Lo scorso 23 aprile, il Senato ha definitivamente approvato il DDL n. 1110 di conversione in legge, con modificazioni, del D.L. n. 19/2024, recante ulteriori disposizioni urgenti per l’attuazione del piano nazionale di ripresa e resilienza (PNRR), con il quale, con l’aggiunta all’art. 44 del D.L. 19/2024 del comma 1-bis, è stato modificato anche l’art. 110 del D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2008 (il “Codice Privacy”), relativo al trattamento dei dati personali nell’ambito della ricerca medica, biomedica e epidemiologica, comportando un’evoluzione fondamentale in tale campo. Con tale riforma, il Legislatore ha eliminato dal testo dell’art. 110 del Codice Privacy l’obbligo di consultazione preventiva del Garante per la protezione dei dati personali in caso di studi clinici (c.d. retrospettivi) per i quali sia impossibile raccogliere il consenso, determinando così il passaggio da un regime di autorizzazione preventiva ad un regime privo di autorizzazione. L’avanzamento dell’innovazione nel settore medico-sanitario si riviene anche sul fronte europeo: il giorno successivo alla riforma dell’art. 110 del Codice Privacy, la Commissione europea ha accolto con favore l’adozione da parte del Parlamento europeo del c.d. spazio europeo dei dati sanitari (“EHDS”). L’obiettivo è duplice: da un lato, porre i cittadini al centro della loro assistenza sanitaria, garantendogli il pieno controllo dei dati, in modo da ottenere un’assistenza sanitaria migliore in tutta l’Unione europea, e, dall’altro lato, consentire l’uso dei dati sanitari a fini di ricerca, innovazione e sanità pubblica, nel pieno rispetto dei rigorosi criteri europei in materia di sicurezza e accesso ai dati, di rispetto dei diritti fondamentali e delle norme in materia di cybersicurezza. Non resta dunque che attendere la pubblicazione del DDL n. 1110 in Gazzetta Ufficiale, nonché l’adozione formale da parte del Consiglio europeo del nuovo Regolamento EHDS, per delineare una potenziale indispensabile svolta nel panorama della ricerca scientifica. Di seguito un breve quadro dei principali profili normativi in materia di ricerca scientifica, medica, biomedica e epidemiologica. *** Il concetto di ricerca scientifica, medica, biomedica e epidemiologica e gli impatti della stessa sulla protezione dei dati personali Il Comitato europeo per la protezione dei dati personali (l’“EDPB”) ritiene che per “ricerca scientifica” debba intendersi un “progetto di ricerca” istituito in conformità con le pertinenti norme metodologiche e deontologiche settoriali, in linea con le buone prassi (Linee guida 5/2020 sul consenso ai sensi del GDPR del 4.05.2020). La ricerca scientifica può dunque interessare diversi ambiti, tra i quali vi rientra anche quello della ricerca medica, biomedica e epidemiologica. Nel dettaglio, la ricerca medica e biomedica, rappresenta quella ricerca clinica in cui il rilievo scientifico è strettamente connaturato con l’atto medico e con l’attività assistenziale rivolta al singolo paziente assistito. La ricerca epidemiologica, invece, consiste nello studio volto alla ricerca di una relazione causale tra uno o più fattori di rischio e una o più condizioni morbose (i.e. malattia, morte, disabilità). Si tratta di un settore particolarmente regolamentato, la cui fonte principale è rappresentata dal Regolamento (UE) 536/2014 sulla sperimentazione clinica di medicinali per uso umano[1]. Dalle definizioni fornite, si evince come la ricerca medica, biomedica e epidemiologica rientri, in generale, nei c.d. studi clinici, ossia quelle attività di indagine o di ricerca riguardanti persone volte a scoprire o verificare gli effetti di uno o più medicinali, a individuare eventuali reazioni avverse, o ad accertare la sicurezza e/o l’efficacia dei medicinali. Gli studi clinici si suddividono in studi interventistici (c.d. sperimentazione clinica del farmaco) – che richiedono per essere attivati il rispetto di regole precise e il parere favorevole del comitato etico[2] – e c.d. studi osservazionali (sperimentazione non interventistica). Questi ultimi sono studi clinici nei quali l’assegnazione del paziente a una data strategia terapeutica rientra nell’ordinario regime di cura, prevenzione e diagnosi di una malattia (c.d. normale pratica clinica). A loro volta, gli studi osservazionali si distinguono in studi prospettici, studi trasversali e studi retrospettivi. Proprio questi ultimi risultano essere maggiormente influenzati, in termini positivi, dal DDL n. 1110, per le ragioni di seguito illustrate. A differenza delle prime due categorie di studi per le quali è prevista la partecipazione diretta dei soggetti arruolati nella ricerca, negli studi retrospettivi vengono utilizzati dati sanitari già disponibili presso i centri di sperimentazione (presenti, ad esempio, nelle cartelle cliniche o nei referti) e per i quali potrebbe rendersi necessario coinvolgere interessati ai quali sarebbe ormai impossibile (ad esempio, perché defunti o irraggiungibili) rilasciare una nuova informativa privacy e chiedere il consenso. Ciò rientra nel concetto del c.d. uso secondario dei dati della sperimentazione clinica, delineato dall’EDPB per il quale l’autorità europea non esclude che il trattamento possa avvenire in virtù dell’informativa originariamente resa all’interessato e basarsi quindi sulla medesima base giuridica[3]. Tale impostazione si allinea con il paradigma di ricerca scientifica delineato dall’EDPB stessa. Secondo quest’ultima prospettiva il progetto di ricerca è equiparato alla ricerca scientifica, implicando che la finalità del trattamento debba essere strettamente definita all'interno del progetto stesso. In altre parole, il progetto di ricerca è considerato un prerequisito fondamentale quando la ricerca coinvolge dati personali, poiché la ricerca stessa viene considerata al pari di un elemento essenziale di accountability e di individuazione delle finalità del trattamento. Di conseguenza, con riguardo a tale “uso secondario” dei dati personali e in conformità al citato principio di accountability, risulta opportuno istituire un quadro giuridico volto a bilanciare, da un lato, l’obbligo dei titolari del trattamento di documentare le motivazioni per il ricorso a dati già disponibili, gli sforzi impiegati per ottenere il consenso dagli interessati e le misure di sicurezza implementate, con una disciplina volta a minimizzare gli adempimenti amministrativi. Tale obiettivo è stato raggiunto dal Legislatore nazionale solo con il DDL n. 1110. In precedenza, infatti, l’impostazione nazionale, almeno a partire dal 2018, risultava essere favorevole al consenso come base giuridica. Il regime della ricerca scientifica nel GDPR e nell’art. 110 del Codice Privacy Il Regolamento (UE) 2016/679 (il “GDPR”) contiene diverse disposizioni relative al trattamento dei dati personali a fini di ricerca scientifica. La norma “chiave” è il comma 1 dell’art. 89 del GDPR, in base al quale il trattamento con tale finalità deve essere soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, predisponendo apposite misure tecniche e organizzative (quali la pseudonimizzazione o, ove necessario, l’anonimizzazione), volte a soddisfare in particolare il principio di minimizzazione dei dati. Il Regolamento, come si evince anche da altre disposizioni[4], segue un’impostazione secondo cui la ricerca scientifica dovrebbe godere di un regime parzialmente semplificato, a condizione, tuttavia, che il trattamento venga attuato con le opportune cautele e sempre che sia prestata un’attenzione particolare nei riguardi dell’interessato. Quello della ricerca scientifica è però un settore in cui il GDPR stesso riconosce “sovranità” agli Stati membri. In tale ottica, il Legislatore italiano, all’art. 110 del Codice Privacy detta una disciplina speciale in materia di ricerca medica, biomedica e epidemiologica. La disposizione, così come modificata dal D.Lgs. 101/2018, esentava il titolare del trattamento dal dovere di ottenere il consenso dell’interessato per il trattamento di dati suscettibili di rivelare lo stato di salute, qualora, a causa di particolari ragioni, era impossibile informare gli interessati. Tale deroga alla necessità del consenso era subordinata al rispetto di tre condizioni: Tale ultimo requisito era conforme al disposto del comma 5 dell’art. 36 del GDPR. Sebbene infatti una consultazione preventiva debba essere svolta laddove la DPIA indichi che il trattamento presenti un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio, il GDPR specifica che gli Stati membri possono prevedere disposizioni in base alle quali consentire ai titolari del trattamento di consultare e ottenere un’autorizzazione preliminare dall’Autorità di controllo per il trattamento finalizzato ad eseguire compiti di interesse pubblico, inclusi quelli relativi il trattamento con riguardo alla protezione sociale e alla sanità pubblica. Ciò posto, la disciplina italiana non ha sempre previsto nell’ambito della ricerca medica, biomedica e epidemiologica l’obbligo di consultazione preventiva del Garante. Infatti, prima della riforma apportata al Codice Privacy dal D.Lgs. 101/2018, l’art. 110, comma 1, subordinava la non necessarietà del consenso, con riguardo alla medesima ipotesi in cui non era possibile, per specifiche circostanze, richiedere il consenso dell’interessato, a sole due condizioni: il parere favorevole del comitato etico sul progetto di ricerca e l’autorizzazione (specifica o generale) del Garante a tale trattamento. In tale ottica, il Garante il 1° marzo 2012 aveva emesso un’autorizzazione generale (poi rinnovata nel 2014 e nel 2016), estendendola a tutta la ricerca scientifica. Essa rispondeva alla logica di accountability prevista dal GDPR: per poter beneficiare di tale regime, infatti, i titolari del trattamento dovevano presentare idonea documentazione contenente i motivi organizzativi o etici in base ai quali era stato impossibile contattare tutti gli interessati, fornirgli l’apposita informativa e ottenere, dunque, il consenso, oltre alla dimostrazione di aver compiuto ogni ragionevole sforzo per contattare gli interessati. Con il D.Lgs. 101/2018 invece, il Legislatore, pur non essendovi obbligato, basandosi sulla supremazia riconosciuta in tali ambiti dal Regolamento agli Stati membri e non curante dell’esperienza positiva avutasi a seguito del regime autorizzatorio del 2012, ha subordinato l’assenza di un’informativa e di consenso per finalità di ricerca medica, biomedica e epidemiologica, al parere positivo del Garante sulla DPIA. La riforma apportata all’art. 110 nel 2018 si è posta, dunque, in termini molto restrittivi e in un certo senso contraria all’impostazione adottata dal GDPR che, invece, in nome dell’accountability, voleva superare anche il precedente istituto delle autorizzazioni. Risultato è che, ad oggi, a fronte di un grande numero di studi retrospettivi, sono pochissimi i provvedimenti adottati dal Garante ai sensi del comma 1 dell’art. 110 (si veda, ad esempio il provvedimento del 24 gennaio 2024 con il quale il Garante ha approvato la DPIA di un’azienda socio-sanitaria di Brescia). Al fine di porre rimedio a tale situazione, il DDL n. 1110 ha definitivamente eliminato l’obbligo di procedere a consultazione preventiva del Garante di cui all’art. 36 del GDPR. A partire dall’entrata in vigore del neoriformato art. 110 del Codice Privacy, in assenza di consenso dell’interessato, i dati personali potranno essere trattati per fini di ricerca scientifica a condizione che (i) sia ottenuto il parere favorevole del competente comitato etico sul progetto di ricerca, e che (ii) siano osservate le garanzie adottate dal Garante nell’ambito delle regole deontologiche sul trattamento dei dati personali per tali fini. Gli impatti della riforma La revisione dell’art. 110 del Codice Privacy apportata nei giorni scorsi si allontana dall’approccio consenso-centrico che caratterizzava il precedente testo normativo (i.e. quello avutosi dal 2018) e che, nella pratica, aveva portato a scarsi risultati. L’art. 106, comma 2, lett. d) del Codice Privacy, a cui il nuovo art. 110 espressamente richiama, fa infatti riferimento a quelle garanzie individuate dal Garante in apposite regole deontologiche (adottate ai sensi dell’art. 2-quater del Codice Privacy), che devono essere osservate nei casi in cui si può prescindere dal consenso dell’interessato. La modifica, inoltre, come evidenziato dagli stessi promotori, “non determinerebbe alcuna scopertura per quanto riguarda la protezione dei dati personali e il livello di accountability necessario”[6]. Come sopra precisato, infatti, il titolare sarà in ogni caso tenuto a analizzare i rischi del trattamento, dei quali dovrà dare atto nella DPIA, e a adottare tutte le misure tecniche e organizzative volte a mitigarli. In tale ottica e in attesa dell’emanazione da parte del Garante di specifiche regole deontologiche in materia di ricerca medica, biomedica e epidemiologica, dovrà farsi riferimento alle prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, contenute nell’allegato 5 del Provvedimento 146/2019 del Garante, recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1, del D.Lgs. 101/2018. In tale provvedimento, infatti, il Garante – laddove non sia possibile acquisire il consenso degli interessati – rimette in capo ai titolari del trattamento l’obbligo di documentare nel progetto di ricerca la sussistenza delle particolari o eccezionali ragioni che hanno reso impossibile o eccessivamente gravoso informare gli interessati oppure che hanno reso impossibile o gravemente pregiudicato il conseguimento delle finalità della ricerca (i.e. eventuali motivi etici, di salute o di impossibilità organizzativa). [1] Il Regolamento (UE) 536/2014 sostituisce la precedente Direttiva 2001/20/CE. Tuttavia, quest’ultima sarà abrogata durante un periodo transitorio di tre anni a partire dal 31 luglio 2022, data di entrata in vigore del citato regolamento. [2] Si tratta, cioè, di un organismo istituito in tutti gli Stati membri dell’Unione europea, in base alle regole nazionali e incaricato di fornire pareri che tengano conto, inter alia, della prospettiva dei pazienti. [3] Parere 3/2019 relativo alle domande e risposte sull’integrazione tra il regolamento sulla sperimentazione clinica e il GDPR (articolo 70, paragrafo 1, lettera b)) del 23.01.2019. Nello specifico, l’EDP ritiene che non dovrebbe essere esclusa la possibilità di trattare successivamente i dati sulla base dell’informativa originaria e, dunque, senza che sia necessaria una nuova base giuridica. In altri termini, seppur non prenda una posizione netta, l’EDPB non esclude che l’uso secondario potrebbe essere ritenuto non incompatibile con lo scopo primario della raccolta e fondarsi, quindi, sulla medesima base giuridica. [4] Nello specifico: l’art. 5, comma 1, lett. b), in base al quale un trattamento dei dati personali ulteriore rispetto alle finalità iniziali, se svolto per fini di ricerca scientifica non può essere considerato incompatibile con le finalità iniziali; l’art. 5, comma 1, lett. e), secondo cui, fatta salva l’attuazione di misure tecniche e organizzative adeguate, per fini di ricerca scientifica, i dati personali possono essere conservati per periodi più lunghi; l’art. 9, comma 2, lett. j), che rende non applicabile il divieto di trattare categorie particolari di dati personali, sempre che il trattamento sia proporzionato, rispetti le norme in materia di protezione dei dati personali e preveda misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato; l’art. 14, comma 5, lett. b), che consente il rilascio di un’informativa non in forma individuale se il titolare del trattamento, a fini di ricerca scientifica, raccoglie dati presso terzi; l’art. 17, comma 3, lett. d), che esclude l’applicazione del diritto di cancellazione laddove esso rischi di rendere impossibile o pregiudicare gravemente il perseguimento degli obiettivi del trattamento; l’art. 21, comma 6, che sancisce un regime speciale (rafforzato) dell’esercizio del diritto di opposizione dell’interessato. [5] Affinché la consultazione preventiva potesse ottenere esito positivo occorreva dimostrare i motivi in base ai quali era stato impossibile rendere l’informativa a tutti gli interessati e, in particolare, se si trattava di motivi etici (ad esempio, se il progetto di ricerca riguarda la distribuzione di un fattore che possa predire lo sviluppo di una patologia per la quale non esiste una cura), motivi di salute (ad esempio, se l’interessato è in uno stato clinico tale da non consentigli di comprendere l’informativa e di prestare il consenso), oppure motivi di impossibilità organizzativa (ad esempio, in caso di interessati con patologie ad elevata incidenza mortale, oppure in caso di interessati deceduti o irraggiungibili). In quest’ultimo caso, il titolare doveva altresì dimostrare il compimento di ogni ragionevole sforzo volto a reperire gli interessati. [6] La riforma dell’art. 110 del Codice Privacy nasce dalla proposta avanzata dal Tavolo Salute di State of Privacy e dal Cluster Lombardo Scienze della Vita.
