Condivisione dei dati scientifici e tutela della privacy, un equilibrio ancora lontano dall'essere raggiunto

Sin dalla sua nascita, il regolamento sulla protezione dei dati personali, noto come GDPR (General Data Protection Regulation), ha preoccupato il mondo scientifico per le possibili ricadute sulla ricerca biomedica e le restrizioni alle politiche di diffusione e scambio di dati.

Queste preoccupazioni sono diventate ancora più evidenti dal luglio di quest’anno quando sia la Corte di giustizia Europea che la Commissione che regola la protezione dei dati, hanno emesso sentenze e linee guida che vanno ad invalidare l'accordo in vigore tra USA ed EU per lo scambio dei dati (Privacy Shield), mettendo seriamente a rischio la diffusione delle informazioni biomediche.

Paradossalmente, tutto questo accade nel pieno della pandemia da COVID-19 in cui è divenuto prepotentemente evidente come gli scienziati abbiano estremo bisogno della più ampia condivisione di informazioni e quanto queste siano essenziali per l’avanzamento delle conoscenza.

E’ chiaro come il GDPR sia nato come strumento per difendere i diritti delle persone e la loro privacy, ma quello che colpisce è come le recenti evoluzioni appena citate vadano in una direzione ancora più rigida. Nello stesso GDPR viene infatti contemplata la possibilità di una rivalutazione del diritto alla riservatezza quando questo va in conflitto con interessi e benefici generali per l’umanità, come potrebbe essere nel caso della ricerca scientifica. Le ultime restrizioni, poi, non sembrano considerare in modo adeguato le diverse tipologie di dati che possono essere scambiati o diffusi. Ad esempio, è ormai uso comune far circolare dati anonimizzati, dall'alto significato scientifico ma da cui è impossibile risalire all’identità del soggetto primario (il paziente, i cui diritti di riservatezza rimangono quindi garantiti).

Il tema è complesso e sta sollevando diverse preoccupazioni, emerse anche in un recente editoriale pubblicato su Science. Per approfondirlo abbiamo quindi chiesto ad Alessandra Mancino, Regulatory and Quality Compliance Manager, di fornirci un approfondimento sulla situazione.


La sentenza C-311/18 (Data Protection Commissioner contro Facebook Ireland Ltd e Maximillian Schrems) della Corte di Giustizia Europea ha invalidato la decisione 2016/1250 della Commissione Europea sull’adeguatezza della protezione dei dati offerta dal regime dello scudo UE-USA per la privacy, riscontrando un inaccettabile  grado di ingerenza nei diritti fondamentali delle persone  i cui dati sono trasferiti verso tale Paese terzo, poiché la normativa interna degli Stati Uniti consente l’accesso da parte delle autorità pubbliche statunitensi , per finalità di sicurezza nazionale, ai dati personali  transitati dall’Unione europea verso gli Stati Uniti. Ciò comporta serie limitazioni della loro protezione che non si configurano in modo tale da soddisfare requisiti sostanzialmente equivalenti a quelli richiesti nel diritto dell’Unione in materia di protezione dei dati; inoltre, tale normativa non conferisce agli interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.

Inoltre, tale sentenza C-311/18 ha confermato la validità della decisione 2010/87/UE, sottolineando che essa stabilisce l’obbligo per l’esportatore dei dati e per il destinatario di tali dati, l’importatore, di verificare, preliminarmente al trasferimento se tale livello di protezione sia rispettato nel Paese terzo d’interesse.

In aggiunta, la Corte rileva che la decisione 2010/87/UE impone all’importatore dei dati di informare l’esportatore di qualsiasi impossibilità di conformarsi alle clausole tipo di protezione nonché, ove necessario, a eventuali misure supplementari a quelle offerte dalle clausole, con l’onere, in tal caso, per l’esportatore dei dati di sospendere il trasferimento di dati e/o di risolvere il contratto con l’importatore.

