Il tema della privacy genetica sarà sempre più centrale perché quello che stiamo vivendo è il millennio delle scienze della vita, dopo che in passato la chimica e la fisica hanno trasformato il mondo. Ma gli interrogativi sono molti e il Gdpr non scioglie tutti i nodi.
Correggere la sequenza genomica
L’analisi scientifica fa ampio uso di campioni biologici e dati associati, la ricerca genomica negli ultimi due decenni sta caratterizzando significativamente la ricerca medica perché offre promettenti prospettive di cura per la salute umana, potendo rilevare nuove informazioni su tante malattie.
Il sequenziamento e le modificazioni del genoma umano sono pratiche ormai possibili. La rivoluzione CRISPR/cas9, che è valso il Premio Nobel per la Chimica nel 2020 alle ricercatrici, e la nuova era dell’editing genetico promette o minaccia, a seconda dei punti di vista, di “riscrivere l’umanità”, attraverso tecniche innovative ma di facile utilizzo che “sembrano non conoscere limiti”[1].
Genetica, è l’era di CRISPR-Cas9: come funziona e le sue applicazioni
Tale tecnica rende possibile riscrivere e correggere la sequenza genomica di ogni essere vivente per evitare l’insorgenza di malattie gravi, ma non solo. L’applicazione delle tecniche di intelligenza artificiale alla ricerca genetica apre prospettive neanche immaginabili.
Siamo e saremo sempre di più inondati da dati genetici. Oggi 30 milioni di persone nel mondo hanno depositato il loro DNA ed è un numero destinato fatalmente ad aumentare.
Si stanno diffondendo su larga scala una serie di test genetici diretti al consumatore per i quali – anche in considerazione del problema della transnazionalità del fenomeno – è complicato individuare forme di regolamentazione.
Proteggere la privacy
Si tratta, tuttavia, di un ambito in netta espansione all’interno del quale i confini sono spesso labili, come per esempio ancestry tests DNA che promettono di rivelare la predisposizione a determinate malattie, ma poi finiscono per condividere i dati e per utilizzarli anche per altre finalità.
Si registra anche un largo impiego di applicazioni che, sulla base dell’analisi del DNA, propongono di ricostruire l’albero genealogico e di rintracciare parenti sparsi nel mondo, incamerando dati genetici che vengono trasferiti fuori dall’Unione europea sottraendoli alla sfera territoriale di applicazione del Regolamento Ue 2016/679, il General data protection regulation (Gdpr).
Anche nell’ambito della tutela della sicurezza pubblica sono incamerati e trattati una grande mole di dati genetici. In questo contesto, il dibattito sulla privacy genetica merita di essere ravvivato e reso centrale.
Il riferimento definitorio obbligato da cui partire è rappresentato dall’articolo 4.13 del Gdpr che recita: i “dati genetici sono i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione”.
Quelli genetici hanno diversi profili di contatto con altre categorie di dati particolari, come principalmente con quelli biometrici e relativi alla salute e presentano caratteristiche distintive tali da renderli unici.
La specialità è conferita dalla capacità di fornire, sia nel presente che nel futuro, informazioni di tipo scientifico, medico e personale sempre attuali, la cui validità e utilizzabilità permane per tutta la vita dello stesso individuo, ed anche oltre, ma anche per ogni altra persona a lui biologicamente “vicina”.
Come noto, i dati in esame hanno potenzialità di trattamento molto importanti: sono in grado di rivelare non solo la discendenza e i legami di parentela, ma anche i caratteri che rendono distinguibile un individuo da un altro e ancora possono svelare informazioni relative ai consanguinei dello stesso.
La disciplina del consenso informato
In virtù di queste peculiarità, in questo ambito è possibile scindere il legame fra il trattamento dei dati e il soggetto titolare degli stessi, con importanti ricadute anche relativamente alla disciplina giuridica del consenso. In effetti, in questo ambito più che in ogni altro, la disciplina del consenso informato mostra di finire davvero sotto stress.
Questo avviene sia perché nella prassi si è dimostrato difficile individuare con esattezza la finalità che sorregge la richiesta di consenso soprattutto in considerazione degli utilizzi futuri, sia perché la lunga durata del trattamento si è rivelata di ostacolo a ristabilire un contatto con l’interessato.
Per queste ragioni, i modelli che hanno avuto maggior fortuna sono quelli variamente denominati blanket consent, open consent, broad consent, sectoral consent, multilayered o dynamic consent “che (diversamente dal consenso presunto) prevedono la fase della prestazione del consenso, ma a differenza del consenso specifico non identificano in maniera puntuale gli impieghi che di dati e campioni si andranno a fare”[2].
In occasione del Convegno organizzato dal Garante della Protezione dei Dati Personali (Gdpd) a Pietrarsa lo scorso 23 settembre, il Tavolo tematico sui dati genetici, che ho avuto l’onore di coordinare, ha condiviso la proposta di “superare l’idea concettuale del consenso come sgravio o come adempimento per favorire piuttosto la diffusione di strumenti di governance che sappiano sia rendere effettiva la tutela dei dati nei diversi contesti in cui il dato genetico si rende utile sia salvaguardare la caratteristica intrinseca del dato genetico di consentire una molteplicità di riutilizzi per massimizzare il suo potenziale euristico”[3].
