico di condurre una ricerca. Si veda, in tal senso, Becker, R. e altri (2022), Secondary Use of Personal Health Data: When Is It “Further Processing” Under the GDPR, and What Are the Implications for Data Controllers?, in European Journal of Health Law, 2022, vol. 30(2), p. 129-157.
[42] Si veda l’art. 22(1) della Legge federale tedesca sulla protezione dei dati del 30 giugno 2017. Il trattamento dei dati è lecito se il trattamento a fini di ricerca scientifica è necessario nell’interesse pubblico e se l’interesse del titolare del trattamento a trattare i dati prevale in modo significativo sugli interessi dell’interessato e se vengono attuate misure tecniche e organizzative supplementari, definite in modo più dettagliato da un elenco non esaustivo nella legislazione nazionale (art. 27(1), in combinato disposto con l’art. 22(2), della Legge federale tedesca sulla protezione dei dati) (si veda F. Molnár-Gábor e altri, Harmonization after the GDPR? Divergences in the rules for genetic and health data sharing in four member states and ways to overcome them by EU measures: Insights from Germany, Greece, Latvia and Sweden, in Seminars in Cancer Biology, Vol. 84, 2022, p. 271-283).
[43] Si veda l’art. 22(2) della Legge federale tedesca sulla protezione dei dati del 30 giugno 2017. Va ricordato che i Länder tedeschi hanno recepito l’art. 9(2)(j) del GDPR, in combinato disposto con l’art. 89(1) del GDPR, nelle rispettive leggi regionali sulla protezione dei dati (come ricordato da F. Molnár-Gábor e altri, Harmonization after the GDPR? Divergences in the rules for genetic and health data sharing in four member states and ways to overcome them by EU measures: Insights from Germany, Greece, Latvia and Sweden, già citato).
[44] Si veda la disposizione aggiuntiva diciassettesima (1)(c) della Legge organica spagnola n. 3/2018, del 5 dicembre, sulla protezione dei dati personali e la tutela dei diritti digitali.
[45] Si veda la disposizione aggiuntiva diciassettesima (1)(d) della Legge spagnola n. 3/2018.
[46] Si veda la disposizione aggiuntiva diciassettesima (1), sopra citata.
[47] la Legge sui contratti di assistenza medica (in vigore dal 1° aprile 1995) si affianca al GDPR e alla legge nazionale di attuazione del GDPR (in vigore dal 1° luglio 2021).
[48] La Legge olandese sui contratti di assistenza medica prevede come regola generale il consenso all’“uso ulteriore” dei dati sanitari a fini di ricerca (art. 7:457), seguito dall’eccezione (art. 7:458). L’eccezione è soggetta alle seguenti condizioni (art. 7:458, comma 1): a) chiedere il consenso non è ragionevolmente possibile e, nell’esecuzione della ricerca, sono previste garanzie tali che la privacy dell’interessato non sia lesa modo sproporzionato; oppure b) tenuto conto della natura e dell’obiettivo della ricerca, non è ragionevole richiedere il consenso e il medico si è assicurato che i dati siano forniti in modo tale da impedire ragionevolmente la loro riconducibilità a singole persone fisiche. Inoltre, tale Legge stabilisce che i dati possano essere trasmessi in base a tali eccezioni solo a condizione che la ricerca sia condotta nell’interesse pubblico, che la ricerca non possa essere condotta senza tali dati e che il paziente interessato non si sia espressamente opposto alla trasmissione di tali dati (art. 7:453, paragrafo 2). Si veda, in tal senso, I. Kist, Assessment of the Dutch Rules on Health Data in the Light of the GDPR, in Eur J Health Law, 2022, vol. 30(3), p. 322-344.
[49] L’eccezione al consenso esplicito dell’interessato prevista dalla legislazione olandese consente il trattamento dei dati da parte di un istituto di ricerca nell’interesse pubblico. Devono essere soddisfatte le quattro condizioni cumulative ivi previste e l’istituto deve garantire che siano state attuate le misure tecniche e organizzative pertinenti. Inoltre, l’interessato deve essere informato individualmente sugli aspetti principali della ricerca, sulla sua finalità e sull’ulteriore utilizzo dei propri dati e l’interessato ha il diritto di opporsi e deve poter esercitare facilmente tale diritto (“opt-out-plus”) (in tal senso, si veda I. Kist, Assessment of the Dutch Rules on Health Data in the Light of the GDPR, già citato).
[50] il divieto di trattare categorie particolari di dati personali non si applica se: a. il trattamento è necessario ai fini della ricerca scientifica, conformemente all’art. 89(1) del GDPR; b. la ricerca di cui alla lettera a) è nell’interesse pubblico; c. la richiesta del consenso esplicito risulti impossibile o comporti uno sforzo sproporzionato; e d. nell’esecuzione siano previste garanzie tali da non ledere in modo sproporzionato la vita privata dell’interessato.
[51] Si veda: Study on the appropriate safeguards required under Article 89(1) of the GDPR for the processing of personal data for the scientific research dell’agosto 2021.
[52] Si veda la Legge n. 78-17 del 6 gennaio 1978 in materia di informatica, archivi di dati e libertà civili, in vigore dal 6 gennaio 1978, emendata il 20 giugno 2018 a seguito dell’entrata in vigore del GDPR.
[53] Si veda l’art. 116 del Decreto n. 2019-536 secondo cui è possibile derogare ai diritti previsti dagli articoli 15, 16, 18 e 21 del GDPR solo quando il loro esercizio rischierebbe di rendere impossibile o di ostacolare gravemente il raggiungimento delle finalità di ricerca scientifica e laddove tali deroghe siano necessarie per il raggiungimento di tali finalità.
[54] I trattamenti necessari alla ricerca pubblica ai sensi dell’art. L. 112-1 del Codice della ricerca, a condizione che siano resi necessari da motivi di interesse pubblico rilevante, alle condizioni previste dall’art. 9(2)(g) del GDPR, previo parere motivato della CNIL. A seconda del tipo di analisi dei dati effettuata, può essere necessario o meno presentare una richiesta alla CNIL. Se la ricerca rimane all’interno dell’équipe sanitaria che ha in cura il paziente a fini di ricerca interna non è necessaria alcuna procedura presso la CNIL. In questo caso, l’informazione ai pazienti avviene tramite il documento informativo generico della struttura, la bacheca, il sito web e l’opuscolo di benvenuto e non è necessaria alcuna informazione specifica relativa alla ricerca. In caso di opposizione, i dati dei pazienti che si oppongono al riutilizzo dei propri dati non possono essere utilizzati. Se la ricerca è multicentrica, dovrà conformarsi a una delle metodologie di riferimento della CNIL, che attesti, in particolare, l’interesse pubblico della ricerca (MR004 o MR005) oppure, se necessario, dovrà essere sottoposta a richiesta di autorizzazione presso la CNIL, in particolare per le richieste di deroga all’obbligo di informazione delle persone. In tal senso, si veda E. Hulier-Ammar e altri, Recherche sur données: aspects juridiques et éthiques à travers l’expérience de l’hôpital Foch, in Médecine & Droit, vol. 2022, 2022, p. 8-14).
