0
ricerca scientifica e tutela della privacy

Ricerca biomedica e tutela della privacy

Lo sviluppo della ricerca nel settore biomedico ha comportato l’acuirsi dell’esigenza di trovare un bilanciamento fra i contrapposti interessi appartenenti alle differenti posizioni in essa coinvolte.

L’entrata in vigore del nuovo Regolamento per la protezione dei dati personali adottato in Europa (Reg. UE 2016/679, cosiddetto GDPR) ha comportato un parziale riassestamento della disciplina che definisce l’assetto di tali interessi.

L’obiettivo che il Regolamento si prefigge di raggiungere è quello di una armonizzazione delle vigenti discipline negli Stati membri dell’Unione in materia di protezione delle persone fisiche, con riguardo al trattamento dei dati personali.

L’intervento normativo, pur abrogando formalmente la direttiva 95/46/CE sulla protezione dei dati, non ne sconvolge tuttavia il quadro normativo generale, confermando ad esempio, la differenziazione dei dati nelle due categorie dei dati personali e dei dati sensibili.

In particolare, l’art. 9 del GDPR si riferisce a “categorie particolari di dati personali”, fra i quali ricomprende i «dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute e alla vita sessuale o all’orientamento sessuale della persona».

L’interpretazione delle previsioni del Regolamento è fornita dalle linee guida sul consenso, elaborate dall’Article 29 Data Protection Working Party (WP29).

L’obiettivo di uniformazione che il Regolamento si prefigge di raggiungere è tuttavia compromesso dalla clausola inserita all’art. 9 par. 4 che prevede la possibilità per gli Stati membri di «mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento dei dati genetici, dati biometrici o dati relativi alla salute».

Inoltre, l’art. 89, par. 2 con riferimento ai trattamenti finalizzati ad attività di ricerca scientifica, consente agli Stati di prevedere deroghe ai diritti di cui all’art. 15 (diritto di accesso), 16 (diritto di rettifica), 18 (diritto di limitazione di trattamento e 21 (diritto di opposizione) – fatte salve le condizioni e le garanzie di cui al par. 1) – nella misura in cui essi rischiano di rendere impossibile o pregiudicare gravemente il conseguimento degli obiettivi specifici e tali deroghe risultano necessarie al raggiungimento di tali finalità.

L’ordinamento interno, per esempio, ha esercitato la facoltà di cui all’art. 9, par. 4 inserendo nel d.lgs. 196/2003, l’art. 2-septies che introduce ulteriori condizioni per il trattamento dei dati genetici, dati biometrici e relativi alla salute.

Si prevede infatti che l’Autorità Garante per la protezione dei dati personali adotti, con cadenza biennale, un provvedimento generale che delinea specifiche misure di garanzia, alla luce delle linee guida, delle raccomandazioni e delle migliori prassi in materia di trattamento dei dati personali, dell’evoluzione scientifica e tecnologica, nonché dell’interesse alla libera circolazione dei dati personali nel territorio dell’Unione.

Con riferimento ai dati genetici, le misure di garanzia sono adottate sentito il Ministero della salute e previo parere del Consiglio Superiore di Sanità, potendosi prevedere, «in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato, a norma dell’art. 9, par. 4, del Regolamento, o altre cautele specifiche».

Analizzando il contenuto del GDPR, occorre innanzitutto evidenziare l’ampia definizione che esso riserva alla definizione di “ricerca scientifica”.

Secondo il Regolamento, il trattamento dei dati personali per finalità di ricerca scientifica deve essere «interpretato in senso lato e includere ad esempio sviluppo tecnologico e dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata dai privati» (Recital 159).

Il WP29, nel tentativo di ridurre la portata di tale disposizione, precisa che la nozione di “ricerca scientifica” non potrebbe comunque essere estesa oltre il suo significato comune, relativo ad un progetto di ricerca «set up in accordance with relevant sector-related methodological and ethical standards».

Il GDPR contiene talune norme di favore nei confronti della ricerca e di coloro che trattano dati personali nel quadro delle attività ad essa pertinenti: la prima concerne l’eccezione relativa a due dei principi generali che orientano il trattamento dei dati personali, quello della limitazione della conservazione dei dati personali nel tempo e quello della limitazione dello scopo da perseguirsi mediante il trattamento.

Quanto al fattore tempo, l’art. 5 stabilisce che i dati siano «conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati».

Questa durata può essere estesa, a condizione che ciò avvenga per il perseguimento di una finalità di ricerca scientifica.

