La ricerca scientifica ed in particolare quella dedicata alla sperimentazione sanitaria si conferma essere la tematica più rilevante nel contesto europeo, tanto che la Commissione Europea ha chiesto e ottenuto un nuovo intervento(1) dal Comitato Europeo per la Protezione dei dati personali (EDPB) volto a chiarire le numerose tematiche legate alla protezione dei dati personali.
Come noto il Comitato Europeo è già intervenuto sul tema della ricerca sanitaria con parere 3/2019 relativo alle FAQ sull’interazione tra il regolamento sulla sperimentazione clinica (CTR) e il Regolamento Generale sulla protezione dei dati personali (GDPR)(2) e con le linee guida per chiarire i primi dubbi legati all’applicazione del GDPR nell’ambito della ricerca sanitaria legata alla lotta contro il SARS-CoV-2(3); inoltre è intervenuto su numerose tematiche rilevanti nel contesto della ricerca sanitaria, come ad esempio sulle condizioni di validità del consenso.
Ciò nonostante, essendo numerosissime le questioni rilevanti nell’ambito della ricerca sanitaria ed essendo tali attività svolte nell’evidente interesse di tutta la Comunità Europea, la Commissione Europea ha presentato una richiesta di chiarimento volta, a parere di chi scrive, a:
- fornire ai Titolari maggiori certezze sulle modalità di trattamento e scelte da operare, con l’evidente finalità di incoraggiare le attività di ricerca scientifica in ambito sanitario ed evitare che incertezze del diritto potessero al contrario, scoraggiarla;
- cercare di dare risposte univoche al panorama dei Titolari del trattamento nel contesto europeo, per cercare di armonizzare le scelte che questi andranno ad operare; ciò chiaramente, per evitare che le normative nazionali emanate dagli stati membri negli ambiti lasciati aperti dal GDPR possano concretamente portare a degli effetti anticompetitivi tra nazioni (si immagini infatti, quali potrebbero essere gli effetti nel caso uno stato membro preveda un alleggerimento degli obblighi dei Titolari o se interpreti talune eccezioni all’applicazione del GDPR in maniera estensiva).
Nonostante il Comitato abbia compiuto un evidente sforzo per fornire ulteriori delucidazioni, appare evidente che nemmeno questo ultimo documento possa essere considerato uno strumento risolutivo delle annose questioni interpretative che si formano nel contesto della sperimentazione in ambito sanitario. Infatti, il Comitato precisa più volte “che la maggior parte delle domande richiede più tempo per un’analisi approfondita e per la ricerca di esempi e best practices”, rinviando la trattazione di importanti questioni – che elencheremo più avanti – all’interno delle linee guida sulle attività di ricerca scientifica (la cui emanazione è prevista nel corso del 2021).
Le questioni sulle quali però il Comitato si è sentito pronto a pronunciarsi sono le seguenti:
- La base giuridica del consenso (che è, come noto, tematica già affrontata sia in interventi espressamente dedicati alla ricerca scientifica e sanitaria, sia individualmente).
Sul punto, il Comitato ha precisato quanto segue:
o non necessariamente il consenso è la base giuridica da preferire per il trattamento dei dati sanitari e, ciò nonostante, nelle dichiarazioni e convenzioni etiche e bioetiche si parli espressamente di consenso.
Infatti, il Comitato precisa che il c.d. “consenso informato” cui si riferiscono tali testi è cosa ben diversa dal consenso come base giuridica del trattamento; il primo infatti, è finalizzato a creare la c.d. “alleanza terapeutica” tra i partecipanti e gli sperimentatori; il secondo è il fondamento legale che legittima il trattamento. Si tratta di concetti diversi e ben distanti, al di là della scelta linguistica. Il Comitato quindi invita ad usare altre basi giuridiche ove disponibili, precisando che in questi casi (i.e. quelli in cui il trattamento si fonda su basi giuridiche diverse dal consenso) l’ottenimento del consenso informato come requisito etico può anzi essere considerato alla stregua di una garanzia ulteriore, ai sensi dell’art. 89, par. 1 GDPR; inoltre ribadisce (come aveva già fatto nelle linee guida per chiarire i primi dubbi legati all’applicazione del GDPR nell’ambito della ricerca sanitaria legata alla lotta contro il SARS-CoV-2 citate(4)) che il consenso non è una base giuridica appropriata in tutte le situazioni in cui nella relazione tra il Titolare e l’interessato vi è uno squilibrio, come ad esempio se l’interessato è in una condizione di salute tale per cui non esiste un trattamento terapeutico alternativo alla sperimentazione clinica. Tale situazione di evidente pressione sull’interessato non consentirebbe a quest’ultimo di fornire liberamente il proprio consenso, che conseguentemente sarebbe invalido. Tuttavia, precisa che ogni situazione deve essere valutata singolarmente e che non debba essere esclusa in via di principio l’utilizzabilità del consenso come base giuridica.
