Le Linee guida n. 1/2026 (“Linee guida”) del Comitato europeo per la protezione dei dati (“EDPB”), approvate il 15 aprile scorso e tutt’ora in fase di consultazione pubblica fino al 25 giugno 2026, rappresentano un passaggio rilevante a chiarire regime privacy applicabile alla ricerca scientifica intesa – a scanso di equivoci – quale ricerca a trecentosessanta gradi e non solo come ricerca medico-scientifica.
L’obiettivo delle Linee guida, in linea con la dichiarazione di Helsinki, non è quello di introdurre nuove regole, ma di ricondurre a sistema una disciplina frammentata, fornendo criteri interpretativi che tengano insieme due esigenze strutturalmente in tensione: da un lato, la promozione della ricerca e dell’uso dei dati; dall’altro, la tutela dei diritti fondamentali degli interessati.
Indice degli argomenti
Ricerca “genuina” e delimitazione del regime speciale
Il primo intervento chiarificatore riguarda la nozione di “ricerca scientifica”. L’EDPB adotta un approccio sostanziale, chiarendo che il regime di favore previsto dal GDPR non si applica automaticamente a qualsiasi trattamento qualificato come “ricerca”, ma solo a quelli dove il titolare del trattamento è in grado di dimostrare il carattere di “ricerca scientifica”. In particolare, l’EDPB enuclea una serie di fattori, fra cui ricordiamo la presenza di un metodo scientifico, di finalità di contribuire all’avanzamento della conoscenza in tale campo e la presenza di un controllo etico indipendente.
Basi giuridiche e ruolo del consenso
Premessa una chiarificazione rispetto alla nozione di “ricerca scientifica”, l’EDPB procede con una “sistematizzazione” delle basi giuridiche nel contesto della ricerca scientifica. Anzitutto, l’EDPB sottolinea come il consenso privacy di cui all’art. 6, par. 1, lett. a) GDPR non rappresenti l’unica opzione e debba in ogni caso essere distinto dal consenso alla partecipazione allo studio, che svolge una funzione autonoma di tutela della dignità e integrità della persona. L’EDPB chiarisce inoltre che, quando le finalità della ricerca non sono pienamente determinate al momento della raccolta – si pensi ad alcune attività di cd. ricerca di base – il titolare può ricorrere al c.d. “consenso ampio” (broad consent), menzionato al considerando 33 GDPR. Si tratta di un consenso riferito a un’area di ricerca più ampia, purché non assolutamente generico, e accompagnato da adeguate garanzie o altre forme di limitazione del suo ambito idonee a compensare la minore specificazione delle finalità (ad es. il controllo degli accessi, l’impiego di un consenso “a scadenza” o la supervisione da parte di un comitato etico). In alternativa, o in combinazione, può essere utilizzato il c.d. “consenso dinamico” (dynamic consent), ovvero la raccolta di consensi ulteriori e specifici per singoli progetti ulteriori o fasi di ricerca eventuali che dovessero essere avviati ad esito della prima fase di ricerca, man mano che finalità più mirate prendono forma.
Infine, le Linee guida riconoscono espressamente la possibilità di fondare il trattamento anche sull’interesse pubblico ex art. 6, par. 1, lett. e) GDPR, purché previsto da una norma di diritto UE o nazionale, nonché su legittimo interesse ex art. 6, par. 1, lett. f), cui viene attribuito un peso significativo nel bilanciamento in ragione del valore sociale della ricerca. Tuttavia, per i dati sanitari resta imprescindibile l’individuazione di una deroga ex art. 9 GDPR, per il quale importanti deroghe nel settore della sperimentazione medica sono rappresentate dal consenso specifico e – per l’appunto – dalla sussistenza della ricerca scientifica.