[55] Si veda l’art. 66(1) della Legge n. 78-17.
[56] Si veda l’art. 66(2) della Legge n. 78-17.
[57] Si veda l’art. 73 della Legge n. 78-17. Lo Studio in discorso sottolinea che, oltre alle possibilità previste dall’art. 9(2) del GDPR, il trattamento dei dati sanitari a fini di ricerca è lecito a condizione che: (i) il trattamento sia nell’interesse pubblico; (ii) il trattamento sia conforme agli standards emanati dalla CNIL (da MR001 a MR006) e il titolare del trattamento invii una dichiarazione di conformità alla CNIL; oppure (iii) previa autorizzazione della CNIL, qualora il trattamento non sia conforme a uno degli standards.
[58] Si veda la Metodologia di riferimento MR-001 su “Ricerche nel settore sanitario con acquisizione del consenso”, adottata dalla CNIL con Delibera n. 2018-153 del 3 maggio 2018.
[59] Si veda: Study on the secondary use of personal data in the context of scientific research, 2025. Sono state esaminate le legislazioni dei seguenti Stati membri dell’UE: Belgio, Bulgaria, Croazia, Cipro, Danimarca, Francia, Germania, Grecia, Ungheria, Italia, Lettonia, Paesi Bassi, Norvegia, Portogallo, Romania, Slovacchia e Slovenia, oltre a quella del Regno Unito.
[60] Ad esempio, il 17 settembre 2025, la Datenschutzkonferenz ha adottato nuove linee guida e raccomandazioni sui requisiti per il trasferimento di dati personali, in particolare dati sanitari, verso paesi al di fuori dello Spazio economico europeo per finalità di ricerca scientifica, ai sensi del GDPR. Queste linee guida possono essere di particolare rilevanza per le aziende farmaceutiche, di dispositivi medici e di altre aziende del settore life sciences che conducono ricerche cliniche.
[61] L’art. 110 bis, comma 1, del Decreto legislativo 30 giugno 2003, n. 196 (“Codice della Privacy”), risultante dalle modifiche apportate dal Decreto Legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 (…)”, disponeva: “il Garante [Privacy] può autorizzare il trattamento ulteriore di dati personali, compresi quelli dei trattamenti speciali di cui all’articolo 9 del Regolamento [cioè il GDPR], a fini di ricerca scientifica o a fini statistici da parte di soggetti terzi che svolgano principalmente tali attività quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, a condizione che siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, in conformità all’articolo 89 del Regolamento, comprese forme preventive di minimizzazione e di anonimizzazione dei dati”; inoltre, ai sensi del successivo comma 2, “(…) con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante [Privacy] stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del trattamento ulteriore dei dati personali da parte di terzi, anche sotto il profilo della loro sicurezza”.
[62] Si può aggiungere a quanto riportato nello Studio in commento che l’art. 110 bis, comma 4, del Codice della Privacy, già prima della riforma del 2024, disponeva che non deve considerarsi un “trattamento ulteriore” dei dati “da parte di terzi” quello riguardante i dati raccolti per l’attività clinica effettuato, a fini di ricerca scientifica, da parte degli Istituti di ricovero e cura a carattere scientifico [IRCCS], pubblici e privati, nel rispetto delle garanzie di cui all’art. 89 del GDPR.
[63] L’art. 110, comma 1, disponeva: “(…) il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale. Nei casi di cui al presente comma, il Garante individua le garanzie da osservare ai sensi dell’articolo 106, comma 2, lettera d), del presente codice”.
[64] Si veda l’art. 110 bis, comma 1, del Codice della Privacy, già citato.
[65] Gli articoli 110 (che concerne la ricerca medica, biomedica o epidemiologica) e 110 bis (riguardante il trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica) del Codice della Privacy sono stati modificati dalla Legge 29 aprile 2024, n. 56 Conversione in legge, con modificazioni, del decreto-legge 2 marzo 2024, n. 19, recante ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR), entrata in vigore il 1° maggio 2024.
[66] Giova ricordare che, in Italia, per effetto di un’interpretazione restrittiva dell’art. 110 del Codice della Privacy, il consenso è sempre stato considerato la base giuridica obbligatoria per il trattamento di dati sanitari a fini di ricerca scientifica. In tal senso, si veda S. Stefanelli, Trattamento dei dati nella ricerca: l’Italia sbaglia approccio, 14 apr 2026, AgendaDigitale.
[67] Per esteso, l’art. 110, comma 1, del Codice della Privacy, nella versione vigente, recita: “il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale. Nei casi di cui al presente comma, il Garante individua le garanzie da osservare ai sensi dell’articolo 106, comma 2, lettera d), del presente codice”. In precedenza, il Codice della Privacy, come modificato dal D.Lgs. 101/2018 ai fini dell’adattamento al GDPR, esentava il titolare del trattamento dall’obbligo di ottenere il consenso dell’interessato per il trattamento di dati suscettibili di rivelare lo stato di salute, qualora, a causa di particolari ragioni, fosse impossibile informare gli interessati, purché fossero soddisfatte tre condizioni: il parere positivo del comitato etico sul progetto di ricerca; il previo svolgimento di una valutazione d’impatto ai sensi dell’art. 35 del GDPR (“DPIA“); e una consultazione preventiva del Garante Privacy ai sensi dell’art. 36 del GDPR (si veda l’art. 110, comma 1, nella versione successiva alla riforma apportata al Codice della Privacy dal D.Lgs. 101/2018, ma precedente quella risultante dalla riforma del 2024). Nella versione originaria, quindi prima ancora della riforma attuata dal D.Lgs. 101/2018, l’art. 110, comma 1, del Codice della Privacy subordinava la non necessarietà del consenso, con riguardo alla medesima ipotesi in cui non era possibile, per specifiche circostanze, richiedere il consenso dell’interessato, a sole due condizioni: il parere favorevole del Comitato Etico sul progetto di ricerca e l’autorizzazione (specifica o generale) del Garante a tale trattamento.
