Ricerca medica: non è più necessaria la consultazione preventiva con il Garante Privacy

La ricerca medica è uno dei settori maggiormente influenzati dal rapido sviluppo tecnologico e dalla diffusione sempre maggiore dei sistemi di intelligenza artificiale. La possibilità di riutilizzare per scopi di ricerca medica dati (personali e sanitari) raccolti per finalità di cura in maniera efficiente ma nel rispetto della normativa in materia di protezione dei dati personali è stata oggetto di un ampio dibattito che si è svolto in varie sedi nel corso degli ultimi anni. Non solo. Questo scenario è alla base delle ultime iniziative legislative nazionali ed europee: si pensi allo Spazio europeo di dati sanitari, o alle recenti modifiche in tema di Fascicolo sanitario elettronico.
Da una parte le aziende, i privati e i soggetti che svolgono attività di ricerca hanno evidenziato i limiti di una normativa che negli ultimi anni ha fortemente limitato il settore della ricerca medica, soprattutto gli studi osservazionali, che sono alla base di molti progressi in ambito scientifico. Dall’altro l’esigenza di protezione dei dati personali e di rispettare la normativa esistente a tutela dei partecipanti agli studi non può certamente essere sottovalutata.

Le novità legislative introdotte con il decreto Pnrr

Il dibattito ha portato a una importante novità legislativa introdotta con il Decreto Pnrr, con la quale è stato modificato il regime previsto dal Codice Privacy in materia di ricerca medica, biomedica ed epidemiologica.
In particolare, la legge 29 aprile 202, numero 56 di conversione del decreto-legge numero 19 del 12 marzo 2024 ha modificato l’articolo 110 del Codice Privacy, il quale anzitutto esclude la necessità di raccogliere il consenso per il trattamento dei dati relativi alla salute a fini di ricerca scientifica in campo medico, biomedico o epidemiologico quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea ed è condotta e resa pubblica una valutazione d’impatto (casi che, alla luce della situazione italiana della ricerca medica, costituiscono ipotesi piuttosto residuali). Lo stesso articolo 110 prevede che il consenso non sia necessario laddove, a causa di particolari ragioni, informare gli interessati risulti impossibile o implichi uno sforzo sproporzionato, oppure rischi di rendere impossibile o pregiudicare gravemente il conseguimento delle finalità di ricerca, purché siano adottare idonee misure per tutelare diritti, libertà e legittimi interessi dell’interessato.

La versione precedente

Nella formulazione precedente alla recente modifica, era richiesto – nei casi sopra indicati – che il titolare del trattamento adottasse misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dei soggetti coinvolti; che il programma di ricerca fosse oggetto di motivato parere favorevole da parte del competente comitato etico a livello territoriale e che il medesimo fosse sottoposto a preventiva consultazione del Garante, ai sensi dell’articolo 36 del Regolamento. La novella di aprile 2024 modifica proprio quest’ultimo requisito, che era stato da sempre oggetto di numerose critiche: l’avere reso obbligatoria la consultazione preventiva con il Garante Privacy rendeva il percorso degli studi osservazionali particolarmente lungo e complesso. Basti considerare le decisioni del Garante Privacy negli ultimi anni proprio su procedimenti di consultazione preventiva ai sensi dell’articolo 110: quelli instaurati dai titolari a tal fine sono durati diversi anni.

C’è l’obbligo di osservare le garanzie dell’Autorità

Nella nuova formulazione, l’articolo 110 non contiene più l’obbligo di consultazione preventiva, ma quello di osservare le garanzie individuate dall’Autorità ai sensi degli articoli 2-quater e 106 del Codice Privacy. È evidente, dunque, che il Garante interverrà per meglio individuare queste garanzie e tuttavia esistono già le regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica adottate con provvedimento n. 515 del 19 dicembre 2018, le quali, come chiarito anche dal Garante, trovano senz’altro applicazione. Il Garante è intervenuto, infatti, con il provvedimento numero 298 del 9 maggio 2024 per chiarire che le regole deontologiche già esistenti trovano applicazione nelle more dell’approvazione di nuove regole e per individuare alcune ulteriori garanzie.

Le motivazioni del Garante

In particolare, il Garante ha dettagliato i motivi etici e organizzativi che consentono di trattare i dati di soggetti deceduti o non contattabili. I motivi etici sono quelli che non consentono di chiedere il consenso all’interessato perché questi ignora la propria condizione e venirne a conoscenza potrebbe cagionare un danno materiale o psicologico. I motivi organizzativi che rendono impossibile contattare gli interessati e raccoglierne il consenso coincide con ciò che il Garante definisce “residuale”. Ovvero quando contattare gli interessati implicherebbe uno sforzo sproporzionato e la circostanza che, una volta compiuto ogni sforzo ragionevole per contattare gli interessati (documentandolo) essi siano deceduti o comunque non rintracciabili. Tali circostanze, chiarisce il Garante, devono essere dettagliate all’interno del progetto di ricerca.

