Trattamento dati

Ricerca e Privacy: un connubio possibile

La conoscenza e l’innovazione sono sempre più guidate dai dati. Affinché la Ricerca possa procedere a ritmi sostenuti senza trascurare la protezione dei dati personali e la tutela dei diritti dei cittadini, occorre una perfetta sinergia tra Tecnologia e Diritto, mediata da un approccio flessibile come, ad esempio, quello dei sandbox regolatori

Pubblicato il 10 Apr 2024

Silvio Noce

Avvocato esperto di privacy e amministrazione digitale

Manuel Ottaviano

Data Protection Officer interaziendale c/o IRCCS Azienda Ospedaliero - Universitaria di Bologna

ricerca-e-privacy

“Era dei dati”, “dati come il nuovo petrolio”, “società dei dati” sono espressioni evocative che caratterizzano il contesto attuale e che collocano al centro del villaggio la ricerca e l’analisi scientifica quali perni dell’innovazione.

L’assunto è che la conoscenza e linnovazione sono già diventate dato-centriche’; è, pertanto, essenziale avere accesso ai dati e poterli processare al fine di realizzare nuove scoperte, migliorare i processi computazionali, individuare innovativi ambiti di ricerca.

D’altra parte, la ricerca è il propellente principale delle evoluzioni nel tessuto sociale, con effetti diretti sui membri della comunità, sulla loro crescita professionale e culturale.

Ricerca scientifica: l’impianto costituzionale e legislativo

Già l’art. 27 della Dichiarazione universale dei diritti dell’Uomo contiene i cosiddetti ‘diritti culturali’, individuando due aspetti diversi, quello relativo al diritto alla partecipazione alla vita culturale della comunità e a quello di tutela degli interessi morali e materiali che derivano dalla produzione scientifica di cui si è autore.

La Carta dei diritti fondamentali dell’Unione Europea dispone che “Le arti e la ricerca scientifica sono libere” (come ripreso dall’art. 5 comma 3 della Legge Fondamentale per la Repubblica Federale di Germania”).

La Costituzione spagnola del 1978 (all’art. 44) e la nostra Costituzione, richiamato il principio della libertà della scienza (art. 33), prevedono in capo alla Repubblica lobbligo di promuovere “lo sviluppo della cultura e la ricerca scientifica e tecnica”.

La ricerca scientifica possiede una preminenza indiscutibile, sostenuta da un impianto costituzionale e legislativo ineludibile, sia a livello europeo che italiano. Anzi, è possibile notare che siamo passati da un approccio improntato all’astensionismo, tipico degli stati liberali, a una politica di promozione, appunto, nel settore della ricerca (G. De Cesare, L’organizzazione della ricerca scientifica: aspetti problematici e organizzativi, in Riv. it. sc. giur., 1969, 11).

Protezione dei dati personali, GDPR e ricerca scientifica

La tutela dei dati personali costituisce il fondamento per il loro trasferimento senza ostacoli nonché per la totale valorizzazione delle potenzialità dei modelli imprenditoriali elaborati attorno a questa nozione.

In ambito mondiale, la protezione dei dati personali è riconosciuta in una serie di dichiarazioni e documenti legislativi di rilievo, come la Dichiarazione dei Diritti Umani delle Nazioni Unite, il Patto Internazionale sui Diritti Civili e Politici, la Convenzione Europea dei Diritti dell’Uomo, la Carta dei Diritti Fondamentali dell’UE, nonché le costituzioni dei singoli paesi.

L’articolo 8 della Carta dei Diritti Fondamentali dell’Unione Europea definisce la protezione dei dati personali come un diritto fondamentale a sé stante.

Il quadro operativo è, d’altra parte, definito dal GDPR, che oggi costituisce un modello globale che potrebbe innescare (come in parte ha già fatto) un effetto emulativo in altri ordinamenti giuridici.

Nella percezione di commentatori e addetti ai lavori, tali diritti convivono in distonìa tra loro. Eppure il GDPR assegna alla ricerca una posizione di favore.
Senza entrare nel dettaglio, si rappresenta che sono previste deroghe ad alcuni principi del trattamento dei dati personali (quali l’esercizio di una serie di diritti dell’interessato di cui agli artt. 13, 14, 15, 16, 18, 21 ad esempio) subordinatamente all’assunzione delle garanzie di cui all’art. 89 del GDPR (che si estrinsecano a livello pratico quali operazioni di pseudonimizzazione o di anonimizzazione, quali attuazione del principio di minimizzazione).

Le misure di cui all’art. 89 del GDPR e la presunzione di compatibilità dell’attività di ricerca scientifica, formulata dal GDPR al Considerando 50 e all’art. 5 par. 1 lett. b), non possono essere confuse, tuttavia, con le condizioni di liceità del trattamento.

Con riferimento a ciò, l’art. 6 del GDPR richiede l’espressione di un consenso inequivocabile’ e specifico per le elaborazioni che si intende porre in essere.

Seppure il considerando 33 prevede che dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica, da ciò non può essere postulata la previsione di un broad consent, poiché sarebbe certamente elusivo del principio di limitazione della finalità del trattamento.

