La protezione dei dati personali e la ricerca medica in Italia: tra rigidità e necessità di innovazione

La protezione dei dati personali e la ricerca medica in Italia: tra rigidità e necessità di innovazione

Intervista a Giusella Finocchiaro1

1Professoressa ordinaria di Diritto privato e diritto di internet, Alma Mater Studiorum Università di Bologna.

È vero che la ricerca medica, biomedica ed epidemiologica in Italia ha una disciplina maggiormente rigorosa rispetto agli altri Paesi dell’Unione europea come Spagna, Germania e Francia? 

È possibile ravvisare notevoli differenze nell’ambito della disciplina del trattamento di dati personali per fini di ricerca tra gli Stati membri dell’Unione europea, in ragione dello spazio di discrezionalità che il legislatore europeo ha lasciato ai Paesi europei nell’ambito del Regolamento (UE) 2016/679, il cosiddetto Gdpr. Il Regolamento, infatti, prevede che gli Stati membri possano introdurre deroghe ai diritti degli interessati, nonché mantenere o introdurre ulteriori condizioni e limitazioni con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.

In Italia vige una disciplina che pone dei vincoli alla condivisione e alla circolazione dei dati, soprattutto sanitari, anche per fini di ricerca. Essa non c’è, invece, in altri Paesi europei che semplicemente rinviano al Regolamento.

Nel nostro Paese, inoltre, è significativa la scelta del legislatore italiano il quale, già dal 1996, nell’omettere il riferimento alla libera circolazione dei dati personali, ha effettuato una scelta che ha poi segnato un netto orientamento successivo, del Garante e anche degli interpreti, costituito dal concentrarsi in maniera pressoché esclusiva sulla protezione dei dati personali. Lo scenario italiano è stato dunque fortemente condizionato, fin dall’inizio. Ciò spiega alcune rigidità oggi persistenti nell’interpretazione del Regolamento e la difficoltà ancora permanente nell’applicazione del criterio del bilanciamento.

Le procedure più solide di pseudonimizzazione e uso di chiavi correttamente costruite possono rappresentare uno strumento per le attività di ricerca medica, biomedica ed epidemiologica, anche senza il consenso dell’interessato? Per esempio: le tecniche di cifratura omomorfica (ove scalabile) e di “dati sintetici” possono costituire base per la costituzione di un sandbox ove poter svolgere le attività di cui sopra, senza dover raccogliere il consenso?

La normativa in materia di protezione dei dati personali non si applica esclusivamente ai dati anonimi, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile ovvero dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Pertanto, come recita il considerando n. 26 del Regolamento, i dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, sono considerati informazioni su una persona fisica identificabile; pertanto, anche ai dati pseudonimizzati si applicano le norme del Regolamento e ogni adempimento ivi previsto, inclusa l’individuazione di una idonea base giuridica per il loro trattamento. Il consenso è solo una delle molteplici condizioni di liceità del trattamento di dati personali, che potrebbe anche fondarsi su altri presupposti di legittimità, i quali si collocano, dal punto di vista giuridico, esattamente sullo stesso piano del consenso.

Ragionando de iure condendo, sarebbe senz’altro auspicabile superare la logica del consenso per i dati pseudonimizzati, trattati per finalità diverse da quelle di cura, diagnosi e terapia, per le quali, come è noto, il consenso comunque non è necessario.

Con riguardo al trattamento dei dati sanitari per finalità di ricerca scientifica, in particolare, sarebbe opportuno promuovere standard di pseudonimizzazione condivisi in sede nazionale e ritenuti dalla comunità scientifica sicuri, affinché in futuro si possa giungere a sostituire il consenso con un’informazione di carattere generale, garantendo all’interessato la possibilità di esercitare eventualmente un opt-out. La proposta di Regolamento europeo sulla circolazione dei dati sanitari (c.d. European Health Data Space) muove proprio in questa direzione, prevedendo la comunicazione di dati in forma anonimizzata o pseudonimizzata e una governance ad hoc.

La disposizione del comma 1bis dell’art. 2sexies del D.lgs. 196/2003 prevede che l’interconnessione dei flussi amministrativi sanitari per finalità compatibili con quelle sottese al trattamento originario possa essere effettuata dalle Regioni con le modalità e per le finalità fissate con decreto del Ministro della salute. A suo parere tale disposizione limita gli ambiti di operatività, anche in termini di ricerca, per le Regioni?

Molto dipende da come sarà esercitato questo potere normativo. Potenzialmente potrebbe essere l’occasione giusta per consentire e promuovere l’uso secondario, purché compatibile, di dati anche sanitari e, pertanto, la loro circolazione.

Ai sensi dell’art. 2-sexies del D.lgs. 196/2003 possono le Regioni (anche ad appannaggio delle Aziende sanitarie) disciplinare con legge, regolamento o atto amministrativo generale il riutilizzo dei flussi amministrativi sanitari a fini di ricerca?

Il tema è senz’altro complesso e per rispondere occorre prendere le mosse dall’art. 117 della Costituzione che ripartisce le competenze tra Stato e Regioni. Nel caso della ricerca scientifica, la competenza è concorrente, pertanto, le Regioni potrebbero intervenire in materia, a condizione che siano osservati i principi fondamentali fissati dallo Stato e nel rispetto degli eventuali interventi statali volti a garantire il carattere unitario della disciplina e a regolare quelle attività di ricerca strumentali e intimamente connesse alle funzioni statali.

A suo parere qual è il punto di equilibrio tra protezione del dato individuale e interesse collettivo (cfr. slogan Garante: “Se proteggi i tuoi dati, proteggi te stesso”1)?

Il diritto alla protezione dei dati personali è un diritto fondamentale ma non assoluto, che richiede sempre un necessario confronto e una necessaria modulazione con altri diritti. Questo è, in effetti, il cuore del Regolamento europeo che non soltanto ha posto il bilanciamento al centro, ma che sul bilanciamento è addirittura imperniato. Sempre più si è modificato il baricentro della normativa sulla protezione dei dati personali, che non può essere vista come fosse chiusa su se stessa, ma invece sempre e necessariamente in relazione con altri diritti.

Dinanzi a diritti e interessi come quello alla sanità pubblica o alla ricerca scientifica, il diritto alla protezione dei dati personali potrebbe adattarsi, prediligendo la circolazione e la condivisione, protetta, dei dati. Occorrerebbe dunque procedere a una riforma normativa, che consenta di superare la complessità, la frammentarietà e l’inefficacia della normativa vigente, che consenta di razionalizzare, semplificare e valorizzare i dati personali e sanitari.

Il Regolamento (UE) 2016/679 attiene «alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati». Si è dunque confermato oggi, così come in passato, il duplice oggetto della normativa: insieme la protezione dei dati personali e la libera circolazione dei dati. Questa consapevolezza è poi divenuta sempre più forte e ha costituito il fondamento di alcune recenti iniziative legislative, come il Data Act, il Data Governance Act e lo European Health Data Space, di cui la circolazione e la valorizzazione dei dati costituiscono gli obiettivi.