[68] Si veda il Provvedimento n. 298 del 9 maggio 2024, Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica ai sensi degli artt. 2-quater e 106 del Codice, pubblicato sulla Gazzetta Ufficiale Serie Generale n. 130 del 5 giugno 2024.
[69] Il Provvedimento del Garante precisa che rientrano tra i motivi etici “le ricerche per le quali l’informativa sul trattamento dei dati da rendere agli interessati comporterebbe la rivelazione di notizie concernenti la conduzione dello studio la cui conoscenza potrebbe arrecare un danno materiale o psicologico agli interessati stessi”.
[70] I commi 2 e 3 dell’art. 110 bis del Codice della Privacy, nella versione attuale, dispongono, rispettivamente: “il Garante [Privacy] comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del trattamento ulteriore dei dati personali da parte di terzi, anche sotto il profilo della loro sicurezza” e “il trattamento ulteriore di dati personali da parte di terzi per le finalità di cui al presente articolo può essere autorizzato dal Garante anche mediante provvedimenti generali, adottati d’ufficio e anche in relazione a determinate categorie di titolari e di trattamenti, con i quali sono stabilite le condizioni dell’ulteriore trattamento e prescritte le misure necessarie per assicurare adeguate garanzie a tutela degli interessati. I provvedimenti adottati a norma del presente comma sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana”.
[71] Si veda l’art. 110 bis, comma 4, del Codice della Privacy. È stato osservato che “in un ordinamento normativo che ha sempre visto preclusa la possibilità dell’uso secondario dei dati per la ricerca (trattamento considerato non compatibile quando la base giuridica è il consenso)”, l’art. 110 bis prevede una deroga solo a favore degli IRCCS (si veda S. Stefanelli, Trattamento dei dati nella ricerca: l’Italia sbaglia approccio, già citato).
[72] Si veda, in tal senso, P. Dewitte, AI Meets the GDPR: Navigating the Impact of Data Protection on AI Systems, in N.A. Smuha, The Cambridge Handbook of the Law, Ethics and Policy of Artificial Intelligence, Cambridge, 2025, p. 133-157.
[73] Per un’ampia disamina dell’AI Act si veda NA Smuha – K. Yeung, The European Union’s AI Act: Beyond Motherhood and Apple Pie?, in The Cambridge Handbook of the Law, Ethics and Policy of Artificial Intelligence. Cambridge Law Handbooks, citato, p. 228-258.
[74] L’art. 59(1) dell’AI Act prevede che: “nello spazio di sperimentazione normativa per l’IA, i dati personali legalmente raccolti per altre finalità possono essere trattati unicamente ai fini dello sviluppo, dell’addestramento e delle prove di determinati sistemi di IA nello spazio di sperimentazione quando sono soddisfatte tutte le condizioni [ivi stabilite]”. Quando i dati dei pazienti vengono utilizzati per addestrare un sistema di AI, i dati dei pazienti possono provenire da diverse fonti, tra cui le cartelle cliniche raccolte da istituzioni come il Servizio Sanitario Nazionale, i registri volontari in cui i pazienti acconsentono alla condivisione dei propri dati a fini di ricerca, oppure i dati ottenuti da precedenti studi clinici. Tuttavia, questi set di dati sono stati originariamente raccolti per scopi specifici, rendendo necessaria una valutazione per determinare se possano essere riutilizzati per l’addestramento di modelli AI.
[75] D. Baldini, Legislative Intersection Perspectives on Regulatory Sandboxes: Navigating the Interplay Between the AI Act and the GDPR, in White Paper on Regulatory Sandboxes for AI and Cybersecurity, p.70-84.
[76] Difatti l’art. 59(3) specifica che “il paragrafo 1 lascia impregiudicate le disposizioni del diritto dell’Unione o nazionale che escludono il trattamento dei dati personali per fini diversi da quelli espressamente menzionati in tali disposizioni, nonché il diritto dell’Unione o nazionale che stabilisce la base per il trattamento dei dati personali necessario ai fini dello sviluppo, delle prove e dell’addestramento di sistemi di IA innovativi o qualsiasi altra base giuridica, conformemente al diritto dell’Unione in materia di protezione dei dati personali”.
[77] Si veda l’Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models del 17 dicembre 2024. Per un’articolata analisi si veda V.L. Raposo, The AI Gospel according to the EDPB–An overview of opinion 28/2024 on data protection aspects in AI models, in Computer Law & Security Review, Vol. 61, 2026.
[78] Si veda, in tal senso, M. van Bekkum, Using sensitive data to de-bias AI systems: Article 10(5) of the EU AI act, in Computer Law & Security Review, Vol. 56, 2025.
[79] Si veda M.W. Tréguer, Artificial Intelligence in Clinical Studies: Opportunities and Challenges, in Life Science Recht, 2/2025, p. 79 e 80.
[80] L’AI Act si propone di favorire la ricerca tecnologica esonerandola dal rispetto degli stringenti requisiti ivi stabiliti. Esso prevede due deroghe in materia di ricerca: l’“esenzione per la fase di sviluppo”, ossia l’AI Act non si applica ad alcuna attività di ricerca, sperimentazione o sviluppo relativa a sistemi o modelli di AI prima che questi siano immessi sul mercato o messi in servizio; e l’“esenzione per l’uso scientifico”, ovvero l’AI Act non si applica a sistemi o modelli di AI, compresi i loro risultati, specificamente sviluppati e messi in servizio al solo scopo della ricerca scientifica. In tal senso, si veda J. Meszaros e altri, Challenges in applying the EU AI act research exemptions to contemporary AI research, in npj Digit. Med., 2026.
[81] Si veda: EFPIA, Statement on the use of AI in the medicinal product lifecycle in the context of the AI Act del 22 aprile 2024, su www.efpia.eu. Tuttavia, solo i sistemi di AI creati esclusivamente per la ricerca e lo sviluppo sono esclusi dall’ambito di applicazione dell’AI Act. Qualsiasi sistema di AI con una duplice finalità, come ad esempio uno sviluppato sia per la ricerca che per un potenziale utilizzo commerciale, rimane soggetto ai requisiti dell’AI Act.
[82] Si veda l’art. 2(17) del DGA.
[83] In dottrina si veda, tra i tanti, M. Shabani, The Data Governance Act and the EU’s move towards facilitating data sharing, in Mol Syst Biol., 2021, vol. 17(3).
[84] Ai sensi dell’art. 2(1) del DGA per “dati” si intende “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva”.
[85] Direttiva (UE) 2019/1024 del 20 giugno 2019 relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico, in vigore dal 16 luglio 2019 (cosiddetta Open Data Directive). Il DGA detta una disciplina complementare a quella della Direttiva Open Data, che concerne solo il riutilizzo dei dati pubblici e non i dati protetti.
