GDPR, Codice Privacy, Regole deontologiche, Linee guida europee e nazionali, sono solo alcuni esempi di come ad oggi l’ambito della ricerca scientifica sia regolamentato in modo stratificato, poco chiaro, da un corpo normativo che, su alcuni punti, talvolta pare addirittura contraddirsi.
Indice degli argomenti
Un labirinto di norme
Tale complessità si ripercuote spesso, direttamente, sulle strutture sanitarie e sui ricercatori che faticano ad orientarsi in questo labirinto di norme.
Tanto il legislatore, quanto il Garante italiano, sembrano far fatica ad abbandonare quell’approccio conservatore che vede il consenso come “base di liceità” e presupposto principale per lo svolgimento di attività di ricerca. Approccio ormai anacronistico se si pensa alle aperture previste dal GDPR.
La complessità da problematica ad opportunità
Per i più analitici, però, laddove c’è complessità, c’è possibilità di approfondimento e interpretazione per trasformare una potenziale problematica in un’opportunità, anche e soprattutto alla luce degli “strumenti” innovativi che la normativa europea ha introdotto in materia di protezione dei dati personali. Primo tra tutti, il principio di accountability quale momento di maturità riconosciuta ai Titolari del trattamento che vede il superamento del precedente approccio prescrittivo all’insegna della responsabilizzazione sostanziale:
non esiste più una sola strada, non una regola calata dall’alto, ma diverse vie percorribili nel rispetto del quadro generale previsto dalla normativa e a patto che tale conformità sia dimostrabile.
Dati personali e ricerca scientifica: una questione di approccio
Se pensiamo alle teorie astronomiche, abbiamo la testimonianza di come uno stesso fenomeno possa essere osservato, studiato e risolto nei suoi quesiti attraverso prospettive e presupposti diversi. Ma, a volte, la Scienza non basta. La conferma della piena legittimità della verità scientifica di una teoria, pensiamo all’excursus della teoria eliocentrica, dipende anche dai condizionamenti culturali e politici del periodo in cui la stessa viene pubblicata. Ma cosa hanno in comune le teorie sui pianeti e la normativa sulla protezione dei dati personali nell’ambito della ricerca scientifica? L’approccio: metodi diversi di osservare, studiare e proporre soluzioni rispetto ad uno stesso fenomeno.
A livello europeo, tanto la normativa quanto le varie opinion delle autorità garanti hanno introdotto novità che, se applicate alla ricerca scientifica, potrebbero offrire ai ricercatori soluzioni più semplici che agevolino e non ostacolino un’attività volta al progresso scientifico quale bene dell’intera collettività.
La ricerca scientifica nelle strutture sanitarie
Per capirsi meglio, possiamo prendere come esempio ciò che solitamente accade nel momento in cui una struttura sanitaria voglia intraprendere un’attività di ricerca scientifica retrospettiva.
La maggior parte delle volte, tale struttura non si trova nella condizione di raccogliere appositamente dati personali di pazienti per portare avanti il proprio progetto di ricerca (riuscendo, con l’occasione, a raccogliere un consenso specifico). Piuttosto, potrebbe voler porre in essere un trattamento ulteriore di dati personali, originariamente raccolti per finalità di cura dell’interessato.
In tali casi, se la struttura sanitaria è un IRCCS, il Codice Privacy prevede esplicitamente un regime ad hoc rappresentato dall’art. 110 bis, quarto comma:
il Titolare è “autorizzato dalla legge” al trattamento ulteriore dei dati per la finalità di ricerca scientifica.
Diversamente, se la struttura sanitaria non è un IRCCS, potrebbe svolgere tale attività soltanto se ricorrono determinate condizioni, ad esempio solo a fronte della raccolta di uno specifico consenso dell’interessato (e sulla libertà di tale consenso si potrebbe intavolare un discorso a parte) oppure, in mancanza del consenso, solo a fronte di precise situazioni e in seguito ad ulteriori adempimenti, il tutto a scapito di ciò che si vorrebbe perseguire: il bene comune di un progresso scientifico.