 

Ciò ha fatto allarmare la comunità scientifica internazionale che ha intravisto in questa sentenza, e ancor più nel conseguente documento redatto dal Comitato Europeo per la Protezione dei Dati (EDPB), gravi ripercussioni nell’ambito della ricerca biomedica, come riportato dall’articolo pubblicato su Science nello scorso ottobre.

Quindi, l’onere di verificare se il livello di protezione richiesto dall’UE è rispettato nel Paese in cui si esportano i dati è in capo all’esportatore e all’importatore. Pertanto, se la protezione non è adeguata i dati debbono essere restituiti o “distrutti nella loro interezza”.

Da qui origina la preoccupazione maggiore delle organizzazioni di ricerca che operano globalmente: considerate le risorse, spesso, limitate a disposizione, i ricercatori dell’EU e le loro istituzioni avranno la capacità di intraprendere la valutazione di adeguatezza del processo che normalmente verrebbe eseguita dalla Commissione europea?

E anche qualora fossero in grado di farlo nel caso di ricerche che dovessero coinvolgere altri Paesi per essere completate, altre complicazioni deriverebbero dalle clausole contrattuali standard. Ad esempio alcuni meccanismi proposti, quali il consenso inequivocabile dell'interessato al trasferimento successivo, o l'adesione alle clausole del cessionario spesso non sono opzioni praticabili.

 

Questa sentenza ha amplificato le preoccupazioni già suscitate dal General Data Protection Regulation (GDPR) in relazione al trasferimento internazionale dei dati personali e nella fattispecie alla condivisione dei dati a livello internazionale tra consorzi o gruppi scientifici collaboratori. La preoccupazione maggiore è che queste limitazioni possano ostacolare il progresso della conoscenza, soprattutto in ambito scientifico e biomedico, andando in senso contrario ad uno degli obiettivi cardine del GDPR ( quello di “servire l’umanità” e al riconoscimento esplicito che il diritto alla protezione dei dati personali non può essere inteso in senso assoluto, ma deve essere calibrato in funzione della sua utilità per la società  e deve essere necessariamente in equilibrio con tutti gli altri diritti fondamentali. Sembra che tale equilibrio sia davvero molto difficile da raggiungere. Su un piatto della bilancia pare si collochi il diritto dell’interessato ad essere informato dell’uso che si fa dei propri dati unitamente agli standard da seguire nell’elaborazione degli stessi e sull’altro piatto, invece, la necessità di condividere dati per produrre risultati ancor più robusti per la collettività. Tuttavia, non si tratta di un rapporto dicotomico, perché queste istanze non si escludono a vicenda, sono complementari, anzi esse hanno un comune denominare: la tutela dell’individuo nelle sue molteplici espressioni.

Bisognerebbe riconoscere che l’utilizzo di dati nella ricerca biomedica differisce dagli altri usi, perché essi sono utilizzati per allargare gli orizzonti conoscitivi a beneficio della società e perché i dati sono spesso pseudonimizzati quindi non svelano l’identità dell’interessato e non possono causare un danno allo stesso. Pertanto, l’equilibrio tra la privacy dell’individuo e il vantaggio per la società nel contesto scientifico è diverso rispetto ad altri contesto, come ad esempio quello commerciale, in cui i dati vengono utilizzati per consentire la creazione di un profilo con un impatto tangibile sull’ individuo.

La logica alla base dei limiti del GDPR sui trasferimenti di dati al di fuori dell'UE è semplice: quando i dati personali vengono trasferiti a paesi non UE, il livello di protezione garantito nell'UE non dovrebbe essere compromesso. Le limitazioni mirano a garantire che il "Il GDPR viaggi con i dati."

 

I dati possono essere trasferiti sulla base di "una decisione di adeguatezza". Ciò significa che la Commissione Europea ha deciso che il Paese terzo o organizzazione internazionale in questione garantisca un “livello adeguato di protezione." Tale trasferimento di dati al di fuori dell’EU non richiede alcuna autorizzazione specifica. Tuttavia, ad oggi, decisioni di adeguatezza sono presenti solo per un numero limitato di Paesi nel mondo.

