Privacy e ricerca scientifica: le nuove linee guida dell’EDPB

A distanza di 5 anni da quando ne era stata prospettata la pubblicazione, il 15 aprile 2026 l’European Data Protection Board (“EDPB”) ha adottato le Guidelines 1/2026 sul trattamento di dati personali per finalità di ricerca scientifica. Un testo, di oltre 60 pagine, atteso da anni non solo dagli operatori del diritto, ma specialmente da ricercatori e medici, che è ora in consultazione pubblica fino a giugno.

Il testo non è definitivo, ma è utile sin da ora analizzarlo – perlomeno nelle parti più significative – per capire in quale direzione si stanno muovendo le istituzioni europee in materia di trattamento dati per finalità di ricerca scientifica.

Va tuttavia anticipato che, perlomeno nella versione attuale, le linee guida non sono esaustive (l’EDPB stesso riconosce che “there is ample room left to, and consequently a need for, complementary Union and Member State law. The application of such laws is not addressed in the current guidelines”) e, a tratti, sembrano declinare nella cornice della ricerca scientifica principi e regole già consolidati nel Reg. (UE) 2016/679 (“GDPR”), più che elaborare soluzioni per le specifiche criticità del settore. Il valore delle presenti linee guida pare quindi prevalentemente sistematico, offrendo un punto di riferimento organico per chi opera in un ambito in cui il quadro normativo era frammentato tra considerando, norme dislocate tra vari testi normativi e orientamenti delle autorità nazionali.

In primo luogo, le linee guida chiariscono il campo di applicazione delle norme e delle deroghe previste dal GDPR in materia di ricerca scientifica – dalla presunzione di compatibilità delle finalità all’eccezione al diritto di cancellazione – precisando che queste si applicano solo se il trattamento persegue una finalità “genuinamente scientifica”. Per aiutare i titolari del trattamento a fare questa valutazione, l’EDPB propone sei fattori indicativi:

L’approccio è di tipo presuntivo: se tutti e sei i fattori sussistono, l’attività può presumersi scientifica. Se anche uno solo manca, il titolare del trattamento dovrà giustificare perché ritiene di rientrare ugualmente nell’ambito della ricerca ai sensi del GDPR.

L’esempio più immediato riguarda le analisi di marketing: un’impresa che studia i comportamenti d’acquisto dei propri clienti per orientare le campagne pubblicitarie non svolge ricerca scientifica, anche se impiega metodi statistici sofisticati. L’assenza di indipendenza dei ricercatori e la destinazione esclusivamente commerciale dei risultati bastano a escludere l’applicabilità delle norme in materia di trattamento per ricerca scientifica.

D’altra parte, le linee guida non escludono che la ricerca possa avere finalità anche commerciali, come nel caso di una società farmaceutica che conduce un trial clinico o una start-up di intelligenza artificiale che studia i bias nei modelli generativi, a condizione che soddisfino i criteri indicati. Vale però notare che curiosamente dalla proposta di Digital Omnibus nella sua ultima versione sono stati eliminati sia la definizione di ricerca scientifica sia il riferimento espresso alla ricerca condotta per finalità commerciali che comparivano invece nel testo originario.

Tra i passaggi più dubbi del documento vi è quello relativo al rapporto tra la presunzione di compatibilità delle finalità e la necessità di individuare comunque una base giuridica autonoma per il trattamento ulteriore. Sebbene la presunzione di compatibilità a favore della ricerca consenta al titolare del trattamento di evitare lo svolgimento del test di compatibilità, l’EDPB è fermo nel sostenere la necessità di rinvenire ugualmente una base giuridica idonea per il trattamento secondario per fini di ricerca. Questa potrà essere il più delle volte, secondo l’EDPB, la stessa base giuridica su cui si fondava il trattamento originario, ma occorrerà valutare caso per caso. Qualora, infatti, la base giuridica iniziale fosse il contratto o il consenso, il cambiamento di finalità potrebbe confliggere con i limiti propri di quelle basi giuridiche, rendendo necessario individuarne una diversa.

A tal proposito, è interessante segnalare che, trattando le basi giuridiche su cui può fondarsi il trattamento per fini di ricerca, l’EDPB a chiare lettere afferma che l’art. 53, 1° comma, lett. e) del Regolamento sullo spazio europeo dei dati sanitari ben potrebbe costituire la disposizione normativa che consente ai titolari del trattamento di trattare in via secondaria i dati sanitari.

Rispetto ad orientamenti passati, l’EDPB sembra più aperto alla possibilità di acquisire il c.d. broad consent quando le specifiche finalità di trattamento non sono ancora determinate, purché il consenso venga espresso almeno per area di ricerca (ad esempio, oncologia, genetica, scienze sociali ecc.) o in relazione all’obiettivo atteso (ad esempio, ricerca genetica per identificare migliori trattamenti terapeutici).

