Ricerca scientifica: il decreto di adeguamento al GDPR fissa nuove regole
Con il D.Lgs. 101/2018, la cui entrata in vigore è prevista per il prossimo 19 settembre, il legislatore detta nuove regole per il trattamento dei dati personali a fini di ricerca scientifica.
In base a tale nuova disposizione normativa, in particolare, il trattamento dei dati a fini di ricerca può non essere basato sul consenso dell’interessato, quando:
- la ricerca scientifica è effettuata in base a disposizioni di legge e di regolamento o al diritto dell’Unione Europea, a condizione che il titolare o i co-titolari del trattamento conducano e rendano pubblica una valutazione di impatto ai sensi degli artt. 35 e 36 GDPR, analizzando la necessità e proporzionalità del trattamento, i rischi per i diritti e le libertà degli interessati e le misure di sicurezza previste per affrontare tali rischi;
- a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di ricerca, a condizione che il titolare adotti misure appropriate per tutelare i diritti, le libertà e gli interessi legittimi degli interessati, il programma di ricerca sia oggetto di motivato parere favorevole da parte del competente Comitato Etico e sia sottoposto alla preventiva consultazione del Garante Privacy, all’esito di una valutazione d’impatto, ai sensi degli artt. 35 e 36 GDPR.
Il legislatore conferma altresì, sulla scia di quanto previsto nella Legge 167/17, la possibilità di riutilizzare i dati personali a fini di ricerca scientifica, estendendo tale ipotesi ai dati genetici. Quale presupposto di diritto per avviare tale trattamento, in ogni caso, richiama il meccanismo autorizzativo previsto nella Legge 167/17: elemento che, all’epoca della entrata in vigore di tale provvedimento, aveva sollevato accese polemiche per l’introduzione di un sistema apparentemente contrario al principio dell’accountability su cui è incentrata tutta la normativa GDPR.
In base all’art. 110-bis del Codice Privacy, così come modificato dal D.Lgs. 101/2018, in particolare, il riutilizzo dei dati per fini di natura scientifica è consentito quando:
- è effettuato da soggetti terzi che svolgono principalmente attività di ricerca scientifica;
- informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere o di pregiudicare gravemente la ricerca;
- è sottoposto alla preventiva autorizzazione del Garante Privacy, subordinata all’adozione di misure appropriate in conformità all’art. 89 del GDPR.
Con specifico riferimento all’autorizzazione del Garante Privacy, il D.Lgs. 101/2018 fissa un termine di 45 giorni per l’evasione della richiesta, decorsi i quali la mancata pronuncia equivale a rigetto, prevendendo altresì la possibilità per tale autorità di autorizzare il riutilizzo dei dati a fini scientifici anche medianti provvedimenti di carattere generale.
Ulteriore riutilizzo dei dati clinici a fini di ricerca è consentito da parte degli istituti di ricovero e cura a carattere scientifico, pubblici e privati, per cui il D.Lgs. 101/2018 chiarisce che non si tratta invero di un ulteriore trattamento essendo l’attività di assistenza sanitaria strumentale rispetto alla ricerca stessa.