Ricerca medica e protezione dei dati

Ricerca in area sanitaria e protezione dei dati: negli ultimi due giorni si sono rincorsi sul web commenti e prese di posizione divergenti in relazione sul testo del nuovo art. 110-bis del Codice Privacy introdotto dalla legge Europea 20 novembre 2017 n. 167 che introdurrebbe modifiche alla disciplina della protezione dei dati in area di ricerca scientifica medica.
Mettiamo a fuoco il quadro giuridico, per poi valutare l’impatto della nuova norma.

Disciplina del Codice Privacy

Il DLgs 196/2003 (Codice Privacy) stabilisce che i dati sanitari possono essere trattati ai fini di ricerca previa autorizzazione del Garante e consenso del paziente.
Circa il primo requisito il Garante è intervenuto nel corso degli anni ad emanare autorizzazioni generali in ambito di ricerca scientifica ex art. 40, di cui l’ultima è Autorizzazione n. 9/2016 che espressamente (punto 11) resterà in vigore fino al 24 maggio 2018 (alla data di piena applicazione del Reg. UE 2016/679).

Circa l’obbligo del consenso dell’interessato (paziente) questo è sempre richiesto tranne in tre casi espressamente elencati all’art. 110: più esattamente

• quando la ricerca è prevista da un'espressa disposizione di legge che prevede specificamente il trattamento
• quando la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502 ( previa comunicazione al Garante ai sensi dell'articolo 39)
• quando a causa di particolari ragioni non è possibile informare gli interessati (e vi è motivato parere favorevole del competente comitato etico).

Reg. UE 206/679

Il nuovo Reg. UE 206/679 sulla data protection – già oggi in vigore e con piena efficacia dal 25 maggio 2018 – rivoluziona radicalmente tale assetto normativo.

L’art. 5 alla lettera b) sui principi del trattamento sancisce infatti espressamente che la finalità di ricerca è trattamento compatibile con la finalità iniziale per la quale i dati sono stati raccolti (c.d secondary use), a patto che vengano applicate le prescrizioni dell’art. 89 comma 1.
Il successivo art. 9 sul consenso al trattamento di categorie particolari di dati (tra cui rientrano i sensibili ed i genetici) al comma 2 lett. j) stabilisce poi che il consenso non è richiesto per i trattamenti di ricerca scientifica, sempre a condizione che si applichino le garanzie di cui all’art. 89 comma 1.

Tale ultima norma (più volte richiamata) stabilisce, a sua volta, che il trattamento a fini di ricerca scientifica deve garantire i diritti e le libertà dell’interessato e che tali garanzie coinvolgono in particolare misure tecniche ed organizzative atte ad assicurare il principio di minimizzazione e l’applicazione della tecnica di pseudoanonimizzazione.
Su tale quadro giuridico - che fino al 24 maggio 2018 delimita la ricerca entro il perimetro dell’autorizzazione del Garante e del consenso dell’interessato, mentre allarga le maglie dopo tale data ai soli requisiti dell’art. 89 comma 1 - cala la legge 167/2017 (legge Europea 2017) che introduce nel nostro Codice Privacy l’art.110-bis.

Tale norma, titolata “Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici”, così sancisce:

1. Nell'ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.

2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell'ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza.

In sostanza, a 5 mesi dalla piena applicazione del Regolamento UE 2016/679 - che non prevede più l’istituto dell’autorizzazione del Garante e che ammette ricerca come secondary use dei dati senza richiedere specifico consenso - il Legislatore Nazionale introduce una disciplina che ammette sì la ricerca come secondary use - escludendo però tale possibilità per genetici - mantenendo però l’obbligo di richiesta di autorizzazione del Garante.

Le domande che sorgono spontanee sono: qual è la motivazione che spinge il legislatore nazionale a prendere queste iniziativa a 5 mesi dalla piena efficacia del reg. UE 2016/679? siamo proprio sicuri che tale nuova disciplina possa poi reggere ad un vaglio di compatibilità con il Regolamento che ha cancellato l’istituto della autorizzazione del Garante?
Un’ultima valutazione: non sarebbe meglio dare alla ricerca italiana - che già fatica - un quadro giuridico chiaro evitando queste confuse stratificazioni normative?