[86] Si veda l’art. 3(1) del DGA.
[87] Art. 2(2) del DGA.
[88] Si vedano, in particolare, gli articoli 5, 6 e 9 del DGA. Il DGA promuove la condivisione volontaria dei dati e mira a contrastare il predominio delle grandi aziende tecnologiche facilitando lo scambio di dati attraverso servizi di intermediazione (si vedano gli articoli da 10 a 12 del DGA). Questi servizi sono forniti da terze parti neutrali, che mettono in contatto PMI e start-up con gli utilizzatori dei dati, addebitando un costo per la facilitazione della condivisione dei dati senza utilizzarli per un profitto finanziario diretto. Per garantire la neutralità, gli intermediari devono rispettare requisiti rigorosi, tra cui la separazione strutturale, condizioni non discriminatorie e l’utilizzo dei dati acquisiti esclusivamente per migliorare il servizio. Possono operare come intermediari sia fornitori di servizi indipendenti che fornitori di servizi aggiuntivi, nel rispetto del rigoroso principio di separazione. Essi devono notificare l’autorità competente nello Stato membro per la verifica della loro conformità ai requisiti del DGA; a seguito di conferma da parte di tale autorità, gli intermediari possono operare come intermediari di dati riconosciuti (articoli 13 e 14 del DGA).
[89] Si vedano l’art. 2(16) e le disposizioni nel Capo IV del DGA.
[90] Che il consenso sia la base giuridica per il trattamento di dati personali da parte delle organizzazioni per l’altruismo si evince da varie disposizioni del DGA. In particolare, un’organizzazione per l’altruismo dei dati riconosciuta deve fornire strumenti per ottenere il consenso degli interessati o le autorizzazioni al trattamento dei dati messi a disposizione dai titolari dei dati, come pure per l’agevole revoca di tale consenso o autorizzazione (art. 21(3) del DGA). La Commissione europea deve adottare un “codice” che stabilisca, inter alia, “adeguati requisiti in materia di informazione per garantire che gli interessati e i titolari dei dati ricevano, prima di dare il consenso o l’autorizzazione all’altruismo dei dati, informazioni sufficientemente dettagliate, chiare e trasparenti sull’utilizzo dei dati, sugli strumenti per concedere e revocare la concessione del consenso o dell’autorizzazione, e sulle misure adottate per evitare l’utilizzo improprio dei dati condivisi con l’organizzazione per l’altruismo dei dati” (art. 22(1)(a) del DGA).
[91] Il considerando 50 del DGA prevede che “(…) l’altruismo dei dati sarebbe basato in genere sul consenso degli interessati ai sensi dell’articolo 6, paragrafo 1, lettera a), e dell’articolo 9, paragrafo 2, lettera a), del regolamento (UE) 2016/679, che dovrebbe rispettare i requisiti per il consenso lecito conformemente agli articoli 7 e 8 di tale regolamento (…)”. In dottrina si è sottolineato che il fatto che questo considerando dica “in genere” (nella versione inglese “typically”) solleva dubbi interpretativi: si potrebbe pensare, da un lato, che l’altruismo dei dati si focalizzi sul riutilizzo dei dati personali (piuttosto che sui dati non personali) oppure, dall’altro, che il consenso, pur essendo la base giuridica preferita per il trattamento dei dati personali a fini altruistici, non sia l’unica base giuridica possibile, vale a dire che, l’altruismo dei dati si basa “di solito” sul consenso, ma si potrebbe anche basare su altre basi giuridiche, specialmente ove si faccia riferimento a trattamenti ulteriori rispetto alla raccolta dei dati personali forniti altruisticamente dagli interessati, cioè consenzientemente. Si veda, in tal senso, T. Lalova-Spinks – J. Meszaros – I. Huys, The application of data altruism in clinical research through empirical and legal analysis lenses, in Front. Med., 2023. Analogamente, è stato sostenuto che, a causa dell’ambigua interazione tra diversi atti legislativi europei (GDPR, DGA e Regolamento EHDS) le disposizioni del DGA sull’altruismo dei dati sollevano domande cui non è agevole rispondere, come ad esempio se il consenso sia l’unica base giuridica per il trattamento altruistico dei dati; se l’altruismo dei dati consista nel dare il consenso al trattamento primario e a quello secondario/ulteriore dei dati personali per scopi di ricerca scientifica; se l’altruismo dei dati sia definito dal DGA in modo sufficiente da garantire un consenso conforme al GDPR, anche per quanto concere il broad consent per la ricerca scientifica. A tale riguardo si veda G. Chassang – L. Feriol, Data Altruism, Personal Health Data and the Consent Challenge in Scientific Research: A Difficult Interplay between EU Acts, in European Data Protection Law Review, 2024, vol. 10(1).
[92] Si veda il considerando 50, già citato, dove si legge: “(…) a norma del regolamento (UE) 2016/679, le finalità di ricerca scientifica potrebbero essere sostenute dal consenso in determinati settori di ricerca scientifica, laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica, o soltanto a determinati settori di ricerca o parti di progetti di ricerca”.
[93] Si veda l’art. 25(3) del DGA.
[94] In dottrina è stato sostenuto che non è chiaro se la semplice raccolta di dati personali da parte di organizzazioni di altruismo dei dati debba essere considerato utilizzo primario, mentre qualsiasi successiva operazione di trattamento effettuata sui dati, inclusa la messa a disposizione dei dati personali agli utilizzatori dei dati, costituisce un utilizzo secondario o un trattamento ulteriore, soggetto, come tale, ai requisiti del GDPR. In alternativa, considerato che il consenso all’altruismo dei dati, come previsto dal considerando 50 e dall’art. 25 del DGA, sembra ricomprendere il trattamento dei dati personali anche da parte degli utilizzatori dei dati (dopo che siano stati con loro condivisi), le operazioni di trattamento effettuate dagli utilizzatori dei dati costituiscono (anch’esse) un utilizzo primario. Sul punto si veda T. Lalova-Spinks – J. Meszaros – I. Huys, The application of data altruism in clinical research through empirical and legal analysis lenses, già citato.
[95] Si veda l’art. 21(1)(a) del DGA.
[96] Si veda l’art. 5(6) del DGA.
