Ricerca scientifica in ambito medico, biomedico, epidemiologico: normativa europea e nazionale a confronto

Il quadro normativo europeo in tema di ricerca scientifica

Le tematiche relative alla ricerca in campo medico, biomedico ed epidemiologico devono essere affrontate, in primo luogo, guardando alla ricerca scientifica in senso lato, e alla relativa disciplina in ambito europeo. Innanzitutto, la ricerca scientifica è definita nel considerando 159 del GDPR, che ne prevede una nozione ampia, includendovi anche i trattamenti di dati ai fini di sviluppo tecnologico, oltre che la “dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata da privati, oltre a tenere conto dell'obiettivo dell'Unione di istituire uno spazio europeo della ricerca ai sensi dell'articolo 179, paragrafo 1, TFUE”.

In secondo luogo, giova ricordare che tutto l'impianto normativo del GDPR dimostra un favore del legislatore per la ricerca scientifica, oggetto di numerose eccezioni e facilitazioni.

In primis, è necessario considerare l'art. 9, par. 2, GDPR, che, alla lettera j) introduce una specifica eccezione per tali trattamenti, prevedendo che le categorie particolari di dati di cui al medesimo articolo, tra cui quelli genetici e quelli relativi alla salute, possano essere trattati allorché il trattamento sia  necessario a fini di ricerca scientifica “in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”. L'art. 89 a sua volta prevede che il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici sia soggetto a garanzie adeguate per i diritti e le libertà dell'interessato, tra cui la predisposizione di misure tecniche e organizzative, in particolare per garantire il rispetto del principio della minimizzazione dei dati, che possono includere la pseudonimizzazione (sempre che le finalità possano essere conseguite in tal modo).

Ulteriori semplificazioni sono previste in tema di diritti dell'interessato, sempre a mente dell'art. 89 GDPR, per cui il diritto di accesso, di rettifica, di limitazione e di opposizione possono essere limitati, fatte salve le garanzie di cui sopra, “nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità”.

Degna di nota anche la disposizione di cui all'art. 14 GDPR, che al paragrafo 5, lett. b) prevede una deroga all'obbligo di rendere l'informativa per il caso di dati non ottenuti direttamente presso l'interessato ove “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'articolo 89, paragrafo 1” o nella misura in cui l'obbligo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, tuttavia, il titolare del trattamento deve comunque adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato “anche rendendo pubbliche le informazioni”.

Infine, l'art. 5 GDPR prevede una presunzione di compatibilità per l'uso ulteriore dei dati (raccolti originariamente per altre finalità) ai fini di ricerca scientifica nonché la possibilità di conservare i dati per un periodo di tempo superiore (in deroga al principio di limitazione della conservazione) purché utilizzati esclusivamente per tali finalità e nel rispetto dell'art. 89, par. 1, con l'adozione di misure tecniche e organizzative adeguate a tutela dei diritti e delle libertà dell'interessato.

Per quanto attiene allo specifico tema della base giuridica per il trattamento dei dati ai fini di ricerca medica, biomedica ed epidemiologica, il quadro europeo è ben rappresentato dal parere del Comitato Europeo per la protezione dei dati n. 3/2019 sull'interazione tra il GDPR e la Clinical Trials Regulation- CTR (Regolamento UE 536/2014) in materia di sperimentazioni cliniche. In tale documento, infatti, il Comitato Europeo fa presente che, nell'ambito di una sperimentazione clinica, è necessario distinguere i trattamenti di dati volti alla protezione della salute, ad esempio le operazioni di trattamento richieste dalla stessa Clinical Trials Regulation o dalle legislazioni nazionali e volte a garantire la sicurezza dei prodotti e l'affidabilità dei dati, dai trattamenti strettamente attinenti alla ricerca scientifica. Nel primo caso, infatti, la base giuridica del trattamento potrebbe essere rinvenuta nell'obbligo di legge, ai sensi dell'art. 6, par. 1, lett. c) GDPR, in combinato disposto con l'eccezione al trattamento dei dati particolari di cui all'art. 9, par. 2 lett. i) GDPR, ovvero l'interesse pubblico nell'area della salute pubblica. A fondare il trattamento, infatti, sarebbero le disposizioni della legislazione nazionale o della stessa CTR (ad esempio, quelle in tema di obbligo di vigilanza, art. 41-43, di archiviazione dei documenti, art. 58, di comunicazione dei dati all'autorità in caso di ispezione, art. 77-79). Nel secondo caso, invece, secondo il Comitato, la base giuridica potrebbe essere rappresentata dal consenso dell'interessato (art. 6, par. 1, lett. a) GDPR) in combinato disposto con art. 9, par. 1, lett. a) GDPR). Tuttavia, il consenso non rappresenta l'unica base giuridica possibile, posto che si potrebbe ricorrere anche al compito di interesse pubblico (art. 6, par. 1, lett. c) GDPR) tutte le volte in cui in base al diritto nazionale la conduzione delle sperimentazioni rientri direttamente nel mandato, nelle funzioni e nei compiti di un organismo pubblico o privato. Inoltre, viene valorizzato anche il ricorso al legittimo interesse (art. 6, par. 1, lett. f) GDPR) in combinato disposto con l'eccezione dell'interesse pubblico nell'area della salute pubblica (art. 9, par. 2, lett. i) GDPR) o della ricerca scientifica (art. 9, par. 2, lett. j) GDPR). Occorre evidenziare come, peraltro, il Comitato “scoraggi” l'uso della base giuridica del consenso, rilevandone due grosse criticità.

