Il Regolamento Europeo in materia di protezione dei dati personali 2016/679 (GDPR) 679 del 2018 ha previsto una serie di principi e norme finalizzati a favorire la circolazione dei dati per fini di ricerca.
L’art 9 del GDPR alla lettera J) nell’ottica di un’apertura all’utilizzo dei dati per fini di ricerca, consente il trattamento dei dati particolari, categoria che comprende anche i dati relativi alla salute, se è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, nel rispetto dell’essenza del diritto alla protezione dei dati e di misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Il GDPR all’art. 9, quarto capoverso prevede che: “Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.
L’Italia, nel solco del sopra citato art. 9, ha previsto con il D.lgs n.110 del 2018 di armonizzazione del GDPR all’ordinamento interno, delle ulteriori limitazioni : regole molto restrittive per la ricerca medica e biomedica e ha modificato il previgente art. 110 del Codice della privacy.
L’articolo 110 del Codice della privacy richiedeva come base giuridica del trattamento per fini di ricerca il consenso e, ove ciò non risulti possibile, l’art.110, comma 1, ultimo capoverso, prevedeva, oltre al necessario parere positivo del Comitato Etico competente, l’adozione delle misure appropriate per tutelare i diritti, le libertà e i legittimi interessi degli interessati, la redazione di una valutazione di impatto e la consultazione preventiva del Garante che analizzava, in concreto, la compliance del trattamento dati che si intendeva porre in essere.
Tali previsioni hanno comportato pesanti oneri di risorse a carico dei nostri centri di ricerca e pesanti ritardi nelle ricerche in confronto ad altri partner di ricerca europei: non ci possiamo permettere ritardi nella ricerca alla luce anche dell’impatto dell’Intelligenza artificiale
Il sopra citato art. 110, comma 1, ultimo capoverso del Codice ha, infatti, rappresentato quindi una norma di chiusura volta a consentire che i trattamenti di dati personali, che si sarebbero dovuti fondare sul consenso degli interessati che non è possibile acquisire, possano comunque essere svolti quando diversamente gli scopi del trattamento non possano essere perseguiti (ed esempio attraverso l’uso di dati anonimi o coinvolgendo interessati contattabili).
Tale articolo ha costituito per lungo tempo la base giuridica per il trattamento dei dati particolari nell’ambito della ricerca medica, biomedica ed epidemiologica, relativamente agli studi che non sono effettuati sulla base di una normativa e nei casi in cui non fosse possibile raccogliere il consenso dagli interessati.
È importante evidenziare che, nell’ambito della ricerca medica, una parte rilevante dell’attività è dedicata agli studi osservazionali (o non interventistici) retrospettivi, studi che condotti analizzando gli eventi che si sono già verificati (l’osservazione riguarda il passato), nel cui ambito rientrano ad esempio gran parte degli studi epidemiologici, per cui l’art.110 ha impattato in modo rilevante su questa attività.
Per questa tipologia di ricerca, quando il trattamento è necessario per la conduzione di studi effettuati con dati raccolti in precedenza a fini di cura della salute o per l’esecuzione di precedenti progetti di ricerca ovvero ricavati da campioni biologici prelevati in precedenza per finalità di tutela della salute o per l’esecuzione di precedenti progetti di ricerca, e quindi si pone in essere un uso secondario dei dati raccolti, si rende necessaria l’applicazione delle prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art.21, comma 1 del D.Lgs. 10 agosto 2018 n.101, n.146 del 5 giugno 2019).
Pertanto è necessario documentare in tale progetto la sussistenza delle ragioni, considerate del tutto particolari o eccezionali, per le quali informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. Tra le ragioni che possono essere indicate vi sono i motivi etici ed i motivi di impossibilità organizzativa, con riferimento a questi ultimi le prescrizioni concernono anche il trattamento dei dati di coloro i quali, all’esito di ogni ragionevole sforzo compiuto per contattarli, risultino essere deceduti o non contattabili.
Il passaggio procedurale successivo, in questi anni, è stata la necessaria redazione di una valutazione di impatto ai sensi dell’art.35 del GDPR, che è una procedura finalizzata a individuare, valutare e gestire i rischi legati a una specifica tipologia di trattamento, e la consultazione preventiva all’Autorità Garante.
Tale iter è risultato essere molto lungo e complesso, tale, talvolta, da indurre i ricercatori, che l’hanno percepita come un pesante adempimento burocratico, a desistere dai loro obiettivi. Tra le criticità evidenziate vi era la tempistica necessaria ad ottenere il parere dell’Autorità Garante, in quanto, nella maggior parte dei casi, si rendevano necessari supplementi istruttori per affrontare specifici profili di criticità rilevati in base alla documentazione prodotta, portando il termine previsto dall’art.36 , paragrafo 2 del GDPR da 8 settimane a 6/8 mesi o più.
È necessario inoltre rilevare che spesso, al fine di riscontrare i rilievi evidenziati dall’autorità Garante, si rendeva necessario modificare la documentazione relativa allo studio, compreso il protocollo, che doveva così essere riproposta al Comitato Etico per la necessaria approvazione, allungando quindi ulteriormente la tempistica.
Al fine di porre fine a questi ritardi e nell’ottica di favorire la ricerca medica (osservazionale, traslazionale, interventista, mono o multicentrica, no profit e le sperimentazioni cliniche) è intervenuto l’art. 44, comma 1 bis della Legge 29 aprile 2023 n. 56 di conversione, con modificazioni, del decreto legge 2 marzo 2024 n.19 recante: «Ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR)» (24A02201) (GU Serie Generale n.100 del 30-04-2024 – Suppl. Ordinario n. 19).
Tra gli studi inviati al Garante ve ne sono alcuni (ad es. doc web n.9953841 e n.9988614) che prevedono, come finalità secondaria, che i dati raccolti siano successivamente trattati attraverso logiche algoritmiche, con strumenti di intelligenza artificiale e con logiche predittive basate su sistemi di machine learning.
Al riguardo l’Autorità Garante, evidenziando in primis il disposto dell’art.22 del GDPR, richiama la sentenza del Consiglio di Stato (n.8472 del 13 dicembre 2019) nella quale dall’analisi del diritto sovranazionale, vengono enucleati tre principi, il cui rispetto è necessario nell’esame e nell’utilizzo degli strumenti informatici:
– principio di conoscibilità, per cui ognuno ha diritto di conoscere l’esistenza di processi decisionali automatizzati e a ricevere informazioni significative sulla logica utilizzata;
– principio di non esclusività della decisione algoritmica;
– principio di non discriminazione algoritmica (ai sensi del considerando n.71 del GDPR), è infatti “necessario che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali” (sentenza TAR Campania, sez. III, n.05119 dell’11 novembre 2022).
Inoltre il Garante richiama il parere congiunto del Comitato europeo per la protezione dei dati e il Garante europeo, n. 5/2021 sulla proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale del 21 aprile 2021), nel quale viene accolto con favore l’approccio basato sul rischio su cui si fonda la proposta, evidenziando la centralità del concetto di sorveglianza umana al fine di assicurare il diritto a non essere assoggettato a una decisione basata esclusivamente sul trattamento automatizzato.
Immagine: Foto di Harlie Raethel su Unsplash