Il trattamento dati di natura particolare

L’art. 9 del GDPR, che riguarda specificatamente il trattamento di dati di natura particolare (e postula eccezioni ad un generale divieto di trattamento degli stessi) prevede due eccezioni:

  • Al par. 1 lett. j il trattamento è necessario…ai fini della ricerca scientifica sulla base del diritto dell’Unione o nazionale
  • Al par. 4 è altresì prevista la possibilità per gli Stati membri di introdurre ulteriori condizioni e limitazioni, con riguardo al trattamento dei dati particolari

Scelta discutibile quest’ultima, perché foriera di nuove frammentazioni della disciplina comune in un contesto, quale quello della ricerca, fortemente caratterizzato dalla necessità di favorire la condivisione dei flussi informativi tra soggetti che spesso si trovano in contesti intraeuropei. 

La ricerca medica, biomedica ed epidemiologica

Nell’ambito del più ampio genere della ricerca, la ricerca medica, biomedica ed epidemiologica riceve una specifica disciplina:

  • L’ 110 (e 110bis) del ‘Codice in materia di protezione dei dati personali’ (di seguito anche solo Codice)
  • Le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’ 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”)
  • le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510).

Ebbene, tali Prescrizioni prevedono al punto 5.3, comma 2 (‘Consenso’), che “resta fermo lobbligo di raccogliere il consenso al trattamento dei dati degli interessati inclusi nella ricerca in tutti i casi in cui, nel corso dello studio, sia possibile rendere loro unadeguata informativa e, in particolare, laddove questi si rivolgano al centro di cura, anche per visite di controllo”.

Come fare se non è possibile ottenere il consenso?

E qualora – a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca – non sia possibile recepire il consenso, come deve regolarsi il ricercatore”?

La norma dell’art. 110 propone due opzioni:

  1. La ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento
  2. Quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, la stessa deve essere oggetto di motivato parere favorevole da parte del competente comitato etico a livello territoriale e posto in consultazione preventiva al Garante.

Con riferimento al primo punto, quale sia la reale portata di tale disposizione non è stata ancora sufficientemente esplorata dagli operatori di settore.

Eppure, a parere di chi scrive, gran parte della ricerca pubblica no profit potrebbe trovarvici piena legittimazione, sulla scorta di una lettura interpretativa del contesto in cui si innesta, che consenta di superare il mero riferimento esemplificativo che l’art. 110 produce in ordine ai programmi di ricerca biomedica o sanitaria previsti ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502.

La disamina di tali aspetti merita una riflessione strutturata che troverà corpo in una prossima pubblicazione.

D’altra parte, la consultazione preventiva dellAutorità (punto b) è avvertita come forca caudina dagli operatori e registra, nella nostra esperienza, una chiara riluttanza.

Ingiustificata.

Perché è suscettibile di essere misurato il rigore del Garante in un approccio interpretativo a discapito di un altro, ma il dettame grave e severo della norma non è superabile con letture orientate, a meno di approssimazioni irricevibili.

Il risultato è che solo una minima parte degli studi, nella quasi totalità retrospettivi, per i quali non è “possibile” acquisire il consenso e che non siano previsti da legge, da regolamento o diritto dell’UE, compie effettivamente tutti i passaggi necessari ad assolvere ai presupposti di liceità introdotti dalla norma; ciò anche in ragione dell’ancoraggio dei più alla disciplina previgente il GDPR, che non prevedeva la consultazione preventiva dell’Autorità sulla base delle autorizzazioni generali allora richiamate dal precedente art. 110 del Codice.

Sul punto si rappresenta che lo scorso 7 novembre 2023 la Commissione Affari Istituzione e Generali della Conferenza delle Regioni e delle Province Autonome ha approvato la proposta di modifica degli artt. 110 e 110bis del Codice per la protezione dei dati personali, cui chi scrive ha avuto modo di svolgere un ruolo proattivo. Tale proposta, di cui è (co)promotrice la Regione Emilia-Romagna in raccordo con il Coordinamento – svolto dalla Regione Piemonte – del Tavolo DPO interregionale, è stata prontamente trasmessa al Governo, attualmente senza esiti.

E quando i dati per la ricerca sono di terzi?

L’art. 110bis del Codice disciplina il trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici, a fronte di previa autorizzazione che il Garante può comunicare entro 45 gg (con espresso richiamo al silenzio rigetto).

Ad avviso degli scriventi proprio tale articolo costituisce sede privilegiata per ragionare de jure considerando le possibilità che attualmente ci offre la tecnologia.

Nel momento in cui il progresso mette a disposizione dell’umanità nuove tecnologie, è verosimile attendersi che queste ultime possano essere utilizzate dal diritto per perseguire obiettivi propri con la conseguenza che nuove tecnologie possono portare alla creazione di nuove regole, o, quantomeno, alla messa in discussione di quelle preesistenti. La tecnologia può, allora, divenire essa stessa regola.