In primo luogo, il consenso al trattamento dei dati personali deve essere “libero” e tale requisito non può essere rispettato ove vi sia una situazione di squilibrio tra il Titolare del trattamento (nel caso delle sperimentazioni cliniche, il promotore) e l'interessato (nel caso delle sperimentazioni cliniche, il paziente). Infatti, nel parere n. 3/2019 il Comitato sottolinea come il consenso alla sperimentazione ai sensi della CTR (requisito etico, con la finalità di informare il paziente sui dettagli della sperimentazione e del trattamento medico, inclusi i rischi e i benefici per la salute) si differenzi da quello per il trattamento dei dati personali ai sensi del GDPR e come, in particolare, un consenso informato e valido ai sensi della CTR potrebbe non essere libero (e quindi non valido) ai sensi del GDPR: il partecipante allo studio infatti non è in buone condizioni di salute e/o potrebbe appartenere a un gruppo socialmente o economicamente disagiato, o potrebbero esserci situazioni di dipendenza gerarchica o istituzionale. In secondo luogo, il consenso non è raccomandabile come base giuridica posto che sempre revocabile (con conseguenze pratiche di non poco conto sulla sperimentazione).

In conclusione, il quadro europeo appare nettamente a favore di un superamento dell'approccio “consenso-centrico” adottato in molte legislazioni nazionali, inclusa quella italiana, prima dell'avvento del GDPR.

La disciplina italiana in tema di ricerca scientifica e l'art. 110 Codice privacy

Nonostante quanto sopra evidenziato in merito alla visione europea in tema di ricerca scientifica, il legislatore italiano, con le modifiche al d.lgs. 196/2003 introdotte post GDPR con il d.lgs. 101/2018, ha optato per un approccio conservativo e, ancora, consenso-centrico.

Alla ricerca medica, biomedica ed epidemiologica, in particolare, è dedicato l'art. 110 Codice privacy che, come regola generale, prevede che per il trattamento di dati di salute connessi a tali finalità sia necessario il consenso dell'interessato. La base giuridica del consenso è indicata quindi come prioritaria, e sono previste due eccezioni. In primo luogo, è possibile trattare i dati senza il consenso dell'interessato ove la ricerca sia effettuata “in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea in conformità all'articolo 9, paragrafo 2, lettera j), del Regolamento”, oppure nel caso in cui la ricerca rientri in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'art. 12-bis d.lgs. 30 dicembre 1992, n. 502. Nel caso in cui si ricorra a tale deroga è necessario condurre una valutazione di impatto ai sensi degli artt. 35 e 36 GDPR e renderla pubblica. Inoltre, è necessario che sia rispettato quanto indicato dall'art. 9, par. 2, lett. j) GDPR, ovvero che il trattamento sia proporzionato alla finalità perseguita, rispetti l'essenza del diritto alla protezione dei dati e preveda misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato, oltre a rispettare quanto indicato dall'art. 89, par. 1 GDPR. Trattasi, evidentemente, di una deroga eccezionale e difficilmente applicabile in pratica.

