Regolamento europeo sulla protezione dei dati e ricerca in ambito sanitario: i chiarimenti dell’EDPB

La risposta dell’EDPB alle richieste della Commissione Europea per dare chiarimenti sull’applicazione operativa del GDPR in ambito sanitario. Ecco il documento ufficiale.



L’EDPB ha emesso un documento ufficiale in risposta alle richieste della Commissione Europea per dare chiarimenti sulla applicazione operativa del GDPR, con particolare focus sull’ambito sanitario.

Questo documento, adottato il 2 febbraio 2021, si pone l’obiettivo di iniziare ad eliminare quei fraintendimenti e quelle erronee interpretazioni sull’applicazione del Regolamento Europeo sulla protezione dei dati (di seguito anche “GDPR” o “Regolamento”) nell’ambito della ricerca scientifica.

L’8 luglio 2020 la direzione generale Giustizia e Consumatori della Commissione Europea chiede, in conformità ai compiti che l’art.70 del GDPR attribuisce al Comitato Europeo sulla protezione dei dati (di seguito “EDPB”), di fornire chiarimenti ad una pluralità di questioni concrete indicate. 

Tra i compiti dell’EDPB vi è infatti quello, previsto proprio dall’art.70, di fornire consulenza alla Commissione europea, su propria iniziativa o su richiesta della stessa, in merito a qualsiasi questione relativa alla protezione dei dati. 

Si tratta certo di prime risposte non completamente esaustive, così come indicato nello stesso documento, in quanto per alcune delle questioni portate all’attenzione, è necessaria un’analisi più approfondita, anche basata sull’osservazione e valutazione di best practice. Tra queste, la differenza tra dato anonimo o pseudoanonimo, i limiti al “consenso ampio” e le misure tecniche adeguate da applicarsi per poter beneficiare di alcune eccezioni. 

Tali prime osservazioni costituiscono però la base, e quindi la prima pietra, per le linee guida in materia di ricerca scientifica che dovrebbero essere emanate proprio nel corso di quest’anno.

Di seguito alcuni aspetti importanti affrontati nel documento.

Il concetto di “consenso ampio” 

La Commissione chiede se possa applicarsi, nell’ambito della ricerca scientifica, il concetto di consenso ampio. Tale concetto risulterebbe derivare dall’interpretazione di un considerando del Regolamento, il 33 per l’esattezza, che ammette la possibilità di acquisire il consenso per taluni settori della ricerca scientifica quando non sia possibile individuare pienamente le finalità del trattamento dei dati. 

L’EDPB, ribaditi i requisiti del consenso, chiarisce che tale considerando non può in alcun modo essere interpretato in maniera tale da permettere ad un Titolare del trattamento di eludere l’obbligo di acquisire un consenso solo a seguito di chiara conoscenza della finalità per cui il dato verrà trattato. Le caratteristiche del consenso indicate nel Regolamento, ossia libero, esplicito, informato, specifico ed inequivocabile, continuano quindi a rappresentare la regola da seguire.

Nel caso in cui le finalità di ricerca non possano essere pienamente specificate, il Titolare del trattamento dovrà garantire ancora di più i diritti dell’interessato attraverso una sempre maggiore trasparenza e misure di garanzia adeguate, oltre che tenendo in considerazione eventuali disposizioni di Stati Membri esistenti che potrebbero impattare. Di conseguenza, il concetto di consenso ampio non può giustificare il trattamento per qualunque scopo futuro di ricerca in alcun modo specificato.

La trasparenza del trattamento

L’EDPB interviene fornendo risposta ad una specifica domanda rivolta dalla Commissione Europea, ossia se, nell’ipotesi di ulteriori trattamenti per scopi di ricerca scientifica - diversi rispetto a quelli per i quali il dato è stato fornito dall’interessato - il Titolare del trattamento possa o meno beneficiare delle eccezioni previste dal Regolamento in tema di obbligo di informazione all’interessato.  

Più nello specifico: l’eccezione che fa venir meno l’informazione/informativa all’interessato, se la stessa determina uno sforzo sproporzionato o se va a pregiudicare gravemente il conseguimento delle finalità del trattamento.

L’autorità interviene chiarendo innanzitutto la portata di quel regime derogatorio speciale per il trattamento dei dati personali a fini di ricerca scientifica. Esso infatti non deve essere inteso come un’esenzione di carattere generale, ma specifica e limitata ad altrettanto specifiche situazioni. Il criterio a base delle eccezioni è quello infatti di proporzionalità e necessità che costituisce la ratio del GDPR.

Entrando a questo punto nell’eccezione indicata, la stessa è prevista dall’art.14 che si applica solo qualora i dati personali non siano forniti direttamente dall’interessato. 

Sulla base di quanto indicato sopra, ne consegue l’inapplicabilità di tale eccezione ogni qual volta il dato sia stato acquisito direttamente dall’interessato. In questo caso infatti il Titolare del trattamento, al momento della raccolta dei dati, deve adottare tutte le misure appropriate per poter adempiere agli obblighi di informazione relativi a tale ulteriore trattamento.

E tale obbligo di informazione riguarda anche l’eventuale modifica della base giuridica legittimante il trattamento.

Anonimizzazione o pseudonimizzazione

Infine, tra le domande sottoposte, la Commissione chiede chiarimenti in merito alla qualificazione come anonimizzato o pseudonimizzato del dato privo di qualunque codice che possa permettere l’identificazione (re-identyfing) di una persona fisica, ed alla valutazione in tal senso del dato genetico quando il Titolare del trattamento utilizza misure tecniche ragionevoli per evitare la re-identificazione.

In merito al primo punto, l’EDPB indica alcuni riferimenti normativi che i Titolari del trattamento dovrebbero prendere in considerazione per determinare se quell’informazione è, o meno, anonima. Tra queste la Opinion 5/2014 del Working Party 29 (attuale EDPB) ed il Considerando 26 che prevede, per accertare la ragionevole probabilità di identificazione di una persona fisica, la valutazione di tutti i fattori oggettivi, quali i costi e la quantità di tempo necessaria per l'identificazione oltre che la tecnologia disponibile esistente. 

In merito invece al secondo punto, l’EDPB rileva che ad oggi la possibilità di anonimizzazione del dato genetico rimane una questione non del tutto risolta. Per tale ragione viene consigliato di considerarli come dati personali e di conseguenza di procedere all’adozione di misure tecniche ed organizzative adeguate. 

Sul concetto di misure adeguate, l’autorità interviene sottolineando che non si procederà in questa sede a rispondere esaustivamente a questa domanda con l’indicazione di esempi pratici, come invece richiesto, data la complessità dell’argomento. Qui viene semplicemente chiarito che la mancanza, nel Regolamento, di specifiche indicazioni sul punto, rischia di impedire la corretta applicazione delle eccezioni riconosciute, considerato che le stesse possono applicarsi solo in presenza di misure organizzative e tecniche adeguate che costituiscono garanzie aggiuntive. 

Se ti è piaciuto l'articolo condividi: