decreto gdpr

Ricerca scientifica italiana danneggiata dalle norme privacy? Il problema

Ci si lamenta molto in Italia del fatto che la ricerca scientifica non sia adeguatamente valorizzata e finanziata. E se ciò dipendesse anche da una normativa nazionale privacy troppo restrittiva rispetto alla normativa europea?

16 Gen 2020
Serena Gianvecchio

Junior Associate Rödl & Partner

Nadia Martini

Associate Partner e Head of Data Protection Rödl & Partner


Il trattamento di dati particolari ai fini di ricerca scientifica trova la sua disciplina sia nel Regolamento UE n. 679/2016, (GDPR), sia nella normativa nazionale.

Tuttavia, la disciplina nazionale pare molto più limitante e stringente rispetto a quanto previsto dal GDPR, deprimendo, di conseguenza, la possibilità per gli enti di ricerca di procedere a una maggiore condivisione delle banche dati, comprimendo l’attività di ricerca a livello nazionale e svilendo anche il benefico intento del GDPR di alleggerire gli obblighi di riservatezza in caso di ricerca scientifica, sul presupposto della prevalente utilità ed interesse della stessa rispetto al diritto alla riservatezza.

Il trattamento di dati particolari  nel Gdpr

L’art. 9 GDPR legittima il trattamento di dati particolari ai fini di archiviazione di pubblico interesse o di ricerca scientifica, a condizione che ciò avvenga in conformità all’art. 89 GDPR, ossia nel rispetto di garanzie adeguate per i diritti e le libertà dell’interessato che assicurino l’adozione di misure tecniche e organizzative idonee.

Tra queste misure rientrano in particolare:

  • L’obbligo di informativa all’interessato, che può essere fornita prima o durante la ricerca ai sensi degli artt. 13 e 14 GDPR.
  • Il rispetto del principio della minimizzazione dei dati ai sensi dell’art. 5 GDPR.
  • L’adozione di misure adeguate, quali la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l’interessato, tali finalità devono essere conseguite in tal modo.
  • Il tempo di conservazione dei dati, che deve essere definito sulla base del principio di limitazione della conservazione ai sensi dell’Art. 5.1 lett. e) e che può essere anche molto lungo, dipendentemente dalla necessità e dalla ricerca.

Ove permesso dalla normativa nazionale, non è invece di default necessaria la richiesta di consenso, né la concessione agli interessati dell’esercizio dei propri diritti (come quello di oblio o di accesso).

In sostanza, il GDPR, semplificando per quanto adeguato gli standard di sicurezza e permettendo agli stati membri un alleggerimento dei diritti, pare voler ridurre gli obblighi di riservatezza in caso di ricerca scientifica, considerando prevalente l’utilità e l’interesse della stessa rispetto al diritto dell’interessato alla riservatezza.

Ciò, anche al fine, evidente, di permettere una maggior condivisione delle banche dati dei soggetti che svolgono attività di ricerca, allo scopo – primario – di migliorare la vita umana.

La normativa nazionale

Di non altrettanto morbido avviso è però la normativa nazionale, che nell’ampliare il quadro normativo europeo in applicazione della deroga prevista dall’art. 89 GDPR, ha delegato all’Autorità Garante per la protezione dei dati personali – all’art. 106 del D.Lgs. 196/2003 (“Codice Privacy”), novellato dal D.Lgs. 101/2018 – il compito di promuovere le regole deontologiche in materia. A tal riguardo, tuttavia, l’Autorità Garante – con provvedimento del 19 dicembre 2018 – ha riproposto e confermato le regole deontologiche già emesse in passato (si confronti, il Provvedimento n. 8 del 14 marzo 2001), ritenendo di non dover procedere a revisioni o modifiche delle regole già adottate.

Non solo, a completare il framework normativo, l’Autorità ha emesso anche il Provvedimento del 5 giugno 2019, recante le prescrizioni relative al trattamento di categorie particolari di dati, attraverso il quale il Garante ha dettato ulteriori prescrizioni per il trattamento dei dati particolari (anche genetici) a fini di ricerca scientifica.

