Quel necessario dialogo tra ricerca scientifica e protezione dei dati personali

Come è noto, la protezione dei dati personali è solo uno degli obiettivi della normativa dettata, a livello europeo, dal Regolamento (UE) 2016/679 (“GDPR”) . La disciplina è infatti finalizzata a garantire anche la circolazione dei dati personali, i quali costituiscono oggi giorno la materia prima per molteplici attività. Specialmente in campo sanitario è evidente il valore dei dati personali il cui trattamento è necessario sia per fini assistenziali sia per fini di ricerca scientifica. È attraverso la ricerca, d’altronde, che è possibile sviluppare le capacità di prevenire, diagnosticare e trattare le patologie, con l’obiettivo di migliorare la risposta terapeutica, l’attesa di sopravvivenza e la qualità di vita del paziente.

Tuttavia, l’attuale quadro normativo nazionale non consente di valorizzare pienamente i dati sanitari, la cui circolazione e il cui riutilizzo risultano invece limitati, con conseguenti riflessi anche in termini di competitività scientifica rispetto a quegli Stati membri che hanno adottato una normativa di più ampio respiro.

Il problema è sicuramente noto alle istituzioni. Dal 2021 si attendono infatti le linee guida dell’European Data Protection Board sulla ricerca scientifica, mentre in Italia si spera che le future misure di garanzia, di cui all’art. 2-septies del Codice privacy, e le autorizzazioni generali del Garante per la protezione dei dati personali possano rappresentare un momento di svolta e di “ liberalizzazione (protetta) ” del trattamento di dati personali per fini di ricerca. Tuttavia, ad oggi non si rinvengono cenni da questo fronte.

Qualcosa, invece, sembra muoversi sul tavolo del legislatore, europeo e nazionale.

Nel panorama europeo spicca l’ormai nota proposta di Regolamento sullo spazio europeo dei dati sanitari su cui, recentemente, è stato trovato un accordo politico tra Parlamento europeo e Consiglio. Baluardi del nuovo testo normativo sono proprio l’accesso ai dati sanitari elettronici e la loro condivisione per garantire la continuità assistenziale, anche transfrontaliera, e per il perseguimento di finalità di interesse collettivo, tra cui la ricerca scientifica. 

A livello nazionale, poi, in questo periodo circolano diverse proposte di legge, alcune delle quali già entrate in vigore.

Tra le ultime si nota la modifica dell’art. 2-sexies del Codice privacy, operata dal “ Decreto PNRR ” (il d.l. 2 marzo 2024, n. 19). La modifica in oggetto non ha un impatto diretto sulla comunità scientifica ma permetterà – quando attuata – la condivisione di dati relativi alla salute, in forma pseudonimizzata, tra diversi attori (come Ministero della Salute, AIFA e Agenas) per il perseguimento di loro finalità istituzionali. Certo la modifica avrebbe potuto essere più incisiva: così come formulata, di fatto posticipa l’“interconnessione” di dati fra sistemi informativi ad un momento successivo all’adozione di pareri e decreti attuativi, che purtroppo notoriamente seguono un lungo iter di approvazione.

È proprio di oggi, poi, la notizia dell’approvazione, in sede di V Commissione permanente, di un ulteriore emendamento all’appena richiamato Decreto PNRR che all’art. 44 ora includerebbe altresì una modifica all’art. 110 del Codice. Secondo la nuova formulazione, in assenza di consenso dell’interessato, i dati personali potrebbero essere trattati per fini di ricerca scientifica a condizione che sia ottenuto il parere favorevole del competente comitato etico e che siano osservate le garanzie dettate dal Garante per la protezione dei dati personali. Dunque, in poche parole, sembra essere stato eliminato il requisito obbligatorio della consultazione preventiva presso il Garante, sostituito dall’adozione delle garanzie – non meglio specificate attualmente – indicate dal Garante nell’ambito delle Regole deontologiche sul trattamento di dati per fini di ricerca.

Proseguendo la ricognizione delle più recenti proposte normative, vi è poi il disegno di legge “Disposizioni in materia di utilizzo di dati sanitari”, noto anche come “proposta Lorenzin” dal nome della proponente, che suggerisce la creazione di uno spazio protetto (secondo l’ormai diffuso modello della sandbox) per sperimentare i nuovi confini (più larghi ed estesi) che potrebbero crearsi a favore degli istituti di ricerca. L’obiettivo è quello di testare l’uso secondario di dati sanitari per fini di ricerca tra enti definiti ex ante e sotto la supervisione delle autorità preposte al controllo, con la preventiva costituzione di un comitato di gestione della sperimentazione. Se approvata, questa proposta potrebbe costituire una misura concreta – seppure in via sperimentale – per sfruttare le opportunità offerte dalle nuove tecnologie sull’analisi dei dati nel rispetto del diritto alla protezione dei dati personali.

