La protezione dei dati personali nelle attività di ricerca scientifica

L’attività di ricerca scientifica, in particolare in ambito sanitario, si fonde sull’elaborazione e sull’analisi di informazioni relative alle persone, spesso appartenenti a categorie particolari di dati, come quelli relativi alla salute. Ogni progetto di ricerca nasce da un’ipotesi scientifica che viene tradotta in un protocollo strutturato, volto a verificare la fattibilità, la validità e l’utilità dell’indagine proposta. In tale contesto, il trattamento dei dati personali non rappresenta un elemento accessorio, ma costituisce parte integrante e imprescindibile del processo di ricerca.

Di seguito si intende fornire un quadro esaustivo della disciplina vigente, illustrando principi, fonti normative, basi giuridiche e strumenti operativi necessari per garantire la conformità al Regolamento Generale sulla Protezione dei Dati (RGPD) e alla normativa nazionale dei progetti di ricerca condotti presso l’Azienda-Ospedaliero Universitaria e l’AUSL di Ferrara.

Come noto, ogni attività di ricerca scientifica si basa su un progetto, il quale traduce l'idea di ricerca in un'indagine scientifica o contiene un disegno di ricerca che dimostra la fattibilità e la convenienza di tale indagine. I progetti di ricerca comportano solitamente un trattamento di dati personali. Pertanto, avviare un progetto di ricerca richiede pertanto la verifica di molteplici aspetti legati alla protezione dei dati personali. Il Considerando 159 del RGPD chiarisce infatti che "qualora i dati personali siano trattati per finalità di ricerca scientifica, il presente regolamento dovrebbe applicarsi anche a tale trattamento".

La disciplina della protezione dei dati personali nella ricerca scientifica si fonda su un sistema articolato di fonti normative, che comprende atti vincolati e documenti di soft law, tra cui:

• il Regolamento generale sulla protezione dei dati (RGPD);
• il D.lgs. 30 giugno 2003, n. 196, come modificato dal D.lgs. 10 agosto 2018, n. 101 (Codice privacy);
• le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, adottate con Provvedimento del Garante n. 515 del 19 dicembre 2018;
• le nuove garanzie per l'art. 110 del Codice Privacy, introdotte con le Regole deontologiche del 9 maggio 2024;
• le prescrizioni contenute nelle autorizzazioni generali nelle specifiche materie, compatibili con il RGPD e con il Codice privacy
• opinioni, osservazioni, orientamenti e pareri del Garante Europeo della Protezione dei Dati;
• opinioni e linee guida del Comitato Europeo per la Protezione dei Dati.

Il cuore della disciplina risiede nell'articolo 89 del RGPD, che subordina il trattamento dei dati personali per finalità di ricerca scientifica all'adozione di garanzie adeguate, le quali devono assicurare l'implementazione di misure tecniche e organizzative idonee a garantire, in particolare, il rispetto del principio di minimizzazione dei dati. Tra tali misure assume rilievo centrale la pseudonimizzazione, da applicarsi ogniqualvolta le finalità della ricerca possano essere conseguite attraverso tecniche che limitino l'identificabilità degli interessati, fino all'anonimizzazione completa dei dati qualora le finalità possano essere perseguite in tal modo.

Sul piano delle basi giuridiche del trattamento, il RGPD e il Codice Privacy offrono una pluralità di fondamenti normativi, ciascuno caratterizzato da presupposti differenti.

Il consenso dell'interessato, nelle sue diverse declinazioni, costituisce certamente una delle basi utilizzabili, sebbene la sua applicazione alla ricerca scientifica sollevi problematiche specifiche.

Accanto al consenso, assume rilevanza crescente la base giuridica dell'interesse pubblico e, inoltre, l'articolo 9, paragrafo 2, lettera j) del RGPD introduce una specifica base giuridica per il trattamento di categorie particolari di dati a fini di ricerca scientifica, richiedendo tuttavia che tale trattamento sia previsto dal diritto dell'Unione o nazionale, che sia proporzionato alla finalità perseguita e che preveda misure appropriate e specifiche per tutelare i diritti fondamentali degli interessati.

