Dal 12 dicembre 2017 sarà applicabile l’articolo 110bis del Codice dei dati personali secondo il quale:
1. Nell’ambito delle finalita’ di ricerca scientifica ovvero per scopi statistici puo’ essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza».
Come ho scritto, si tratta di una norma che infligge un colpo durissimo alla ricerca medica e a quella genetica in particolare perché oltre a richiedere il consenso del donatore al trattamento dei dati personali, inserisce un ulteriore, specifico passaggio autorizzativo gestito dal Garante dei dati personali.
Si è detto, infatti, che l’articolo 110bis consente il riuso dei dati sanitari senza il consenso dell’interessato. Questo non è vero perché la norma riguarda “soltanto” l’associazione fra generalità di un soggetto e i dati sanitari che lo riguardano. E si “limita” a sottoporre ad autorizzazione il riuso dei dati ma senza incidere sulla disciplina generale del consenso da parte dell’interessato. In altri termini, per fare ricerca scientifica e riutilizzare le informazioni sui pazienti serve ancora il consenso al trattamento dei dati sensibili.
Scandalo divieto di riuso dei dati genetici a parte, il problema creato dall’articolo 110bis è il divieto di riutilizzare i dati identificativi del donatore in associazione a quelli sanitari in ulteriori progetti di ricerca.
Molto spesso i ricercatori non hanno bisogno di conoscere l’identità dei donatori di campioni o dei pazienti. Anche negli studi che implicano l’analisi della familiarità può essere sufficiente conoscere le relazioni di parentela e non le generalità dei soggetti. Si tratta dunque di dati anonimizzati all’origine e dunque non soggetti al Codice dei dati personali e al GDPR.
A volte, tuttavia, il trattamento delle generalità dei soggetti analizzati è inevitabile, come nel caso di ricerche su pazienti affetti da malattie rare il cui numero è estremamente basso o quello di studi geograficamente localizzati.
Dunque, il divieto di riuso di dati personali associati a dati sanitari o clinici limita proprio quelle aree di ricerca che, per la loro particolarità, richiederebbero maggiore attenzione e possibilità di operare con maggiore efficienza.
E, già che parliamo di efficienza, non è certo razionale creare un collo di bottiglia come quello della obbligatoria autorizzazione del Garante – basata sul silenzio rigetto – per valutare se la minimizzazione o l’anonimizzazione dei dati personali sia effettivamente tale.
Innanzi tutto, “minimizzazione” e “anonimizzazione” sono due concetti diversi, con diverse conseguenze in termini di protezione dei dati personali dell’interessato:
- “Minimizzazione dei dati” significa che il donatore è ancora identificabile, ma che viene trattato soltanto un sottoinsieme dei dati sensibili che lo riguardano nel rispetto del Codice dei dati personali e del GDPR.
- “Anonimizzazione dei dati” significa che il donatore non è più identificabile e che dunque possono essere trattati tutti i dati che lo riguardano senza più dover osservare il Codice dei dati personali e il GDPR.
Invece la norma pone le due opzioni allo stesso livello e le tratta allo stesso modo, senza tenere conto che il trattamento “minimizzato” è potenzialmente più pericoloso di quello “anonimizzato”.
In secondo luogo, c’è il pericolo concreto che il Garante adotti un “principio di precauzione” che, nei casi dubbi o limite, porterà un diniego dell’autorizzazione.
Oramai, purtroppo, la norma c’è e tocca aspettare che, con i tempi della giustizia, qualche sentenza la disapplichi o la cancelli.
Ma nel frattempo spero che mai, nemmeno in un caso il Garante dei dati personali ricorra al silenzio rigetto per negare un’autorizzazione.
Sarebbe troppo forte il timore che un comportamento del genere possa essere motivato da inerzia colpevole piuttosto che da irricevibilità della richiesta.
Possibly Related Posts:
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech
- Cosa significa l’arresto di Pavel Durov per social media e produttori di smart device