Un ulteriore profilo problematico che il regime giuridico dei dati genetici involge è quello relativo al profilarsi di scelte difficili legate al riconoscimento del diritto a sapere o di un diritto speculare a non sapere, soprattutto in riferimento alla possibilità di analisi predittive relative alla predisposizione genetica a malattie particolarmente gravi.
In generale, la molteplicità degli impieghi dei dati genetici e la loro specificità di utilizzo mostra che l’orizzonte giuridico della tutela della privacy è rilevante ma parziale. Il diritto alla privacy, infatti, deve essere necessariamente bilanciato con altri interessi meritevoli di tutela, come, in primo luogo, la tutela della salute, la libertà di ricerca scientifica, la sicurezza pubblica.
I nodi da sciogliere
Partendo da queste considerazioni è evidente che i dati genetici evocano una grande quantità di interrogativi. Provo a sintetizzare le domande più rilevanti. Dal punto di vista giuridico, la disciplina del Gdpr è sufficiente? Dal punto di vista politico e sociale, c’è adeguata attenzione verso la peculiarità del dato genetico in ragione della sua straordinaria sensibilità?
Alla prima domanda si può rispondere solo in modo parzialmente positivo. Il Gdpr ha una cornice di regole specifiche soddisfacenti coerentemente con l’impianto generale del testo. Tuttavia, com’è stato opportunamente messo in luce[4], restano almeno tre nodi irrisolti.
Il primo è relativo al fatto che si evidenzia una carenza di regole specifiche. Il secondo deriva dalla circostanza che le questioni relative alla privacy genetica hanno avuto un’attenzione limitata nelle discussioni che hanno portato all’adozione del Gdpr il quale non contiene disposizioni specifiche per la protezione della privacy genetica. Non è presente alcun riferimento esplicito, per esempio, alla protezione dei diritti alla privacy genetica né quanto meno alcun diritto specifico circa la conoscenza da parte dell’interessato delle nuove informazioni prodotte attraverso l’analisi genetica. Si lamenta anche un’assenza di tutele dei parenti genetici o dei gruppi genetici.
Infine, il terzo nodo è legato al fatto che non appare chiaro in che misura il Gpdr fornisca un quadro adeguato alla protezione della privacy genetica nelle biobanche.
La privacy e le biobanche
Con l’aumento dell’importanza della ricerca genomica come approccio alla ricerca medica, le biobanche sono cresciute di importanza come infrastruttura di supporto alla ricerca medica. In considerazione di questa maggiore rilevanza l’attenzione del legislatore e delle istituzioni di controllo sono cresciute di pari passo?
La grande quantità di dati genomici di individui trattati nell’ambito della ricerca pone molte implicazioni sul diritto alla privacy dei soggetti coinvolti.
Lo scopo principale delle biobanche è rappresentato dalla possibilità che offrono di mettere in correlazione particolari profili genomici con reperti molecolari e con il profilo clinico della malattia.
Le problematiche giuridiche che le biobanche sollevano sono di grande portata. Per dare immediatamente una misura dei problemi evocati, si pensi solo alla possibilità di creare un database nazionale o locale che permetta schedature di massa con le più diverse finalità, talune delle quali persino inimmaginabili perché soggette a trattamenti frutto di futuri sviluppi tecnologici.
È, per esempio, il caso emerso a seguito dell’Ordinanza 27325.21 del 24 marzo 2021 della Prima Sezione Civile della Corte di Cassazione, relativa alla vicenda della biobanca genetica dell’Ogliastra.
È solo appena il caso di far menzione ad un ulteriore elemento problematico che rende oltremodo difficile il compito di dare regolazione al fenomeno, ossia che a finalità diverse perseguite corrispondono necessariamente bilanciamenti mutevoli tra i principi e i diritti costituzionali che vengono, volta per volta, in riferimento.
Il rimedio della richiesta del consenso dell’interessato non supera tutti i problemi suscitati dall’uso dei dati genetici custoditi nelle biobanche, soprattutto in riferimento all’evenienza di un uso pregiudizievole verso terzi derivante dal fatto che il genoma di un soggetto contiene una serie di informazioni che riguardano anche gli appartenenti al suo gruppo biologico, che è costituito dai suoi consanguinei.
Un ulteriore profilo problematico è rappresentato dal fatto che le finalità future di utilizzo legate allo sviluppo tecnologico, ancora sconosciute al momento della raccolta del materiale genetico e all’espressione del consenso informato possono rendere inattuale o anacronistico il consenso inizialmente concesso perché non idoneo a coprire utilizzi futuri non prevedibili.
Il consenso dinamico
Occorre, allora, incoraggiare alcune buone pratiche che stanno prendendo piede come, principalmente, quella che consiste nella re-informazione con conseguente nuova richiesta di esprimere il consenso (consenso dinamico)[5].