o La deroga al requisito di specificità del consenso deve essere interpretata in senso restrittivo. Come noto, il considerando 33 del GDPR apre, in determinate circostanze, alla possibilità di attenuare il requisito della specificità delle informazioni da fornire affinché il consenso sia valido. Questa deroga è stata prevista perché “in molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati”; ben può capitare, infatti, che alcuni dati raccolti per talune finalità (es. di cura) poi possano essere indispensabili al fine del raffronto con altri dati per capire se c’è una certa correlazione tra alcuni presupposti e conseguenze (ricerca). In questi casi il Comitato riconosce che le finalità possano essere descritte solo ad alto livello e che il consenso debba essere correlato a ciò che è stato descritto nell’informativa. In altre parole, secondo il Comitato il considerando 33 non dovrebbe aprire ad una indiscriminata possibilità per il Titolare del trattamento di essere aspecifico nelle informazioni da fornire. Al contrario, dovrebbe identificare altre misure volte a garantire che il consenso sia sempre valido ed effettivo: ciò, ad esempio, consentendo all’interessato di revocare il consenso o comunque limitandosi a ritenere valido il consenso per quei trattamenti che l’interessato possa ragionevolmente aspettarsi. Il requisito della ragionevole aspettativa deve quindi guidare il Titolare nel decidere se contattare nuovamente l’interessato per ottenere un ulteriore consenso o se ritenere ancora valido quello prestato sulla scorta della precedente informativa.
- Base giuridica da invocare nelle ricerche svolte da un medesimo titolare in più nazioni ed eventuale variazione della medesima in corso di sperimentazione.
Sul punto il Comitato ha specificato che:
o È molto importante cercare coerenza e armonizzazione nella scelta della base giuridica quando la sperimentazione clinica o il progetto di ricerca si svolge in più paesi membri. È evidente, infatti, l’influenza che il diritto degli stati membri può esercitare, legiferando negli spazi lasciati aperti dall’art. 9, par. 4, alleggerendo o appesantendo gli obblighi posti in capo ai Titolari. Infatti, il GDPR ha, come noto, lasciato spazi grigi per la legiferazione degli stati membri (sia con riferimento alle basi giuridiche che rispetto ad eventuali spazi di estensione delle deroghe all’applicazione del GDPR). Tale circostanza, unita alla constatazione dell’estrema differenza normativa sino ad oggi riscontrata tra le leggi nazionali in materia di trattamento di dati sanitari (pur non essendoci una panoramica completa e dettagliata), porterà prevedibilmente all’uso di basi giuridiche diverse, pur nel medesimo progetto di ricerca. A tal proposito il Comitato osserva anzitutto che da ciò potrebbe derivare un potenziale impatto negativo per gli interessati, che si troverebbero sostanzialmente in situazioni di disparità di trattamento e suggerisce, ove possibile, di usare la medesima base giuridica, onde garantire un’armonizzazione dei diritti degli interessati coinvolti. Tuttavia, è evidente che questo orientamento è una soluzione palliativa e non risolutiva. Del resto, chiosa il Comitato, questa potenziale mancanza di omogeneità “non può essere risolta negli orientamenti dell’EDPB o in codici di condotta”.
Da ultimo il Comitato riconosce che eventualmente potrebbe invocarsi come base giuridica il diritto dell’unione; tuttavia, solo il Regolamento per la sperimentazione clinica (CTR) può dirsi in senso stretto “diritto dell’unione” in questo settore e – come noto – il Regolamento dispone normative volte a garantire l’affidabilità e sicurezza dei farmaci, quindi potrebbe essere una base giuridica solo per quei trattamenti che vengono posti in essere in osservanza del CRT stesso. Ben diversa e, forse risolutiva, sarebbe l’ipotesi di adottare normativa specifica – come quella attualmente pendente dinanzi al Parlamento Europeo – attinente la creazione di uno spazio europeo dei dati(5), nel quale possano fiorire studi multinazionali con basi giuridiche armonizzate.
o Se nel corso dello studio vi dovesse essere una modifica della base giuridica il Titolare, secondo il Comitato, dovrebbe contattare gli interessati, rappresentare la modifica della base giuridica spiegandone anche il probabile impatto sui loro diritti.
Si tratta di un onere certamente gravoso per il Titolare ma che tuttavia, appare assolutamente necessario per non tradire le legittime aspettative dell’interessato.
