Protezione dati nella ricerca, le regole deontologiche del Garante

La metodologia partecipativa e le recenti trasformazioni normative

L’elaborazione delle nuove Regole rappresenta un passaggio decisivo per il futuro della ricerca italiana, non solo per il contenuto normativo che ridefinirà le condizioni di liceità dei trattenenti di dati personali con finalità statistica e di ricerca scientifica, ma anche per la metodologia adottata.

Per la prima volta, infatti, tale disciplina sarà adottata attraverso un processo di elaborazione partecipata, che coinvolge inizialmente gli stakeholder e, in seguito, l’intera comunità scientifica e la società civile, anche tramite la pubblica consultazione. Questo modello di ampia partecipazione è volto a garantire una forma di co-regolazione che assicuri sostenibilità e accettabilità da parte del mondo della ricerca e, al contempo, la tutela dei diritti fondamentali.

L’iniziativa si colloca in un contesto di profonde trasformazioni normative apportate al Codice Privacy con la conversione in legge del decreto-legge 2 marzo 2024, n. 19, pubblicata sulla Gazzetta Ufficiale n. 100 del 30 aprile 2024 ed entrata in vigore il primo maggio 2024. In particolare, la revisione dell’articolo 110, relativo alla ricerca scientifica nei settori medico, biomedico ed epidemiologico, ha giocato un ruolo chiave nel dare il via a questo processo.

Il quadro normativo per la ricerca scientifica

La ricerca scientifica è riconosciuta dall’ordinamento come un fattore essenziale per l’innovazione e lo sviluppo sociale. La Costituzione italiana, all’articolo 9, afferma che “La Repubblica promuove lo sviluppo della cultura e della ricerca scientifica”, mentre l’articolo 33 sancisce la libertà della scienza e del suo insegnamento. A livello europeo, l’articolo 179 del Trattato sul Funzionamento dell’Unione Europea (TFUE) prevede l’istituzione di uno spazio europeo della ricerca.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) ha introdotto misure di semplificazione per la ricerca scientifica, cercando di bilanciare la protezione dei dati personali con l’esigenza di facilitare la circolazione delle informazioni per scopi di ricerca. L’articolo 89 del GDPR impone l’adozione di “garanzie adeguate” per i diritti e le libertà degli interessati, consentendo allo stesso tempo deroghe per semplificare le attività di ricerca.

A fronte di questo quadro regolatorio, la revisione dell’articolo 110 del Codice, ad opera del citato decreto-legge 2 marzo 2024, n. 19, ha mirato a semplificare gli adempimenti in materia di protezione dei dati per la ricerca medica, biomedica ed epidemiologica, rimuovendo l’obbligo di consultazione preventiva del Garante nei casi in cui non sia possibile acquisire il consenso degli interessati e trasferendo la responsabilità della verifica delle condizioni per il trattamento agli enti e agli istituti di ricerca.

Evoluzione delle regole deontologiche e ruolo del Garante

Il Garante, dal canto suo, è stato chiamato a individuare le misure di garanzia da rispettare in tali ipotesi, ai sensi delle Regole dell’art. art. 106 comma 2 lett. d) del Codice privacy (articolo relativo alle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica).

Le Regole deontologiche attualmente in vigore sono “ancora” quelle definite dal Garante con il provvedimento n. 515 del 19 dicembre 2018, adottato nell’immediatezza della riforma del Codice Privacy operata dal d.lgs. 10 agosto 2018, n. 101, che ha adeguato la normativa nazionale al GDPR. La disposizione transitoria prevista dall’art. 20, comma 4, del citato decreto, con l’obiettivo di scongiurare il vuoto normativo in materia, ha, difatti, stabilito che, in fase di prima applicazione, le Regole deontologiche dovessero consistere nelle disposizioni dei previgenti codici di deontologia e buona condotta che fossero reputate dal Garante conformi al GDPR. Tali Regole deontologiche avrebbero mantenuto efficacia sino alla loro revisione, attraverso la procedura “ordinaria” di cui all’art. 2-quater del Codice.

A seguito della surrichiamata novella dell’art. 110 del Codice operata dal decreto-legge 2 marzo 2024, n. 19, il Garante, ritenendo che le Regole deontologiche vigenti non fossero sufficienti a garantire l’adeguata tutela degli interessati nel nuovo assetto normativo, con il provvedimento n. 298 del 9 maggio 2024 ha individuato le garanzie per i trattamenti di dati personali con finalità di ricerca effettuati in assenza del consenso degli interessati. Parallelamente ha avviato la procedura per l’adozione dell’intero corpus delle nuove Regole deontologiche, che – non si limitandosi a trattare delle sole garanzie di cui all’art. 110 – disciplineranno tutti gli ambiti ad esse demandati dall’art. 106 del Codice.

Prospettive future e iniziative di approfondimento

Se la riforma dell’art.110 del Codice Privacy rappresenta un passo significativo verso una maggiore agilità nelle attività di ricerca che intersecano il diritto fondamentale alla salute, l’elaborazione delle nuove Regole deontologiche valevoli per la ricerca scientifica in generale segna un cambiamento di prospettiva.

La comunità scientifica, gli stakeholder e la società civile, infatti, non sono più semplici destinatari di norme, ma partecipano attivamente alla loro costruzione, contribuendo a definirne i contenuti e a consolidarne la legittimazione. Non si tratta solo di garantire maggiore certezza giuridica ed assicurare la sostenibilità (accettabilità) delle norme da parte del mondo della ricerca, ma di favorire un bilanciamento equo e responsabile tra libertà scientifica e tutela dei diritti fondamentali, tenendo conto di un contesto caratterizzato dal rapido progresso tecnologico, dall’innovazione nei metodi di ricerca e dall’evoluzione del quadro normativo europeo. Basti pensare alla recente adozione del Regolamento UE sull’AI e quella, di pochi giorni or sono, del Regolamento UE per l’istituzione dello Spazio Europeo dei Eati Sanitari – European Health Data Space, EHDS).

Nell’ambito di tale processo di co-regolazione segnaliamo il convegno organizzato dal Consiglio Nazionale delle Ricerche, con il Patrocinio del Garante per la Protezione dei dati personali, che si svolgerà il prossimo 11 marzo e che si propone di stimolare la sensibilità diffusa e la riflessione approfondita sulle sfide, le criticità e le opportunità connesse all’elaborazione delle Regole deontologiche in questione. L’obiettivo è favorire l’emergere di posizioni informate e responsabili, contribuendo al dibattito sulla disciplina nazionale in fieri. L’incontro intende, inoltre, introdurre un ciclo di seminari destinati ad approfondimenti in materia, da svolgersi successivamente all’evento.