
Legge sulla Privacy e ricerca scientifica: trovare il corretto equilibrio
27 Aprile 2021
Legge Privacy e ricerca scientifica come si conciliano i due ambiti?
Per rispondere a questa domanda dobbiamo innanzitutto capire di cosa si sta parlando. Ci troviamo, infatti, di fronte a un settore molto ampio, dove per «ricerca scientifica» si intende quella effettuata sia nel campo delle scienze naturali (biologia, fisica, chimica) sia in quello delle scienze umane (sociologia, antropologia).
Discorso specifico deve poi essere fatto per la ricerca eseguita in ambito sanitario. In questo contesto, rilevano obblighi più stringenti proprio per il carattere più delicato dell’argomento: troviamo gli obblighi relativi alla ricerca medica, biomedica ed epidemiologica, le regole che si applicano al trattamento di dati relativi alla salute, nonché tutto il contesto normativo ed etico connesso alle sperimentazioni cliniche.
Proviamo, quindi, a fare un po’ di chiarezza e vediamo quali sono i punti principali da conoscere.
GDPR: Le regole per i trattamenti ai fini di ricerca
Iniziamo dall’individuazione delle basi giuridiche idonee per trattare in modo lecito i dati personali. Tra le molteplici basi che il regolamento offre, per i trattamenti a fini di ricerca, rilevano sia il consenso sia i motivi di interesse pubblico. Tuttavia, recentemente, l’EDPB ha aperto all’utilizzo del legittimo interesse come base giuridica spendibile per i trattamenti relativi alle sperimentazioni cliniche.
Quanto detto vale per i dati personali cd. comuni. Se nello studio vengono trattati dati relativi alla salute (o altri dati particolari), è necessario soddisfare anche una delle condizioni previste dall’articolo 9: il titolare dovrà quindi basarsi sul consenso esplicito, su motivi di interesse pubblico, oppure sulla necessità per scopi di ricerca scientifica sulla base del diritto dell’Unione o dello Stato membro.
Dunque, in base ai dati che vengono trattati, si dovrà scegliere cautamente la condizione di liceità adeguata. Per quanto riguarda l’Italia, da quanto si evince dalle disposizioni del Codice Privacy e dalle interpretazioni del Garante rimane preferibile richiedere il consenso degli interessati oppure, se applicabile, si può sfruttare una delle deroghe previste di cui si dirà più avanti.
In aggiunta, il quadro si complica con la possibilità per gli Stati membri di introdurre ulteriori condizioni e/o limitazioni per il trattamento di dati relativi alla salute (art. 9.4 GDPR). In tal senso, l’Italia ha deciso di esercitare questa facoltà, ma stiamo ancora attendendo il provvedimento del Garante ai sensi dell’art. 2-septies del Codice privacy che disporrà le misure di garanzia per trattamenti di questo tipo.
Principi generali per i fini di ricerca
Sia la normativa europea che la normativa italiana delineano alcuni principi generali per il trattamento dei dati personali ai fini di ricerca.
Il primo punto su cui viene posto l’accento è la sicurezza dei dati. Viene raccomandato di rendere i dati anonimi in tutte le circostanze in cui questa operazione sia fattibile. Ove, per questioni di necessità di identificazione post-ricerca ciò non sia possibile, occorre proseguire con una pseudonimizzazione dei dati personali.
Nei provvedimenti del Garante (Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati –Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica) sono poi definite ulteriori misure di sicurezza, dagli accorgimenti contro i rischi di accesso abusivo all’adozione di canali di trasmissione protetti, dalla presenza di tecniche di etichettatura dei campioni biologici con codici identificativi all’utilizzo di sistemi di autenticazione e autorizzazione del personale in funzione del ruolo. Rimane comunque in capo al titolare la responsabilità di adottare quanto necessario per il contesto specifico, secondo l’ormai conosciuto “principio di accountability”.
Inoltre, viene concessa la possibilità di prolungare i tempi standard della conservazione dei dati. Sappiamo che, generalmente, è necessario trattare i dati fino al raggiungimento delle finalità e, una volta che tale necessità termini, bisogna procedere alla cancellazione dei dati. Tuttavia, dato che per fini di ricerca scientifica può essere fondamentale avere accesso ai dati anche in un momento successivo alla conclusione del progetto, è permessa la conservazione per un periodo più lungo.
Infine, non bisogna confondere il consenso informato previsto in ambito sanitario o nelle sperimentazioni cliniche con il consenso relativo alla privacy. A differenza del consenso privacy inteso come fondamento giuridico per il trattamento dei dati personali, il consenso informato è una modalità con cui si informano i pazienti dei benefici, dei rischi, della prognosi e di tutto ciò che concerne il trattamento sanitario (o la sperimentazione clinica) che si andrà ad effettuare. Esso deve rispondere ai requisiti etici fondamentali dei progetti di ricerca che coinvolgono esseri umani derivanti dalla dichiarazione di Helsinki, al fine di garantire la tutela del diritto alla dignità umana e il diritto all’integrità della persona.
Cosa dice il codice privacy?
Il nostro «codice privacy» novellato fornisce ulteriori specificazioni rispetto a quanto disposto dal GDPR.