Compatibilità di un successivo trattamento e limitazione della conservazione
Le Linee guida intervengono poi sul tema della compatibilità del trattamento ulteriore per finalità di ricerca. L’EDPB chiarisce che il titolare che tratta i dati per una finalità ulteriore di ricerca scientifica può basarsi sulla base giuridica impiegata per l’iniziale trattamento, purché sia accertato che tale base giuridica iniziale sia idonea per l’ulteriore trattamento, specialmente nel caso in cui si sia impiegata, quale base giuridica, il consenso o l’adempimento di un obbligo di legge. Se la base giuridica è il legittimo interesse, l’EDPB indica che l’interesse sociale alla ricerca scientifica debba acquisire un peso significativo quando posto in bilanciamento con i diritti fondamentali degli interessati.
Per quanto concerne le categorie particolari di dati personali, l’EDPB richiede al titolare di verificare la compatibilità delle deroghe al generale divieto di trattamento di tali dati di cui all’art. 9 GDPR con il successivo trattamento di dati personali per finalità di ricerca scientifica. Questo passaggio lascia tuttavia margini di incertezza, poiché non vengono forniti criteri operativi chiari per stabilire la sussistenza di “continuità”.
L’incertezza si accentua poi nel contesto dei dati sanitari, dove il rinvio alle condizioni nazionali ex art. 9, par. 4 GDPR implica una forte incidenza del diritto interno. In Italia, il quadro, seppure evoluto rispetto al passato, resta frammentato e complesso: da un lato, si evidenzia la difficoltà di superare un modello ancora fortemente incentrato sul consenso e sulle deroghe limitate di cui all’art. 110 del Codice Privacy, pur sempre ancora interpretate in un’ottica restrittiva da parte del Garante privacy, che tende a considerare il consenso come base giuridica preferenziale (del resto, l’impostazione “in negativo” rafforza tale percezione); dall’altro, tali criticità risultano amplificate dai recenti interventi normativi, come quelli in materia di intelligenza artificiale, di cui all’art. 8 della Legge n. 132/2025 in materia di IA, che qualifica la ricerca in ambito sanitario come attività di interesse pubblico e autorizza l’uso secondario dei dati medici limitandone l’ambito, apparentemente, solo a soggetti pubblici, IRCCS, enti non a scopo di lucro ovvero a privati esclusivamente nell’ambito di progetti di ricerca con enti pubblici.
Importante è inoltre il chiarimento sul principio di limitazione della conservazione che, anche nella ricerca scientifica, impone (rectius, imporrebbe) al titolare di determinare ex ante la durata del trattamento o i criteri per stabilirla, informandone gli interessati. Sorprende in positivo, in questo senso, l’apertura dell’EDPB, che ammette una conservazione prolungata, espressamente anche oltre quanto necessario tenendo conto della finalità originaria, purché in ogni caso giustificata da esigenze scientifiche (es. verifica dei risultati ottenuti o futuri progetti). Ad ogni modo, al fine di scongiurare abusi, l’EDPB precisa che in questi casi occorre comunque individuare un ambito di ricerca sufficientemente specifico e prevedibile, non potendosi ricorre a formule generiche.
Trasparenza e diritti degli interessati
Le Linee guida rafforzano il principio di trasparenza come obbligo continuativo del titolare, per dei trattamenti, quelli per la ricerca scientifica, caratterizzati da una lunga durata. Interessante notare che l’EDPB suggerisce al titolare di raccogliere dati di contatto degli interessati al fin di potergli comunicare i dovuti aggiornamenti sul trattamento dei loro dati personali. Tale ulteriore sforzo di trasparenza sembra sussistere anche nel caso di trattamenti effettuati per ulteriori scopi di ricerca scientifica, richiedendo agli stessi di non cancellare i dati di contatto degli interessati, se, al momento della raccolta dei dati e a fronte della predisposizione di adeguati strumenti di pseudonimizzazione e/o anonimizzazione dei dati, siano consapevoli di un successivo trattamento.
Sul piano dei diritti, il GDPR introduce un bilanciamento funzionale alla ricerca: il diritto alla cancellazione (art. 17 GDPR) può essere limitato quando la sua applicazione rischi di rendere impossibile o pregiudicare gravemente gli obiettivi scientifici, a condizione che siano adottate garanzie adeguate (ex art. 89 GDPR). Analogamente, il diritto di opposizione (Art. 21 GDPR) può essere respinto se il trattamento è necessario per un compito di interesse pubblico o per un interesse legittimo che coincida con tale interesse, fermo restando un rigoroso test di necessità e proporzionalità, anche alla luce delle circostanze concrete in cui si trova l’interessato che ha esercitato il relativo diritto. Forse, in questo ambito, la formulazione di più esempi pratici avrebbe semplificato il lavoro dei titolari del trattamento, ancora troppo legato a margini di incertezza, che rimetterà di fatto alle autorità di controllo nazionali il compito di delinearne i confini applicativi per mezzo delle proprie decisioni, con un rischio di difformità sul territorio unionale.
Governance e garanzie per il trattamento
Le Linee guida evidenziano infine le criticità legate alla qualificazione dei ruoli nei progetti di ricerca complessi. La molteplicità degli attori coinvolti rende spesso difficile distinguere tra titolari, contitolari e responsabili, dove si chiarisce che la sola attività della società che fornisce consulenza nella stesura del protocollo di ricerca o la sponsorizzazione finanziaria della ricerca non è da solo sufficiente a qualificare tali soggetti come titolari, se non determinano le finalità e i mezzi del trattamento.
Rispetto alle misure di garanzia del trattamento, Le Linee guida chiariscono che l’art. 89, par. 1) GDPR impone l’adozione di garanzie adeguate, tecniche e organizzative, calibrate su natura, rischi e finalità della ricerca, a tutela dei diritti degli interessati. Centrale è il principio di minimizzazione, imponendo che i dati siano trattati, ove possibile, in forma anonimizzata o, in subordine, pseudonimizzata, limitando il ricorso a dati direttamente identificativi ai soli casi di stretta necessità e proporzionalità rispetto alle finalità scientifiche. L’anonimizzazione rappresenta quindi lo standard preferenziale, seppur particolarmente gravoso specialmente nell’ambito sanitario dove una completa anonimizzazione potrebbe non essere compatibile con le esigenze quali il follow-up, la tracciabilità o la riproducibilità degli esiti di ricerca.
Accanto a tali tecniche, l’EDPB individua da ultimo un ampio spettro di misure di garanzia complementari, come valutazioni d’impatto, controllo indipendente o etico della ricerca, ambienti di trattamento sicuri, controlli di accesso e separazione dei dati, limitazioni delle finalità e riutilizzo dei dati, nonché misure per la pubblicazione dei risultati, obblighi di riservatezza e la (particolarmente gravosa) inserzione del consenso come misura ulteriore di garanzia. Tali misure, seppur positive in quanto vanno a specificare nel concreto azioni ulteriori rispetto alla anonimizzazione o pseudonimizzazione dei dati, sembrano comportare un costo di governance elevato per i centri di ricerca costretti ad attuare un significativo numero di misure di sicurezza con conseguente aggravio dei costi di gestione della ricerca.
Prospettive applicative
Nel complesso, le Linee guida rappresentano un passo significativo verso una maggiore armonia del rapporto tra ricerca scientifica e protezione dei dati personali. Pur lasciando aperti alcuni margini di incertezza applicativa – inevitabili in un ambito così dinamico e interdisciplinare – va riconosciuto all’EDPB il merito di introdurre aperture interpretative non scontate, ad esempio sul ruolo del legittimo interesse, sulla compatibilità dei trattamenti ulteriori e sulla possibilità di conservazioni prolungate dei dati per finalità scientifiche. Si tratta di segnali che, se adeguatamente valorizzati nella prassi applicativa, potrebbero contribuire a rendere il quadro europeo più favorevole allo sviluppo della ricerca, senza arretrare sul piano della tutela dei diritti fondamentali. Molto dipenderà, tuttavia, dall’approccio che le autorità nazionali di controllo adotteranno nell’interpretazione e applicazione di tali indicazioni, dalle quali dipenderà in larga misura la possibilità che queste aperture si traducano effettivamente in un quadro regolatorio più favorevole allo sviluppo della ricerca.
