Covid-19, trattamento dati relativi alla salute a fini di ricerca scientifica: linee guida UE - Cyber Security 360

ADEMPIMENTI PRIVACY

Covid-19, trattamento dati relativi alla salute a fini di ricerca scientifica: linee guida UE

Il Comitato europeo per la protezione dei dati (EDPB) ha adottato le linee guida sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto della pandemia di Covid-19. Ecco tutti i dettagli su ambito di applicazione e basi giuridiche del trattamento e sugli adempimenti GDPR

04 Mag 2020
M
Marta Moretti

Avvocato e Titolare di contratto di insegnamento integrativo alla LUISS Guido Carli


Il 21 aprile 2020 il Comitato europeo per la protezione dei dati (EDPB) ha adottato le Linee guida 03/2020 sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto della pandemia di Covid-19 (la cui versione italiana, aggiornata al 30 aprile, è ora disponibile sul sito del Garante per la protezione dei dati personali).

Lo scopo delle Linee guida è di chiarire come trattare dati personali, inclusi quelli relativi alla salute, per condurre la ricerca scientifica necessaria nella lotta alla pandemia nel rispetto del Regolamento generale sulla protezione dei dati 2016/679 (GDPR).

Come ha chiarito la presidente dell’EDPB Andrea Jelinek, il GDPR non ostacola la ricerca scientifica, ma consente un trattamento legittimo dei dati sulla salute per scoprire un vaccino o un trattamento terapeutico per la Covid-19.

Ambito di applicazione

Le Linee guida si incentrano su talune disposizioni del GDPR, che vengono in rilievo in questo specifico contesto. L’EDPB formulerà in seguito altre Linee guida, che illustreranno in modo più ampio il trattamento dei dati sulla salute a fini di ricerca scientifica (quindi anche al di fuori della pandemia).

Diverso è il tema del trattamento di dati personali a scopi di sorveglianza epidemiologica, che non è trattato nelle Linee guida.

L’EDPB ricorda, innanzitutto, che, in linea con la giurisprudenza europea, la nozione di “dati relativi alla salute” ai sensi dell’art. 4, n. 15 GDPR dev’essere interpretata in modo ampio e ricomprende anche le informazioni che diventano tali per l’uso che ne viene fatto in un contesto specifico (ad esempio, informazioni riguardanti un recente viaggio o la presenza in una regione colpita dalla Covid-19 trattate da un operatore sanitario per fare una diagnosi) e perché vengono messe in correlazione con altre (come la presunzione che una determinata persona sia esposta a un rischio più elevato di attacchi cardiaci basata su misurazioni ripetute della pressione arteriosa lungo un certo arco di tempo).

Riguardo alla nozione di “trattamento di dati personali per finalità di ricerca scientifica”, menzionata nel considerando 159 del GDPR, l’EDPB ha sottolineato che essa non può essere estesa al di là del suo significato comune e, quindi, implica un “progetto di ricerca istituito in conformità con le pertinenti norme metodologiche e deontologiche settoriali, in linea con le buone prassi”, come già indicato nelle Linee guida sul consenso ai sensi del Regolamento (UE) 2016/679 (WP 259 rev.01).

L’EDPB opera una distinzione tra il trattamento dei dati personali (inclusi quelli sulla salute) raccolti specificamente per scopi scientifici (“uso primario”) e il trattamento dei dati inizialmente raccolti per un’altra finalità (“uso secondario”).

Rientra nell’uso primario la raccolta dei dati di persone che si ipotizza siano affette da Covid-19 per condurre una sperimentazione clinica. Si ricade, invece, nell’uso secondario ove le informazioni sui sintomi del SARS-CoV-2, fornite da un paziente ad un operatore sanitario a fini di cura, siano successivamente utilizzate per condurre una ricerca scientifica.

Dalla distinzione tra uso primario e secondario dei dati discendono importanti conseguenze specialmente per quanto concerne la base giuridica del trattamento, le informazioni da fornire agli interessati e il principio limitazione della finalità.

Basi giuridiche del trattamento

Quanto alle basi giuridiche di cui agli artt. 6, par. 1 e 9, par. 2 del GDPR, l’EDPB, dopo aver ribadito che non vi è alcun ordine gerarchico fra le stesse, chiarisce i presupposti per la scelta della base giuridica per l’uso “primario” o “secondario” dei dati sulla salute a fini di ricerca scientifica nell’ambito dell’attuale pandemia.

Partendo dal consenso esplicito dei soggetti interessati (artt. 6, par. 1, lett. a e 9, par. 2, lett. a del GDPR), l’EDPB – richiamando quanto precedentemente affermato nel suo Parere 3/2019 relativo alle domande e risposte sull’interazione tra il Regolamento sulla sperimentazione clinica e il Regolamento generale sulla protezione dei dati – il consenso non può essere considerato liberamente dato qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento.

