Il 21 aprile u.s., lo European Data Protection Board (“EDPB”) ha adottato un documento recante linee guida sul trattamento dei dati relativi alla salute a fini di ricerca nel contesto dell’epidemia da COVID-19 (“Linee Guida”), con lo scopo di fornire un indirizzo chiaro e coerente con il quadro normativo esistente in materia di data protection – e, in particolare, con il General Data Protection Regulation UE 2016/679 (“GDPR”) – che funga da supporto alle numerose attività di ricerca nella lotta contro il COVID-19.
In via eccezionale, considerata l’urgenza, le Linee Guida non sono state sottoposte a consultazione pubblica, ma sono state considerate definitive sin dal momento della loro adozione.
Lo scopo delle Linee Guida è quello di far luce su alcune questioni giuridiche particolarmente urgenti riguardanti l’uso dei dati relativi alla salute per finalità di ricerca scientifica, tra cui: la base giuridica del trattamento, la possibilità di trattamento ulteriore, l’attuazione di adeguate misure di salvaguardia e l’esercizio dei diritti degli interessati.
1. L’applicazione del GDPR
In primo luogo, le Linee Guida sottolineano la centralità del GDPR, quale strumento fondamentale per la corretta gestione del trattamento di dati personali anche per le finalità di ricerca scientifica connesse alla pandemia COVID-19 in atto, e, tanto più in tale contesto, di garanzia per la tutela dei diritti fondamentali e dei dati personali degli individui. Inoltre, a dimostrazione del fatto che il GDPR non ostacola la ricerca scientifica, ma consente l’elaborazione giuridica dei dati relativi alla salute per sostenere la ricerca di un vaccino o una cura per il COVID-19, l’EDPB ricorda che è proprio il GDPR a prevedere una specifica deroga per finalità di ricerca al generale divieto di trattamento di dati personali relativi alla salute, ai sensi degli artt. 9, comma 2, lett. (j) e 89, comma 2.
2. L’ambito di applicazione delle Linee Guida
In considerazione dello straordinario contesto in cui le Linee Guida vengono adottate, l’EDPB evidenzia, innanzitutto, l’importanza di fornire una precisa definizione di “dati relativi alla salute”, “trattamento per finalità di ricerca scientifica” e “ulteriore trattamento” con riferimento all’uso primario e secondario degli stessi, al fine di delimitarne l’ambito di applicazione. Con particolare riferimento ai “dati relativi alla salute” l’EDPB conferma la necessità di interpretare in maniera ampia la relativa nozione, in linea con le previsioni dell’art. 4, comma 15, e del considerando 53 del GDPR, e con la pertinente giurisprudenza della Corte di Giustizia Europea. In tale prospettiva, dunque, la categoria può comprendere informazioni che normalmente ricadrebbero tra i “dati comuni”, ma che diventano “dati relativi alla salute” quando sono utilizzate in un contesto specifico (questo è il caso, ad esempio, delle informazioni relative a un viaggio, che ricadono tra i dati relativi alla salute se il viaggio ha avuto luogo in un territorio interessato dal COVID-19 e le informazioni sono elaborate da un professionista a fini diagnostici).
3. Basi giuridiche del trattamento
L’EDPB individua, quali possibili basi giuridiche per il trattamento dei dati relativi alla salute nel contesto della pandemia COVID-19, il consenso e l’interesse pubblico.
(i) Il consenso deve esserelibero, specifico, informato, non ambiguo e manifestato attraverso una dichiarazione o azione positiva inequivocabile, del soggetto interessato, raccolto ai sensi degli artt. 6, comma 1, lett. (a), e 9, comma 2, lett. (a), del GDPR. In particolare, l’EDPB si sofferma sull’esigenza che l’interessato non subisca pressioni o svantaggi nel caso in cui decidesse di non prestare il proprio consenso (casi di evidente squilibrio di potere), richiamando, in particolare, il proprio parere sull’interazione tra il Regolamento sulle sperimentazioni cliniche (CTR) e il GDPR (Parere 3/2019 del 23 gennaio 2019; “Parere”).
