Le nuove regole privacy per gli studi retrospettivi: la vittoria dell’accountability nella ricerca scientifica

L’approvazione dell’emendamento all’art. 110 del Codice Privacy sembra aprire una nuova era del trattamento dei dati a fini di ricerca scientifica.

Lo scorso 29 aprile è stato pubblicato in Gazzetta Ufficiale il decreto “PNRR bis”, che ha apportato l’attesa modifica alla norma che disciplina il trattamento di dati personali a fini di ricerca medica, biomedica ed epidemiologica.

L’eliminazione dell’obbligo di consultare il Garante Privacy per poter svolgere studi retrospettivi senza il consenso dei pazienti è il lodevole risultato raggiunto dalla riforma.

Una scelta di buon senso, che agevola la ricerca scientifica – settore da sempre “favorito” nella ratio del GDPR – e che nulla toglie alle garanzie di protezione dei dati dei pazienti. Vediamo perché.

Le criticità che presentava l’art. 110

Fino ad ora, quando era impossibile raccogliere il consenso del paziente per un trial clinico (situazione tipica degli studi retrospettivi), era obbligatorio – oltre al motivato parere favorevole del comitato etico e alla redazione di una valutazione di impatto (DPIA) ex art. 35 GDPR – anche rivolgersi direttamente al Garante Privacy tramite lo strumento della consultazione preventiva (art. 36 GDPR).

Con un conseguente allungamento dei tempi della ricerca.

Il tutto, a fronte di rischi per i pazienti non certo “elevati” come quelli che richiedono ai sensi dell’art. 35 la redazione obbligatoria della DPIA.

Basti pensare, ad esempio, che ai dati trattati nell’ambito degli studi clinici viene applicata la pseudonimizzazione, misura di sicurezza già, a monte, considerata adeguata dall’art. 32 del GDPR per la tutela della riservatezza dei dati.

Anche la DPIA, che ai sensi dell’art. 35 GDPR è necessaria quando un trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” può essere considerata forse un adempimento sproporzionato in considerazione del rischio effettivo per i pazienti. Rischio che, nella sostanza, si riduce all’eventualità che i loro dati – pseudonimizzati – perdano il requisito della riservatezza. Trattandosi di dati non anonimi ovviamente non si può escludere in assoluto che non possano essere ricondotti al paziente. È innegabile che però questa riassociazione possa essere estremamente complessa.

Non a caso il Tribunale dell’Unione Europea con la sentenza del 26 aprile 2023 (causa T-557/20) ha definito i dati pseudonimizzati, trasmessi a un destinatario che non ha a disposizione i mezzi per reidentificare gli interessati, come dati sostanzialmente anonimi. Casistica non rara nel campo della ricerca: si pensi alla trasmissione dei dati dal centro sperimentatore allo sponsor.

Inoltre, anche nell’ipotesi di eventuali perdite di integrità o disponibilità dei dati – che, certo, impatterebbero sui risultati della ricerca in sé – difficilmente sarebbero configurabili ricadute sugli interessati, nemmeno ad esempio, in termini di danni alla salute. L’art. 110 del Codice riguarda, infatti,  per la maggior parte l’ambito degli studi osservazionali piuttosto che quelli interventistici.

In ogni caso effettuare la DPIA non è mai sbagliato. Si tratta di un adempimento strategico per tenere sotto controllo qualunque trattamento di dati. Proprio per questo – e correttamente – le Linee Guida del Gruppo di lavoro Articolo 29 wp248 suggeriscono di svolgerla anche quando non strettamente obbligatorio. La realizzazione di una valutazione d'impatto sulla protezione dei dati, infatti, contribuisce alla verifica della conformità giuridica di un trattamento ed è utile a prevenire violazioni di dati.

Ma la consultazione preventiva è qualcosa di diverso. Si tratta di un istituto palesemente previsto come residuale dal Regolamento, erede di una precedente impostazione normativa che accentrava i compiti di supervisione in capo all’Autorità di controllo.