È quindi importante che l’interessato non subisca pressioni o svantaggi ove decida di non prestare il proprio consenso. Il consenso si può considerare “esplicito” se presenta le caratteristiche illustrate nel par. 4 delle Linee guida sul consenso ai sensi del Regolamento (UE) 2016/679.

Ad esempio, secondo l’EDPB, può basarsi sul consenso esplicito degli interessati il trattamento dei dati sulla salute forniti dagli interessati rispondendo ad un questionario formulato nell’ambito di uno studio clinico non interventistico sui sintomi e sulla progressione di una patologia in una certa popolazione di pazienti.

In tal caso, infatti, gli interessati non sarebbero in una posizione subalterna rispetto ai ricercatori che possa indebitamente influenzare la loro scelta, né subirebbero degli effetti pregiudizievoli ove si rifiutassero di prestare il consenso. Tuttavia, i ricercatori devono considerare che il consenso può essere ritirato dagli interessati in qualsiasi momento e, in tale ipotesi – ferma restando la legittimità dei trattamenti effettuati sino a quel momento conformemente al GDPR – il titolare del trattamento dovrebbe cessare ogni ulteriore trattamento e persino cancellare i dati raccolti in mancanza di altre basi giuridiche che giustifichino la loro conservazione per un ulteriore trattamento.

L’EDPB fornisce delle precisazioni sul trattamento dei dati sulla salute basati sull’art. 6, par. 1, lett. e) o f) del GDPR (rispettivamente, trattamento necessario per l’esecuzione di un compito di interesse pubblico o per il perseguimento del legittimo interesse del titolare del trattamento), letto in combinato disposto con l’art. 9, par. 2, lett. j) o i) del GDPR (rispettivamente, trattamento a fini di ricerca scientifica o per motivi di interesse pubblico nel settore della sanità pubblica). Questo tema è trattato anche nel citato Parere 3/2019, che riguarda l’uso dei dati personali nella sperimentazione clinica di medicinali per uso umano.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

In tal modo, l’EDPB riconosce che il trattamento dei dati relativi alla salute effettuato nel contesto della lotta contro la Covid-19 può rispondere a rilevanti motivi di interesse pubblico, come si evince dai consideranda 46 e 112 del GDPR, che si riferiscono espressamente alla necessità di “tenere sotto controllo l’evoluzione di epidemie e la loro diffusione” e di “ricerca di contatti per malattie contagiose”.

Opportunamente l’EDPB ricorda che il trattamento dei dati sulla salute nei casi previsti dall’art. 9 (2) (j) e (i) si può basare – oltre che sul diritto dell’Unione europea (UE) – sulla legislazione adottata dagli Stati membri, la quale deve prevedere “misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato”, nel rispetto del principio di proporzionalità e fatta salva l’essenza del diritto alla tutela dei dati personali. Ciò implica che le condizioni e la portata del trattamento dei dati possano variare da Stato a Stato.

Peraltro, le legislazioni nazionali devono essere interpretate alla luce dei principi sul trattamento dei dati personali di cui all’art. 5 del GDPR, a cui si aggiungono, per i trattamenti a fini di ricerca scientifica, le stringenti condizioni alle quali l’art. 89 del GDPR consente di introdurre delle deroghe a taluni diritti degli interessati (diritto di accesso, rettifica, limitazione del trattamento e opposizione).

Principio di trasparenza

Per quanto concerne i principi sul trattamento dei dati personali, l’EDPB specifica che essi devono essere osservati dal titolare e dal responsabile del trattamento tenuto anche conto della mole di dati che possono essere trattati a fini di ricerca scientifica.

Com’è noto, il principio di trasparenza esige che agli interessati siano fornite, in modo chiaro e comprensibile, le informazioni rilevanti nei termini previsti dagli artt. 13 e 14 del GDPR.

Al riguardo, l’EDPB sottolinea che spesso i ricercatori trattano dati sulla salute non ottenuti direttamente dagli interessati, bensì dalle loro cartelle cliniche o quelli dei pazienti di altri Paesi. Ciò rende applicabile l’art. 14 del GDPR, secondo cui, tra l’altro, le informazioni vanno fornite “entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati” (par. 3, lett. a) e il titolare, che intende “trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento [deve fornire] all’interessato informazioni in merito a tale diversa finalità” (par. 4).