Provvedimenti che, come vedremo, hanno aumentato la regolamentazione del settore, introducendo misure più stringenti che paiono svilire l’intento del regolatore comunitario volto a alleggerire la normativa al fine di incentivare la ricerca.

Le misure

I provvedimenti dell’Autorità Garante vincolano tutti i soggetti che svolgono attività di ricerca scientifica come le università, gli enti o gli istituti di ricerca, le società scientifiche, gli esercenti le professioni sanitarie nonché tutte le persone fisiche o giuridiche che, nell’ambito di un progetto, siano specificatamente preposti al trattamento di dati particolari (come ad esempio ricercatori, commissioni di esperti, laboratori di analisi, etc).

Essi, in particolare, impongono l’adozione delle seguenti misure:

  • L’obbligo di informativa all’interessato
  • Il consenso al trattamento dati
  • La concessione agli interessati dell’esercizio dei propri diritti (come quello di oblio o di accesso).
  • L’adozione di misure di sicurezza adeguate
  • Una stretta regolamentazione della comunicazione dei dati a terzi e
  • La definizione di un tempo di conservazione dei dati

In dettaglio:

Informativa

In primo luogo, in linea col GDPR, occorre fornire adeguata informativa.

Essa va però fornita, a differenza di quanto permesso dal Regolamento, prima dell’avvio di un trattamento per finalità di ricerca e non anche successivamente, salvo il caso in cui non sia stato possibile fornirla prima e l’interessato si presenti, a posteriori presso il centro di cura, anche per visite di controllo e possa essergli sottoposta l’informativa.

Consenso

Inoltre, i provvedimenti non aderiscono all’impostazione del GDPR secondo cui non sia di default necessaria la richiesta di consenso (che, al contrario, può essere previsto in via residuale, come suggerito dal considerando 33, dagli Stati Membri).

Secondo l’impostazione italiana, invece, l’interessato deve infatti di regola prestare valido consenso all’attività di ricerca scientifica per le finalità delineate all’interno dell’informativa.

In aggiunta, nel caso in cui lo studio riguardi un’indagine medica o epidemiologica, deve essere richiesto al paziente un consenso ulteriore, ossia quello ad essere informato ed avvisato di eventuali scoperte inattese in relazione al suo stato di salute durante le analisi svolte a fini di ricerca.

Sul punto trovano però applicazione alcune eccezioni, previste dall’art. 110 del Codice Privacy che, in combinato con quanto previsto dai provvedimenti, facilita il lavoro dei ricercatori prevedendo alcune eccezioni: il consenso può infatti non essere raccolto dal titolare del trattamento, quando la ricerca scientifica sia prevista da una specifica legge, da un regolamento o da disposizioni di diritto dell’Unione Europea ovvero nel caso in cui la sua acquisizione risulti impossibile, implichi uno sforzo sproporzionato oppure possa pregiudicare gravemente il conseguimento delle finalità di ricerca.

Le ragioni in grado di sostenere una tale difficoltà o pregiudizio sono ricollegabili, a parere dell’Autorità, a motivi etici, motivi di impossibilità organizzativa o motivi di salute. In particolare: costituiscono validi motivi etici le ipotesi in cui la consegna dell’informativa all’interessato – che è così informato dell’attività di trattamento e ricerca – possa arrecare danno materiale o psicologico all’interessato stesso.

L’impossibilità organizzativa è invece riconosciuta ogniqualvolta l’utilizzo dei dati relativi ai soli interessati che abbiano ricevuto informativa e abbiano prestato un valido consenso risulterebbero insufficienti per le finalità proprie della ricerca, il cui risultato ne verrebbe profondamente alterato.

Si pensi, ad esempio, al caso in cui, a fronte di un necessario coinvolgimento di almeno 1000 interessati affinché lo studio abbia risultati concreti e produttivi, solo 5 soggetti interessati forniscano valido consenso, oppure al diverso caso in cui, fermo restando l’obbligo di raccogliere il consenso degli interessati al trattamento di dati personali nel momento in cui questi si rivolgano successivamente al centro di cura, all’esito di ogni ragionevole sforzo compiuto per contattarli, questi risultino deceduti o non contattabili. In casi del genere, non può che riconoscersi l’applicabilità dell’eccezione in esame e dell’esenzione dall’obbligo di raccolta del consenso.

Da ultimo, un’altra esenzione da tale obbligo deriva dall’impossibilità di raccolta del consenso per motivi di salute riconducibili alla gravità dello stato clinico dell’interessato, incapace di comprendere le indicazioni rese all’interno dell’informativa e di prestare validamente un consenso. Tale ipotesi si limita ai casi in cui la ricerca sia volta al miglioramento dello stato clinico del paziente purché sia anche dimostrato che tale ricerca non potrebbe effettuarsi esclusivamente studiando i dati riferiti ai soli interessati che hanno ricevuto informativa e hanno prestato un valido consenso, e restando comunque sempre fermo l’obbligo di informare l’interessato non appena le condizioni di salute dei pazienti impossibilitati migliorino. In questo caso, si rende necessaria anche la valutazione dell’ipotesi di richiedere il consenso a chi esercita legalmente la rappresentanza (es. prossimo congiunto, famigliare, convivente, etc.) o il responsabile della dimora presso cui risiede l’interessato come statuito dall’art. 82 del Codice Privacy nonché dall’art. 6 delle Regole deontologiche.

Diritti dell’interessato

Con riguardo ai diritti, il GDPR aderisce all’impostazione per cui, garantendo tutte le misure di garanzia ritenute più adeguate, sia possibile impedire la concessione agli interessati dell’esercizio dei propri diritti (come quello di oblio o di accesso). In linea con quanto sopra, il GDPR permette agli Stati membri di prevedere specifiche deroghe in materia per l’esercizio dei diritti (come indicato all’interno del considerando 156) per finalità di ricerca scientifica.

I provvedimenti italiani, tuttavia, non supportano tale impostazione e non prevedono alcuna deroga all’esercizio dei diritti. Il Garante precisa, al contrario, che gli interessati possono sempre rivolgersi al Titolare e/o al centro di cura per richiedere informazioni in relazione al progetto di ricerca per il quale i propri dati sono trattati.

Misure di sicurezza e garanzie del trattamento

Inoltre, a ulteriore specificazione delle misure di sicurezza previste dall’art. 89 GDPR, le norme italiane dettano regole più stringenti, chiarendo che, ove la ricerca non possa raggiungere i suoi scopi senza l’identificazione, anche solo temporanea degli interessati, dovranno essere necessariamente adottate tecniche di cifratura o pseudonimizzazione o altre soluzioni che rendano non direttamente identificabile l’interessato se non in caso di necessità. Ogni eventuale abbinamento del materiale di ricerca ai dati identificativi dell’interessato dovrà essere altresì motivato per iscritto, anche nel caso in cui l’identificazione risulti meramente temporanea.

Le tecniche di cifratura o pseudonimizzazione dette sono imprescindibili e necessarie soprattutto nell’ambito della ricerca scientifico-genetica, in cui è necessario separare definitivamente il dato identificativo dal dato genetico, consci che un’anonimizzazione irreversibile del dato potrebbe non essere mai realmente compiuta: la stringa di DNA resta comunque sempre univocamente riconducibile all’interessato.

Comunicazione e diffusione dei dati

Non è tutto, i provvedimenti aggiungono altresì una stringente regolamentazione in merito alla comunicazione a terzi dei dati trattati per scopi di ricerca, non espressamente regolata né impedita dal GDPR.

