La proposta del maggio 2022 della Commissione europea per uno “spazio europeo dei dati sanitari”, il c.d. “European Health Data Space” (“EHDS”), apre le porte a innumerevoli vantaggi per la salute derivanti dallo sfruttamento della enorme quantità di dati sanitari in Europa ai fini della ricerca scientifica. Tuttavia, tale imminente normativa non può esimersi dal fare i conti con la disciplina in materia di protezione dei dati personali, la cui realizzazione nel settore della ricerca ha finora dimostrato, sotto più ombre che luci, un approccio garantistico e limitante la circolazione dei dati sanitari, finendo spesso con l’ostacolare l’innovazione, specialmente, della ricerca in ambito medico-scientifico.
La ricerca scientifica nel GDPR
Come noto, la ricerca scientifica gode di un ruolo particolarmente importante all’interno della disciplina europea sulla protezione dei dati personali contenuta nel Regolamento (UE) 2016/679 (in seguito “GDPR”). Il considerando 157 del GDPR dichiara infatti l’obiettivo di favorire la ricerca consentendo la scelta tra numerose basi giuridiche legittimanti il trattamento di categorie particolari di dati ai fini di ricerca scientifica, quali: il consenso (art. 9, par. 2, lett. a), GDPR); la necessità del trattamento per motivi di interesse pubblico nel settore della sanità pubblica, la protezione da gravi minacce per la salute a carattere transfrontaliero o la salvaguardia di elevati standard di qualità e sicurezza dell’assistenza sanitaria e di medicinali o dispositivi medici (art. 9, par. 2, lett. i), GDPR); e, in via specifica, lo svolgimento di attività di ricerca scientifica o storica o a fini statistici (art. 9, par. 2, lett. j), GDPR).
Sotto diverso profilo, le suddette queste basi giuridiche devono essere, poi, combinate con le norme che regolano ad hoc i trattamenti effettuati nell’ambito della ricerca scientifica, le quali costituiscono le c.d. eccezioni di ricerca, tra cui si possono annoverare la compatibilità predefinita della finalità di ricerca con il principio di limitazione delle finalità su ulteriori trattamenti ex art. 5, par. 1, lett. b) e art. 6, par. 4, GDPR; la deroga al principio di limitazione della conservazione ex art. 5, par. 1, lett. e), GDPR e ad alcuni diritti degli interessati, come il diritto alla cancellazione ex art. 17, par. 3, lett. c) ed e), GDPR e il diritto di accesso ex art. 14, par. 5, lett. b), GDPR.
Infine, l’art. 89, par. 1, del GDPR impone ai titolari del trattamento di adottare misure adeguate a tutela dei diritti e libertà fondamentali degli interessati che possono essere pregiudicati nel corso della ricerca.
La ricerca scientifica sui dati relativi alla salute nelle Linee Guida 3/2020
All’interno della più ampia nozione di ricerca scientifica, un capitolo a parte, di notevole rilevanza, concerne il tema più specifico della ricerca medico-scientifica, ossia della ricerca che ha ad oggetto il trattamento dei dati relativi alla salute dell’interessato ai fini dello svolgimento di studi e ricerche su particolari patologie e terapie o sull’efficacia di determinati farmaci. Vengono infatti definiti “dati sanitari”, ai sensi dell’art. 4, n. 15 del GDPR, i dati personali appartenenti a particolari categorie di dati (ex dati “sensibili”) attinenti alla salute fisica o mentale di una persona fisica.
Pur rinviando ai prossimi contributi per una trattazione specifica sul tema, in particolare con riferimento alla disciplina nazionale derogatoria in materia di consenso e riutilizzo dei dati personali (dettata dagli artt. 110 e 110-bis del D.Lgs. 196/2003 – c.d. Codice Privacy - come modificato a seguito dell’adeguamento alla normativa comunitaria ad opera del D.Lgs. 101/2018), alcuni principi di carattere generale in subiecta materia sono stati enunciati dalla Soft Law internazionale nelle Linee guida dell’European Data Protection Board (“EDPB”), il Board europeo delle Autorità Garanti.
