Ha destato molto scalpore la presenza nella Legge Europea del 27 Novembre 2017 dell’Articolo 28 (1b) che aggiunge due nuove disposizioni al Codice Privacy secondo cui il Garante può autorizzare il riutilizzo di dati, anche sensibili, per finalità di ricerca scientifica e scopi statistici.
Perchè tanta polemica? Articoli del Fatto Quotidiano a partire da Febbraio 2016 segnalavano un accordo confidenziale a latere del noto accordo tra il Governo Italiano ed IBM stipulato a Cambridge (MA) per la realizzazione del Watson Health Center IBM di Milano. Tale accordo confidenziale, secondo la citata fonte, prevederebbe la fornitura ad IBM di rilevanti dataset contenenti dati sanitari dei pazienti italiani, a partire da quelli dei residenti in Lombardia. (Si legga in merito http://bit.ly/2Bf5dPb)
La recente pubblicazione in Gazzetta Ufficiale della Legge Europea ha ulteriormente alimentato la polemica e il sospetto che le nuove disposizioni siano unicamente volte ad onorare tale accordo di trasferimento. Secondo molti esperti tali disposizioni desterebbero preoccupazione perché allentano la stretta sulla privacy imposta dal Regolamento Europeo sulla Protezione dei dati personali (GDPR) che entrerà in vigore nel maggio del 2018.
A dire il vero però le nuove disposizioni del Codice Privacy introdotte con la Legge Europea non prevedono nulla che sia vietato allo Stato Italiano dal GDPR. In particolare, posto che non vi è stata alcuna conferma ufficiale della stipulazione di tale accordo, né può darsi per scontata la ratio della introduzione delle nuove disposizioni al Codice Privacy, si dovrebbero analizzare i due aspetti separatamente:
(1) un conto è discutere sulla opportunità di inserire una norma sul trattamento dei dati per scopi di ricerca scientifica così specifica (visto che riguarda solo il riutilizzo dei dati) in questa fase di adeguamento della normativa nazionale al GDPR;
(2) altro conto è valutare se siano fondate le preoccupazioni di molti esperti in merito all’applicazione di queste disposizioni al caso del trasferimento di dati al Watson Health Center.
In questo articolo si analizza solo il primo aspetto. Un secondo articolo analizzerà il secondo quesito. Anticipo però che le preoccupazioni in entrambi i casi sono prive di fondamento e anzi la scelta del Governo dovrebbe essere fortemente sostenuta vista l’importante occasione rappresentata dal Centro Watson Health di IBM in Italia.
Dunque, perché introdurre le nuove disposizioni al Codice Privacy in questa fase di adeguamento della normativa nazionale al GDPR?
In generale il GDPR, in quanto Regolamento, e non Direttiva, contiene disposizioni immediatamente applicabili in tutti gli Stati Membri a partire dalla data di entrata in vigore, prevista per Maggio 2018. Non è quindi necessaria una attività di adeguamento delle disposizioni italiane al GDPR, né gli Stati Membri hanno margine di manovra per modificare o adattare le regole del GDPR. Gli Stati Membri possono però emanare legislazione volta ad abrogare le norme vigenti incompatibili con il GDPR. In ogni caso, anche in mancanza di formale abrogazione, le norme nazionali incompatibili si considerano automaticamente abrogate e sostituite da quelle uniformi europee a partire dal prossimo maggio.
Questo ragionamento non vale però per il caso del trattamento dei dati per scopi di ricerca scientifica o per scopi statistici. Infatti tale settore è peculiare, posto che l’Unione Europea ha solo una competenza di supporto rispetto all’attività regolatoria degli Stati Membri e che il GDPR pertanto si limita a disciplinare tale settore con clausole aperte, che lasciano ai legislatori nazionali ampia discrezionalità nella loro implementazione. Sicuramente anche l’attività di lobbying di enti di rappresentanza della comunità scientifica ha fatto sì che il GDPR non regoli compiutamente tale settore. In merito si legga l’articolo seguente http://bit.ly/2yZPiDG.
L’Italia, coerentemente con questo quadro dispositivo Europeo, ha emanato la Legge Delega 163 il 25 Ottobre 2017, il cui articolo 13 delega il Governo a adottare entro sei mesi uno o più decreti legislativi volti:
- all’abrogazione delle disposizioni del Codice Privacy che sono incompatibili con le disposizioni del GDPR;
- alla modifica del Codice Privacy limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel GDPR (tra cui evidentemente le disposizioni in materia di trattamento per scopi di ricerca scientifica e statistica). L’Articolo 13 inoltre prevede che se opportuno possa ricorrersi a specifici provvedimenti attuativi e integrativi adottati dal Garante.
