Dal 27 aprile 2016 quando è stato approvato il Regolamento generale sulla protezione dei dati 2016/679 (GDPR) abbiamo intrapreso un percorso di avvicinamento all’applicazione della norma europea nel contesto dei trattamenti di dati sanitari per scopi di governo, di prevenzione e informazione sulla promozione della salute e di ricerca scientifica. Abbiamo illustrato in precedenti articoli le fasi di approvazione del Regolamento e le principali novità rispetto al Codice italiano e  messo a disposizione la documentazione disponibile. (vedi articoli a piè di pagina). Siamo ora a un passo dal traguardo del 25 maggio 2018.

I fondamenti della norma europea sono dichiarati nel Considerando 1 "La protezione delle persone fisiche con riguardo al trattamento di dati  di carattere personale è un diritto fondamentale.  (…)" e  nel Considerando 2, nel quale si pone l’accento sul valore dei dati personali, da utilizzare al servizio della libertà, sicurezza e giustizia, progresso economico e sociale, benessere delle persone: "I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero rispettarne i diritti e le libertà fondamentali, a prescindere dalla loro nazionalità e loro residenza.  Il presente Regolamento è inteso a contribuire alla realizzazione di uno spazio di libertà, sicurezza a giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel  mercato interno e al benessere delle persone."

In quest’ottica l’uso dei dati per scopi di ricerca anche e soprattutto sanitaria è sostenuto e valorizzato: il Considerando 53 e quindi l’art. 9 (punti h, i, j) individuano l’intero ambito della sanità pubblica, della prevenzione, del governo dei sistemi sanitari e della ricerca sanitaria (finalità di sicurezza sanitaria, controllo e allerta, prevenzione, sanità pubblica e gestione dei servizi sanitari per garantirne qualità e economicità, ricerca scientifica storica e statistica)  come ambito per il quale il trattamento dei dati particolari (a noi italiani più comunemente noti come “dati sensibili”) dev’essere consentito SENZA dover acquisire il consenso delle persone interessate. L’art. 89 indica la minimizzazione, i sistemi di pseudonimizzazione e l’anonimmizzazione dei dati come obblighi da mettere in atto per trattare dati per scopi di ricerca scientifica, a garanzia della sicurezza e della tutela dei diritti dei soggetti interessati, ma se ciò impedisce di poter sviluppare la ricerca stessa, prevede che sia possibile derogare, secondo regole definite ancche a liello nazionale.

Laddove venga richiesto il consenso all’interessato (es. per tutte le attività di cura) il Considerando  33 indica l’opportunità di raccogliere il consenso anche per un successivo trattamento di dati personali per settori di ricerca / eventuali progetti di ricerca non ancora definiti, ponendo a garanzia della correttezza i vincoli dei codici deontologici: è una porta che si apre verso il futuro della ricerca scientifica, non del tutto prevedibile, in un’ottica di progresso scientifico a cui tutti contribuiscono (scienziati e soggetti che  mettono  a disposizione i propri dati) per un bene comune.

Riguardo all’impatto del Regolamento europeo sull’ambito della ricerca scientifica, un interessante articolo  di Gauthier Chassang apparso sulla rivista on line Ecancer a gennaio 2017 presenta un quadro sintetico e competo.  (G.Chassang The impact of the EU general data  protectione regulation on scientific research, ecancer 2017,11:709 DOI:10.3332/cancer.2017.709- disponibile in allegato)

Le comunità dovranno adoperarsi per dare garanzie di liceità, correttezza, sicurezza dei trattamenti di dati personali, a tutela delle persone: nel Regolamento è cruciale il richiamo al bisogno di  documentare, disegnare in anticipo, controllare, l’uso dei dati che diventa un obbligo pressante per titolari e responsabili dei trattamenti, coadiuvati dai DPO. 

Il Garante italiano negli ultimi mesi ha intensificato gli interventi sul tema, rivolgendosi a varie categorie di Enti titolari, specialmente in ambito pubblico, con incontri dedicati alle pubbliche amministrazioni in vista dell'applicazione del Regolamento europeo sulla protezione dati, prevista dal 25 maggio 2018.  Ciascun Ente dovrà aver nominato un DPO, istituito il registro di trattamenti, effettuato la DPIA, adeguato l’informativa.

 Gli incontri rivolti alle pubbliche amministrazioni sono avvenuti a Roma, 7 novembre 2017,  Milano, 4 dicembre 2017,  Bari, 15 gennaio 2018; per l'amministrazione finanziaria  a Roma, 27 marzo 2018; per le università a  Roma, 6 aprile 2018  e da ultimo il Garante incontrerà i DPO  a Bologna il 24 maggio 2018.

Vi sono alcuni timori di vuoto normativo: il 24 maggio 2018 scadono tutte le autorizzazioni generali del Garante che, rinnovate periodicamente,  in questi anni hanno  reso possibile gestire i trattamenti di dati sensibili per la gestione dei servizi sanitari,edl rapporto di rapporto di lavoro e altri importantissimi settori.

E’ in fase di elaborazione un decreto legislativo  per l’adeguamento della normativa nazionale approvato in esame preliminare dal Consiglio dei Ministri il 21 marzo 2018. Vengono introdotte le disposizioni per l’adeguamento della normativa nazionale al Regolamento europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. La bozza di decreto prevede l’abrogazione  del Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196. La nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy. A un mese dalla scadenza la bozza di decreto si trova all’analisi delle commissioni competenti, si spera il lavoro venga ultimato prima dell’applicazione del Regolamento per dare certezza normativa e non incorrere in difficoltà interpretative. Nel caso in cui non si riuscisse a modificare la normativa  in tempo per il 25 maggio si dovrà disapplicare il d.lgs. 196/2003 nelle parti in contrasto con il Regolamento europeo.

Riguardo ai cosiddetti “studi osservazionali” ossia la ricerca scientifica sanitaria che si basa su dati raccolti in precedenza per altri scopi,  resta da dirimere, fra l'altro, la questione aperta dal recentissimo art 110 bis del Codice privacy, approvato a novembre 2017, che ha suscitato opposti timori:  apertura all’utilizzo dei dati sanitari  da parte delle multinazionali  o blocco della ricerca scientifica, anche soltanto per l’impossibilità che il Garante renda il parere entro il termine dei 45 giorni?

Fino  al 24 maggio 2018 vale l’Autorizzazione generale n 9 del Garante, che consente, quando non è possibile ottenere dare l’informativa e ottenere il consenso individuale, di derogare sulla base di un parere favorevole del comitato etico; dopo varrà l’art. 110 bis (evitando in tal modo un vuoto normativo).Che ne sarà delle ricerche ancora al vaglio dei Comitati Etici? La necessità di una norma che consenta il passaggio da un regime all’altro è evidente, anche se si può ragionevolmente presumere che le nuove norme integrative italiane ripercorrano quanto già definito e  che quindi,  si salvaguarderà  la ricerca finalizzata prevista dall’art 12 bis del d lgs 502/92, e la ricerca scientifica connessa alla gestione dei registri di patologia e sorveglianze sanitarie previste dalle leggi; proseguirà la ricerca prevista dal Piano Statistico Nazionale, con i vincoli dettati dal DPR 322/89 e naturalmente, non cambierà nulla nei casi in cui la ricerca viene condotta con l’adesione volontaria degli interessati, preventivamente  informati.