- Utilizzo dei medesimi dati per un ulteriore scopo e obbligo di informativa
Il Comitato si trova anche a dover fornire qualche indicazione – per la verità elementare – sulla necessità di fornire una nuova e ulteriore informativa agli interessati nel caso in cui i dati originalmente raccolti e trattati per una finalità siano successivamente necessari per qualche altro trattamento. Sul punto ricorda che l’eccezione cui all’art. 14, par. 5 GDPR non è applicabile nel caso i dati siano stati raccolti dal Titolare direttamente presso l’interessato. Questa precisazione risponde non solo al dato prettamente testuale, che colloca questa previsione all’interno dell’articolo 14 (dedicato agli obblighi informativi del Titolare nei confronti dell’interessato nel caso in cui i dati non siano stati raccolti presso di lui direttamente dal Titolare), ma anche logica. Infatti, se il Titolare ha ricevuto i dati dell’interessato attraverso terze parti, ovviamente avrà più difficoltà nel raggiungere gli interessati per proporre una ulteriore informativa. Ecco perché il GDPR prevede che vi sia una deroga all’obbligo informativo se l’interessato già dispone delle informazioni e raggiungerlo rappresenta per il Titolare uno sforzo sproporzionato. Ovviamente l’Autorità si premura di ribadire che l’informativa assolve alla necessità di rispettare il principio di trasparenza, pertanto qualunque eccezione all’onere di fornirla dovrebbe essere considerata in modo restrittivo.
- Anonimizzazione
Tra le domande cui il Comitato ritiene di rispondere ce n’è anche qualcuna inerente la nota querelle sulla differenza tra anonimizzazione e pseudonimizzazione. L’Autorità ribadisce infatti, che i principi di protezione dei dati personali non dovrebbero applicarsi alle informazioni anonime (vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile) o a dati personali resi sufficientemente anonimi in modo da impedire o da non consentire più l’identificazione dell’interessato.
Nel affermare quanto detto, il Comitato ribadisce ancora una volta che prima di poter dire effettivamente che una anonimizzazione è avvenuta, è necessario effettuare la c.d. “prova di identificazione “ di cui al considerando 26 del GDPR, secondo il quale per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi (come ad esempio la possibilità del Titolare di interconnettere le informazioni in suo possesso con quelle in possesso di altri Titolari), tenendo conto anche della probabilità di tale attività di identificazione. Per valutare tale probabilità occorrerà tenere conto numerosi fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici.
A tal proposito il Comitato aggiunge che nell’attuale contesto tecnologico appare sempre più improbabile un raggiungimento di una effettiva anonimizzazione. Per tale ragione esorta all’attenzione nell’uso di tale terminologia in campo scientifico e chiede che la c.d. prova di identificazione venga assolta, anche attraverso la consultazione delle Supervisory Authorities competenti. Da ultimo, con riferimento ai dati genetici, precisa che la questione sulla possibilità di anonimizzare tali dati è tendenzialmente irrisolta; per tale ragione invita a considerare i dati genetici a tutti gli effetti dei dati personali, applicando ai trattamenti che li coinvolgano tutte le misure di sicurezza previste dal GDPR.
- Data protection impact assessment (DPIA)
Il Comitato torna nuovamente sul tema della valutazione d’impatto, precisando che al fine di identificare i trattamenti che necessitino valutazioni di impatto il Titolare non dovrebbe basarsi esclusivamente sugli esempi forniti dall’articolo 35 GDPR e sulle indicazioni fornite dalle Autorità di controllo locali. Tali elenchi sono da considerarsi meramente esemplificativi e pertanto il Titolare dovrà considerare la DPIA obbligatoria in tutti i casi in cui, considerati la tipologia di dati trattati, gli strumenti utilizzati e i potenziali rischi per gli interessati, appaia un evidente livello di rischio che necessiti delle misure di mitigazione.
Com’è evidente dall’analisi dei temi trattati, il Comitato si sta focalizzando sempre di più su questioni pratiche cercando di mantenere una linea coerente e fornendo sempre maggiori spunti ai Titolari del trattamento. Sarà certamente interessante vedere quali saranno gli orientamenti sulle questioni, ad oggi irrisolte, inerenti:- l’utilizzabilità dei dati sanitari provenienti da piattaforme social, activity tracker o database pubblici;
- misure tecniche e organizzative implementabili dai Titolari nell’ambito della ricerca sanitaria;
- tempi di conservazione dei dati sanitari;
- trasferimento dei dati a terzi sulla base del legittimo interesse nell’ambito della ricerca sanitaria,
la cui trattazione è stata rinviata all’interno del documento, di prossima emanazione, relativo alle linee guida sulle attività di ricerca scientifica.
Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:
(5) La creazione di uno spazio europeo dei dati, che comprenda anche il settore sanitario, è una delle priorità della Commissione per il periodo 2019-2025, per maggiori informazioni consultare European Health Data Space | Salute pubblica