Ci si sarebbe quindi attesi l’emanazione di un decreto legislativo volto a dare formale incarico al Garante per i lavori di stesura (con le organizzazioni rappresentative del settore Ricerca Scientifica e Statistica) di un nuovo Codice di Condotta che sostituisca quello del 2004. Inoltre sarebbe stato preferibile permettere al Garante di lavorare sulla complessa questione giuridica del riutilizzo dei dati personali, inclusi quelli sensibili, in maniera da coordinare tali disposizioni con un nuovo quadro generale di regole sul trattamento dei dati per scopi di ricerca scientifica. Questo per almeno 4 ragioni:
1) Seppure il GDPR non preveda grandi cambiamenti rispetto al regime agevolato previsto dalla Direttiva del 96 per questo ambito di trattamento, in ogni caso permane il dubbio che altre disposizioni generali del GDPR trovino qui applicazione e quindi determinino l’incompatibilità del precedente Codice Deontologico del 2004 sul trattamento dei dati per scopi di ricerca scientifica. In particolare il GDPR prevede che possa applicarsi un regime agevolato (di deroghe) per il trattamento dei dati svolto per scopi di ricerca, a condizione che siano previste delle misure e garanzie precisate nell’Articolo 89 paragrafo 1. Tali misure però non sono definite compiutamente, e devono sicuramente fare riferimento alle nuove previsioni generali, ad esempio ai principi di privacy by design e default.
2) Il GDPR prevede un’ampia definizione di “trattamento per scopi di ricerca scientifica”, per cui sarebbe opportuno (prima di lavorare sulle regole in materia di “riutilizzo”) definire l’ambito di applicazione del regime agevolato. La normativa italiana è piuttosto restrittiva in merito, visto che il Codice del 2004 ammette al regime agevolato solo quei trattamenti svolti per scopi di “tradizionale” ricerca scientifica, prevedendo requisiti oggettivi e soggettivi. Tale interpretazione restrittiva non è però supportata dal nuovo Regolamento Europeo.
3) Inoltre non possiamo ignorare il lavoro delle istituzioni europee volte alla creazione di uno Spazio di Ricerca Europeo dove sia garantita la libera circolazione dei dati e dei ricercatori. Il cd. consistency mechanism (inteso ad uniformare le regole sulla protezione dei dati nell’Unione), che è la maggiore novità istituzionale del nuovo Regolamento, dovrebbe trovare applicazione anche per trattamenti per scopo di ricerca scientifica. Pertanto, sebbene gli Stati Membri mantengano ancora una competenza regolatoria primaria in tale settore, ci si sarebbe auspicati un intervento interpretativo da parte del Working Group Art 29 (ora sostituito dalla EDPB) prima di avviare i lavori del Garante sulla implementazione delle regole sulla protezione dei dati nel contesto della ricerca scientifica.
4)Infine il tema del riutilizzo di dati ha importanti implicazioni sotto il profilo del cd. universal access to all bona fide analytical users, previsto dal Codice di Condotta del 2004; sarebbe stato preferibile approfondire e specificare tale principio alla luce di certe disposizioni europee che regolano la condivisione dei dati che sono raccolti attraverso attività finanziate con fondi pubblici. Si legga in merito http://bit.ly/2nT0CwK.
Tuttavia, in favore della scelta del Governo Italiano di cui si discute, si deve anche riconoscere che l’emanazione di un nuovo codice di condotta per il trattamento dei dati per scopi di ricerca scientifica è solo incoraggiata dal GDPR, ma non obbligatoria.
In conclusione, spetterà al Garante assicurare che l’Autorizzazione per il riutilizzo di dati (cui fa riferimento la Legge Europea) si inserisca in un quadro coerente di regole e altresì che siano garantite le tutele previste per i soggetti interessati dall’Articolo 89 del GDPR.
Diritti d’autore e Termini di Utilizzo.
Tutti i diritti sono riservati
Autore: Maria Luisa Manis
Data di Pubblicazione: 12/12/2017 alle 19:59
L’utilizzazione del presente Articolo è consentita solo per le finalità e nei limiti previsti dall’Articolo 70 della L.663/1941 e a condizione che si rispetti la modalità di citazione in APA style per le citazioni di blog-post come fonti di ricerca scientifica. Nel caso di utilizzazione nell’ambito di un web-blog è possibile menzionare solo l’iniziale del nome, cognome dell’autore, anno, il titolo dell’articolo e link dell’articolo; nel caso di condivisione del link dell’articolo sui social media è possibile menzionare solo l’iniziale del nome e cognome dell’autore. Qualsiasi utilizzazione al di fuori dei limiti di cui all’Articolo 70 della L.663/1941 è vietato.
Una volta pubblicato l’articolo non sarà oggetto di modifiche successive, salvo correzione di eventuali errori di battitura. Eventuali aggiornamenti sostanziali saranno espressamente menzionati nella stessa pagina dell’articolo.
Si garantisce l’accessibilità permanente; in caso di rimozione del blog, l’articolo sarà reso disponibile in altra repository che ne garantisca il libero accesso.
Il presente articolo non equivale ad una consulenza professionale sul tema trattato.