Secondo l’ordinamento italiano, il trattamento dei dati a fini di ricerca scientifica «può essere effettuato anche oltre il periodo di tempo necessario per conseguire i diversi scopi per i quali i quali i dati sono stati in precedenza raccolti o trattati» e «possono comunque essere conservati o ceduti ad altro titolare i dati personali dei quali, per qualsiasi causa, è cessato il trattamento nel rispetto di quanto previsto dall’art. 89 par. 1 del Regolamento», purché siano imposte «garanzie adeguate per i diritti e le libertà dell’interessato» (art. 99 d.lgs. 196/2003).

Per quanto concerne l’eccezione relativa allo scopo cui il trattamento dei dati mira, il medesimo art. 5 prevede che i dati personali siano «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità»

Tuttavia, è lo stesso Regolamento a precisare che «in molto casi non è possibile individuare pienamente la finalità del trattamento dei dati personali ai fini di ricerca scientifica al momento della raccolta dei dati» (Recital 33).

A tal proposito, l’art. 6 sancisce che, al fine di verificare se il trattamento per un’altra finalità sia compatibile con quella per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamenti tiene conto: a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto; b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento; c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10; d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati; e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

Sempre in virtù della difficoltà di predeterminare tutti i possibili obiettivi di ricerca con precisione, il Recital 33 stabilisce che «dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle normative deontologiche riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista».

Secondo il WP29, tale previsione non deve interpretarsi in senso disapplicativo dell’obbligo di ottenere un consenso specifico, bensì essa consentirebbe, nei casi in cui gli obiettivi della ricerca non possano essere “pienamente specificati”, che siano decritti a livello più generale. Tuttavia, la tematica dell’estensione del consenso non risulta pienamente chiarita.

Quanto alla base giuridica per il trattamento dei dati personali, nel caso in cui siano trattati dati “ordinari”, essa è rinvenibile all’art. 6 che individua una pluralità di criteri (ad esempio, il legittimo interesse del titolare al trattamento ovvero l’esecuzione di un compito di interesse pubblico), tra i quali il consenso rappresenta soltanto una delle condizioni di legittimità del trattamento.

L’art. 110 del Codice della privacy prevede una pluralità di ipotesi in cui il consenso non è necessario ai fini della ricerca scientifica in campo medico, biomedico o epidemiologico.

In tali casi, la normativa prevede che il titolare del trattamento adotti misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato e che il programma di ricerca sia oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e sia sottoposto a preventiva consultazione del Garante.

Per quanto concerne, invece, i dati sensibili, l’art. 9 par. 2, posto un generale divieto di trattamento, individua alcune condizioni di legittimità in via d’eccezione, fra le quali rientra -come alternativa- il consenso esplicito al trattamento dei dati (lett. a).

Al verificarsi delle altre condizioni indicate, pare quindi che, anche in assenza di tale consenso, il trattamento dei dati sia da ritenersi legittimo.

Secondo l’art. 110 bis Codice della privacy «Il Garante può autorizzare il trattamento ulteriore di dati personali, compresi quelli dei trattamenti speciali di cui all’articolo 9 del Regolamento, a fini di ricerca scientifica o a fini statistici da parte di soggetti terzi che svolgano principalmente tali attività quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, a condizione che siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, in conformità all’articolo 89 del Regolamento, comprese forme preventive di minimizzazione e di anonimizzazione dei dati».

Tuttavia, si specifica che «Non costituisce trattamento ulteriore da parte di terzi il trattamento dei dati personali raccolti per l’attività clinica, a fini di ricerca, da parte degli Istituti di ricovero e cura a carattere scientifico, pubblici e privati, in ragione del carattere strumentale dell’attività di assistenza sanitaria svolta dai predetti istituti rispetto alla ricerca, nell’osservanza di quanto previsto dall’articolo 89 del Regolamento».

Si segnala, infine, che lo stesso Regolamento sollecita il ricorso a strumenti di co-regolazione che potrebbero risultare efficaci a garantire un’uniforme implementazione del GDPR: l’art. 40 propone, infatti, «l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento».

Tali atti «potrebbero calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le libertà delle persone fisiche».

Per approfondimenti, assistenza e consulenza sul trattamento dati in ambito di ricerca medica e biomedica,

CONTATTACI senza impegno.

1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 4,67 out of 5)
Loading...

Lascia un commento

Your email address will not be published.