Legge europea e riutilizzo dei dati per finalità di ricerca o per scopi statistici. Modifiche al Codice privacy

Con l’art. 29 della L. 167/2017 (Legge europea 2017) il Parlamento italiano ha provveduto a disciplinare il riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici, subordinato ad autorizzazione del Garante previa applicazione di misure di sicurezza volta alla minimizzazione o all’anonimizzazione dei dati, introducendo, nel Codice in materia di protezione dei dati personali, l’art. 100 bis, del seguente tenore:

«Art. 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici).

1. Nell’ambito delle finalita’ di ricerca scientifica ovvero per scopi statistici puo’ essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.

2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza».

La norma conferisce al Garante il potere di sindacare il bilanciamento tra tutela dell’interesse individuale alla protezione dei propri dati personali, anche di natura sensibile, e quelli al loro trattamento per finalità di ricerca scientifica o statistica. Per un primo commento, si veda l’intervista del Presidente del Garante, Antonello Soro

L’intervento dell’Autorità di controllo non risulta invece previsto nel nuovo regolamento europeo (GDPR),  all’art. 89 GDPR (dedicato proprio alle “Garanzie e deroghe relativi al trattamento per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici”), richiamato anche dall’art. 5, par. 1, lett. b), GDPR (in tema di principio di finalità). Tali norme  non si riferiscono espressamente al concetto di “riutilizzo” (che allude all’utilizzo di dati da parte di un altro titolare, a cui verrebbero trasferiti i dati per motivi di ricerca scientifica o per scopi statistici), ma ai trattamenti posti in essere per finalità ulteriori rispetto a quelle originariamente determinate.

In un’intervista ad un quotidiano, il Presidente del Garante ha commentato così il testo della nuova Legge europea 2017:

“(…) la norma della legge europea 2017 sul riutilizzo dei dati sanitari a fini di ricerca scientifica e statistica ha suscitato molti commenti e diverse polemiche, spesso di segno opposto. Capisco che il tema, per le sue implicazioni di ordine etico e per la sua complessità tecnica, possa suscitare perplessità. E tuttavia mi sembra che quella disposizione, in combinazione con il generale sistema giuridico di protezione dei dati personali, possa comunque consentire puntuali garanzie per conciliare da un lato, l’esigenza di fare avanzare la medicina favorendo la ricerca scientifica, la competitività e l’evoluzione tecnologica e, dall’altro, quella di proteggere il diritto alla riservatezza e la dignità dei pazienti.

Va prima di tutto ricordato che l’ordinamento europeo non impedisce il riuso dei dati per finalità di ricerca scientifica: ma lo condiziona a precise procedure di cautela, sulla base di un rigoroso bilanciamento tra il diritto alla privacy degli interessati e altre rilevanti finalità di interesse pubblico.

La norma della legge europea [sott.: Legge 167/2017, n.d.r.], oggetto dell’attuale dibattito, contiene almeno due indicazioni importanti. Innanzitutto qualunque progetto di riutilizzo dei dati sulla salute per essere sottoposto al vaglio del Garante e ottenerne il via libera dovrà dimostrare, preventivamente, in linea con il principio di responsabilizzazione introdotto dal nuovo Regolamento europeo sulla privacy, di aver predisposto adeguate misure di protezione dei dati.

Dovrà in particolare essere documentata l’adozione di idonei accorgimenti tali da ridurre, ragionevolmente, i rischi di re-identificazione degli interessati.

L’attuale contesto tecnologico è infatti caratterizzato dalla crescente digitalizzazione degli archivi sanitari, dall’aumento esponenziale della circolazione dei dati in via telematica e da nuove e sofisticate potenzialità di elaborazione da parte di soggetti i quali non hanno un rapporto diretto con gli interessati.

Tutto questo, unitamente all’utilizzo di strumenti sempre più raffinati di re-identificazione e profilazione, sulla base di logiche il più delle volte imprevedibili e inaccessibili agli stessi interessati, ci mostrano come gli istituti tradizionali di garanzia, quali l’informativa e il consenso rischiano di non essere più, da soli, strumenti efficaci per la protezione dei dati dei pazienti.

E d’altra parte, nella disciplina italiana della privacy nell’ambito della ricerca medica, da molti anni, l’autorizzazione del Garante consente di derogare al consenso e all’informativa individuale, in presenza di specifici requisiti, quali ad esempio, il parere favorevole del comitato etico e la difficoltà di ricontattare gli interessati a causa del loro ingente numero.

Il provvedimento di autorizzazione del Garante previsto dalla norma in questione, assistito dall’istituto del silenzio-rigetto, va visto come un presidio di tutela incisivo e tutt’altro che generico. Spetterà infatti all’Autorità non solo valutare l’idoneità delle soluzioni adottate ma anche stabilire le misure informatiche, organizzative e contrattuali, necessarie per la protezione dei dati. E spetterà al soggetto che possiede i dati, sia esso la Regione o la ASL, predisporre un sistema di tutele per i diritti degli interessati, secondo il principio della privacy by design.

Naturalmente l’Autorità dovrà vigilare ed esercitare tutti i necessari controlli perché non vengano disattese le misure a garanzia dei cittadini: un compito che intende svolgere con rigore e senso di responsabilità”.

 

Leave a Reply

Your email address will not be published. Required fields are marked *