Ricerca scientifica e sanità, passo in avanti per risolvere alcuni aspetti critici

Con la sentenza CGCE del 21 dicembre 2023 C-667/21 si sono affrontanti e messi in evidenza gli aspetti critici relativi all’applicazione dell’art. 9 lett. h del GDPR recante disposizioni in merito al trattamento per finalità di medicina preventiva, e dell’art. 110 del Codice Privacy, evidenziando la necessità di una riformulazione di tali articoli per garantire una maggiore sicurezza di tutti i cittadini e per eliminare gli ostacoli per le finalità di ricerca.

In particolare, l’art. 9 comma 2 lett. H del GDPR, stabilisce quanto segue: “il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3”, mentre al comma 4 prosegue affermando che: “Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.

La sentenza richiamata spiega quindi quali sono i limiti descritti in tale articolo precisando che se da un lato gli Stati membri hanno una certa discrezionalità, questa deve essere comunque conforme al principio di proporzionalità, quindi senza imporre obblighi eccessivamente stringenti, ma anche senza alleggerire le autorizzazioni prescritte dallo stesso articolo 9 del GDPR.

Il nuovo decreto PNRR bis 

Relativamente all’art. 110 del Codice Privacy, è in vigore dalla fine del mese di aprile una nuova formulazione grazie al nuovo decreto PNRR bis che ha modificato tale articolo.

Cosa diceva prima l’art. 110? In primis, l’art. 110 stabiliva come base giuridica del trattamento per la ricerca scientifica, il consenso stabilendo delle eccezioni limitate e subordinate ad altre condizioni (provvedimenti normativi) ed adempimenti (DPIA). Inoltre, dove non era possibile acquisire il consenso bisognava ottenere il parere positivo del comitato etico, e sottoporre il progetto a consultazione preventiva del Garante cosi come stabilito dall’art. 36 del GDPR.

Con la nuova formulazione dell’articolo 110 non si prevede più la consultazione preventiva del Garante, ma i progetti di ricerca scientifica medica possano essere adottati se conformi alle misure di garanzia previste dall’articolo 106 dello stesso Codice. Si tratta quindi di una modifica che porta notevoli benefici nella campo della ricerca medica e scientifica ed inoltre avvicina l’Italia agli altri paesi europei.

Non dimentichiamoci, anche del recentissimo DDL sull'Intelligenza Artificiale, il quale riporta disposizioni importanti in campo sanitario relativi proprio alla ricerca scientifica. Il Capo II, infatti, fornisce disposizioni relative al settore sanitario, in particolare agli articoli 7 e 8. In particolare si parla di accessibilità dei servizi sanitari, ricerca scientifica e dell’applicazione della piattaforma di intelligenza artificiale nazionale per supporto alle finalità di cura, che sarà affidata all’Agenzia nazionale per i servizi sanitari regionali.

L’art. 7 disciplina l’uso di strumenti di intelligenza artificiale in ambito sanitario e di disabilità, in particolare le disposizioni sono le seguenti:

- I sistemi di intelligenza artificiale non devono creare discriminazioni all’accesso per le prestazioni sanitarie;

- L’interessato deve essere informato se per il trattamento sanitario sono utilizzati sistemi di Intelligenza artificiale;

- È il medico che decide se utilizzare o meno sistemi di intelligenza artificiale;

- I dati ed i sistemi utilizzati devono essere soggetti a verifica costante per ridurre il rischio di errore e di trattamento illecito di dati.

L’art. 8, cerca di eliminare alcuni limiti ed ostacoli relativi all’utilizzo dei dati personali per finalità di ricerca scientifica, stabilendo che i dati trattati per finalità di ricerca scientifica e sperimentazione sono da intendersi di rilevante interesse pubblico, se e solo se tali finalità sono perseguite da soggetti pubblici, o anche da soggetti privati senza scopo di lucro. Inoltre, dovranno comunicare all’Autorità Garante per la protezione dei dati personali determinate informazioni relative alla Titolarità del trattamento (quindi chi è il Titolare del trattamento), se è stata effettuata una DPIA e quali sono le misure di sicurezza applicate, oltre che rispettare il principio di privacy by design e by default.

Ricevute tali informazioni, l’autorità garante ha comunque 30 giorni di tempo per bloccare tale trattamento. Quindi le aziende private con finalità di lucro sono escluse?

Per queste si applica il nuovo testo dell’art. 110 del codice privacy, sopra menzionato, che come si è visto è contraddistinto da una maggiore elasticità pur richiedendo il rispetto di misure di garanzia che dovranno essere emanate dall’Autorità Garante per la protezione dei dati personali. In conclusione, si sta assistendo ad un grande passo in avanti, ma che richiede ulteriori approfondimenti e chiarimenti in quanto non solo ancora oggi si possono evidenziare delle incongruità con le previsioni del GDPR, che pone problematiche di coordinamento tra le norme, ma siamo ancora in attesa delle misure di garanzia che dovrebbero essere previste dal Garante per i dati sanitari, genetici e biometrici.

Rimane aperta la questione per le aziende con scopo di lucro, che ad oggi sono tagliate fuori da tali disposizioni.

Articolo di Gianpiero Uricchio - Esperto in D. lgs. 231/2001; Maestro della Protezione dei dati personali e Data Protection designer