Secondo l’EDPB, nel caso di consenso prestato dai soggetti interessati nell’ambito di uno studio non interventistico, finalizzato alla ricerca di sintomi e allo studio dell’evoluzione di una malattia, non si verte nell’ipotesi di “evidente squilibrio di potere” e da ciò consegue il legittimo utilizzo della base giuridica del consenso. Tuttavia, i ricercatori devono essere consapevoli del fatto che dev’essere, in ogni caso, garantito ai soggetti interessati il diritto di revocare in qualsiasi momento tale consenso. In caso di revoca, secondo la regola generale, tutte le previe operazioni di trattamento dei dati, basate sul consenso stesso, rimangono legittime ai sensi del GDPR, ma il titolare del trattamento deve interrompere nuove operazioni di trattamento e, se non vi sono altre basi legittime che giustifichino la conservazione per un ulteriore trattamento, i dati devono essere cancellati.
(ii) Come già chiarito dall’EDPB nel Parere, i dati personali relativi alla salute possono alternativamente essere trattati a fini di ricerca scientifica, pur senza il previo consenso dei soggetti interessati, se vi sono specifiche leggi emanate dal legislatore europeo o di uno Stato membro, nel caso in cui il trattamento sia necessario (i) per motivi di interesse pubblico nel settore della sanità pubblica (ad esempio, per la protezione da gravi minacce per la salute a carattere transfrontaliero), con previsione di misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (ai sensi dell’art. 9, paragrafo 2, lettera (i) del GDPR), ovvero (ii) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, del GDPR, comunque nel rispetto: del principio di proporzionalità rispetto alla finalità perseguita, dell’essenza del diritto alla protezione dei dati e con previsione di misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (ai sensi dell’art. 9, paragrafo 2, lettera (j) del GDPR). Tali basi giuridiche, conclude l’EDPB, possono essere usate per trattare dati relativi alla salute nell’ambito di studi basati su una vasta popolazione, condotti sulle cartelle cliniche dei pazienti COVID-19.
4. I principi applicabili in materia di protezione dei dati personali
Dal momento che l’attività di ricerca scientifica implica il trattamento di una notevole quantità di dati, imprescindibile è il rispetto dei principi fondamentali posti dal GDPR, in primis, quelli di cui all’art. 5. Sempre in considerazione delle peculiarità del trattamento posto in essere ai fini, e nell’ambito, della ricerca scientifica, particolare attenzione deve essere posta con riferimento ai seguenti elementi.
(i) Obblighi di trasparenza e informativa nei confronti dei soggetti interessati. L’EDPB ha sottolineato la centralità dell’art. 14 del GDPR rispetto ai trattamenti con finalità di ricerca scientifica, dal momento che i dati vengono spesso raccolti non direttamente presso il soggetto interessato, ma tramite canali diversi, come, ad esempio, le cartelle cliniche. In tale contesto, è inoltre possibile che il titolare del trattamento tratti ulteriormente i dati per una finalità diversa da quella per cui essi sono stati ottenuti: in questo caso, il requisito dell’adeguata salvaguardia, previsto dall’art. 89, comma 1, del GDPR potrebbe essere soddisfatto fornendo all’interessato l’informativa entro un periodo di tempo ragionevole prima dell’avvio del nuovo progetto di ricerca. Ciò consentirebbe all’interessato di venire a conoscenza del progetto di ricerca ed esercitare i propri diritti prima dell’ulteriore trattamento. Ricorda l’EDPB che, tuttavia, il GDPR prevede dei casi di esenzione, che scattano nel caso in cui il titolare dimostri che:
a. fornire l’informativa è impossibile (sottolinea tuttavia l’EDPB che a tale esenzione si può fare effettivamente ricorso in un limitato numero di casi, vale a dire solo quando il titolare sia in grado di fornire una puntuale dimostrazione dei fattori che impediscono di fornire le informazioni alle persone interessate e, in ogni caso, solo fino a quando tale impossibilità permanga nel tempo. Qualora, infatti, dopo un certo periodo, diventi possibile fornire le informazioni agli interessati, il titolare del trattamento dovrà provvedervi immediatamente); ovvero