Sebbene il framework "Privacy Shield" fosse applicabile solo nel caso di organizzazioni a scopo di lucro, spianava la strada anche ad organizzazioni non commerciali, non senza difficoltà, però!

Le clausole contrattuali tipo sono comunemente applicate nel contesto commerciale. Tali clausole obbligano gli esportatori di dati a conformarsi a determinati standard di protezione quando ricevono e trattano dati personali, ma, paradossalmente, pongono particolari difficoltà per i trasferimenti a determinati tipi di destinatari dei dati, comprese le agenzie governative come il National Institutes of Health degli Stati Uniti o università al di fuori dell'UE. Tali entità sono spesso interdette dalle proprie leggi nazionali dall’accettare determinati termini inclusi nelle clausole contrattuali tipo, comprese quelli che specificano la revisione dei sistemi di dati da parte di un'entità estera e sottomissione alla giurisdizione di tribunali stranieri. Molti enti di ricerca che sono appendici istituzionali mancano dell'autorizzazione a revocare la loro immunità sovrana o hanno delle remore a rinunciare a tale immunità. Inoltre, poiché gli esportatori di dati dell'UE sono spesso università private o istituti di ricerca e i cessionari sono entità governative o parastatali, il trasferimento tra due entità statali negoziato individualmente contemplato dal GDPR per i trasferimenti tra due enti pubblici non è normalmente praticabile in alternativa alle clausole contrattuali standard.

In verità, il GDPR prevede che le diverse entità possano stipulare clausole su misura adattate alle circostanze, ma tali clausole devono essere approvate dall’autorità competente nazionale di controllo e ad oggi vi è la mancanza di orientamenti specifici  dell'EDPB sui requisiti delle clausole su misura ciò significa che  le autorità competenti non hanno ancora stabilito una procedura per la loro revisione.

Tuttavia, per il GDPR, questo "consenso al trasferimento" è soggetto ad una serie di requisiti, quali, ad esempio, informare gli interessati del possibile rischio che si profila qualora i loro dati personali vengano trasferiti in un Paese per il quale non c'è decisione di adeguatezza o opportune garanzie. Ai sensi della Guida dell'EDPB, l'invocazione del consenso degli interessati come base per il trasferimento è limitata ai trasferimenti occasionali e "non ripetitivi". Il consenso quindi non è una opzione fattibile per consorzi di ricerca, archivi di dati e raccolte legacy che archiviano dati per la comunità globale di ricerca.

Addirittura, la deroga per il trasferimento necessario per importanti motivi di interesse pubblico non consente comunque il trasferimento di dati sistematici e su larga scala.

Come indicato, purtroppo, dalle linee guida EDPB pubblicate il 21 aprile 2020 riguardanti i dati per la ricerca COVID-19, che mostrano poca flessibilità anche rispetto ad una pandemia, sottolineano che:

  • Il consenso deve essere "specifico";
  • Le "deroghe alle limitazioni in relazione alla protezione dei dati utilizzati nella ricerca devono applicarsi solo nella misura “strettamente necessaria";
  • "l'attuale epidemia di COVID-19 non sospende o limita la possibilità degli interessati di esercitare i propri diritti”;
  • I "periodi di archiviazione" devono essere definiti…

 

Sembra assurdo se si considera la straordinaria portata di un evento simile, una pandemia e la conseguente necessità dei ricercatori di accedere a raccolte passate, presenti e future di campioni biologici umani e dati personali associati, per anticipare nuove ondate di infezioni e qualsiasi nuova mutazione.

Altro ostacolo nella condivisione dei dati è relativa alla richiesta dei Comitati Etici di fornire un elenco dettagliato di tutti i Paesi che riceveranno i dati raccolti nell'ambito dello studio. In una ricerca ad alta intensità di dati di solito non è possibile conoscere sin dall’inizio tutti i Paesi a cui i dati possono essere inviati.