In particolare, in Italia la comunicazione non è permessa d’emblée, ma è consentita solo nel caso in cui i terzi siano soggetti che collaborino nell’ambito di un progetto congiunto e che partecipano allo studio in qualità di autonomi titolari (ad es. sponsor, etc). Al di fuori di tale casistica, l’Autorità Garante autorizza solo ed esclusivamente la comunicazione a terzi ai soggetti che svolgeranno studi per scopi scientifici direttamente collegati a quelli per i quali sono stati originariamente raccolti. Per “scopi scientifici collegati” si possono intendere, ad esempio, ulteriori sviluppi o analisi aggiuntive rispetto quanto previsto all’interno del progetto originario[1]. Tale comunicazione dovrà altresì avvenire sempre e comunque premurandosi di adottare misure di sicurezza adeguate quali quantomeno cifratura e pseudonimizzazione.

Infine, la diffusione è in assoluto vietata, non potendo infatti essere diffusi i dati in forma anonima o aggregata.

In altre parole, mentre il GDPR non impedisce affatto il passaggio di dati a fini di miglioramento della ricerca, la norma italiana l’ammette solo in caso di progetti congiunti, pregiudicandone così la portata applicativa ed innovativa.

Conservazione del dato

In ultimo, i dati personali raccolti per finalità di ricerca scientifica sono vincolati, come previsto dal GDPR, al principio di limitazione della conservazione ai sensi dell’Art. 5.1 lett. e). Per tale ragione, al termine del progetto di ricerca, deve essere valutato un tempo di conservazione ragionevole oltre il quale tali dati dovranno essere anonimizzati irreversibilmente o distrutti.

Ma mentre per il GDPR questo tempo può essere anche molto lungo, dipendentemente dalla necessità e dalla tipologia e finalità della ricerca (così ad esempio da riuscire a permettere una conservazione pluriennale per progetti di natura genetica, che necessitano di un periodo di osservazione più lungo al fine di prevenzione e cura), nella prassi dell’autorità italiana esso pare attestarsi al breve termine di 5 anni (tempo tipico dei progetti di ricerca), oltre il quale il dato va anonimizzato. Con conseguente pregiudizio e impedimento di quelle ricerche i cui risultati d’analisi si concretino in un tempo di approfondimento e di indagine più lungo (si pensi alle ricerche di natura genomica o pandemica).

Conclusioni

Alla luce delle considerazioni di cui sopra e dell’esamina dei vincoli normativi locali (in particolare, le limitazioni poste alla comunicazione, alla diffusione o, ancora, alla conservazione del dato), pare desumersi una chiusura del legislatore nazionale alla ricerca scientifica, in favore – al contrario – di una maggiore salvaguardia del diritto alla riservatezza degli interessati.

Ciò, purtroppo, contrasta con la possibilità, tanto agognata dagli enti di ricerca, di procedere alla maggior libera condivisione delle banche dati. Prassi che si fonda sul fatto che la banca dati raccolta per un determinato progetto (in particolare, per quanto concerne il trattamento di dati genetici), costituisca un patrimonio prezioso per il centro di ricerca che dovrebbe essere messo in grado, anche normativamente, di poterla sfruttare per futuri e ulteriori progetti di ricerca non affini a quello originario.

E ancora, si comprime in ultimo quella che è la portata dell’attività di ricerca scientifica nazionale, con conseguente graduale fuga degli investimenti in materia.

Si auspica quindi un significativo ripensamento legislativo al riguardo, affinché venga al più presto garantito un più corretto contemperamento degli interessi della ricerca con quelli alla riservatezza, in particolare con riguardo alla condivisibilità delle banche dati, alle misure di sicurezza e ai tempi di conservazione.

Ne guadagnerebbe non solo la ricerca, ma anche la vita umana.

  1. L. Bolognini, E. Pelino, Codice della disciplina privacy, Giuffré Francis Lefebvre, 2019

@RIPRODUZIONE RISERVATA

Articolo 1 di 2