b. fornire l’informativa comporterebbe uno sforzo sproporzionato (l’EDPB raccomanda che il titolare effettui un esercizio di bilanciamento per valutare lo sforzo necessario per fornire le informative, ad esempio in ragione del numero particolarmente elevato di soggetti interessati, rispetto all’impatto e agli effetti sugli interessati qualora non ricevano le informative stesse); ovvero
c. fornire l’informativa rischierebbe di rendere impossibile o pregiudicare gravemente il conseguimento delle finalità del trattamento (ricorda però l’EDPB che, in tali casi, il titolare del trattamento deve adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni); ovvero
d. l’ottenimento o la comunicazione di tali dati sono espressamente previsti dal diritto dell’Unione o dello Stato membro, cui è soggetto il titolare del trattamento, e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato (a tal proposito, l’EDPB ricorda che il titolare deve essere in grado di dimostrare in che modo la legge in questione gli si applica e richiede che egli ottenga o comunichi i dati personali in questione).
(ii) Limitazione di finalità e presunzione di compatibilità: l’EDPB, nel ricordare che, ai sensi del GDPR “l’ulteriore trattamento dei dati personali a fini […] di ricerca scientifica […] non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»)“, evidenzia che, data la complessità della questione, essa sarà esaminata più in dettaglio nelle apposite linee guida che saranno adottate dell’EDPB in materia di trattamento dei dati relativi alla salute ai fini della ricerca scientifica. Resta, in ogni caso, ferma la necessità di apprestare garanzie adeguate per i diritti e le libertà dell’interessato, che assicurino l’adozione di misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio di minimizzazione dei dati (ad esempio, mediante pseudonimizzazione, ove tale misura sia idonea a soddisfare i suddetti requisiti).
(iii) Minimizzazione dei dati e limitazione della conservazione: nell’ambito dellaricerca scientifica, la minimizzazione dei dati può essere perseguitaattraverso l’individuazione di specifici quesiti di ricerca e la valutazione della tipologia e della quantità di dati necessari per rispondere correttamente a tali quesiti. Avverte l’EDPB che i dati devono essere resi anonimi ogni qual volta la ricerca scientifica possa essere condotta con tali modalità. Inoltre, devono essere previsti termini di conservazione proporzionati, tenuto conto della durata e dello scopo della ricerca. Ricorda, poi, l’EDPB che le normative nazionali possono prevedere anche disposizioni specifiche in relazione al periodo di conservazione.
(iv) Integrità e riservatezza: nel contesto dell’attuale pandemia, è prevedibile che i dati relativi alla salute vengano riutilizzati per scopi scientifici da una pluralità di soggetti. Pertanto, dovranno essere attuate misure tecniche e organizzative adeguate e aggiornate per garantire un livello di sicurezza sufficiente: a questo proposito, l’EDPB suggerisce l’adozione di misure consistenti quanto meno nelle seguenti: pseudonimizzazione, cifratura, non-disclosure agreements, restrizioni e distribuzione dei ruoli di accesso. Va notato che, in ambito nazionale, è possibile stabilire specifici requisiti tecnici o altre misure di salvaguardia, come il rispetto delle norme sul segreto professionale. Qualora, poi, il trattamento dei dati relativi alla salute per finalità di ricerca sia suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone fisiche, occorre procede a una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35 del GDPR.
Particolare importanza assegna, poi, l’EDPB ai DPO, i quali, ove opportuno, dovrebbero essere consultati dai titolari in merito al trattamento dei dati relativi alla salute per finalità di ricerca scientifica nel contesto dell’epidemia COVID-19.