Una seconda deroga al consenso è prevista dall'art. 110 per il caso in cui, per particolari ragioni, informare gli interessati sarebbe impossibile o richiederebbe uno forzo sproporzionato, oppure rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di ricerca. Ciò potrebbe accadere, ad esempio, per motivi oggettivi (gli interessati potrebbero essere deceduti, potrebbero non essere note le informazioni di contatto, potrebbe esserci un numero eccessivo di interessati e i dati potrebbero essere molto risalenti nel tempo, l'interessato potrebbe essere in condizioni cognitive che non gli permettono di comprendere le informazioni) oppure per motivi etici (l'interessato potrebbe ignorare la propria condizione). In tali casi, il legislatore richiede di compensare la carenza di informazioni mediante l'adozione da parte del Titolare di misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, nonché la sottoposizione del programma di ricerca al competente comitato etico a livello territoriale, al fine di ottenere un motivato parere favorevole. Ma, soprattutto, l'art. 110 Codice privacy richiede che, in tali casi, il programma di ricerca debba essere sottoposto a preventiva consultazione del Garante ai sensi dell'art. 36 GDPR. In particolare, dovranno essere sottoposti all'autorità di controllo le seguenti informazioni: a) ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento nell'ambito di un gruppo imprenditoriale; b) le finalità e i mezzi del trattamento previsto; c) le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati d) ove applicabile, i dati di contatto del responsabile della protezione dei dati; e) la valutazione d'impatto sulla protezione dei dati di cui all'art. 35; f) ogni altra informazione richiesta dall'autorità di controllo. Occorre sottolineare come in questi anni il Garante abbia spesso espresso parere favorevole alle richieste di consultazione preventiva sottoposte, confermando la correttezza del binomio consenso-consultazione come base giuridica rispettivamente per gli studi dove il consenso possa essere raccolto (es. prospettici) e dove invece sia impossibile (es. studi retrospettivi). Vedasi, tra gli altri, il “Parere ai sensi dell'art. 110 del Codice e dell'art. 36 del Regolamento - 30 giugno 2022, doc web 9791886”, relativo ad una richiesta di consultazione preventiva presentata dall'Azienda Ospedaliera Universitaria Integrata di Verona in qualità di promotore di uno studio osservazionale interdipartimentale, prospettico, retrospettivo, non farmacologico, ove tra i pazienti arruolati rilevavano anche soggetti deceduti o non più contattabili. In tale occasione, il Garante ha confermato che “con riferimento ai pazienti non contattabili è la consultazione preventiva in esame, unitamente al parere favorevole del Comitato etico territorialmente competente, a costituire il presupposto giuridico equipollente al consenso, per la raccolta e la conservazione dei dati nel data base”.

Non sfugge all'interprete, tuttavia, come il regime prescelto dal legislatore italiano appaia restrittivo, specialmente per gli studi retrospettivi ove appunto il consenso non potrebbe essere raccolto e risulta difficile sul piano pratico il ricorso all'autorizzazione preventiva del Garante. Peraltro, in caso di violazione di tale disposizione è prevista la sanzione amministrativa pecuniaria prevista dall'art. 83, par. 4 GDPR (fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore). Infatti, l'art. 166 Codice privacy prevede che sia soggetto a tale sanzione amministrativa “colui che non effettua la valutazione di impatto di cui all'art. 110, comma 1 primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma”.

La situazione, invero, appare ancora più complessa rispetto a quanto possibile sulla base della versione antecedente del Codice privacy: la nuova formulazione dell'art. 110 ha eliminato la possibilità di effettuare ricerca scientifica con dati relativi alla salute, in ambito medico, biomedico ed epidemiologico, sulla base di autorizzazioni generali, richiedendo in ogni caso l'autorizzazione / consultazione specifica del Garante ove non sia possibile ottenere il consenso dell'interessato. Ciò non accadeva in passato, poiché il Garante aveva stabilito, proprio con un'autorizzazione generale, i criteri e le salvaguardie da osservare senza bisogno di rivolgersi all'Autorità per autorizzazioni speciali. Inoltre, la situazione è stata aggravata anche dall'abrogazione (ad opera d.l. 8 ottobre 2021, n. 139) dell'art. 2-quinquiesdecies Codice privacy e del connesso spazio d'azione del Garante mediante provvedimenti generali a garanzia degli interessati, per i trattamenti ad alto rischio.