Sempre a testimonianza di uno stimolo alla creazione di un dialogo tra protezione dei dati personali e ricerca sanitaria, deve citarsi anche la risoluzione n. 00187 presentata alla XII Commissione parlamentare “Affari Sociali” dall’On. Girelli volta, tra gli altri, ad “assicurare un utilizzo più sistematico dei registri di patologia con un fine generale di programmazione sanitaria e un fine specifico di miglioramento della presa in carico dei pazienti”. Ma nella stessa direzione di valorizzazione della circolazione dei dati sanitari a fini di ricerca, cura e governo clinico, si muovono anche le risoluzioni nn. 00194 e 00183, rispettivamente, degli On. Quartini e Loizzo.

Infine, merita segnalare la proposta in materia di terapie digitali, cioè le tecnologie che offrono interventi terapeutici guidati da programmi software di alta qualità. Anche in questi casi il riutilizzo di dati sanitari, vuoi per ricerca vuoi per configurare i device sanitari, sarà fondamentale. Nello specifico caso delle terapie digitali, poi, si prevede che tali tecnologie, classificate come dispositivi medici, dovranno necessariamente fare i conti anche con il nuovo Regolamento in materia di intelligenza artificiale.

Seppure nulla sia ancora definitivo, tutti questi progetti sono sicuramente indice di una nuova, e da tempo auspicata, consapevolezza della necessità di valorizzare i dati sanitari e renderli disponibili e accessibili per fini di interesse generale.

In attesa che le richiamate proposte si concretizzino e con l’auspicio che altre ancora ne vengano presentate, la promozione della ricerca scientifica può giovarsi dello strumento per eccellenza dei giuristi, vale a dire lo strumento interpretativo. Così, andando oltre al consenso dell’interessato, oggi le opportunità per il trattamento di dati a fini di ricerca potrebbero essere rinvenute nell’individuazione di disposizioni di legge come base giuridica del trattamento; nell’estensione del campo di applicazione dell’art. 110-bis, 4° comma del Codice e, infine, nella valutazione della compatibilità, tra finalità iniziali e nuove, del trattamento.

La prima consentirebbe di svolgere attività di ricerca scientifica ogniqualvolta che un progetto di ricerca sia previsto da una norma di legge o di regolamento come, ad esempio, a livello nazionale il Programma Nazionale per la Ricerca Sanitaria e il Programma Nazionale per la Ricerca e, a livello europeo, il Programma quadro di ricerca e innovazione Horizon Europe .

Interpretando in maniera evolutiva l’art. 110-bis, 4° comma del Codice, poi, il trattamento secondario di dati, anche sanitari, potrebbe essere svolto non solo dall’Istituto di Ricovero e Cura a Carattere Scientifico (di seguito, per brevità, “IRCCS”) che ha originariamente raccolto il dato per finalità di cura ma anche da altri IRCCS per finalità di ricerca, anche in ambiti di specializzazione disciplinare differenti da quello dell’IRCCS originario titolare del trattamento. Tale interpretazione d’altronde è in linea con la recente riforma degli Istituti di Ricovero e Cura a Carattere Scientifico, introdotta dal d.lgs. 200/2022, che permette in particolare di creare reti di ricerca tra IRCCS non solo nell’area tematica coincidente con quella del riconoscimento della qualifica di IRCCS, ma anche – pur in presenza di determinati requisiti – in aree tematiche diverse rispetto a quella di riconoscimento.

Infine, un altro strumento sinora poco utilizzato è il test di compatibilità tra finalità del trattamento che permetterebbe di trattare i dati per il perseguimento di nuove finalità ove quest’ultime, a seguito di specifica valutazione da svolgere caso per caso, risultino compatibili rispetto alle finalità iniziali che hanno giustificato l’originaria raccolta di quei dati.

Attendiamo dunque l’evoluzione del quadro normativo della protezione dei dati personali in ambito sanitario, guardando nel frattempo con favore e sostenendo il fronte comune che si sta, finalmente, creando tra giuristi, ricercatori e legislatore.

_____

*A cura dell’Avv. Laura Greco, DigitalMediaLaws