Serve la Dpia

Inoltre, il Garante chiarisce che in questi casi, i titolari devono svolgere e pubblicare la valutazione di impatto (Dpia) ai sensi dell’articolo 35 del Gdpr. Vale la pena soffermarsi su quest’ultima previsione: il nuovo articolo 110 non fa riferimento alla necessità di svolgere una Dpia, in linea con il principio di accountability del Gdpr e con il fatto che l’obbligo di Dpia è previsto in casi specifici previsti dall’articolo 35 stesso oppure con un procedimento specifico (meccanismo di coerenza) per alcuni trattamenti transfrontalieri. Qui il Garante sembra dare per scontato che, venuto meno l’obbligo di consultazione preventiva, resti necessario svolgere una valutazione di impatto ai sensi dell’articolo 35 Gdpr, ma si potrebbe anche ritenere che, anche in quei casi di ricerca medica rientranti nell’ambito di applicazione del novellato articolo 110 Codice Privacy la valutazione relativa alla sua necessità debba essere fatta dal titolare. Il requisito dello svolgimento della valutazione di impatto è sicuramente in continuità con le prescrizioni della prima parte dell’articolo 110 che la prevedono per la ricerca finanziata dallo Stato e ne richiedono la pubblicazione.

La pubblicazione della Dpia

Ad ogni modo, una volta effettuata una valutazione di impatto ai sensi dell’articolo 110 sarà il titolare a valutare se ricorrere alla consultazione preventiva con il Garante ai sensi dell’articolo 36 Gdpr nel caso in cui i rischi elevati non siano mitigabili. Infine, c’è da chiedersi se fosse davvero necessario prevedere la pubblicazione dell’intera valutazione di impatto: questa, infatti, è un documento lungo e complesso e di natura anche molto tecnica. Il requisito della pubblicazione della Dpia non sembra tanto finalizzato a una maggiore trasparenza nei confronti degli interessati (almeno nel caso dei pazienti deceduti e inseriti in studi osservazionali), i quali non sempre hanno il desiderio e gli strumenti per esaminare un documento così complesso, quanto più che altro a rendere più agevoli le verifiche che potranno essere effettuate dal Garante (su segnalazione di terzi o ex officio).

A tal proposito, più di recente il Garante ha pubblicato delle FAQ sul trattamento dei dati personali raccolti a scopo di cura per ulteriori finalità di ricerca da parte di una specifica categoria di enti (gli Istituti di Ricovero e Cura a Carattere Scientifico, “IRCSS”). Nelle FAQ il Garante ha chiarito che l’attività di ricerca svolta dagli IRCSS può rientrare nella fattispecie di ricerca biomedica condotta ai sensi di legge e, pertanto, non è richiesto il preventivo consenso degli interessati, mentre deve essere condotta e resa pubblica una DPIA. A questo proposito, il Garante ha chiarito che, quando la pubblicazione dell’intera DPIA può violare diritti di proprietà intellettuale, segreti commerciali o simili, il titolare del trattamento può pubblicare i soli estratti della stessa. Se da un lato si potrebbe sostenere che tale possibilità non è stata espressamente prevista dal Garante nel proprio provvedimento del maggio 2024 di chiarimento delle regole deontologiche già esistenti, dall’altro si potrebbe obbiettare che sarebbe irragionevole limitare la tutela della proprietà intellettuale e delle informazioni commerciali al solo caso delle attività di ricerca condotte dagli IRCSS. E, dunque, anche nel caso di ricerca condotta ai sensi dell’articolo 110 da soggetti diversi dagli IRCSS, sarebbe ragionevole argomentare che sia possibile pubblicare solo estratti della valutazione di impatto.

Le nuove regole deontologiche

Con lo stesso provvedimento del 9 maggio il Garante ha promosso l’adozione di nuove regole deontologiche, invitando coloro che abbiano interesse a sottoscriverle (e coloro che siano possessori di un interesse qualificato alla loro adozione), nel rispetto del principio di rappresentatività, a darne comunicazione al Garante entro 60 giorni dalla pubblicazione dello stesso provvedimento. L’adozione delle regole deontologiche richiederà del tempo e il coinvolgimento di diversi stakeholders: è auspicabile che le nuove garanzie vadano nella direzione di una valorizzazione del principio di accountability e tengano conto degli effettivi rischi in un settore come quello della ricerca medica, che è essenziale per lo sviluppo sociale ed economico del nostro paese.