Per completezza espositiva è necessario ricordare che il Codice privacy prevede un ulteriore articolo dedicato alla ricerca scientifica, ovvero il 110-bis, rubricato “Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici”. Tale articolo viene generalmente considerato come applicabile ai trattamenti ai fini di ricerca scientifica più in generale, esclusi quelli di tipo medico, biomedico ed epidemiologico (posto che per gli stessi sarebbe in vigore la disciplina “specialis” di cui all'art. 110). In base a tale norma è previsto che il Garante possa autorizzare il trattamento ulteriore di dati personali, compresi quelli di cui all'art. 9 GDPR “a fini di ricerca scientifica o a fini statistici da parte di soggetti terzi che svolgano principalmente tali attività quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, a condizione che siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, in conformità all'articolo 89 del Regolamento, comprese forme preventive di minimizzazione e di anonimizzazione dei dati”. Ricevuta la richiesta il Garante può autorizzarla entro 45 giorni, stabilendo le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati, incluso il profilo della sicurezza, oppure rimanere in silenzio (nel qual caso, la richiesta si intende rigettata). A differenza dell'art. 110 Codice privacy, in questo caso, al comma 3, è prevista la possibilità per il Garante di autorizzare il trattamento ulteriore di dati personali da parte di terzi anche mediante provvedimenti generali, “adottati d'ufficio e anche in relazione a determinate categorie di titolari e di trattamenti, con i quali sono stabilite le condizioni dell'ulteriore trattamento e prescritte le misure necessarie per assicurare adeguate garanzie a tutela degli interessati”. Infine, nonostante l'articolo sembri rivolgersi alla ricerca diversa da quella medica, al comma 4 è prevista una eccezione particolare per gli Istituti di ricovero e cura a carattere scientifico, pubblici e privati, in quanto è stabilito che non costituisce trattamento ulteriore da parte di terzi il trattamento svolto per l'attività clinica, a fini di ricerca, da parte degli stessi, in ragione del carattere strumentale dell'attività di assistenza sanitaria rispetto alla ricerca.

Possibili interpretazioni per superare l'approccio restrittivo dell'art. 110 Codice privacy

La rigidità dell'attuale disciplina desta preoccupazioni nel mondo della ricerca clinica, e si auspica un intervento legislativo che possa ripristinare la situazione previgente e la possibilità di ricorrere ad autorizzazioni generali del Garante, in particolare mediante l'elisione della frase finale dell'art. 110, comma 1 Codice privacy (“e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”).

Nel frattempo, in assenza di modifiche legislative, a parere di chi scrive la complessità del regime autorizzatorio potrebbe essere superata mediante interpretazioni più flessibili, che si indicano di seguito.

1) Interpretazione dell'art. 110-bis Codice privacy come comprensivo anche della ricerca   medica, biomedica ed epidemiologica.

A seguito dell'introduzione dei nuovi artt. 110 e 110-bis del Codice, è prevalsa una lettura dell'art. 110 come lex specialis e deroga più restrittiva, per la ricerca medica con dati relativi alla salute, rispetto alla disciplina più generale di cui all'art. 110-bis, la cui applicazione sarebbe limitata alle aree di ricerca diverse da quella di carattere medico, biomedico ed epidemiologico. Si ritiene tuttavia che tale interpretazione sia in conflitto con la lettera della norma stessa, posto che l'art. 110-bis, all'ultimo comma, fa riferimento agli Istituti di Ricovero e Cura a carattere scientifico (IRCCS), pubblici e privati, che tipicamente svolgono ricerca di carattere medico, biomedico ed epidemiologico. Qualora, infatti, il legislatore avesse voluto limitare l'applicazione dell'110-bis alla ricerca non medica, non si comprenderebbero le ragioni di tale inserimento. Né sarebbe ragionevole pensare che il legislatore, in quest'ultimo comma, abbia voluto disciplinare solamente la ricerca “non medica” condotta dagli IRCCS, volendo invece far rientrare la ricerca medica nell'ambito di applicazione dell'art. 110, comma 1 Codice privacy. A parere della scrivente si ritiene che possa essere adottata una interpretazione più ampia dell'art. 110-bis, con possibilità per il Garante di adottare provvedimenti generali, a mente del suo comma 3, anche con riferimento alla ricerca medica, biomedica ed epidemiologica.