Infine, si riscontra una certa difficoltà in Italia a rispettare le misure di garanzia richieste per il trattamento dei dati genetici. In virtù di quanto previsto dall’articolo 2-septies del Codice privacy, decreto legislativo 196/2003, così come novellato dal decreto legislativo 101/2018, “i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento (…) in conformità alle misure di garanzia disposte dal Garante”.
Il comma successivo precisa che tali garanzie devono tener conto di una serie di fattori, tra cui le indicazioni contenute nelle linee guida e nelle raccomandazioni pubblicate dal Comitato europeo per la protezione dei dati, nonché dell’evoluzione scientifica e tecnologica e dell’interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea.
Non tutti gli atti citati sono stati adottati. È necessario, perciò, sollecitare le Autorità a muoversi in tale direzione perché occorre, a mio avviso, ancora individuare un punto di equilibrio ottimale fra la cultura giuridica italiana fondata su un modello regolatorio e quello europeo, costituito proprio dal Gdpr, basato sull’accountability del titolare del trattamento.
Il provvedimento del 1° novembre 2021 adottato dal Gpdp nei confronti della Fondazione Italiana Linfomi ONLUS denota la difficoltà di rispettare le misure di garanzia richieste, ma anche la complessità dell’operazione di bilanciamento fra il diritto alla protezione dei dati personali e la libertà di ricerca.
In definitiva, pur se il Gpdr rappresenta uno strumento decisivo per la tutela del trattamento dei dati genetici, ancora non è stato individuato quel punto di equilibrio necessario a raccordare i molteplici interessi costituzionali che vengono, volta per volta, coinvolti.
[1] Così K. Davies, Riscrivere l’umanità. La rivoluzione CRISPR e la nuova era dell’editing genetico, Milano, 2021, 21.
[2] Per un’analisi più approfondita v. M. Tomasi, Genetica e costituzione. Esercizi di eguaglianza, solidarietà e responsabilità, Trento, 2019, 266 ss.
[3] È possibile consultare il documento finale al seguente link: https://stateofprivacy.it/tavolo-genetica/
[4] Il riferimento è a D. Hallinan, Protecting genetic privacy in biobanking through data protection law, Oxford University Press, 2021.
[5] I. Budin-Ljøsne, H.J.A. Teare, J. Kaye, Dynamic Consent: a potential solution to some of the challenges of modern biomedical research, in BMC Medical Ethics, 18(4), 2017, 1 ss.
Bibliografia
Budin-Ljøsne I., Teare H.J.A., Kaye J., Dynamic Consent: a potential solution to some of the challenges of modern biomedical research, in BMC Medical Ethics, 18(4), 2017.
Casonato C., Tomasi M., Diritti e ricerca biomedica: una proposta verso nuove consonanze, in BioLaw Journal, 2019.
Colapietro, C., I principi ispiratori del Regolamento UE 2016/679 sulla protezione dei dati personali e la loro incidenza sul contesto normativo nazionale, in Federalismi.it, 2018.
Davies K., Riscrivere l’umanità. La rivoluzione CRISPR e la nuova era dell’editing genetico, Milano, 2021.
Di Tano F., Protezione dei dati personali e ricerca scientifica: un rapporto controverso ma necessario, in BioLaw Journal, 2022.
Faini F., Le biobanche di popolazione al vaglio della Suprema Corte di Cassazione: alcune note critiche sull’Ordinanza n. 27325 del 7 ottobre 2021, in BioLaw Journal, 2022.
Hallinan D., Protecting genetic privacy in biobanking through data protection law, Oxford University Press, 2021.
Iannuzzi A., Filosa F., Il trattamento dei dati genetici e biometrici, in S. Scagliarini (a cura di), Il “nuovo” codice in materia di protezione dei dati personali. La normativa italiana dopo il d. lgs. n. 101/2018, Torino, 2019.
Longo E., I trattamenti nel settore dell’istruzione e a fini di ricerca (scientifica, storica, statistica), in L. Califano, C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017.
Martignago D., Una governance dei dati genetici per lo sviluppo della ricerca scientifica, in Rivista italiana di informatica e diritto, 2022.
Scaffardi L., Giustizia genetica e tutela della persona. Uno studio comparato sull’uso (e abuso) delle Banche dati del DNA a fini giudiziari, Padova, 2017.
Soro A., Ricerca e protezione dei dati: cosa ci insegna la vicenda della biobanca genetica dell’Ogliastra, in Agenda Digitale, 8 febbraio 2022.
Staunton C., Slokenberga S., Mascalzoni D., The GDPR and the research exemption: considerations on the necessary safeguards for research biobanks, in European Journal of Human Genetics, vol. 27, 2019.
Stefanini E., Dati genetici e diritti fondamentali. Profili di diritto comparato ed europeo, Padova, 2008.
Tomasi M., Genetica e costituzione. Esercizi di eguaglianza, solidarietà e responsabilità, Trento, 2019.
