Cambiano le regole per la ricerca scientifica in campo medico, biomedico ed epidemiologico, all’insegna della semplificazione e della responsabilità
Le nuove regole, in vigore dal 1° maggio, chiamano gli Enti ed Istituti di ricerca ad un ulteriore assunzione di responsabilità per l’impiego di dati personali nei programmi di ricerca medica, biomedica ed epidemiologica
La significativa modifica di cui si discute interessa il Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, ed è stata apportata in sede di conversione del decreto-legge 2 marzo 2024 n. 19, recante “Ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR)”.
In particolare, il decreto-legge PNNR conteneva già delle modifiche significative all’articolo 2-sexies del Codice privacy, norma che rappresenta, nell’ordinamento italiano, il punto di riferimento per il trattamento di dati sensibili nel settore pubblico, rubricato “trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante’.
Ma soltanto in sede di conversione si è messo mano all’art. 110, relativo alla ricerca scientifica nel campo medico, biomedico ed epidemiologico. La legge di conversione è stata pubblicata nella GU 30 aprile 2024, n. 100, ed è entrata in vigore il giorno successivo ( 1° maggio ).
In breve, la nuova formulazione dell’art. 110 non contiene più l’obbligo di una consultazione preventiva del Garante e permette lo svolgimento della ricerca medica sulla base delle misure di garanzie previste dall’articolo 106, comma 2, lettera d), dello stesso Codice.
Prima di delineare una panoramica generale dei possibili passaggi successivi, è necessario comprendere il contesto specifico di riferimento, la natura e l’ambito della riforma stessa nonché i suoi obiettivi specifici.
Quanto al contesto, il legislatore non da una definizione di ricerca per cui è demandato all’interprete il compito di ricostruirne il significato normativo al fine di poter individuarne gli esatti confini applicativi.
Il primo riferimento va rintracciato tra i principi fondamentali, che contempla la ricerca scientifica come un motore per favorire l’innovazione, la crescita delle personalità dei singoli individui nonché dell’intera compagine sociale. È per tale imperativa ragione che « La Repubblica promuove lo sviluppo della cultura e della ricerca scientifica » (art. 9 Cost.), che viene dichiarata la libertà della scienza e del suo insegnamento (art. 33 Cost) e che l’Unione si è posta l’obiettivo di istituire uno spazio europeo della ricerca (art. 179, paragrafo 1, TFUE).
In tale quadro valoriale può esser collocato il contributo che, allo scopo di definire la ricerca scientifica in ambito privacy, ci viene dato dal Comitato Europeo per la protezione dei dati personali (Linee Guida 5/2000), secondo cui per “ ricerca scientifica ” deve intendersi un progetto di ricerca istituito in conformità con le pertinenti norme metodologiche e deontologiche settoriali, in linea con le buone prassi. In altre parole, davanti a un fenomeno di cui non si conoscono le cause, le interazioni tra esse ed il resto del mondo, le leggi di funzionamento e gli sviluppi possibili, l’esplorazione con metodo scientifico consente di raggiungere risposte validate grazie a metodologie e deontologie settoriali. Cioè, grazie all’operosità dalla comunità scientifica.
In tale scenario fatto di valori normativi, metodologici e deontologici fondanti la ricerca scientifica, il Regolamento sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali (Regolamento UE 2016/679) prevede misure di semplificazione per la ricerca scientifica.
Se un progetto di ricerca comporta, il più delle volte, il trattamento di dati personali è necessario proteggere le persone e, al contempo, favorire la circolazione dei dati quale momento imprescindibile per poter realizzare la ricerca. L’equilibrio tra tali contrapposte esigenze si situa a livello di diritti fondamentali, essendo anche il diritto alla protezione dei dati personali riconosciuto come tale (art. 8 Carta dei diritti fondamentali dell’Unione europea, art. 2 Cost.), e si realizza sul piano normativo attraverso “ garanzie adeguate “ per i diritti e le libertà dell’interessato e deroghe per semplificare le attività di ricerca (art. 89 Gdpr). Sul versante dell’ordinamento interno, tali garanzie sono dettate dall’art. 110 proprio per la ricerca medica, biomedica ed epidemiologica.
Passiamo ora ad analizzare la natura e l’ambito della riforma, che elimina la consultazione preventiva del Garante e demanda alle regole deontologiche – sempre competenza del Garante – la fissazione delle misure di garanzie.