2) Interpretazione dell'art. 110-bis Codice privacy come comprensivo anche della ricerca medica, biomedica ed epidemiologica, purché effettuati da soggetti terzi, diversi dal titolare che ha determinato il precedente trattamento (es. diversi dal centro di cura).

Tale lettura sarebbe possibile sulla base di un'interpretazione letterale dell'110-bis Codice privacy, ed in particolare sarebbe avallata dalla rubrica della disposizione normativa “Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici”, che appunto evidenzia come, in tal caso, il trattamento ulteriore avvenga “da parte di terzi”. Sembrerebbe quindi che il legislatore abbia voluto differenziare il regime autorizzatorio a seconda del soggetto che effettua il trattamento: più rigido, con richiesta di autorizzazione specifica ai sensi del 110, nel caso di trattamento effettuato dallo stesso titolare, e più flessibile, con possibilità di ricorso ad autorizzazioni generali ai sensi del 110-bis, terzo comma, nel caso di trattamento effettuato da soggetti terzi.  La ratio del diverso regime degli artt. 110 e 110-bis risiederebbe nel fatto che, mentre il titolare originario, avendo in origine raccolto i dati, sarebbe più facilmente in grado di re-identificare gli interessati, per il soggetto terzo tale operazione sarebbe più difficoltosa (in certi casi, per i soggetti terzi, tali dati sarebbero di fatto ragionevolmente anonimi). Tale interpretazione consentirebbe una maggiore apertura, quantomeno per i titolari terzi che usino i dati per fini di ricerca scientifica, anche se la rigidità continuerebbe a persistere per i titolari originari.

3) Provvedimenti generali del Garante, ai sensi dell'art. 2-septies Codice privacy in combinato disposto con l'art. 9, par. 4 GDPR, al fine di prevedere una forma semplificata di autorizzazione ex art. 36 GDPR per i casi di ricerca scientifica medica, biomedica epidemiologica.

La presente interpretazione, che più di altre convince chi scrive, permetterebbe di rispettare l'art. 110 nella sua attuale formulazione. Infatti, per i casi di ricerca medica in assenza di consenso, si continuerebbe a chiedere al Garante un'autorizzazione speciale ex art. 36 GDPR. Tuttavia, poiché l'art. 36 GDPR non disciplina del dettaglio le modalità di svolgimento della consultazione, ma stabilisce solamente i termini massimi entro cui questa deve avvenire, sarebbe possibile per il Garante  definire (sulla base del proprio potere regolamentare interno, nonché dei poteri conferiti dall'art. 2-septies  Codice privacy di emanare misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) le misure di garanzia standard da rispettarsi per queste fattispecie ed una forma semplificata di autorizzazione ove il Titolare vi si conformi (e dichiari di conformarvisi, in ossequio al principio di responsabilizzazione).  In altre parole, grazie a un regolamento del Garante, semplificante la procedura di consultazione e autorizzazione speciale nei casi di cui all'art. 110, primo comma, e attraverso l'attuazione dell'art. 2-septies, si costituirebbe una modalità attuativa sostenibile – per gli operatori della ricerca ma anche per l'Autorità stessa – dell'artt. 110 Codice privacy, senza necessità di modificarlo.

In conclusione

L'attuale disciplina italiana in tema di ricerca scientifica medica, biomedica ed epidemiologica appare ancora legata ad una visione “consenso-centrica”, non rispondente alla visione europea di favore per la ricerca scientifica, che vedrà ulteriore conferma anche nel venturo Regolamento Europeo sullo spazio europeo dei dati sanitari (European Health Data Space), attualmente in discussione.

Preoccupazioni desta anche la disciplina restrittiva che, in caso di impossibilità di raccogliere il consenso, richiede una consultazione preventiva del Garante ai sensi dell'art. 36 GDPR. Si auspica un intervento legislativo sul punto e comunque, la valutazione di interpretazioni più flessibili che consentano almeno una semplificazione pratica della suddetta consultazione.

Alla luce di tali interpretazioni, sarebbe possibile rendere il dettato italiano più aderente alle regole esistenti e venture del legislatore europeo.

Riferimenti

E. PELINO, Commento all’art. 110 del d.lgs. 196/2003, in Codice della disciplina privacy, diretta da L. Bolognini ed E. Pelino, Giuffrè Francis Lefebvre, 2019.