Ha dichiarato il Garante, riguardo all’applicazione dell’art 110 bis, che la nuova disciplina vada  vista “come un presidio di tutela incisivo e tutt'altro che generico. Spetterà infatti all'Autorità .. valutare l'idoneità delle soluzioni adottate …. E spetterà al soggetto che possiede i dati, sia esso la Regione o la ASL, predisporre un sistema di tutele per i diritti degli interessati, secondo il principio della privacy by design.”  (dall'intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali a Il Messaggero, 7 dicembre 2017)

Il Garante sta procedendo nella valutazione delle nuove norme italiane e ha già rilasciato i primi pareri dovuti.  Oltre a ciò, recenti provvedimenti richiamano il Regolamento in modo esplicito, ponendosi come un ponte fra il vecchio e il nuovo regime e rassicurando  sulla continuità di un percorso già in atto per la tutela dei diritti dei soggetti, contemperata dalla necessità di utilizzare i dati personali nei più variati contesti, e sempre “al servizio dell’uomo”.

Infine recenti norme nazionali (legge 11 gennaio 2018, n. 3 “Delega al Governo in materia di sperimentazione clinica di medicinali nonche' disposizioni per il riordino delle professioni sanitarie e per la dirigenza sanitaria del Ministero della salute.” - testo allegato in calce) ridefiniscono il quadro della ricerca biomedica sperimentale, indicando  la necessità di decreti  (da emanare entro febbraio 2019, quindi  non a breve termine)  per semplificare il riuso di materiale biologico per la ricerca armonizzando le norme italiane con quelle europee (in particolare con il regolamento (UE) n. 536/2014 sulla sperimentazione clinica). 

Anche per la ricerca scientifica le parole d'ordine sono minimizzazione, privacy by design, privacy by default

Il regolamento europeo impone l’obbligo di  prevedere i trattamenti fin dalla fase di progettazione (privacy by design) e quindi gestire in modo controllato e trasparente tutti i trattamenti, così da poter scongiurare o almeno  rilevare immediatamente qualsiasi  violazione o dispersione (privacy by default /notifica di data breach). La sanzione pecuniaria è un deterrente efficace soprattutto per l’ambito privato  e commerciale; per l’ambito pubblico, in caso di ispezioni,  il timore maggiore potrebbe essere quello del blocco dei dati.  Da qui  la necessità di essere in grado di dimostrare di aver previsto e agito  secondo la legge.

Per adempiere a questi vincoli saranno di grande aiuto le linee guida, i codici deontologici elaborati dalla comunità scientifica (cosiddetta soft law), in parte già da tempo attivati in Italia, ma anch’essi destinati eìa essere rivisti alla luce del Regolametno e in un’ottica europea (codice per la ricerca scientifica e  statistica  ALL 4 al Codice privacy ).

Le potenzialità della ricerca con i big data, la loro stessa natura, se  sviluppate in ambito di dati particolari (sulla salute e gli altri dati sensibili) pongono seri problemi di compatibilità con le regole europee:  come può realizzarsi la privacy by design, quando non è  individuabile lo scopo preciso della ricerca? Come stabilire a priori l’indispensabilità o meno di un certo dato?

Come  sempre accade, prima si  determina un fenomeno, (in questo caso , la capacità di gestire tecnicamente i big data per condurre analisi) e  dopo interviene una norma di legge che  regola questo ambito. 

La soluzione si delinea con l’art. 89 del Regolamento "Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica  o storica o a fini statistici" che recita:

1. il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici é soggetto alle garanzie adeguate erp i diritti e le libertà  dell'interessato, in conformità al presetne regolamento.  Tali garanzie assicurano che siano state predisposte misure tecniche ed organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo.Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l'interessato,  tali finalità devono essere conseguite in tal modo.

Possiamo auspicare che in futuro sistemi di pseudonimizzazione diffusi e robusti, che consentano di proteggere le identità senza rinunciare ai dati, in bacini sempre più ampi, anche transnazionali ed  extraeuropei  consentiranno di sviluppare la ricerca scientifica senza esporre a rischi la riservatezza delle persone.

Testo completo del GDPR con riferimenti ai considerando G.Chassang The impact of the EU general data protectione regulation on scientific research legge 11 gennaio 2018, n. 3 “Delega al Governo in materia di sperimentazione clinica di medicinali (..)"