[97] Ai sensi del Regolamento EHDS, l’“uso primario” è “il trattamento dei dati sanitari elettronici per la prestazione di assistenza sanitaria al fine di valutare, mantenere o ripristinare lo stato di salute della persona fisica cui si riferiscono tali dati, comprese la prescrizione, la dispensazione e la fornitura di medicinali e dispositivi medici, nonché per i pertinenti servizi sociali, amministrativi o di rimborso”, mentre l’“uso secondario” è “il trattamento dei dati sanitari elettronici per le finalità indicate al capo IV del presente regolamento, che sono diverse dalle finalità iniziali per le quali tali dati sono stati raccolti o prodotti” (art. 2(1)(d) e (e) del Regolamento EHDS). Per una sintesi dei contenuti del Regolamento EHDS si veda T. Schurig e altri, Updated Remarks on the European Health Data Space (EHDS) Regulation, Discussion Paper 2025/8, su Free University Berlin, School of Business & Economics.
[98] Si veda l’art. 51 del Regolamento EHDS. Il “titolare dei dati sanitari” è “una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo del settore dell’assistenza sanitaria o delle cure assistenziali, compresi, ove necessario, i servizi di rimborso, nonché una persona fisica o giuridica che sviluppi prodotti o servizi destinati al settore sanitario, dell’assistenza sanitaria o delle cure assistenziali, sviluppi o fabbrichi applicazioni per il benessere, svolga attività di ricerca in relazione al settore dell’assistenza sanitaria o delle cure assistenziali o funga da registro della mortalità, nonché un’istituzione, un organo o un organismo dell’Unione che abbia: i) il diritto o l’obbligo, conformemente al diritto dell’Unione o nazionale applicabile e in qualità di titolare o contitolare del trattamento, di trattare dati sanitari elettronici personali per la prestazione di assistenza sanitaria o cure assistenziali o a fini di sanità pubblica, rimborso, ricerca, innovazione, definizione delle politiche, statistiche ufficiali o sicurezza dei pazienti o a fini di regolamentazione; o ii) la capacità di rendere disponibili dati sanitari elettronici non personali, mediante il controllo della progettazione tecnica di un prodotto e dei servizi correlati, anche in termini di registrazione, fornitura, limitazione dell’accesso o scambio” (art. 2(1)(t) del Regolamento EHDS). La Commissione europea ha chiarito che gli obblighi previsti dal Regolamento EHDS non si applicano ai titolari di dati sanitari stabiliti in Paesi extra-UE, a meno che non abbiano una presenza stabile nell’UE. Ad esempio, il promotore di una sperimentazione clinica condotta nell’UE che si trova al di fuori dell’UE non sarebbe direttamente soggetto agli obblighi del Regolamento EHDS a meno che non abbia una presenza stabile nell’UE. In tal caso, “la responsabilità del rispetto degli obblighi previsti dall’EHDS ricadrebbe sulla sede nell’UE che agisce in qualità di titolare o contitolare del trattamento dei dati. Nel caso di società multinazionali, l’entità che controlla le modalità e le finalità del trattamento dei dati sarà considerata titolare del trattamento ai sensi del GDPR; di conseguenza, sarà vincolata dalle norme EHDS sui titolari dei dati” (si vedano le Frequently Asked Questions on the European Health Data Space del 26 marzo 2026).
[99] È stato sostenuto che l’EHDS sembra includere sia l’uso dei dati per un fine diverso da quello per cui sono stati raccolti (il “repurposing” dei dati) che il riutilizzo dei dati per il fine per cui sono stati raccolti. La ricerca scientifica e lo sviluppo tecnologico sono un fine secondario se i dati sanitari sono stati raccolti per un fine diverso (“data repurposing” o “subsequent use”). In tal senso, si consulti V.L. Raposo, Can personal data be recycled? The reuse and repurposing of data under the EHDS, in International Journal of Law and Information Technology, vol. 33, 2025, p. 2.
[100] L’“utente dei dati sanitari” è definito come “una persona fisica o giuridica, comprese le istituzioni, gli organi o gli organismi dell’Unione, cui è stato concesso l’accesso legittimo ai dati sanitari elettronici ai fini dell’uso secondario in virtù di un’autorizzazione ai dati, di un’approvazione di una richiesta di dati sanitari o di un’approvazione di accesso da parte di un partecipante autorizzato (…)” (art. 2(1)(u) del Regolamento EHDS). Come si vede, il Regolamento EHDS non fa distinzione fra soggetti pubblici e privati, né esclude dall’accesso ai dati quanti perseguano fini commerciali e di profitto.
[101] Si veda l’art. 62 del Regolamento EHDS.
[102] Si veda l’art. 51 del Regolamento EHDS, che elenca le categorie minime di dati sanitari elettronici per l’uso secondario. I dati sanitari personali sono quelli provenienti dalle cartelle cliniche elettroniche dei pazienti o dai dispositivi indossabili dai singoli utenti e sono inclusi nei dataset solo a condizione che gli individui da cui provengono i dati non abbiano espresso un rifiuto a tale utilizzo secondario. I dati sanitari elettronici proprietari, ad esempio quelli provenienti da studi clinici o dispositivi medici, saranno inclusi nei dataset nella misura in cui i diritti di proprietà intellettuale o i diritti di esclusività normativa dei produttori e/o dei promotori non lo impediscano.
[103] Si veda l’art. 53 del Regolamento EHDS, che indica i tipi di finalità per le quali è possibile trattare i dati sanitari elettronici per l’uso secondario. Per “ricerca scientifica” si intende la ricerca “nel settore sanitario o dell’assistenza che contribuisce alla sanità pubblica o alla valutazione delle tecnologie sanitarie o che garantisce elevati livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici, con l’obiettivo di favorire gli utenti finali, quali i pazienti, i professionisti sanitari e gli amministratori sanitari, tra cui: i) attività di sviluppo e innovazione per prodotti o servizi; ii) attività di addestramento, prova e valutazione degli algoritmi, anche nell’ambito di dispositivi medici, dispositivi medico-diagnostici in vitro, sistemi di IA e applicazioni di sanità digitale” (art. 53(1)(e)).
[104] Si vedano gli articoli da 55 a 59 del Regolamento EHDS, riguardanti lo status, i compiti, gli obblighi e il funzionamento degli organismi responsabili dell’accesso ai dati sanitari.
[105] Si vedano le FAQs on the European Health Data Space, già citate.
[106] Si veda l’art. 54 del Regolanento EHDS che vieta l’accesso ai dati sanitari per lo svolgimento di determinati usi secondari, tra cui l’adozione di decisioni pregiudizievoli o discriminatorie rispetto ad una persona fisica o ad un gruppo di persone fisiche, ad esempio, per quanto riguarda offerte di lavoro o condizioni di fornitura di beni o servizi, o lo svolgimento di attività pubblicitarie o di marketing o di attività in contrasto con le disposizioni etiche a norma del diritto nazionale.