L’EDPB precisa che, nel caso di trattamento ulteriore di dati a fini scientifici, tenuto conto della natura sensibile dei dati trattati, una garanzia adeguata ai sensi dell’art. 89, par. 1 del GDPR consiste nell’informare l’interessato con ragionevole anticipo rispetto all’inizio dell’attuazione del progetto di ricerca, in modo da consentirgli di esercitare tempestivamente i propri diritti ai sensi del GDPR.

L’EDPB sottolinea che tra le deroghe agli obblighi di informazione imposti al titolare del trattamento ve ne sono due che possono venire in rilievo nel caso dei trattamenti di dati per finalità di ricerca scientifica, ovvero l’ipotesi in cui comunicare le informazioni risulti impossibile o implichi uno sforzo sproporzionato, rischiando di “rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento”, e quella in cui “l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento […]” (art. 14, par. 5, lett. b e c del GDPR).

Quanto all’ipotesi dell’impossibilità di fornire informazioni agli interessati, l’EDPB richiama il punto 59 delle Linee guida sulla trasparenza ai sensi del Regolamento 2016/679 (WP260 rev.01), secondo cui essa “è del tipo ‘bianco o nero’, perché una certa cosa è impossibile oppure non lo è: non esistono gradazioni di impossibilità. Pertanto, se intende valersi dell’eccezione, il titolare del trattamento deve dimostrare i fattori che effettivamente gli impediscono di fornire le informazioni all’interessato […]”.

Riguardo, invece, all’ipotesi in cui informare l’interessato richieda uno sforzo sproporzionato, l’EDPB evoca i fattori indicati – in via esemplificativa – nel considerando 62 del GDPR (“numero di interessati, dell’antichità dei dati e di eventuali garanzie adeguate in essere”) e la raccomandazione formulata nelle citate Linee guida sulla trasparenza, secondo cui “il titolare del trattamento dovrebbe effettuare una valutazione mettendo sulla bilancia, da un lato, lo sforzo che fornire le informazioni all’interessato gli implicherebbe e, dall’altro, l’impatto e gli effetti dell’omessa comunicazione sull’interessato”. Secondo l’EDPB, si può ritenere che, in presenza di un gran numero di soggetti interessati senza la disponibilità dei recapiti, fornire le informazioni richieste dal GDPR richieda uno sforzo sproporzionato.

Per far leva su tale deroga all’obbligo di informare gli interessati, il titolare del trattamento dev’essere in grado di dimostrare che basterebbe fornire le informazioni di cui all’art. 14, par. 1 per vanificare le finalità di tale trattamento e, inoltre, deve adottare “misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni” (art. 14, par. 5, lett. b del GDPR).

Quanto al caso in cui l’ottenimento o la comunicazione sono espressamente previsti dalla legge, l’EDPB conferma quanto indicato nelle Linee guida sulla trasparenza, ossia che l’esenzione è subordinata alla condizione che il diritto in questione preveda “misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato” e che il titolare deve dimostrare che la legge in questione trova applicazione nei suoi confronti e gli impone l’ottenimento o la comunicazione dei dati personali.

Principio di limitazione della finalità

Per quanto riguarda il principio di limitazione della finalità, l’EDPB ricorda che un ulteriore trattamento dei dati personali a fini di ricerca scientifica, conformemente all’art. 89, par. 1, si presume compatibile con le finalità iniziali.

Questo tema sarà approfondito nelle future Linee guida sul trattamento dei dati relativi alla salute per finalità di ricerca scientifica.

L’EDPB specifica che, data la natura sensibile dei dati sulla salute e i rischi connessi al loro riutilizzo a fini di ricerca scientifica, si devono adottare misure rigorose per garantire un livello adeguato di sicurezza come richiesto dall’articolo 32, par. 1, del GDPR.

Minimizzazione dei dati e limitazione della conservazione

L’EDPB evidenzia che, nell’ambito della ricerca scientifica, la minimizzazione dei dati può essere ottenuta attraverso l’obbligo di specificare le domande a cui la ricerca vuole dare risposta e la valutazione del tipo e della quantità di dati necessari per rispondere adeguatamente a tali domande.

Quali dati siano necessari dipende dallo scopo della ricerca, anche quando quest’ultima ha carattere esplorativo, e dovrebbe sempre rispettare il principio della limitazione delle finalità ai sensi dell’art. 5, par. 1, lett. b) del GDPR. Inoltre, i dati devono essere resi anonimi laddove sia possibile effettuare la ricerca scientifica con dati anonimi.

Inoltre, si devono fissare periodi di conservazione dei dati proporzionati, in linea con l’art. 5, par. 1, lett. e del GDPR. A tal fine, è necessario tener conto di criteri quali la durata e lo scopo della ricerca. Va sottolineato che le norme nazionali degli Stati membri possono, a loro volta, stabilire il termine di conservazione dei dati personali.

Principi di integrità e riservatezza

L’EDPB sottolinea che i dati sensibili come quelli relativi alla salute meritano speciale protezione in quanto il loro trattamento può avere effetti negativi per le persone interessate. Ciò è particolarmente importante nella pandemia di Covid-19, in quanto il prevedibile riutilizzo dei dati relativi alla salute per scopi scientifici porterà ad un aumento del numero e della tipologia di enti che trattano tali dati.

Il principio di integrità e riservatezza, letto congiuntamente agli artt. 32, par. 1 e 89 del GDPR, richiede l’adozione di adeguate misure tecnico-organizzative, tra cui almeno la pseudonimizzazione e la cifratura dei dati, accordi di non divulgazione e rigide disposizioni in materia di autorizzazioni, restrizioni e registrazioni degli accessi ai dati. Le norme nazionali possono stabilire specifici requisiti tecnici e il rispetto del segreto professionale.

Inoltre, dev’essere effettuata una valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35, par. 1 del GDPR quando il trattamento dei dati “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. Si deve altresì tener conto delle liste dei trattamenti che richiedono o non richiedono una DPIA adottate dalle autorità di controllo nazionali (in Italia, l’elenco di cui all’Allegato 1 al provvedimento n. 467 dell’11 ottobre 2018 del Garante per la protezione dei dati).

L’EDPB richiama l’attenzione sull’importanza di consultare i responsabili per la protezione dei dati (DPO) in merito al trattamento dei dati sulla salute a fini di ricerca scientifica nel contesto della pandemia di Covid-19.

Infine, le misure di protezione dei dati personali devono essere documentate nei registri delle attività di trattamento.

Limiti all’esercizio dei diritti degli interessati

L’EDPB mette in chiaro che situazioni come l’attuale pandemia non possono giustificare la sospensione dei diritti degli interessati garantiti dagli artt. 12 a 22 del GDPR.

Tuttavia, l’art. 89, par. 2 del GDPR consente al legislatore nazionale di introdurre delle limitazioni all’esercizio dei diritti da parte delle persone interessate, in presenza di talune condizioni e garanzie. Ne deriva che le limitazioni dei diritti degli interessati possono variare a seconda delle leggi emanate da ciascuno Stato membro.

Inoltre, alcune limitazioni dei diritti delle persone interessate si possono basare direttamente sul GDPR, come quelle del diritto di accesso ai sensi dell’art. 15, par. 4, e del diritto alla cancellazione ai sensi dell’art. 17, par. 3, lett. d.

In ogni caso, in base alla giurisprudenza della Corte di Giustizia dell’UE, le limitazioni dei diritti degli interessati si devono applicare solo nella misura strettamente necessaria.

Trasferimenti internazionali dei dati a fini di ricerca scientifica

L’EDPB sottolinea che probabilmente la ricerca scientifica nel contesto della pandemia di Covid-19 può richiedere una cooperazione internazionale e, quindi, dei trasferimenti di dati relativi alla salute al di fuori dello Spazio Economico Europeo. Ciò non è precluso dal GDPR, purché si rispettino le condizioni di cui al Capo V, “al fine di assicurare che il livello di protezione delle persone fisiche garantito dal [GDPR] non sia pregiudicato” a seguito del trasferimento internazionale dei dati (art. 44 GDPR).

Pertanto, ove sia necessario un trasferimento internazionale dei dati, chi “esporta” i dati verso un Paese terzo o un’organizzazione internazionale deve rispettare – oltre ai principi sulla protezione dei dati (art. 5), alle basi legali per trattare lecitamente dati personali (art. 6) e alle specifiche condizioni applicabili alle categorie particolari di dati personali (art. 9) – le disposizioni del Capo V del GDPR.

Secondo l’EDPB, quando non sono disponibili decisioni di adeguatezza o garanzie adeguate (ex artt. 45 e 46 del GDPR), si può far invocare la deroga di cui all’art. 49, par. 1, lett. a del GDPR (vale a dire il consenso esplicito dell’interessato) o quella prevista alla lett. d del medesimo articolo (ossia il “trasferimento sia necessario per importanti motivi di interesse pubblico”). Tuttavia, tali deroghe dovrebbero essere considerate come una misura temporanea dovuta all’urgenza della situazione sanitaria a livello globale.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

Pertanto, mentre le deroghe potrebbero giustificare i trasferimenti iniziali di dati sulla salute ai fini della ricerca scientifica di Covid-19 necessaria nell’immediato, eventuali trasferimenti successivi di dati, che si iscrivano in un più lungo progetto di ricerca sulla Covid-19, si dovrebbero basare sulle garanzie adeguate di cui all’art. 46 del GDPR.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5