Innanzitutto, è importante precisare che il legislatore italiano ha incluso la ricerca scientifica tra quelle materie considerate come di “interesse pubblico rilevante”. Questa precisazione aiuta a comprendere le deroghe ai principi generali del GDPR che sono state previste in questo ambito.
Inoltre, rileva anche la possibilità di cedere a soggetti terzi i dati che inizialmente erano stati raccolti per una finalità determinata, anche diversa dalla ricerca. Ed è proprio in questo senso che assume rilevanza l’art. 110-bis, il quale prevede la possibilità che il Garante italiano autorizzi questi ulteriori trattamenti, in deroga all’ottenimento del consenso, in presenza di specifiche condizioni: nel caso in cui informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure se rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca.
Queste circostanze, nelle quali è possibile non fornire l’informativa, sono state poi oggetto di precisazioni aggiuntive nel provvedimento del Garante n. 146 del 5 giugno 2019. Si tratta di: a) motivi etici per i quali si debba evitare di dare notizia agli interessati di notizie la cui conoscenza potrebbe arrecare un danno materiale o psicologico (es. studi epidemiologici sulla distribuzione di un fattore che predica uno stato clinico incurabile); b) motivi di impossibilità organizzativa per i quali un eventuale esclusione dallo studio dei soggetti che non è possibile contattare, anche perché deceduti o non reperibili, comprometterebbe i risultati dello studio; c) motivi di salute riconducibili alla gravità dello stato clinico per i quali gli interessati non siano in grado di capire l’informativa e di prestare un consenso valido. In questa ultima ipotesi, occorre che lo studio sia finalizzato al miglioramento dello stato clinico dei pazienti.
Codice Privacy e ricerca medica
Per quanto riguarda, invece, la ricerca medica, il codice propone una norma specialis. L’art. 110 dispone che «il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea […] ovvero a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca». In questi ultimi casi, il titolare deve ottenere un pare favorevole dal Comitato Etico competente e, in seguito, sottoporre il progetto a consultazione preventiva da parte del Garante ai sensi dell’art. 36 del GDPR.
Sono state poi introdotte delle regole deontologiche per i trattamenti di dati personali a fini di ricerca scientifica (Provvedimento n. 515 del 19 dicembre 2018). Tra le numerose prescrizioni contenute – che per motivi di sintesi non è possibile trattare – assume rilievo la previsione relativa alle modalità con cui dare informativa agli interessati quando i dati sono raccolti presso terzi o se erano stati raccolti per altre finalità. In questa circostanza è possibile adottare specifiche forme di pubblicità in base alla rilevanza dello studio (nazionale, regionale o provinciale): inserzione su un quotidiano, annuncio presso un’emittente radiotelevisiva, oppure inserzione su strumenti informativi di cui gli interessati sono normalmente destinatari, per trattamenti riguardanti specifiche categorie di soggetti, identificate da particolari caratteristiche demografiche e/o da particolari condizioni formative o occupazionali.
Conclusioni
Il quadro appare senz’altro variegato e di difficile comprensione anche ai più esperti. Proviamo a trarre qualche conclusione utile.
In Italia, la base giuridica più utilizzata (anche secondo quanto previsto dalle norme nazionali) è il consenso dell’interessato. Tuttavia, come abbiamo detto il legislatore italiano ha introdotto delle deroghe specifiche all’ottenimento del consenso per permettere ai ricercatori di trattare comunque i dati personali, adottando le opportune misure di sicurezza.
Ciò si differenzia parzialmente da come si è pronunciato l’EDPB, il quale ha precisato che non necessariamente il consenso è la base giuridica da preferire, soprattutto nei casi in cui ci sia squilibrio tra titolare e interessato.
Rimane quindi un certo divario interpretativo tra il Garante Italiano e l’EDPB, il quale dovrà essere colmato nel tempo per fornire più chiarezza a chi si occupa di ricerca, soprattutto per quei progetti di ricerca a carattere transnazionale, per i quali prevedibilmente si dovranno adottare condizioni di liceità differenti per uno stesso studio.
Un altro punto che dovrà essere approfondito è quello relativo all’armonizzazione tra gli Stati membri. Avendo lasciato un margine di intervento a livello nazionale per l’introduzione di ulteriori condizioni e/o limitazioni per specifici trattamenti, esistono per alcuni settori sostanziali differenze tra le varie legislazioni. Inoltre, anche la sovrapposizione di numerose fonti normative non aiuta a creare un quadro armonico nel settore della ricerca. In tal senso, un esempio è il regolamento 536/2014 sulle sperimentazioni cliniche, il quale non è ancora divenuto applicabile, nonostante risalga al 2014 (si auspica che ciò avvenga entro il 2021). Esso, richiamando la direttiva 46/95 (ormai superata), ha sollevato alcuni dubbi interpretativi che sono stati oggetto di chiarimento dall’EDPB in un documento di risposta alla Commissione Europea, risalente a febbraio 2021.
Ci si augura che con il passare del tempo le autorità nazionali ed europee riescano a fornire spunti interpretativi per rendere il quadro più omogeneo e armonizzato.