[107] Si veda l’art. 68(1) del Regolamento EHDS, che prevede, inter alia, che l’Health Data Access Body valuti se il richiedente di dati sanitari sia qualificato per quanto riguarda la destinazione d’uso prevista dei dati e possiede competenze adeguate, comprese le qualifiche professionali nei settori della ricerca, conformi alla prassi in materia etica e alle disposizioni legislative e regolamentari applicabili (si veda la lett. d)).
[108] Si veda l’art. 68(10) del Regolamento EHDS. L’Health Data Access Body ha tre mesi di tempo per concedere o rifiutare un’autorizzazione all’utilizzo dei dati in risposta ad una richiesta (art. 68(4)). Tale termine può essere esteso fino a tre mesi in ragione della complessità della richiesta o del volume delle domande di accesso (art. 68(4) o ridotto a due mesi ove sia applicabile una procedura accelerata (art. 68(6)). Per quanto concerne la durata dell’autorizzazione, essa dev’essere pari al tempo necessario al conseguimento delle specifiche finalità di uso secondario, fino ad un massimo di dieci anni. Essa può essere prorogata una volta, per un periodo non superiore a dieci anni, su richiesta motivata del data user (art. 68(12)).
[109] Si veda l’art. 73(1) del Regolamento EHDS.
[110] Si veda l’art. 71(1) e (4) del Regolamento EHDS. Per preservare l’autonomia individuale, l’EHDS introduce un meccanismo di opt-out distinto che: consente alle persone fisiche di opporsi all’utilizzo secondario dei propri dati sanitari elettronici senza doverne fornire le motivazioni; non richiede un bilanciamento degli interessi da parte del titolare del trattamento; include eccezioni ben definite stabilite dagli Stati membri, come ad esempio la ricerca scientifica per importanti motivi di interesse pubblico, a condizione che siano adottate misure adeguate a tutela dei diritti fondamentali delle persone fisiche. Questo meccanismo dell’EHDS rappresenta un passaggio dal consenso ex ante alla scelta ex post. Non deve essere confuso con l’esercizio del diritto di opposizione ai sensi dell’art. 21 del GDPR. In altre parole, i dati sanitari di un paziente dell’UE raccolti dall’ospedale in cui è stato curato possono essere riutilizzati per la ricerca, a meno che il paziente non decida di opporsi e comunichi tale scelta secondo le modalità previste dalla legge nazionale dello Stato membro in cui si trova.
[111] Si veda l’art. 51(4) del Regolamento EHDS.
[112] Considerando 52 del Regolamento EHDS. È stato sostenuto che il considerando del Regolamento EHDS debba intendersi nel senso che sia lo stesso EHDS, in linea con l’art. 9 del GDPR, a fornire la base giuridica per la raccolta e la comunicazione dei dati da parte dell’Health Data Access Body e dei titolari dei dati, nonché per ogni trattamento necessario a tal fine. Tuttavia, il Regolamento EHDS non fornisce una base giuridica per l’ulteriore trattamento dei dati sanitari elettronici personali da parte del data user una volta che quest’ultimo abbia ottenuto l’autorizzazione all’accesso ai dati. Per ottenere un’autorizzazione all’accesso ai dati, il titolare del trattamento sarà quindi tenuto a spiegare la base giuridica che intende utilizzare per il trattamento dei dati in questione. Ciò può includere riferimenti al diritto nazionale, ad esempio, al fine di giustificare il trattamento dei dati per scopi di ricerca scientifica. In tal senso, si veda P. Quinn e altri, Will the GDPR Restrain Health Data Access Bodies Under the European Health Data Space (EHDS)?, in Computer Law & Security Review, Vol. 54, 2024. Secondo R. Becker e altri, Legal bases for effective secondary use of health and genetic data in the EU, in International Data Privacy Law, 2024, Vol. 14(3), p. 237 e 238, i data holders agiscono in virtù di un obbligo legale ex art. 6(1)(c) del GDPR, combinato con un’apposita esenzione ai sensi dell’art. 9(2) del GDPR quando trattano dati sanitari personali in formato elettronico per la caratterizzazione dei dati e quando comunicano i relativi insiemi di dati all’Health Data Access Body a seguito del rilascio di un’autorizzazione al trattamento dei dati; mentre gli Health Data Access Bodies agiscono nell’ambito di un compito di interesse pubblico (art. 6(1)(e) del GDPR, combinato con un’apposita esenzione ai sensi dell’art. 9(2) del GDPR) quando preparano e divulgano dati nel contesto di una domanda di accesso ai dati; infine, i data users sono tenuti a dimostrare la propria base giuridica ai sensi dell’art. 6(1)(e) del GDPR o dell’art. 6(1)(f) del GDPR a seconda della propria situazione, ma l’esenzione di cui all’art. 9(2) del GDPR per il trattamento dei dati sulla salute e genetici è fornita attraverso il quadro giuridico dell’EHDS.
[113] In dottrina – si veda V.L. Raposo, Can personal data be recycled? The reuse and repurposing of data under the EHDS, citato, p. 11 – si è sostenuto che l’art. 6(1)(c) del GDPR (adempimento di un obbligo legale al quale è soggetto il titolare del trattamento) potrebbe essere invocato per fornire una base giuridica per l’uso secondario dei dati nell’ambito dell’EHDS, partendo dal presupposto che i titolari dei dati abbiano l’obbligo, imposto dal Regolamento EHDS, di divulgare i dati. Un’altra possibile base giuridica per l’uso secondario dei dati è l’art. 6(1)(e) (interesse pubblico, nel contesto dell’esercizio di funzioni intrinsecamente statali o pubbliche), poiché le finalità elencate nell’art. 53 del Regolamento EHDS – e invocate dai data users – sono connesse all’interesse pubblico. Nel caso di soggetti privati, potrebbe essere invocato anche l’art. 6(1)(f) del GDPR (interesse legittimo), considerando che la corrispondenza tra l’interesse invocato dal data user e uno degli interessi elencati nell’art. 53 del Regolamento EHDS dimostra la legittimità di tale interesse.
[114] In dottrina, si vedano R. Becker e altri, Legal bases for effective secondary use of health and genetic data in the EU, citato, p. 238, e R.M. Borg e M.M. Caruana, Alternative Legal Bases for Processing Health Data for Scientific Research Purposes, in Masaryk University Journal of Law and Technology, Vol.18(1), 2024, p. 19.