Compiti che, a partire dalla sua entrata in vigore nel 2016, il GDPR ha in buona parte “spostato” nelle mani DPO, pur senza attribuirgli funzioni pubbliche, e comunque affidando la responsabilità delle scelte sul trattamento dei dati al solo potere decisionale del Titolare. Con uno strumento di presidio in meno, chiaramente, per quelle organizzazioni che il DPO non lo hanno nominato.

Proprio in questo consiste l’accountability del Titolare: fulcro del (ormai non più tanto) “nuovo” Regolamento sulla protezione dei dati, che ha fatto dell’approccio basato sul rischio il suo snodo rivoluzionario.

Un approccio che era stato sconfessato da quella che ormai, fortunatamente, possiamo definire la precedente impostazione dell’art. 110, dove il “rischio elevato” per i pazienti negli studi retrospettivi veniva ritenuto presunto per il solo fatto di non aver potuto raccogliere il loro consenso.

Ma il tempo in cui la base giuridica del consenso era considerata centrale rispetto al trattamento dei dati è ormai passato. Non solo il GDPR colloca tutte le basi giuridiche sullo stesso piano, ma il consenso è stato in più occasioni individuato come un fondamento legale inadeguato (v. le Linee Guida del Gruppo di lavoro Articolo 29 wp249 e wp259). In particolare, con riferimento alla ricerca, l’European Data Protection Supervisor (EDPS) nel suo parere preliminare sulla protezione dei dati e la ricerca scientifica chiarisce che “Ci possono essere circostanze in cui il consenso non è la base giuridica più adatta per il trattamento dei dati, e dovrebbero essere presi in considerazione altri motivi legittimi sia ai sensi dell'articolo 6 che dell'articolo 9 GDPR”.

Cosa prevede il “nuovo” art. 110

La formulazione seguita alla modifica normativa – molto attesa a livello nazionale dai diversi stakeholder – prevede che per fini di ricerca scientifica in ambito medico, biomedico ed epidemiologico i dati possono essere trattati anche nell’impossibilità di raccogliere il consenso degli interessati sulla base di due criteri:

• sarà necessario il parere favorevole del competente comitato etico 

• e dovranno essere osservate le garanzie individuate dal Garante Privacy ai sensi dell'articolo 106, comma 2, lettera d) del Codice.

La consultazione preventiva, quindi, scompare come adempimento obbligatorio da eseguire “a prescindere”. Torna invece a essere, come nelle intenzioni del GDPR, un’attività da compiere solo se, a valle della Valutazione d’Impatto, permangono rischi residui che il Titolare non è in grado di mitigare mediante l’adozione di misure di sicurezza adeguate.

Le ricadute sul piano pratico

Da un punto di vista operativo la semplificazione per le organizzazioni e gli enti di ricerca è evidente, sia in termini di attività da realizzare sia di tempistiche per la conduzione dei progetti.

Ma la privacy non sparisce: il Garante è chiamato a intervenire sulle misure di garanzia in vigore allo stato attuale, presenti all’interno delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica (provv. n. 515/2019) e delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca (provv. n. 146/2019) individuando regole deontologiche per i casi in cui il consenso dell’interessato non è necessario. 

E i ricercatori saranno tenuti al rispetto di queste garanzie e a verificare volta per volta di poter avviare uno studio clinico a prescindere dal consenso degli interessati.

Perché attenzione: il testo novellato dell’art. 110 non rappresenta un via libera generalizzato agli studi retrospettivi. Non viene escluso in assoluto che gli studi retrospettivi potranno comportare un rischio elevato, eventualmente non mitigabile: ma questo andrà verificato nel caso concreto, di volta in volta, da ogni Titolare del trattamento.

E così sul piano dell’accountability il cerchio si chiude: la riforma è dell’art. 110 è una vittoria del principio di responsabilizzazione, che da sempre il Regolamento eleva a criterio cardine della data protection. 

E il favor per la ricerca scientifica che il GDPR manifesta in maniera evidente (si pensi agli artt. 5.1-b, 9.2-j e 89) sembra ora essere stato percepito anche dalla legislazione nazionale, sul presupposto che la ricerca offre un vantaggio per l’intera comunità e che il progresso scientifico del Paese sia un bene collettivo da tutelare, promuovere e incentivare. 

Ricerca Scientifica e Privacy

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA