Indica un intervallo di date:
  • Dal Al
©credits

Una interpretazione del cd. risk-based approach, diversa da quella proposta dal WP29, sarebbe vantaggiosa per la ricerca scientifica?

Questo articolo costituisce un riassunto dell’articolo disponibile al seguente link http://bit.ly/2zOpcmv, ove si analizzano le ragioni per le quali il Working Group ex Art 29 (WP29) abbia ritenuto, nell’Opinione pubblicata il 30 Maggio 2014, che una interpretazione ampia del “risk-based approach” (quale quella promossa nel contesto dei big-data e del trattamento di dati pseudonimizzati) confligga con la natura di diritto fondamentale del diritto alla protezione dei propri dati personali.

Secondo il WP29 i requisiti stabiliti dal Regolamento Europeo sul Data Protection rappresentano “un livello minimo e non negoziabile di protezione per tutte le persone che si applica indipendentemente dal livello di rischio per gli interessati”. La rilevanza del cd. impact-assessment (valutazione d’impatto sul rischio) richiesto dall’articolo 35 del GDPR è stata così notevolmente limitata, essendo tale valutazione sui rischi ridotta ad un mero strumento di dimostrazione di “compliance” al Regolamento da parte dei responsabili del trattamento dei dati. In particolare, mentre dall’esito dell’impact assessment può derivare la constatazione della necessità di misure supplementari a tutela dei soggetti interessati (quando si tratta di un trattamento altamente rischioso), al contrario nel caso in cui l’esito della valutazione sia nel senso di un ridotto rischio per gli interessati tale valutazione non può servire ai responsabili al fine di giustificare il mancato rispetto di taluni requisiti del GDPR.

Viene così disattesa l’aspettativa di coloro che avevano visto nel risk-based approach adottato dal GDPR la possibilità di una scalabilità degli obblighi del Regolamento a seconda dei livelli di rischio del singolo trattamento considerato. La necessità di una certa “granularità” della compliance è particolarmente sentita nel settore dei big-data, e prima del parere emanato dal WP29, si era ipotizzato un regime facilitato di data protection per le attività di raccolta. Ciò in considerazione dei ridotti rischi per i soggetti interessati nella fase di raccolta dei dati, rispetto alla fase di utilizzo. Egualmente si era ipotizzato che quando il trattamento di dati personali concerne dati pseudonimizzati, un regime agevolato si dovesse applicare in considerazione delle ridotte possibilità di identificazione degli individui interessati. Tali interpretazioni sono state etichettate dal WP29 come posizioni che erroneamente interpretano il risk-based approach come uno “strong harm-based approach” che confligge con la natura di diritto fondamentale del diritto alla protezione dei dati riconosciuto dall’Articolo 8.

Sembrerebbe pertanto che non vi sia spazio nel GDPR per un approccio diverso da quello tradizionale di “compliance” normativa. Ed è lecito chiedersi che senso abbia condurre una valutazione del rischio, se non segue ad essa una fase di gestione del rischio, in cui i responsabili del trattamento hanno una qualche discrezionalità nella risposta al rischio. 

Queste considerazioni hanno un impatto sulla istanza, promossa dagli organismi di ricerca nel corso del dibattito sul GDPR, per una flessibilità delle regole sulla protezione dei dati ? La comunità scientifica ha infatti espresso chiaramente le proprie preoccupazioni in merito a modelli standard di requisiti di protezione dei dati, in particolare molte critiche sono state rivolte contro un modello standard di consenso specifico e informato.

La ricerca epidemiologica clinica e sullo stile di vita che fa uso di registri e bio-banche si è sviluppata rapidamente negli ultimi 20 anni. Progetti di ricerca e studi basati su interviste che comportano rischi minimi per i partecipanti alla ricerca possono non avere bisogno dello stesso livello di requisiti giuridici in materia di protezione dei dati, richiesto invece per esempio nel caso della ricerca interventistica. Si è auspicato pertanto che il GDPR desse spazio ad un approccio case-by-case che garantisse la scalabilità dei requisiti di protezione dei dati ed evitasse una onerosa attività di compliance nei casi in cui il singolo trattamento considerato comporta rischi minimi per i partecipanti alla ricerca.