L'ordinamento italiano ha dato attuazione a tali previsioni attraverso gli articoli 110 e 110-bis del Codice Privacy, che disciplinano rispettivamente il trattamento di dati relativi alla salute per finalità di ricerca medica, biomedica ed epidemiologica senza consenso dell'interessato, quando la ricerca sia effettuata in base a disposizioni normative o quando informare gli interessati risulti impossibile, comporti uno sforzo sproporzionato o rischi di pregiudicare gravemente il conseguimento delle finalità della ricerca.

L'obbligo di informativa, sancito dagli articoli 13 e 14 del RGPD, rappresenta un pilastro fondamentale della disciplina, anche nella ricerca scientifica. Il titolare del trattamento deve fornire agli interessati informazioni chiare su identità e contatti, finalità del trattamento, base giuridica, destinatari dei dati, periodo di conservazione e diritti esercitabili. Nella ricerca scientifica, l'informativa deve specificare l'eventualità di riuso dei dati per altre finalità statistiche o scientifiche, indicando per quanto possibile i settori di applicazione e le categorie di destinatari coinvolti.

Tuttavia, il legislatore europeo ha previsto deroghe specifiche per contemperare le esigenze della ricerca con il principio di trasparenza. L'articolo 14, paragrafo 5, lettera b) del RGPD esclude l'obbligo di informativa quando i dati non sono raccolti presso l'interessato e la loro comunicazione risulti impossibile, comporti uno sforzo sproporzionato o pregiudichi gravemente le finalità della ricerca, salve le garanzie dell'articolo 89. L'articolo 105 del Codice Privacy rafforza questa deroga per il riuso di dati, consentendo forme di pubblicità alternativa (quotidiani nazionali o regionali, siti istituzionali) proporzionate all'ampiezza della platea coinvolta.

È fondamentale distinguere il consenso informato etico - richiesto dalla deontologia medica per la partecipazione allo studio secondo la Dichiarazione di Helsinki - dal consenso privacy come base giuridica del trattamento. Anche quando si fonda il trattamento su interesse pubblico o articolo 110, permane l'obbligo del consenso informato etico ove previsto dalle norme bioetiche.

Inoltre, l’articolo 35 del RGPD rende quasi sistematicamente obbligatoria la Valutazione d'Impatto nella ricerca sanitaria, vista la natura sensibile dei dati trattati su larga scala e l'impiego frequente di tecnologie innovative. La DPIA richiede una descrizione sistematica dei trattamenti, una valutazione della necessità e proporzionalità rispetto alle finalità perseguite, l'analisi dei rischi per i diritti degli interessati e l'indicazione delle misure di mitigazione adottate.

L'articolo 110, comma 1 del Codice Privacy impone espressamente di condurre e rendere pubblica la DPIA quando la ricerca è prevista da legge o rientra nel Piano Sanitario Nazionale. Il documento, pubblicato sul sito istituzionale e comunicato al Garante, deve evidenziare rischi come violazioni di sicurezza, discriminazioni o perdita di controllo sui dati personali, specificando contromisure tecniche (pseudonimizzazione, cifratura, controlli di accesso selettivo) e organizzative (formazione del personale, procedure di distruzione dati).

Qualora la DPIA evidenzi un rischio elevato residuo non adeguatamente mitigato, scatta l'obbligo di consultazione preventiva del Garante ai sensi dell'articolo 36 del RGPD, sospendendo l'avvio del trattamento fino all'esito del parere.

Il parere motivato e favorevole del Comitato Etico territoriale costituisce presupposto imprescindibile nei casi più complessi, integrando la valutazione privacy con il controllo etico e scientifico. È obbligatorio quando:

• si applica l'articolo 110, comma 2, del Codice Privacy per impossibilità/sforzo sproporzionato di informativa;
• si tratta di riuso di dati o campioni biologici già raccolti (Autorizzazione generale n. 9/2016);
• si processano dati genetici di soggetti incapaci senza beneficio diretto (Autorizzazione generale n. 8/2016);
• intervengono le nuove garanzie del 9 maggio 2024 per soggetti deceduti o non contattabili.

Il Comitato esamina la solidità metodologica del progetto, la proporzionalità rischi/benefici, l'adeguatezza delle garanzie privacy e la tutela dei soggetti vulnerabili, richiedendo spesso la DPIA come allegato. Questo parere completa l'analisi tecnica già svolta con la DPIA, garantendo una valutazione etica, scientifica e normativa.