L’EDPB ha infatti chiarito, nelle Linee Guida 3/2020, di cui si dirà a breve, che le norme specifiche sul trattamento di dati sanitari ai fini di ricerca, anche se emanate dal legislatore nazionale di ciascuno Stato membro in forza della facoltà concessa all’art. 9, par. 2, lett. j) e i) del GDPR, allo scopo di fornire una base giuridica ulteriore per il trattamento in questione, devono comunque essere interpretate alla luce dei principi di cui all’articolo 5 del GDPR e della giurisprudenza della Corte di giustizia e che tali deroghe e limitazioni devono applicarsi solo nella misura strettamente necessaria.
In ragione dell’indicazione che precede, le citate Linee Guida 3/2020 (adottate il 21 aprile 2020) sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al COVID-19 acquisiscono una portata generale, che non può considerarsi limitata al contesto di detta emergenza. Invero, proprio a causa della situazione di criticità causata dalla pandemia, l’EDPB è intervenuto per fornire alcuni chiarimenti interpretativi sulle questioni più controverse relative, ad esempio, alla base giuridica del trattamento, la messa in atto di garanzie adeguate per tale trattamento e l’esercizio dei diritti dell’interessato ai fini della ricerca medico-scientifica, come del resto si evince dal tenore letterale del testo delle Linee guida, nella parte in cui si afferma che: “Il regolamento generale sulla protezione dei dati prevede norme speciali per il trattamento dei dati relativi alla salute a fini di ricerca scientifica, applicabili anche (n.d.r. e non solo) nel contesto della pandemia da COVID-19”.
Tra i temi di maggior interesse emergono:
- la base giuridica del trattamento: per quanto fin qui detto, il consenso per la ricerca medico-scientifica continua a costituire la condizione di liceità preferibile, ma non l’unica, su cui basare il trattamento (potendo il ricercatore elaborare i dati sanitari dell’interessato anche sulle condizioni di cui all’art. 9, par. 2, lett. j) e i) del GDPR, al netto degli ulteriori limiti e delle deroghe previste dalla normativa nazionale). Peraltro, se è vero che il consenso costituisce la base giuridica che garantisce il maggiore controllo da parte dell’interessato sui propri dati personali, allo stesso tempo esso può rilevarsi alquanto limitante per il ricercatore, riguardo alla possibilità di perseguire finalità ulteriori; inoltre il consenso può essere revocato in qualsiasi momento dall’interessato, rendendo instabile e precario il progetto di ricerca già avviato;
- le esenzioni all’obbligo di rendere l’informativa all’interessato, qualora i dati personali non siano raccolti direttamente presso quest’ultimo (come avviene frequentemente nella prassi nei casi di riuso di dati sanitari) ai sensi dell’art. 14 par. 4-5;
- l’adozione di misure di sicurezza adeguate per garantire l’integrità dei dati personali: alla luce della natura “sensibile” dei dati sanitari, e in ossequio al principio di accountability, dal momento che la ricerca scientifica comporta spesso il trattamento e la condivisione, su larga scala, di categorie particolari di dati, essa rappresenta un trattamento a rischio elevato ai sensi del GDPR.
Il nuovo spazio europeo per la condivisione dei dati sanitari ai fini della ricerca scientifica
Come osservato in premessa, all’inizio del 2020, la Commissione europea ha annunciato un piano ambizioso per la creazione di uno spazio comune europeo dei dati sanitari - l’EHDS - avviando così un iter verso la realizzazione di un quadro giuridico che ambisce a facilitare l’accesso e il riutilizzo di tali dati ai fini di una migliore ricerca e assistenza sanitaria.
In data 3 maggio 2022, la Commissione ha pubblicato il testo della nuova proposta legislativa che stabilisce un nuovo modello di governance dell’accesso ai dati sanitari. La costruzione dell’EHDS implica la facilitazione del riutilizzo e della condivisione dei dati raccolti da fonti diverse per scopi diversi, nel rispetto dei diritti delle persone fisiche, tra cui il diritto alla protezione dei dati personali discendente dal GDPR.
