Incontrando le molteplici richieste dei partecipanti al convegno “Insieme per l’Innovazione. I Ricercatori incontrano l’Industria” del 20 gennaio 2020 organizzato dal Consorzio per la Ricerca Scientifica (CORIS) della Regione Veneto (vedi qui info sull’evento), pubblichiamo le slide “Data Protection e Ricerca Scientifica”.
clicca sull'immagine per scaricare le slide
Le slide sintetizzano il sistema delle fonti di questo particolare settore, il cui quadro giuridico è dettato da fonti primarie generali e da fonti secondarie di dettaglio.
Le fonti primarie generali
Le fonti primarie generali sono, a livello comunitario, ovviamente il GDPR (Reg. UE 2016/679) e, a livello nazionale, il Codice Privacy Adeguato, ossia il D.Lgs. 196/2003 adeguato al GDPR dal D.Lgs. 101/2018 in vigore dal 19 settembre 2018.
Quanto al GDPR, si devono menzionare in particolare:
i Considerando 26, 33, 50, 52, 62, 65, 112, 156 e 157, 159, 161;
il principio generale di cui all’art. 5.1 lett. b), secondo cui, di norma, la ricerca scientifica è una finalità compatibile con la finalità iniziale nel rispetto del principio di limitazione;
e soprattutto la norma generale dell’art. 89 che disciplina le “Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici”, demandando alla legislazione degli Stati membri la previsione di norme di dettaglio in tema appunto di garanzie (lo Stato italiano ha previsto regole deontologiche e prescrizioni cui seguiranno misure di garanzia) e di deroghe ad alcuni dei diritti degli interessati.
Venendo al Codice Privacy Adeguato, si deve porre l’attenzione sulle disposizioni di cui agli articoli da 104 a 110-bis che disciplinano rispettivamente:
l’ambito applicativo (art. 104), che dal punto di vista oggettivo detta il principio cardine secondo cui per qualificare i dati come identificativi (rectius come “personali”) si deve tenere conto dell'insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare o da altri per identificare l'interessato, anche in base alle conoscenze acquisite in relazione al progresso tecnico;
le modalità di trattamento (art. 105);
le regole deontologiche (art. 106);
le norme particolari sulla ricerca medica, biomedica ed epidemiologica (art. 110);
e quelle per i trattamenti ulteriori da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici (art. 110-bis).
Le fonti secondarie di dettaglio
A livello di linee guida e prescrizioni di dettaglio si deve tenere conto, in ambito comunitario, delle guidelines e delle opinion del già Gruppo di Lavoro Art. 29 (WP29) ed ora dell'EDPB, tra cui:
il Parere WP136 04/2007 del 20 giugno 2007 sul concetto di dati personali;
il Parere WP216 05/2014 del 10 aprile 2014 sulle tecniche di anonimizzazione; cui è utile aggiungere la lettura del saggio “Introduction to the hash function as a personal data pseudonymisation technique” elaborato dall’AEPD (Garante Spagnolo) e dall’EDPS (Garante Europeo);
in tema di consenso, le Linee Guida del WP29 WP259 del 28 novembre 2017 - rev. 10 aprile 2018;
il Parere 3/2019 relativo alle domande e risposte sull'interazione tra il Regolamento sulla Sperimentazione Clinica (Reg. UE 2014/536, cheabroga la Direttiva 2001/20/CE) ed il GDPR, a firma dell’EDPB (European Data Protection Board).
Per ogni ulteriore fonte sulle linee guida ed i pareri dell’EDPB (ed un rinvio ai lavori del WP29) si consulti la pagina https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines- recommendations-best-practices_it
Venendo all’Italia, il Garante per la Protezione dei Dati Personali ha normato i dettagli operativi del trattamento dei dati in ambito ricerca scientifica con una serie di provvedimenti, come tali:
Linee guida per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali - 24 luglio 2008 [doc. 1533155] (Pubblicato in G.U. 190 del 14 agosto 2008)
Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20.4 D.Lgs. 101/2018 - 19 dicembre 2018 [doc. 9069637] (D.M. Giustizia del 15 marzo 2019, pubblicato in G.U. n. 71 del 25 marzo 2019), che sostituiscono il Codice di Condotta già allegato sub A4 al Codice Privacy
Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario - 7 marzo 2019 [9091942]
Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21.1 D.Lgs. 101/2018 - 5 giugno 2019 [doc. 9124510] (Pubblicato in G.U. Serie Generale n. 176 del 29 luglio 2019): inter alia, soprattutto le prescrizioni inerenti i dati genetici (prescrizione n. 4 che conforma la già aut.gen. 8/2016) e la ricerca scientifica (prescrizione n. 5 che conforma la già aut.gen. 9/2016). Tali prescrizioni resteranno in vigore fino alla prossima emanazione delle misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute di cui all’art. 2-septies del Codice Privacy Adeguato.
Concludendo con la ricerca scientifica in campo medico, biomedico ed epidemiologico, si deve menzionare la finalità specifica di trattamento ("ricerca") introdotta dall’art. 12 D.L. 179/2012 nell'ambito dell'ivi istituito Fascicolo Sanitario Elettronico, poi normata a livello regolamentare statale con il DPCM 178/2015 e la cui normazione di ulteriore dettaglio operativo può rinvenirsi nella legislazione regionale.
Avv. Piergiovanni Cervato © 2020
Comments