Il ruolo del consenso nell’ambito del riutilizzo dei dati per fini di ricerca scientifica: il quadro normativo italiano ed europeo

di  Simona Lanna 6 Gennaio 2023

In linea tendenziale, all’interno dell’UE, il titolare del trattamento non può utilizzare (e/o comunicare ad un terzo) i dati raccolti per lo svolgimento di attività di trattamento aventi una finalità ulteriore rispetto a quella inziale senza il previo consenso dell’interessato. L’art. 5 GDPR chiarisce, però, che: “un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali”.

Linee introduttive e il caso Italia

Per quanto riguarda la fattispecie italiana, in ossequio a quanto previsto dal Considerando 50, dall’art. 5 par. 1 lett. b) e dall’articolo 89 GDPR, non sembrano porsi particolari problemi circa l’utilizzo e/o il riutilizzo di dati personali comuni – non appartenenti, dunque, alle categorie definite particolari ex art. 9 GDPR – per finalità di ricerca scientifica anche ulteriori rispetto ai fini per cui tali informazioni siano state raccolte.

Maggiori criticità riguardano, invece, il trasferimento ed il riutilizzo dei dati, cosiddetti “particolari” – di cui all’art 9 GDPR –, ad un soggetto terzo che li utilizzi per un trattamento ulteriore.

L’art. 9, al paragrafo 1, prevede il divieto di trattamento dei dati particolari (tra cui rientrano anche i dati sanitari, biometrici e genetici), salvo poi introdurre, nel paragrafo successivo, una serie di situazioni specifiche nell’ambito delle quali è consentito, al titolare, di effettuare attività di trattamento anche su questa categoria di informazioni. Tra le finalità che consentono il trattamento troviamo il consenso specifico dell’interessato, la necessità di tutelare i suoi interessi vitali o quelli di un’altra persona fisica, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; per finalità di medicina preventiva; per motivi di interesse pubblico nel settore della sanità pubblica o ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1 GDPR (rispettivamente par. 2, lettere a), c) i), j) dell’art. 9 GDPR).

Il paragrafo 4 dell’art 9 GDPR, inoltre, riconosce agli Stati membri dell’Unione Europea la possibilità di mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati particolari quali dati biometrici, genetici o relativi alla salute. Per questo motivo, il legislatore italiano – intervenuto con il D.lgs. 101/2018 in armonizzazione del D.lgs. 196/2003 (il “Codice Privacy”) al GDPR – ha modificato gli articoli 110 e 110-bis nel Codice Privacy, volti a disciplinare, rispettivamente, la necessità o meno del consenso dell’interessato per il trattamento dei dati relativi alla salute ai fini di ricerca in campo medico, biomedico ed epidemiologico e il “Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici”. In particolare, nell’art. 110-bis del Codice, il legislatore ha previsto due ipotesi eccezionali che consentono al titolare di riutilizzare i dati per finalità di ricerca scientifica o per scopi statistici senza il consenso dell’interessato, ma con la previa autorizzazione al trattamento da parte dell’Autorità Garante per la Protezione dei Dati Personali. Ciò nei casi in cui tale consenso possa costituire un ostacolo per la ricerca scientifica e/o biomedica – nei casi in cui, ad esempio, l’acquisizione del consenso si traduca in uno sforzo sproporzionato per il titolare, a causa dell’irreperibilità dei soggetti interessati o a causa del numero elevato degli stessi e sia posta in essere ogni misura idonea allo scopo – ovvero il suo ottenimento rischi di compromettere o pregiudicare il raggiungimento delle finalità della ricerca. L’Autorità sarà chiamata a verificare anche la predisposizione, l’adozione e l’implementazione, da parte del titolare, di tutte le misure adeguate volte a tutelare i diritti, le libertà e i legittimi interessi dell’interessato.

In Europa

In Francia, all’art. 8 par. 1 punto 2) lettera c) del LIL (Loi informatique, fichiers et libertés) è stabilito che l’Autorità nazionale è legittimata a promulgare regole tese a garantire tutele alla disciplina dell’utilizzo e/o riutilizzo di dati sensibili: ad esempio si prescrive che l’utilizzo e/o il riutilizzo dei dati sanitari per finalità di ricerca scientifica è consentito esclusivamente per la pubblica ricerca, rimanendo escluse le ricerche di natura privatistica. Per quanto riguarda l’istituto del consenso, inoltre, in Francia come in Italia, sono previste delle deroghe soltanto laddove l’eventuale esercizio dei diritti in questione può rendere impossibile o comunque ostacolare, in modo significativo, il raggiungimento delle finalità di ricerca scientifica.

In Germania è invece possibile, concordemente con quanto stabilito dal GDPR, effettuare il trattamento di dati particolari per finalità di ricerca scientifica e sanità pubblica, senza il consenso degli interessati. Il BDSG (Legge federale sulla protezione dei dati) prevede tale possibilità in diverse disposizioni applicabili esclusivamente all’ambito della ricerca scientifica. In alcuni casi specifici, per esempio, i titolari del trattamento possono (ri)utilizzare i dati personali per uno scopo incompatibile con quello originario, purché il trattamento sia necessario per il perseguimento delle finalità del trattamento (in ossequio ai principi di minimizzazione dei dati); gli interessi e le finalità perseguite con il trattamento siano sostanzialmente superiori agli interessi del singolo interessato coinvolto e, infine, il titolare del trattamento adottari misure tecniche ed organizzative adeguate e specifiche per salvaguardare i diritti degli interessati.

In Inghilterra, il DPA (Data Protection Act) richiede condizioni specifiche per il trattamento dei dati particolari: è previsto, infatti, che questi possono essere trattati a scopo di ricerca solo nel caso in cui il trattamento risulti essere necessario al raggiungimento degli scopi della ricerca, sia perseguito l’interesse pubblico e siano predisposte garanzie adeguate. Per ciò che concerne l’utilizzo secondario dei dati sanitari, i pazienti hanno la possibilità di revocare il consenso per il trattamento ulteriore delle loro informazioni. Inoltre, nella pubblicazione della bozza dello “UK GDPR” – rimasta in consultazione pubblica fino al 22 aprile 2022 – l’ICO (l’Autorità Garante Inglese) ha indicato riconosciuto che le basi giuridiche ritenute più adeguate al trattamento dei dati per finalità di ricerca scientifica siano il pubblico interesse e il legittimo interesse del titolare del trattamento.