Al fine di agevolare il progresso della ricerca scientifica, il GDPR stabilisce una serie di deroghe rispetto a principi fondamentali della protezione dei dati (in particolare rispetto ai principi di legalità, trasparenza e limitazione della conservazione dei dati) e rispetto a certi diritti garantiti ai soggetti interessati. Il regime agevolato per la ricerca scientifica è tuttavia costituito principalmente da clausole che i legislatori nazionali devono implementare e specificare ulteriormente. Il compito di conciliare i benefici sociali derivanti dalla ricerca scientifica con un quadro di garanzie adeguate per i partecipanti alla ricerca resta pertanto prevalentemente affidato alla legislazione nazionale e ai codici di condotta.

Nell’implementare tali clausole, i legislatori nazionali mantengono ampio margine di manovra nello stabilire regole più o meno stringenti. Possono infatti tenere in considerazione tutti i fattori pertinenti per garantire che gli obblighi in materia di protezione dei dati siano proporzionati sia ai benefici sociali della ricerca perseguiti attraverso il trattamento sia ai rischi per i partecipanti alla ricerca. Si possono istituire anche diversi regimi, ove gli obblighi sono proporzionali rispetto alle esigenze dei diversi settori di ricerca e del tipo di dati trattati. Gli Stati membri possono ad esempio stabilire requisiti più severi e garanzie supplementari quando il trattamento a fini di ricerca scientifica riguarda dati sensibili (come i dati relativi alla salute, ai dati genetici o biometrici).

È quindi incontestabile che i legislatori nazionali possano tener conto della probabilità e del grado di rischi posti da ciascuna categoria di trattamento dei dati e regolamentarli di conseguenza. Per contro, resta da chiarire se i legislatori nazionali sono chiamati o meno all’adozione di una regolamentazione esaustiva oppure se possano lasciare spazio per un approccio case-by-case ove i responsabili del trattamento, all’esito di una valutazione sui rischi, abbiano una certa discrezionalità nell’adeguarsi ai principi e le misure in materia di protezione dei dati in funzione del grado di rischio associato allo studio specifico in questione. Non è in discussione il dovere dei responsabili di condurre un DPIA, anche per più trattamenti di dati aventi le medesime caratteristiche, quando questo risulta obbligatorio. Ci si chiede piuttosto se la valutazione di impatto sui rischi possa essere utilizzato dai responsabili al fine di giustificare il mancato adeguamento a certi requisiti o obblighi che risultano non necessari in considerazione del basso livello e improbabilità di rischi per i soggetti interessati nel caso dello specifico trattamento per cui si è espressa la valutazione.

Vigente la direttiva 95/46, alcuni Stati come l’Italia hanno regolamentato in maniera molto specifica le regole in materia di trattamento dei dati per la ricerca scientifica, adottando il Codice di Condotta del 2004 e facendo uso delle autorizzazioni del Garante, incluse le autorizzazioni generali, al fine di consentire una certa flessibilità e scalabilità degli obblighi in relazione ai rischi per soggetti interessati. Altri Stati Membri hanno lasciato invece più spazio ai comitati etici chiamati ad intervenire solo nel caso di trattamenti a rischio e si sono ad esempio consentite pratiche cd. di broad o open consent, per cui progetti di ricerca che svolgevano attività di bio-banking hanno rispettato la regola del consenso in maniera non rigorosa, a prescindere dalla applicazione di una specifica deroga legislativa.

Il quesito centrale cui rispondere è pertanto se, in quanto diritto fondamentale, il diritto alla protezione dei dati presuppone una regolamentazione esaustiva da parte del legislatore o meno. La risposta a tale domanda passa necessariamente per la comprensione di un conflitto che può rappresentarsi nei seguenti termini: dal punto di vista dei ricercatori, l’ osservanza di modelli standard di protezione dei dati, indipendentemente dai rischi che il trattamento in questione comporta per gli interessati, costituisce un onere amministrativo inutile, sproporzionato e persino dannoso in un settore, come quello della ricerca scientifica, che è già altamente regolamentato; dal punto di vista dei partecipanti alla ricerca non vi può essere un controllo effettivo sui propri dati personali se la legge non garantisce loro tutele, sotto forma di diritti regolati in modo esaustiva dal legislatore.

Infine se è vero che le regole sulla protezione dei dati nel settore della ricerca scientifica devono essere bilanciate con l’esigenza di accelerare la ricerca e agevolare il conseguimento dei benefici sociali che da essa derivano, siamo certi che la mancanza di certezza giuridica derivante da un approccio case-by-case non possa semmai rallentare il progresso della ricerca scientifica? La mancanza di certezza giuridica e la frammentazione normativa infatti contribuisce ad erigere un muro diffidenza da parte dei soggetti interessati rispetto alle proprie possibilità di tutela e a scoraggiare la loro partecipazione a progetti di ricerca.