Le strade alternative al consenso
A ben vedere, però, all’interno di questo sistema normativo che orbita intorno alla ricerca scientifica, si notano elementi che, se valutati nel loro insieme, potrebbero aprire ad una strada alternativa e ragionevolmente percorribile.
Con un’interpretazione letterale del testo normativo, riscontriamo che né il Codice Privacy né i Provvedimenti del Garante (eccetto taluni casi molto particolari, come nel caso dei trattamenti di dati genetici) sembrerebbero vietare al Titolare di ricorrere ad una base giuridica diversa dal consenso per il trattamento di dati ai fini di ricerca scientifica, il tutto coerentemente al sopra richiamato principio di accountability. Il Codice Privacy sembra dare per scontata la scelta del consenso per trattamenti di dati a fini di ricerca, senza tuttavia imporlo.
Nell’ambito di quell’autonomia lasciata agli stati membri dall’art. 9.4 del GDPR (che attribuisce al singolo Paese il potere di intervenire, introducendo “ulteriori condizioni”, in materia di trattamento di dati relativi alla salute), strade alternative al consenso sono state già intraprese da altri Paesi, quali – ad esempio – la Germania. Nel Federal German Data Protection Act – section 27 (1) (BDSG) – si legge come il trattamento di categorie di dati personali di cui all’art. 9 GDPR è consentito anche senza il consenso dell’interessato per finalità di ricerca scientifica qualora il trattamento risulti necessario a tale finalità e l’interesse del titolare prevalga sostanzialmente su quello dell’interessato nel non trattare i dati stessi.
Quindi, nell’osservare questa latente dinamicità della normativa nazionale e confrontandoci anche con l’approccio innovativo in ambito europeo, si potrebbero avanzare delle possibili argomentazioni.
Ad esempio, se per lo svolgimento di studi osservazionali retrospettivi il Titolare scegliesse una base giuridica diversa dal consenso, sarebbe tenuto in ogni caso a seguire l’iter di cui agli artt. 110 e 110 bis, Codice Privacy?
Questa tesi aprirebbe ad approfondimenti sulla validità di altre basi giuridiche previste dall’art. 9.2 del GDPR, con un approccio maggiormente armonioso rispetto alla normativa europea e ai pareri in materia di ricerca scientifica delle Autorità comunitarie, quali l’EDPB e l’EDPS.
Una possibile soluzione “italiana” potrebbe essere, ad esempio, il fondare i trattamenti sull’interesse pubblico rilevante di cui è portatore un soggetto operante in ambito sanitario, ai sensi dell’art. 9, par.2, lett. g) del GDPR in combinato disposto con l’art. 2-sexies, co.2, lett. u) e cc) del Codice Privacy.
Nuovi strumenti per la gestione dei dati personali
Riprendendo l’esempio delle teorie astronomiche, possiamo dire che il GDPR rappresenta quella teoria copernicana che ha visto in un fenomeno osservato da secoli una nuova prospettiva, scientificamente fondata e verificata. Il GDPR e la normativa, anche nazionale, intervenuta successivamente, hanno consegnato nelle mani del Titolare del trattamento nuovi strumenti per osservare, studiare e costruire un sistema di gestione dei dati personali che consenta il conseguimento di qualsiasi finalità, purché in modo lecito, legittimo, sicuro e dimostrabile.
Non c’è dubbio che applicare in modo audace il principio di accountability potrebbe esporre il Titolare del trattamento a rischi interpretativi e, di conseguenza, sanzionatori, qualora le autorità di controllo non si trovassero d’accordo con le interpretazioni effettuate dal Titolare. Ma è altrettanto vero che l’attività del Titolare del trattamento è pur sempre un’attività imprenditoriale e, in quanto tale, nasce e cresce con un intrinseco, seppur ponderato, rischio d’impresa.