L’art. 110 è una norma di fondamentale importanza poiché, mentre il Gdpr è neutrale rispetto alla base giuridica di attività di ricerca in ambito clinico, nell’ordinamento interno l’unica condizione di liceità per condurre programmi di ricerca medica, biomedica ed epidemiologica è rappresentata dal consenso (non l’obbligo normativo, il legittimo interesse del Titolare o l’interesse pubblico).
Fissata la regola, l’art. 110 ne costruisce subite le eccezioni, indicando due casi in cui il consenso dell’interessato non è necessario:
a) quando la ricerca è effettuata in base a disposizioni normative;
b) quando la raccolta del consenso non è procedibile.
Quest’ultima eccezione, che più di tutte ha sollevato dubbi e preoccupazioni sul piano applicativo, è quella interessata dalla riforma: nelle ipotesi in cui «informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca» non sarà più necessario sottoporre il progetto di ricerca alla preventiva consultazione del Garante. L’intervento del Garante non è eliminato tout court giacché in sostituzione dell’autorizzazione preventiva, specifica per ogni progetto di ricerca, il Garante dovrà intervenire prevedendo misure generali, valevoli per una pluralità di progetti, attraverso le regole deontologiche (art. 106 Codice privacy).
L’obiettivo della riforma è chiaramente quello di semplificare e velocizzare lo svolgimento degli adempimenti privacy a beneficio di chi svolge ricerca medica, biomedica ed epidemiologica, senza voler incidere però sulle garanzie adeguate per i diritti e le libertà delle persone. E ne è evidente la ratio: se in linea generale è riconosciuta l’importanza della ricerca come fattore di sviluppo, tanto individuale quanto sociale, la ricerca medica, biomedica ed epidemiologica è strettamente legata con l’attività di cura del paziente e, quindi, strettamente intessuta con il diritto alla salute inteso «come fondamentale diritto dell’individuo e interesse della collettività» (art, 32 Cost.).
Delineati il contesto specifico di riferimento, la natura e l’ambito della riforma stessa nonché i suoi obiettivi specifici, possiamo avanzare ipotesi sui possibili riflessi che la riforma porta con sé. Su diversi piani.
Sul piano delle governance, il Garante è chiamato a verificare e sistematizzare le misure di garanzia oggi vigenti per i trattamenti aventi finalità di ricerca medica, biomedica ed epidemiologica, contenute nelle regole deontologiche per trattamenti a fini statistici o di ricerca scientifica (Provv Garante n. 515/2018) e nelle prescrizioni relative al trattamento per finalità di ricerca medica, biomedica ed epidemiologica (Provv. Garante n. 146/2019).
Quest’opera di riordinamento regolatorio dovrà condurre, secondo le prescrizioni della riforma, a «garanzie da osservare ai sensi dell’articolo 106, comma 2, lettera d), del presente codice», cioè all’adozione di regole deontologiche per i casi in cui si può prescindere dal consenso dell’interessato. Lo strumento delle regole deontologiche è considerato imprescindibile dal legislatore poiché il loro rispetto è condizione di liceità del trattamento e, tra l’altro, sono sottoposte a consultazione pubblica. Pertanto, anche la comunità scientifica sarà chiamata a fare la sua parte nella formazione delle regole da applicare alla ricerca scientifica.
Sul piano squisitamente applicativo, gli Enti e Istituti di ricerca potranno da subito beneficiare della semplificazione normativa, non dovendo più ricorrere alla consultazione preventiva del Garante e potendo avviare i rispettivi programmi di ricerca sulla base delle prescrizioni vigenti. Indubbiamente, si tratta di un passo significativo nella direzione del dinamismo di quelle attività di ricerca che intersecano la dimensione del diritto fondamentale alla salute. Ma, è bene evidenziare che ad essa si accompagna una forte assunzione di responsabilità.
I centri di ricerca, e per essi i titolari del trattamento e i responsabili della protezione dei dati, dovranno farsi carico di una scrupolosa e diligente verifica circa la sussistenza dei requisiti che consentono di avviare una ricerca senza il consenso degli interessati, con la consapevolezza che il momento di confronto con l’autorità di controllo non avverrà, se avverrà, nella sede favorevole della consultazione preventiva.
_______
*A cura di Gianluca Fasano, Consiglio Nazionale delle Ricerche - Istituto di Scienze e Tecnologie della Cognizione (CNR-ISTC)