Medicina e ricerca

Privacy, il punto sulle nuove regole Ue per la ricerca

di Silvia Stefanelli (Studio legale Stefanelli&Stefanelli)

Ricerca in area sanitarie e protezione dei dati. Nelle ultime settimane si sono rincorsi sul web commenti e prese di posizione divergenti in relazione al testo del nuovo articolo 110-bis del codice Privacy, introdotto dalla legge europea 20 novembre 2017, n. 167, che rinnova la disciplina della protezione dei dati in area di ricerca scientifica medica.

Facciamo il punto sul quadro giuridico, per poi valutare l’impatto della nuova norma.

Disciplina del codice Privacy. Il Dlgs 196/2003 (codice Privacy) stabilisce che i dati sanitari possono essere trattati ai fini di ricerca, previa autorizzazione del garante e consenso del paziente.

Circa il primo requisito il garante è intervenuto nel corso degli anni a emanare autorizzazioni generali in ambito di ricerca scientifica ex articolo 40, di cui l’ultima è l’Autorizzazione n. 9/2016 che espressamente (punto 11) resterà in vigore fino al 24 maggio 2018 (alla data di piena applicazione del regolamento Ue 2016/679)

Circa l’obbligo del consenso dell’interessato (paziente) questo è sempre richiesto tranne in tre casi espressamente elencati all’articolo 110: più esattamente: a) quando la ricerca è prevista da un’espressa disposizione di legge che prevede specificamente il trattamento; b) quando la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502 (previa comuni-cazione al Garante ai sensi dell’articolo 39); c) quando a causa di particolari ragioni non è possibile informare gli interessati (e vi è motivato parere favorevole del competente comitato etico).

Regolamento Ue 2016/745. Il nuovo regolamento Ue 206/679 sulla data protection - già oggi in vigore e con piena efficacia dal 25 maggio 2018 - rivoluziona radicalmente tale assetto normativo.

L’articolo 5 alla lettera b) sui principi del trattamento sancisce infatti espressamente che la finalità di ricerca è trattamento compatibile con la finalità iniziale per la quale i dati sono stati raccolti (c.d secondary use), a patto che vengano applicate le prescrizioni dell’articolo 89, comma 1. Il successivo articolo 9 sul consenso al trattamento di categorie particolari di dati (tra cui rientrano i sensibili e i genetici) al comma 2 lettera j) stabilisce poi che il consenso non è richiesto per i trattamenti di ricerca scientifica, sempre a condizione che si applichino le garanzie di cui all’articolo 89 comma 1. Tale ultima norma (più volte richiamata) stabilisce, a sua volta, che il trattamento a fini di ricerca scientifica deve garantire i diritti e le libertà dell’interessato e che tali garanzie coinvolgono in particolare misure tecniche e organizzative atte ad assicurare il principio di minimizzazione e l’applicazione della tecnica di pseudoanonimizzazione.

Su tale quadro giuridico - che fino al 24 maggio 2018 delimita la ricerca entro il perimetro dall’autorizzazione del Garante e del consenso dell’interessato, mentre allarga le maglie dopo tale data ai soli requisiti dell’articolo 89, comma 1 - cala la legge 167/2017 (legge europea 2017) che introduce nel nostro codice Privacy l’articolo 110-bis.

«Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici»

A soli cinque mesi dalla piena applicazione dei regolamento Ue 2016/679 - che non prevede più l’istituto dell’autorizzazione del garante e che ammette ricerca come secondary use dei dati senza richiedere specifico consenso - il legislatore nazionale introduce una disciplina che ammette sì la ricerca come secondary use - escludendo però tale possibilità per genetici - mantenendo però l’obbligo di richiesta di autorizzazione del garante.

Le domande che sorgono spontanee sono: qual è la motivazione che spinge il legislatore nazionale a prendere questa iniziativa a 5 mesi dalla piena efficacia del regolamento Ue 2016/679? Siamo proprio sicuri che tale nuova disciplina possa poi reggere a un vaglio di compatibilità con il Regolamento che ha cancellato l’istituto dell’autorizzazione del garante?

Un’ultima valutazione: non sarebbe meglio dare alla ricerca italiana - che già fatica - un quadro giuridico chiaro evitando queste confuse stratificazioni normative?

Silvia Stefanelli

Ecco il testo della nuova norma: 

1. Nell’ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal garante il riutilizzo dei dati, anche sensibili, a esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati;

2. Il garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profil o della loro sicurezza.


© RIPRODUZIONE RISERVATA