Di recente è stato discusso il bisogno di riformare le norme sul trattamento dei dati sanitari per favorirne l’uso nella ricerca scientifica. Prima la normativa limitava il riutilizzo di questi dati, ora il dialogo tra ricerca scientifica e tutela della privacy sembra finalmente essere stato avviato.
La riforma dell’art. 110 del Codice in materia di protezione dei dati personali, introdotta con la legge del 29 aprile 2024, n. 56, ha semplificato l’uso dei dati sanitari per la ricerca nei casi in cui ottenere il consenso degli interessati è impossibile o troppo complesso (come nel caso di persone decedute o non contattabili). Prima, in questi casi, era obbligatorio ottenere l’autorizzazione dal Garante per procedere, ma ora questo passaggio è stato eliminato, purché siano rispettate determinate misure di garanzia.
Il Garante ha fornito indicazioni sulle misure di garanzia, che dovrebbero essere contenute nelle Regole deontologiche per i trattamenti a fini di ricerca scientifica, attualmente in corso di aggiornamento: nel provvedimento n. 298 del 9 maggio 2024 l’Autorità ha rilevato infatti come “il mutato contesto (che si caratterizza anche per un cambiamento sostanziale delle modalità di realizzazione dell’attività di ricerca medica, sempre più supportata dall’utilizzo di nuove tecnologie) renda urgente l’adozione di nuove Regole deontologiche in tale settore”.
In attesa delle nuove Regole, il Garante ha delineato alcune garanzie da rispettare quando si trattano dati sanitari per la ricerca su soggetti deceduti o non contattabili per motivi etici che includono situazioni in cui informare l’interessato potrebbe causare danni psicologici o materiali o motivi organizzativi che si riferiscono a casi in cui, dopo ragionevoli tentativi di contatto, l’interessato risulti deceduto o irraggiungibile.
Nei casi descritti dal nuovo art. 110 del Codice, i responsabili del trattamento dei dati devono: giustificare e documentare le ragioni etiche o organizzative che impediscono di ottenere il consenso; condurre e pubblicare una valutazione di impatto, come richiesto dal GDPR, e comunicare le loro attività al Garante. Questo significa che, per la ricerca su dati di persone decedute o non contattabili, può essere seguito questo nuovo iter, sempre che siano rispettate tutte le altre leggi applicabili.
Il Garante ha chiarito anche l’applicazione dell’art. 110-bis del Codice, che permette agli Istituti di Ricovero e Cura a Carattere Scientifico (IRCCS) di utilizzare i dati raccolti a fini di cura anche per la ricerca, senza che questo sia considerato un uso secondario. Prima, questa norma veniva interpretata in modo variabile dagli operatori del settore. Ora, con le FAQ del giugno 2024, il Garante ha specificato che gli IRCCS devono fare una valutazione d’impatto e pubblicarla sui loro siti web, anche in formato ridotto, per rispettare le nuove regole. Il Garante ha inoltre chiarito che la norma si applica a ogni tipo di ricerca medica, inclusi gli studi multicentrici che coinvolgono enti non riconosciuti come IRCCS.
Queste nuove regole e chiarimenti rappresentano un passo importante per facilitare la ricerca scientifica in Italia, mantenendo comunque al centro la protezione dei dati personali. In attesa della creazione dello Spazio europeo dei dati sanitari, questo rappresenta un primo passo significativo per i ricercatori e gli operatori del settore sanitario.