Infine, le misure adottate per proteggere i dati (anche durante i trasferimenti) dovrebbero essere adeguatamente documentate nel registro delle attività di trattamento.
(v) Esercizio dei diritti degli interessati: l’EDPB sottolinea che,in linea di principio, situazioni come l’attuale pandemia non sospendono o limitano la possibilità degli interessati di esercitare i loro diritti. Tuttavia, essi possono essere in parte limitati dal legislatore europeo o nazionale, come previsto dall’art. 89, comma 2, del GDPR, con la conseguenza che tali limitazioni potrebbero variare a seconda delle leggi adottate in uno specifico Stato membro.In ogni caso, alla luce della giurisprudenza della Corte di Giustizia Europea, tutte le restrizioni dei diritti degli interessati devono essere applicate solo nella misura strettamente necessaria.
(vi)Trasferimenti internazionali di dati a fini di ricerca scientifica: è possibile ipotizzare che, nell’ambito della pandemia COVID-19, sorgerà la necessità d’instaurare una solida cooperazione internazionale, con conseguente circolazione di dati relativi alla salute a fini di ricerca scientifica al di fuori dello Spazio Economico Europeo. Da qui, la necessità di conformarsi a tutte le prescrizioni dettate in materia di trasferimento dei dati dal GDPR.
Sottolinea l’EDPB che, nel contesto dell’attuale crisi sanitaria senza precedenti, in caso di trasferimento in assenza di una decisione di adeguatezza o di garanzie adeguate, potranno essere invocate le deroghe previste dal GDPR in relazione a:
(a) la necessità del trasferimento per motivi importanti di interesse pubblico (art. 49, comma 1, lettera (d), del GDPR) (l’EDPB ritiene, infatti, che la lotta contro il COVID-19 corrisponda, per l’Unione Europea e la maggior parte dei suoi Stati membri, a un importante interesse pubblico, che può richiedere un’azione urgente nel campo della ricerca scientifica – ad esempio per identificare trattamenti sanitari e/o sviluppare vaccini – e può anche comportare trasferimenti verso Paesi terzi o organizzazioni internazionali; di conseguenza, delle suddette deroghe potrebbero avvalersi non solo autorità pubbliche, ma anche enti privati che, nell’ambito della propria attività, perseguono un interesse pubblico: a questo proposito, l’EDPB porta ad esempio il caso di un istituto di ricerca universitario che coopera allo sviluppo di un vaccino nel contesto di una collaborazione internazionale); ovvero, in alternativa,
(b) il consenso espresso del soggetto interessato (art. 49, comma 1, lettera (a)), in caso di trasferimenti effettuati da soggetti privati a fini di ricerca medica finalizzata alla lotta contro la pandemia da COVID-19.
Chiarisce l’EDPB che le suddette deroghe devono, in ogni caso, costituire una misura temporanea dovuta all’urgenza della situazione sanitaria a livello globale. Infatti, se la natura della crisi COVID-19 può giustificare il ricorso alle deroghe per i trasferimenti iniziali effettuati a fini di ricerca, i trasferimenti ripetuti di dati verso Paesi terzi, che fanno parte di un progetto di ricerca di lunga durata, dovrebbero essere inquadrati con adeguate garanzie ai sensi dell’art. 46 del GDPR.
In via generale, poi, dovranno essere presi in considerazione, caso per caso, tutti i ruoli attivi nel trasferimento (titolare del trattamento, responsabile del trattamento, contitolare del trattamento) e i relativi obblighi dei soggetti coinvolti (sponsor, sperimentatore) al fine di individuare le misure appropriate per inquadrare il trasferimento stesso.
Infine, come preannunciato dallo stesso EDPB nelle Linee Guida, nell’ambito del piano di lavoro annuale del Board è prevista l’adozione di ulteriori linee guida (o analogo strumento) relativo al trattamento di dati relativi alla salute per finalità di ricerca scientifica.