La protezione dei dati e la ricerca nel mondo della Sanità
I problemi relativi alla raccolta dei dati per la ricerca. È stato questo l’oggetto dell’intervento di Raffaele Conte, Data Protection Officer del CNR, al convegno sull’innovazione organizzato da Computerworld. Premessa l’assoluta necessità e importanza dell’attività del Garante della Privacy, Conte ha sottolineato le criticità legate all’utilizzo dei dati a disposizione nel mondo sanitario. “In diverse situazioni si creano problemi perché la ricerca si basa sulla raccolta di dati, anche nel tempo, da riutilizzare. Il primo problema consiste nel motivare la conservazione di questi dati che può essere più lunga rispetto alla finalità del singolo progetto perché questi dati possono essere riutilizzati in progetti successivi”. Motivare la loro conservazione per periodi lunghi a volte può essere un problema.
La ricerca ha bisogno di dati
Il riutilizzo dei dati è una questione centrale. “Il problema che si incontra più di frequente – ha spiegato – è il riutilizzo perché la ricerca potrebbe fare utilizzo di dati raccolti anche per finalità diverse. Questo aspetto è tenuto in considerazione dal GDPR secondo il quale i dati devono essere raccolti per un fine specifico, ma un loro utilizzo ulteriore per finalità di ricerca non è considerato incompatibile con la finalità iniziale. Si assume il fatto che la ricerca ha bisogno di dati”. La difficoltà risiede però nell’utilizzo di dati particolari come quelli sanitari che in Italia hanno sempre bisogno del consenso nonostante la ricerca scientifica rientri fra le deroghe previste. L’esempio è quello dei dati relativi ai flussi sanitari, dati già strutturati prodotti dagli ospedali e utili per indagini epidemiologiche. Ma su questo punto il Garante si è espresso in maniera negativa e questo è un grosso limite e un handicap rispetto agli altri paesi dove l’atteggiamento è diverso e la ricerca incontra meno ostacoli.
Il Data Governance Act
Il livello di difficoltà è duplice perché prima bisogna affrontare la relazione con il singolo Ospedale e poi eventualmente il Garante. Le difficoltà di relazione con le strutture ospedaliere risiedono nella comprensione dei ruoli delle parti che a volte non sono chiari. Spesso infatti gli ospedali impostano una modulistica dove i ruoli delle varie parti sono già impostati come titolari autonomi. Questo però denota una non approfondita conoscenza delle norme perché definire a priori i ruoli prima di sapere il trattamento è già un errore. “Se poi c’è una collaborazione stretta allora è difficile che ci siano ruoli di titolare autonomo che, tra l’altro, è una definizione che non esiste nel Gdpr”. Si può parlare di titolari autonomi quando si hanno due trattamenti distinti e autonomi dove ognuno è, di conseguenza, titolare per lo specifico trattamento. Questo perché la struttura sanitaria considera che il proprio trattamento è, a prescindere, sempre finalizzato alla cura, mentre quello che fa l’organismo di ricerca è per ricerca scientifica e quindi ognuno persegue le proprie finalità distinte.
Qualche novità potrebbe arrivare dal Data Governance Act che sarà applicabile da settembre del prossimo anno e andrà a regolamentare il riutilizzo di dati. Si tratta di un passo importante perché il Gdpr nasce come regolamento per uniformare le norme sulla data protection e formare uno spazio comune sui dati con regole certe per tutti. Problema che è stato risolto solo in parte perché il regolamento europeo non copre tutte le aree del trattamento dei dati personali e il paragrafo 4 dell’articolo 9 lascia libertà che agli Stati membri di introdurre altre regole o limitazioni per dati genetici, biometrici e relativi alla salute.
Questo ha comportato che su tale tipologia di dati ci sia un atteggiamento diverso a livello europeo. In Italia si chiede sempre consenso mentre in altri paesi si utilizza la formula del legittimo interesse nelle sperimentazioni cliniche. Si spera che il DGA possa risolvere il problema regolamentando l’utilizzo di grosse quantità di dati, tramite figura di intermediazione e con l’introduzione dell’importante concetto di altruismo dei dati per favorirne l’utilizzo nella ricerca scientifica. Questo potrebbe eliminare la difformità negli interventi delle autorità del Garante nei diversi paesi membri eliminando possibili situazioni di handicap per chi lavora nella ricerca.