Nella proposta di Regolamento sull’EHDS, troviamo disposizioni specifiche che disciplinano l’uso sia primario che secondario dei dati sanitari elettronici. Sono stati creati, infatti, nuovi diritti dei pazienti sui dati sanitari elettronici e dunque nuovi obblighi sono stati posti in capo agli operatori sanitari e agli Stati membri tenuti a istituire un’autorità sanitaria digitale e designare un punto di contatto nazionale. Altri obblighi in relazione all’uso primario riguardano l’interoperabilità dei set di dati relativi alla salute e la creazione di un’infrastruttura comune per facilitare lo scambio transfrontaliero di dati sanitari elettronici, nota come MyHealth@EU.
Come incentivo al ricorso dell’uso secondario dei dati sanitari, in particolare, la proposta mira a facilitarne l’utilizzo per la ricerca, definendo i tipi di dati che possono essere impiegati per scopi identificati e stabilendo gli scopi vietati. Inoltre, la proposta richiede agli Stati membri di istituire un organismo di accesso ai dati sanitari che abbia il compito di rilasciare i permessi ai ricercatori che intendano trattare tali dati per un uso secondario. Le finalità per le quali i dati sanitari elettronici possono essere trattati per un uso secondario sono esplicitate nella proposta di regolamento e comprendono i fini di ricerca scientifica o storica o fini statistici, nonché i motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici.
Rispetto al GDPR, l’EHDS si pone come una normativa integrativa e specifica a sostegno dell’uso dei dati sanitari per la ricerca. Come chiarito dall’EDPB nelle “Questions and answers” del 3 maggio scorso, infatti, il trattamento dei dati sanitari elettronici per un uso secondario sarà possibile solo per le finalità già previste dal GDPR, sulla base di un’autorizzazione rilasciata da un organismo di accesso ai dati, e il trattamento di tali dati potrà avvenire solo in ambienti sicuri, che devono rispettare standard molto elevati di privacy e sicurezza informatica. Inoltre, il ricercatore potrà accedere solo a dati non identificabili, tali da fornire informazioni inerenti unicamente alla malattia, ai sintomi e ai farmaci, e non anche all’identità dell’interessato a cui si riferiscono. È altresì vietato al soggetto che utilizza tali dati re-identificare gli interessati.
Conclusioni
La creazione di uno spazio europeo per la condivisione dei dati sanitari è una delle priorità della Commissione per il periodo 2019-2024. L’EHDS promuoverà, infatti, un libero mercato per lo scambio e l’accesso a diversi tipi di dati sanitari (cartelle cliniche elettroniche, dati genetici, dati dei registri dei pazienti, ecc.), non solo per supportare l’erogazione dell’assistenza sanitaria (c.d. uso primario dei dati) ma anche per finalità di ricerca scientifica nell’ambito sanitario (c.d. uso secondario dei dati). La pandemia per Covid-19 ha ulteriormente sottolineato l’importanza di avere un accesso tempestivo ai dati sanitari all’interno degli Stati membri e in tutta Europa, come emerge dalle indicazioni fornite dall’EDPB nelle citate Linee Guida 3/2020. L’EHDS darebbe pertanto un prezioso contributo alle attività di ricerca su nuove strategie preventive e trattamenti efficaci, contribuendo così a migliorare la salute e la qualità della vita dei cittadini europei.
In tale ottica, è necessario uno sforzo del legislatore europeo per armonizzare e superare alcune delle difficoltà ormai note, e che riguardano, in particolare, la frammentazione degli standard dei dati e la limitata interoperabilità tra i sistemi sanitari, nonché, soprattutto, i limiti posti dalla disciplina comunitaria sulla data protection per la salvaguardia dei diritti fondamentali dei cittadini e la disomogeneità di tale disciplina, a livello nazionale, nell’ambito della ricerca medico-scientifica.
Avv. Sabrina Salmeri e Dott. Lorenzo Baudino Bessone