Il consenso ampio sarebbe valido per tutte le operazioni di trattamento funzionali (“ancillary”) alla ricerca, come raccolta, conservazione, trasmissione e accesso ai dati attraverso ambienti sicuri, nonché per i successivi trattamenti di dati nell’ambito di singoli progetti, purché questi restino entro l’area di ricerca indicata e le ragionevoli aspettative degli interessati. L’EDPB fa l’esempio dei pazienti il cui genoma è stato sequenziato nell’ambito di un percorso di medicina personalizzata: essi possono acconsentire a mettere i propri dati a disposizione della ricerca nel campo della genetica medica per una pluralità di progetti futuri. Il consenso ampio sarebbe valido, secondo l’EDPB, anche quando il progetto evolve verso direzioni non previste al momento della raccolta, a condizione che rimanga nell’area tematica originariamente comunicata all’interessato.

La contropartita di questa flessibilità è la necessaria adozione di garanzie compensative, articolate su due livelli. Il primo riguarda la trasparenza: il titolare del trattamento deve rendere disponibili informazioni dettagliate sull’avanzamento dei singoli progetti (ad esempio tramite una pagina web dedicata) e deve attivare canali che permettano agli interessati di ricevere aggiornamenti, anche attraverso una newsletter. Il secondo livello riguarda misure di controllo a livello strutturale: il titolare del trattamento deve valutare se istituire un organismo di supervisione indipendente (che può includere rappresentanti dei partecipanti alla ricerca, esperti del settore scientifico, esperti di protezione dei dati e, ove designato, il DPO) con il compito di esaminare i nuovi progetti prima dell’avvio e di esprimere un parere sull’adeguatezza del trattamento. Se l’attività di ricerca è già sottoposta a un meccanismo di revisione etica istituzionale, il titolare può valutare se tale organo offra una supervisione sufficientemente ampia da fungere anche da garanzia ai fini del GDPR. Tra le altre misure l’EDPB poi cita: la fissazione di limiti temporali di validità del consenso e sistemi di controllo degli accessi gestiti da un fiduciario dei dati indipendente (c.d. data trustee).

Come è noto, la ricerca scientifica pone sfide significative sul fronte della trasparenza, soprattutto quando i dati non provengono direttamente dagli interessati. Le linee guida ripercorrono le eccezioni all’obbligo di informativa previste dall’art. 14 GDPR, precisando che vanno interpretate restrittivamente e non invocate come prassi ordinaria.

Sul versante dello sforzo sproporzionato – la deroga più frequentemente richiamata nel settore della ricerca – l’EDPB offre alcune situazioni esemplificative: si ravvisa sforzo sproporzionato in caso di numero elevato di interessati con dati di contatto obsoleti oppure in caso di impossibilità di reperire recapiti aggiornati con mezzi ragionevoli, o ancora qualora il dataset sia stato raccolto molto tempo addietro (“older than ten years”). L’esonero dall’informativa individuale non esime però dal fornire le informazioni con altri mezzi, tra i quali l’EDPB cita la pubblicazione sul sito, affissione in luoghi frequentati dai soggetti interessati, comunicazione attraverso associazioni rappresentative o canali media locali.

In merito ai contenuti informativi, è interessante notare che le linee guida specificano un’ulteriore indicazione rispetto a quanto previsto dagli artt. 13 e 14 del GDPR: gli interessati devono essere informati, prima dell’avvio del trattamento, che una volta anonimizzati i loro dati non sarà più possibile estrarre informazioni individuali dal dataset aggregato né comunicare loro esiti specifici, come, ad esempio, i risultati di esami clinici condotti nell’ambito dello studio. A seguito dell’anonimizzazione, tali informazioni cessano di essere dati personali, pertanto la loro comunicazione all’interessato non è più dovuta, fermo restando che gli interessati possono continuare a ricevere informazioni generali e aggregate sull’andamento della ricerca e sui suoi risultati.

La sezione dedicata all’attribuzione della responsabilità è forse quella che più direttamente interessa gli operatori coinvolti in progetti multicentrici.

L’EDPB ribadisce che la qualifica di titolare del trattamento discende dalla partecipazione effettiva alla determinazione delle finalità e dei mezzi essenziali del trattamento, indipendentemente dal fatto che il titolare tratti o controlli fisicamente i dati. Ne consegue che il promotore di uno studio clinico, anche qualora non entrasse mai in contatto con i dati personali, sarebbe comunque titolare del trattamento poiché redige il protocollo definendo scopi e metodi del trattamento. Mentre non necessariamente assume la qualifica di titolare del trattamento chi si limita a finanziare la ricerca o a partecipare come consulente indipendente, esperto o membro di un comitato etico nella fase di revisione del progetto, qualora non eserciti un’influenza determinante sulla definizione di finalità e mezzi.

Secondo l’EDPB, la contitolarità è il regime che talvolta meglio si adegua alle ipotesi di consorzi di ricerca pubblico-privati o alle reti ospedaliere multicentriche, sebbene precisi che non sia sufficiente a costituire contitolarità la mera adesione a un protocollo già definito da altri.

Le linee guida ribadiscono il principio di minimizzazione già riconosciuto dal GDPR, prevedendo che in primo luogo i dati debbano essere anonimizzati ogniqualvolta le finalità della ricerca possano essere perseguite senza mantenere l’identificabilità degli interessati. In secondo luogo, quando l’anonimizzazione non è praticabile (ad esempio, perché la ricerca richiede di seguire l’evoluzione individuale nel tempo o di incrociare dataset successivi) si ricorre alla pseudonimizzazione.

A tal riguardo, l’EDPB chiarisce nuovamente ciò che anche la giurisprudenza ha già avuto modo di affermare, vale a dire che l’anonimizzazione è a tutti gli effetti un’operazione di trattamento ai sensi del GDPR e, come tale, richiede il rispetto di tutti gli adempimenti applicabili, compresa l’individuazione di una base giuridica. Il titolare del trattamento può in genere avvalersi della stessa base giuridica che legittima le operazioni di trattamento precedenti, a condizione che l’anonimizzazione rientri nel perimetro delle finalità di ricerca per cui i dati sono stati raccolti.

Ciò che le linee guida omettono è indicare standard tecnici comuni per valutare la robustezza dell’anonimizzazione. L’EDPB si limita a richiamare le proprie linee guida sulla pseudonimizzazione e le pubblicazioni dell’ENISA, rimettendo ai titolari del trattamento la scelta dei metodi più adeguati in relazione allo stato dell’arte e ai rischi di re-identificazione specifici del contesto. Questa impostazione lascia ampio margine di flessibilità ma, al tempo stesso, pone in capo al titolare l’onere di dimostrare che le misure adottate sono effettivamente idonee.

Utile è invece il catalogo, ovviamente non esaustivo, di misure e di garanzie che i titolari del trattamento possono adottare in aggiunta o in combinazione con l’anonimizzazione e la pseudonimizzazione, tra cui: istituzione di organismi di supervisione con rappresentanza degli interessati; adozione di privacy enhancing technologies, in cui annovera l’uso di dati sintetici; ambienti di elaborazione sicuri che consentono l’accesso remoto senza possibilità di download dei dati personali (misura che richiama quanto già è prescritto nel Data Governance Act o nel citato Regolamento sullo spazio europeo dei dati sanitari); obblighi contrattuali di non re-identificazione con previsione di sanzioni per le violazioni; requisiti di qualificazione per i ricercatori autorizzati. La scelta tra queste misure deve essere guidata dall’analisi del rischio: il titolare del trattamento è chiamato quindi a selezionare quelle proporzionate alla natura, alla portata e al contesto del trattamento.

Sono almeno tre le aree in cui le linee guida impongono ai titolari del trattamento un aggiornamento delle proprie prassi operative.

• La prima riguarda la documentazione: i titolari del trattamento devono essere in grado di dimostrare che l’attività soddisfa i fattori indicativi della ricerca scientifica, con la conseguenza che occorrerà integrare questa riflessione nella valutazione d’impatto sulla protezione dei dati.

• La seconda riguarda i meccanismi di consenso: i titolari del trattamento (specie quelli che sono responsabili di trattamenti di lungo periodo, come le biobanche) devono verificare che i modelli in uso siano conformi alle specifiche indicazioni per il consenso ampio (delimitazione per area o per obiettivo, garanzie compensative strutturali e trasparenza continuativa verso gli interessati).

• La terza area concerne la gestione delle modifiche del trattamento dei dati personali nel corso della ricerca: i progetti di lunga durata richiedono procedure interne capaci di intercettare tempestivamente i cambiamenti rilevanti – nuovi partner (e, dunque, destinatari dei dati), nuove tecnologie (e, dunque, nuovi mezzi), nuove categorie di dati, tempi di conservazione prolungati – e di informare gli interessati prima che le variazioni vengano implementate.

Rimangono irrisolte alcune delle tensioni più profonde del settore, come l’assenza di standard tecnici condivisi per l’anonimizzazione, la disomogeneità delle legislazioni nazionali e il coordinamento tra queste indicazioni e i regimi speciali introdotti dal Regolamento sullo spazio europeo dei dati sanitari e dall’AI Act per la ricerca che coinvolge sistemi di intelligenza artificiale.

In ogni caso, c’è tempo fino al 25 giugno per presentare le proprie osservazioni alle linee guida. Per i soggetti che svolgono attività di ricerca scientifica in maniera strutturata, questo è il momento di verificare se i propri processi reggono al confronto con le indicazioni del Comitato europeo.

________

*Avv. Laura Greco, Studio Legale Finocchiaro