[115] In dottrina – si veda V.L. Raposo, Can personal data be recycled? The reuse and repurposing of data under the EHDS, citato, p. 11 – si osserva che, quando il titolare del trattamento invoca uno degli obiettivi di cui all’art. 53 del Regolamento EHDS, ciò significa che egli agisce sulla base di un interesse pubblico sostanziale ex art. 9(2)(g) del GDPR o sulla base di un interesse pubblico in materia di salute pubblica ex art. 9(2)(i) del GDPR. Altre possibili basi giuridiche, come il trattamento individuale (art. 9(2)(h) del GDPR) o l’esenzione per la ricerca scientifica (art. 9(2)(j) del GDPR), sono menzionate nell’art. 53 del Regolamento EHDS. Ma queste basi giuridiche non sono state interpretate e applicate in modo uniforme negli Stati membri, soprattutto per quanto riguarda l’esenzione per la ricerca scientifica applicabile ai dati sensibili, che viene definita da ciascuno Stato membro in modo diverso, imponendo requisiti differenti. Questa mancanza di uniformità può causare difficoltà nell’interpretazione e nell’applicazione delle norme che forniscono le basi giuridiche per il trattamento dei dati.
[116] Si vedano le FAQs on the European Health Data Space, già citate.
[117] Si vedano le FAQs on the European Health Data Space.
[118] Si vedano le citate FAQs on the European Health Data Space.
[119] Si vedano, tuttavia, le considerazioni critiche svolte nel Parere congiunto dell’EDPB e dell’EDPS n. 3/2022 sulla proposta di regolamento sullo spazio europeo dei dati sanitari, adottato il 12 luglio 2022, con riguardo alla proposta legislativa della Commissione UE risalente al 3 maggio 2022. In dottrina è stato rilevato che, benché la maggior parte di questi problemi siano stati affrontati e risolti nel corso della procedura legislativa, rimangono ancora alcune questioni irrisolte (cosí D. Foà, Secondary Use of Health Data and its Regulation Impact Assessment of the Proposed European Health Data Space on Scientific Research, in Ricerche Giuridiche sull’Amministrazione e l’Economia, 2024, p. 820 e 821).
[120] Proposta di Regolamento che modifica i regolamenti (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 e (UE) 2023/2854 e le direttive 2002/58/CE, (UE) 2022/2555 e (UE) 2022/2557 per quanto riguarda la semplificazione del quadro legislativo nel settore digitale e che abroga i regolamenti (UE) 2018/1807, (UE) 2019/1150 e (UE) 2022/868 e la direttiva (UE) 2019/1024 (omnibus digitale), COM(2025) 837.
[121] Sarebbe, cioè, introdotto nel GDPR un articolo sul trattamento nel contesto dello sviluppo e del funzionamento dell’AI (art. 88 quater), secondo cui “qualora il trattamento dei dati personali sia necessario al fine di tutelare gli interessi del titolare del trattamento nel contesto dello sviluppo e del funzionamento di un sistema di IA quale definito all’articolo 3, punto 1), [dell’AI Act] o di un modello di IA, tale trattamento può essere effettuato per il perseguimento di interessi legittimi ai sensi dell’articolo 6, paragrafo 1, lettera f), del [GDPR], se del caso, tranne qualora altre normative dell’Unione o nazionali richiedano esplicitamente il consenso e qualora su tali interessi prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che prevedono la protezione dei dati personali, in particolare se l’interessato è un minore. Qualsiasi trattamento di questo tipo è soggetto a misure organizzative e tecniche nonché a garanzie adeguate per la tutela dei diritti e delle libertà dell’interessato, ad esempio per garantire il rispetto del principio della minimizzazione dei dati durante la fase di selezione delle fonti e la fase di addestramento e di prova di un sistema di IA o di un modello di IA e per evitare che non siano divulgati i dati rimasti nel sistema di IA o nel modello di IA al fine di garantire una maggiore trasparenza agli interessati e assicurare a questi ultimi il diritto incondizionato di opporsi al trattamento dei loro dati personali”.
[122] Si veda la Proposta di Regolamento che modifica i regolamenti (UE) 2024/1689 e (UE) 2018/1139 per quanto riguarda la semplificazione dell’attuazione di regole armonizzate sull’intelligenza artificiale (Omnibus digitale sull’IA), COM/2025/836.
[123] Si veda il Parere dell’EDPB e dell’EDPS On the Proposal for a Regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), adottato il 20 gennaio 2026.
[124] Si veda la Proposta di Regolamento che istituisce un quadro di misure per il rafforzamento dei settori biotecnologici e biofabbricanti dell’Unione, in particolare nel settore sanitario, e che modifica i regolamenti (CE) n. 178/2002, (CE) n. 1394/2007, (UE) n. 536/2014, (UE) 2019/6, (UE) 2024/795 e (UE) 2024/1938 (Atto europeo sulle biotecnologie), COM/2025/1022.
[125] Si vedano i consideranda 150 e 151 dello European Biotech Act I, dove si legge, inter alia, che il CTR dovrebbe essere modificato per prevedere il trattamento dei dati personali da parte dei promotori e degli sperimentatori laddove ciò sia necessario per adempiere agli obblighi legali imposti loro per garantire la sicurezza e l’efficacia dei medicinali, quando richiedono l’autorizzazione e conducono sperimentazioni cliniche. Ciò include gli obblighi di svolgere attività di ricerca conformemente a un protocollo autorizzato, di effettuare segnalazioni di sicurezza e di adempiere ai requisiti di conservazione dei dati ai sensi del CTR. Le informazioni pertinenti da raccogliere secondo il protocollo autorizzato conterranno dati personali dei soggetti, compresi dati genetici o dati relativi alla salute. Il trattamento di tali categorie particolari di dati personali nell’ambito delle sperimentazioni cliniche avviene per motivi di interesse pubblico nel settore della sanità pubblica, in particolare per garantire elevati standards di medicinali conformemente all’art. 9(2)(i) del GDPR.