Di fronte a questo panorama, l’attività di ricerca si trova di fronte a sfide inedite che superano i confini del rigido quadro normativo italiano. La ricerca, per sua natura, è in continua evoluzione e richiede un ambiente che sia tanto flessibile quanto sicuro per esplorare nuove frontiere.

Regulatory sandbox: una possibile soluzione per rispondere alle sfide del progresso tecnologico

Una delle soluzioni più promettenti a quanto appena descritto risiede nell’adozione di “regulatory sandbox“. Si tratta di ambienti sperimentali governati e controllati in cui le organizzazioni interessate (ad es. Università, Aziende sanitarie, Regioni, ecc.) potrebbero testare innovazioni tecnologiche, modelli di analisi o servizi con fruizione di risorse e dati regolamentata. Questi spazi consentirebbero alle organizzazioni di collaudare nuove soluzioni in un ambiente controllato, dove poter sbagliare, imparare e sbagliare ancora, con misure flessibili rispetto alla normativa esistente.

Si tratta di un istituto inaudito tra gli operatori del settore, eppure non proprio sconosciuto al nostro ordinamento che, con l’art. 36 rubricato “Misure di semplificazione amministrativa per l’innovazione” del D.L. n. 76/2020 ha disposto che “Al fine di favorire la trasformazione digitale della pubblica amministrazione, nonché  lo sviluppo, la diffusione e l’impiego delle tecnologie emergenti e di iniziative ad alto valore tecnologico, le imprese, le Università, gli enti di ricerca (pubblici e privati) e le società con caratteristiche di spin off o di start up universitari di cui all’articolo 6, comma 9, della legge 30 dicembre 2010, n. 240, che intendono sperimentare iniziative attinenti all’innovazione tecnologica e alla digitalizzazione, possono presentare alla struttura della Presidenza del Consiglio dei ministri competente per la trasformazione digitale i relativi progetti, con contestuale domanda di temporanea deroga alle norme dello Stato, diverse da quelle di cui al comma 3, che impediscono la sperimentazione”.

In ambito GDPR, i regulatory sandbox offrono un ambiente controllato per testare nuove soluzioni, inclusi servizi che coinvolgono dati personali, consentendo alle autorità regolamentari di valutare e adattare la normativa in materia di protezione dei dati in modo più agile ed efficace.

Questi ambienti regolamentati e controllati offrirebbero a Università, Enti sanitari, e Regioni la possibilità di condurre ricerche e analisi in condizioni che favoriscono l’innovazione, salvaguardando al contempo i diritti e le libertà fondamentali.

All’interno di questi regulatory sandbox, l’uso di tecnologie avanzate diventa cruciale. Esse devono assicurare una separazione netta tra il dato grezzo e l’utilizzatore, che è generalmente interessato alle tendenze e agli insights piuttosto che all’identificazione personale degli individui. Ecco quindi che, in questi contesti, tecnologie come la cifratura omomorfica, che grazie a recenti progressi è divenuta più scalabile e performante, e l’utilizzo di dati sintetici, possono trasformarsi da semplici misure di sicurezza a veri e propri abilitatori legali.

Cifratura omomorfica e dati sintetici

La cifratura omomorfica, per esempio, permette di effettuare calcoli su dati crittografati senza mai decriptarli, offrendo quindi un potenziale enorme per la ricerca che necessita di elaborare dati sensibili, senza comprometterne la riservatezza.

I dati sintetici, che sono informazioni generate artificialmente ma che mantengono le stesse caratteristiche statistiche dei dati reali, possono servire per sviluppare e testare nuovi approcci e tecnologie senza esporre dati personali reali.

La ricerca della sinergia tra tecnologia e diritto

Nella suddetta ottica, il regulatory sandbox non è solo un campo di prova per l’innovazione, ma diventa un laboratorio per la normativa stessa, dove quest’ultima può adattarsi e rispondere dinamicamente alle sfide poste dal progresso tecnologico.

Questo modello potrebbe non solo accelerare il processo di innovazione, ma anche fornire esempi concreti di come le nuove tecnologie possono essere integrate nel tessuto normativo, influenzando politiche a livello nazionale e internazionale.

In conclusione, la sinergia tra tecnologia e diritto, mediata da un approccio flessibile come quello del “sandbox regolatorio”, sembra essere una delle vie più promettenti per garantire che la ricerca possa procedere a ritmi sostenuti senza trascurare la protezione dei dati personali e la tutela dei diritti dei cittadini.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

  • Sanità Digitale

    Sanità digitale, cos'è: quali strumenti aumentano velocità e multi-canalità delle prestazioni sanitarie

    21 Ago 2023

    Condividi

  • Telemedicina

    Monitoraggio remoto dei pazienti: esempi, tecnologie e applicazioni

    18 Mag 2023

    Condividi
  • Massimo Mattone

    Think Tank

    Sanità: le promesse dei politici

    31 Ago 2022

    Condividi

  • Future Healthcare

    Ospedale del futuro: architetture, logistica e servizi di filiera

    14 Nov 2023

    Condividi

Prossimo

Sanità digitale, cos'è: quali strumenti aumentano velocità e multi-canalità delle prestazioni sanitarie

Articolo 1 di 5