Pilar Nicolás Jiménez^[1] (UPV/EHU), Mikel Recuero Linares (UPV/EHU)

Questa parte delle Linee guida è stata rivista da Rossana Ducato

Questa parte delle Linee guida è stata rivista e convalidata da Marko Sijan, Senior Advisor Specialist, (HR DPA)

Introduzione

Come ha evidenziato il Garante europeo della protezione dei dati (GEPD), “la Commissione europea ha definito gli obiettivi delle politiche di ricerca e innovazione dell’UE come “l’apertura del processo di innovazione a persone con esperienza in campi diversi da quello accademico e scientifico”, “la diffusione della conoscenza non appena è disponibile utilizzando la tecnologia digitale e collaborativa” e “la promozione della cooperazione internazionale nella comunità di ricerca”.^[2] Questi scopi non sono in conflitto con la protezione dei dati. Infatti, le norme sulla protezione dei dati non dovrebbero essere un ostacolo alla libertà della scienza ai sensi dell’articolo 13 della Carta dei diritti fondamentali dell’UE (CFREU). Piuttosto, questi diritti e libertà devono essere attentamente valutati e bilanciati, portando a un risultato che rispetti l’essenza di entrambi.^[3]

In effetti, l’intenzione dietro la nostra attuale legislazione sulla protezione dei dati è di armonizzare il trattamento dei dati con gli scopi della ricerca scientifica.^[4] Questa intenzione è chiaramente legata all’articolo 179, paragrafo 1, del trattato sul funzionamento dell’Unione europea (TFUE) per realizzare uno spazio europeo della ricerca. In linea con questo, il regolamento generale sulla protezione dei dati (GDPR) ha introdotto un nuovo quadro volto a consentire il trattamento dei dati per scopi di archiviazione nell’interesse pubblico, scopi di ricerca storica e scientifica o scopi statistici che va oltre quello previsto dalla direttiva 95/46/CE.^[5] Il nucleo di questo nuovo regolamento è l’articolo 89 del GDPR, che è accompagnato da molti altri riferimenti in tutto il testo che lo completano. Questi si trovano sia nella parte del GDPR che include i criteri decisivi per la sua interpretazione (considerando), sia in alcune disposizioni^[6] specifiche. Sulla base di questi considerando, è opportuno evidenziare alcune idee preliminari.

In primo luogo, il considerando 157 afferma che accoppiando le informazioni dei registri, compresi diversi tipi di dati corrispondenti a molti individui, i ricercatori possono ottenere “nuove conoscenze di grande valore per quanto riguarda condizioni mediche diffuse come le malattie cardiovascolari, il cancro e la depressione”. Di conseguenza, “i risultati della ricerca possono essere migliorati, poiché attingono a una popolazione più ampia”. Questi strumenti possono contribuire a migliorare le politiche di ricerca e, di conseguenza, la qualità della vita della popolazione. Questi vantaggi fanno sì che il trattamento dei dati a questi fini da parte dei ricercatori sia ragionevole, a condizione che i diritti dei soggetti siano garantiti. Questo stabilisce una concezione della ricerca come un processo che persegue un beneficio sociale, a breve, medio o lungo termine, considerato in modo molto ampio (miglioramento della qualità della vita) ma, allo stesso tempo, limitando tale attività a questo scopo specifico. Inoltre, il considerando 159 precisa che “per rispondere alle specificità del trattamento dei dati personali a fini di ricerca scientifica, si dovrebbero applicare condizioni specifiche, in particolare per quanto riguarda la pubblicazione o altrimenti la divulgazione di dati personali nel contesto di finalità di ricerca scientifica”.

La seconda questione da affrontare è la natura specifica del consenso come requisito per la sua validità, che ha alcune particolarità quando lo scopo del trattamento è la ricerca scientifica. Infatti, l’articolo 4 del GDPR stabilisce che per consenso “si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale questi, mediante una dichiarazione o un’azione positiva e chiara, manifesta il proprio consenso al trattamento dei dati personali che lo riguardano”. Tuttavia, il considerando 33 afferma che “spesso non è possibile identificare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati”.

Tuttavia, è comune che durante un progetto, possano emergere approcci non previsti inizialmente, o che, al completamento del progetto, le conclusioni aprano le porte ad altri progetti correlati. Inoltre, i ricercatori e i team sono spesso specializzati in un’area o linea di ricerca sviluppata da progetti specifici, e i dati possono rimanere utili o necessari per lunghi periodi di tempo^[7]. Come risposta, sono emersi modelli istituzionali – come le biobanche – che funzionano come intermediari tra soggetti e ricercatori. Lo scopo della raccolta di questi dati è quello di conservarli per quando potrebbero essere necessari, senza sapere, in linea di principio, quale progetto di ricerca, o quali progetti, li elaboreranno. Alla luce di questa realtà, il considerando 33 afferma che “gli interessati dovrebbero essere autorizzati a dare il loro consenso a certe aree della ricerca scientifica” anche se “gli interessati dovrebbero avere la possibilità di dare il loro consenso solo a certe aree di ricerca o parti di progetti di ricerca nella misura consentita dallo scopo previsto”. Le diverse opzioni e il consenso sono quindi consentiti in varia misura a condizione che siano, come ricorda il considerando, “in linea con gli standard etici riconosciuti per la ricerca scientifica”.

Un terzo punto che merita attenzione è quello contenuto nel considerando 50, che si riferisce alla cosiddetta compatibilità delle finalità^[8], cioè “il trattamento dei dati personali per finalità diverse da quelle per cui i dati personali sono stati inizialmente raccolti”. Si tratta di un termine utilizzato nei casi in cui i dati personali, destinati ad essere utilizzati per scopi di ricerca, sono stati inizialmente raccolti o trattati per uno scopo diverso, ma possono essere legittimamente trattati per ulteriori nuovi scopi (compatibili). Inoltre, l’ulteriore trattamento per scopi di archiviazione nel pubblico interesse, scopi di ricerca scientifica o storica o scopi statistici sono ex lege considerati trattamenti legittimi compatibili. Ciò significa che non sono necessari né il consenso della persona interessata né altre basi legali per questo ulteriore scopo, alle condizioni che saranno descritte in seguito. Questa opzione è di estrema importanza per la ricerca scientifica perché può facilitare l’accesso a un’enorme quantità di dati senza la necessità di ricontattare gli interessati.

Infine, è necessario menzionare il considerando 53, che riprende lo scopo del GDPR relativo alla definizione di condizioni armonizzate per il trattamento di categorie speciali di dati personali a fini sanitari (in particolare, nel contesto della gestione di servizi e sistemi di assistenza sanitaria o sociale). Inoltre, afferma che “il diritto dell’Unione o degli Stati membri dovrebbe prevedere misure specifiche e adeguate per proteggere i diritti fondamentali e i dati personali delle persone fisiche”, mentre dichiara che “gli Stati membri dovrebbero essere autorizzati a mantenere o introdurre ulteriori condizioni, comprese le limitazioni, per quanto riguarda il trattamento di dati genetici, dati biometrici o dati relativi alla salute.” Tuttavia, le misure introdotte “non dovrebbero ostacolare la libera circolazione dei dati personali all’interno dell’Unione quando tali condizioni si applicano al trattamento transfrontaliero di tali dati”.

1. Questa sezione incorpora alcuni riferimenti estratti da un capitolo del libro dell’autore, originariamente pubblicato in spagnolo: Comentarios al Reglamento General de Protección de Datos y a Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (Antonio Troncoso Reigada, Dir.), Thomson Reuters Aranzadi, 2020. ↑
2. GEPD, Un parere preliminare sulla protezione dei dati e la ricerca scientifica, 2020, pag. 10. All’indirizzo: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf Accesso: 15 gennaio 2020. ↑
3. EDPB, Linee guida 03/2020 sul trattamento dei dati relativi alla salute ai fini della ricerca scientifica nel contesto dell’epidemia COVID-19. Adottato il 21 aprile 2020, p. 5. All’indirizzo: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf Accesso 23 aprile 2020. ↑
4. Considerando 159 GDPR. ↑
5. Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31). ↑
6. Vedi, tra l’altro: l’articolo 5, paragrafo 1, lettera b), per le finalità compatibili; l’articolo 5, paragrafo 1, lettera e), relativo alla limitazione della conservazione; l’articolo 9, paragrafo 2, lettera j), come deroga per il trattamento di categorie particolari di dati; l’articolo 14, paragrafo 5, lettera b), relativo alla trasparenza e all’informazione; l’articolo 17, paragrafo 3, lettera d), relativo al diritto alla cancellazione; o l’articolo 21, paragrafo 6, per il diritto di opposizione. ↑
7. A questo proposito, si veda anche l’articolo 5(1)(e) del GDPR che permette di conservare i dati personali per periodi più lunghi nella misura in cui sono trattati esclusivamente “a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89(1). ↑
8. A questo proposito, si veda anche l’articolo 5(1)(b) del GDPR. ↑