[126] Un nuovo art. 93 del CTR, dedicato alla tutela dei dati personali, disporrebbe che, nell’esercizio delle loro funzioni nell’ambito delle sperimentazioni cliniche, i promotori sono tenuti a trattare i dati personali, compresi i dati genetici o i dati relativi alla salute, per le seguenti finalità: (a) per la presentazione di domande conformemente agli articoli 5, 11, 14 e 16 del CTR; (b) per lo svolgimento di attività di ricerca nell’ambito di una sperimentazione clinica conformemente al protocollo autorizzato dalle autorità nazionali competenti ai sensi del punto D, parte I dell’allegato I del CTR; (c) per lo svolgimento di operazioni di sicurezza e di rendicontazione conformemente agli articoli da 41 a 43 e da 52 a 54 del CTR; (d) per la registrazione, l’elaborazione, la gestione e la conservazione delle informazioni conformemente all’art. 56 del CTR; (e) per l’archiviazione conformemente all’art. 58 del CTR; (f) per la trasmissione al portale dell’UE del riassunto dei risultati della sperimentazione clinica, del riassunto divulgativo, della relazione di studio clinico e, se del caso, dei dati grezzi, conformemente all’art. 37(4) del CTR. A loro volta, gli sperimentatori sono tenuti a trattare i dati personali, compresi i dati genetici o i dati relativi alla salute, per le seguenti finalità: (a) svolgere attività di ricerca nell’ambito di una sperimentazione clinica conformemente al protocollo autorizzato dalle autorità nazionali competenti ai sensi del punto D, parte I, allegato I del CTR; (b) effettuare segnalazioni di sicurezza conformemente agli articoli 41 e 54 del CTR; (c) registrare, elaborare, gestire e conservare le informazioni conformemente all’art. 56; (d) effettuare l’archiviazione conformemente all’art. 58 del CTR.
[127] Si veda il Parere congiunto dell’EDPB e dell’EDPS n. 3/2026 “On the Proposal for a Regulation on establishing a framework of measures for strengthening Union’s biotechnology and biomanufacturing sectors particularly in the area of health (European Biotech Act)” del 10 marzo 2026.
[128] Il considerando 151 e l’art. 96(8) dello European Biotech Act I prevedono che il CTR sia modificato per stabilire garanzie specifiche per il trattamento dei dati personali, compresi i dati genetici o i dati relativi alla salute, conformemente all’art. 9(2)(i) e (j) del GDPR. Ad esempio, dovrebbe prevedere il consenso informato per la partecipazione alla sperimentazione clinica, nonché il mantenimento della riservatezza dei dati e delle informazioni personali dei partecipanti. Il protocollo dovrebbe specificare ulteriori garanzie adeguate, quali misure tecniche e organizzative specifiche da adottare, tra cui la pseudonimizzazione, i controlli di integrità e riservatezza, la crittografia e le restrizioni di accesso. Inoltre, qualsiasi sperimentazione clinica dovrebbe essere soggetta a valutazione etica.
[129] Si vedano il considerando 152 e l’art. 93(7) dello European Biotech Act I.
[130] Si vedano il considerando 153 e l’art. .93(6).
[131] Sull’attuale quadro regolatorio dell’uso dell’AI nelle sperimentazioni cliniche si veda J. Mulryne – A. Roussanov, Artificial intelligence in clinical trials in the UK and EU, in Practical Law, 2023.
[132] EDPB, Guidelines 1/2026 on processing of personal data for scientific research purposes, adottate il 15 aprile 2026. Si veda l’analisi di S. Stefanelli, Ricerca scientifica e protezione dati: guida pratica alle novità EDPB, su AgendaDigitale, 21 aprile 2026.
[133] Si veda: EDPB Work Programme 2021/2022 dove, tra le linee guida da adottare, sono menzionate delle linee guida sul trattamento dei dati personali per finalità di ricerca medica e scientifica.
[134] L’EDPB chiarisce che gli enti privati commerciali e no profit possono svolgere attività di “ricerca scientifica” ai sensi del GDPR (e non solo quando conducono sperimentazioni cliniche).
[135] Un esempio, fornito dall’EDPB, considera che l’utilizzo di dati raccolti in un progetto di ricerca scientifica per analizzare l’uso di un particolare dialetto nella lingua scritta potrebbe poi essere utilizzato per sviluppare un’app in un altro progetto di ricerca, nei limiti della presunzione.
[136] L’ostacolo alla divulgazione esplicita dei dati è elevato; i dati sui social media sono tutelati solo se il soggetto interessato li ha resi pubblicamente accessibili attraverso un’azione chiara. Ciò è più probabile che accada per gli utenti attivi (influencers, bloggers) che per i post di terze parti.
[137] L’EDPB conferma che una restrizione al diritto di opposizione degli interessati opera solo quando il trattamento dei dati è strettamente necessario per la ricerca di interesse pubblico (ancorché quest’ultima possa essere svolta da un ente privato). EDPB) L’EDPB estende tale disposizione all’art. 6(1)(f), se l’interesse legittimo coincide con un interesse pubblico.
[138] Ad esempio, se dati personali già raccolti sono pseudonimizzati per un nuovo fine di ricerca scientifica non è necessario individuare una distinta base giuridica per la pseudonimizzazione, mentre se lo sono per svolgere una market research occorre una base giuridica ad hoc per la pseudonimizzazione.
[139] L’EDPB sottolinea che occorre prestare particolare attenzione ai dati genetici e biometrici: poiché i profili genetici sono anonimi solo in casi eccezionali, anche i familiari ne sono coinvolti e i rischi sono permanenti.
[140] Si veda la sentenza della Corte di Giustizia dell’UE del 15 luglio 1964, causa 6-64, Costa contro E.N.E.L., ECLI:EU:C:1964:66.
[141] Si veda S. Stefanelli, Le nuove linee guida EDPB sulla ricerca scientifica: si apre una nuova era, video pubblicato il 18 maggio 2026 sul sito dello Studio Legale Stefanelli & Stefanelli. L’art. 110 del Codice del Privacy non prescrive il ricorso al consenso per trattare dati personali a fini di ricerca scientifica, ma dice cosa occorre fare quando il consenso è la base giuridica idonea per tale trattamento, ma esso non può essere ottenuto.
[142] Si veda S. Stefanelli, Le nuove linee guida EDPB sulla ricerca scientifica: si apre una nuova era, citato sopra. Deve, poi, ritenersi compatibile con il GDPR la creazione da parte di soggetti privati di dataset per finalità di ricerca scientifica, anche ove includano dati sensibili, senza che sia necessaria una normativa nazionale che ne consente espressamente la creazione.
[143] Si veda la sentenza della Corte di Giustizia del 9 marzo 1978, causa 106-77, Simmenthal, ECLI:EU:C:1978:49, punto 24, che ha stabilito: “Il giudice nazionale, incaricato di applicare, nell’ambito della propria competenza, le disposizioni di diritto comunitario, ha l’obbligo di garantire la piena efficacia di tali norme, disapplicando all’occorrenza, di propria iniziativa, qualsiasi disposizione contrastante della legislazione nazionale, anche posteriore, senza doverne chiedere o attendere la previa rimozione in via legislativa o mediante qualsiasi altro procedimento costituzionale”.
Partecipa alla community