Inoltre, rispetto ai dati raccolti in una sperimentazione clinica interventistica su un medicinale, la Guida EDPB nega l'uso del consenso come base giuridica e condizione sufficiente  per l'utilizzo dei dati per l'elaborazione di ricerca, in quanto non ritiene che tale consenso possa essere dato liberamente e questa logica potrebbe essere estesa anche al consenso richiesto per il trasferimento dei dati al di fuori dell'UE. È necessaria, dunque, un’informativa ad hoc.

Tutto ciò finora ha ostacolato le collaborazioni di ricerca tra l'UE e il resto del mondo, provocando la cessazione o ritardi dannosi dei flussi di dati critici.

Tutte queste indicazioni sembrano andare nella direzione opposta al GDPR che riconosce delle giuste deroghe “in caso di interesse pubblico” e che ha un orientamento favorevole alla ricerca scientifica espresso in diverse sue disposizioni, come:

  • Ritenere il trattamento dei dati per la ricerca compatibile con lo scopo iniziale della raccolta dati;
  • Una conservazione più lunga per scopi di ricerca;
  • Dare agli interessati la possibilità di rendere il consenso generale piuttosto che specifico al trattamento successivo per scopi di ricerca;
  • L’eccezione all'obbligo di notifica quando la notifica si rivela impossibile o comporterebbe uno sforzo sproporzionato;
  • L’esenzione dall’obbligo di dover eseguire la cancellazione dei dati personali trattati a fini di ricerca scientifica se la cancellazione rischia di rendere impossibile o se pregiudica gravemente il raggiungimento degli obiettivi del trattamento;
  • Un’esenzione al diritto di opposizione quando i dati personali vengono elaborati per scopi di ricerca scientifica e consente agli Stati membri di attuare deroghe ai vari diritti degli interessati nel contesto della ricerca.

In particolare, tutte le esenzioni sono soggette a garanzie adeguate per la tutela dei diritti e delle libertà dell'interessato, come ad esempio misure tecniche e organizzative, compresa la pseudonimizzazione.

La logica comune alla base di queste eccezioni ed esenzioni è l'idea che la ricerca scientifica sia un "interesse pubblico" e che il GDPR dovrebbe facilitare il trattamento dei dati personali nell'interesse pubblico. Allo stesso modo, la ricerca scientifica è stata riconosciuta dall'EDPB come un interesse legittimo. Manca, invece, nel GDPR un elenco delle disposizioni favorevoli alla ricerca con un apprezzamento delle dimensioni internazionali della ricerca per consentire il trasferimento dei dati della ricerca scientifica in tutto il mondo.              

Poiché, la conduzione di ricerche scientifiche è un “affare” globale, nell’accezione di “occasione globale” disposizioni favorevoli alla ricerca per la condivisione dei dati oltre i confini dell'Europa dovrebbe essere parte integrante del GDPR. Il legislatore non sembra aver tenuto conto di questo aspetto cruciale della condivisione dei dati tra gruppi scientifici collaboratori di tutto il mondo.

Concludendo:

la ricerca scientifica è un “interesse pubblico”, pertanto chiare ed inequivocabili eccezioni ed esenzioni dovrebbero essere previste dal GDPR e dai documenti e guide che ne derivano, quali:

  • La pseudonomizzazione come garanzia appropriata per il trasferimento di dati in quanto i dati pseudonimizzati possono non essere considerati dati personali se nelle mani di un’entità che non possiede la chiave necessaria per identificare i soggetti ai quali essi appartengono;

      -        Dovrebbe adottare clausole contrattuali tipo per la ricerca biomedica scientifica. Queste clausole dovrebbero riflettere il contesto, gli scopi e le pratiche specifici di tali trasferimenti, tenendo conto delle istanze dei Comitati Etici relativamente alla condivisione e all’accesso ai dati;

         l'EDPB dovrebbe emettere indicazioni per l'approvazione da parte dell Autorità competente di controllo delle clausole su misura per studi di ricerca e dovrebbe emettere
indicazioni per stabilire se  l'elaborazione dei dati per la ricerca scientifica rientrerebbe negli standard GDPR se svolta all'esterno dell'UE da un soggetto non UE,

Tali importanti modifiche consentirebbero alla comunità scientifica di condividere i dati al di fuori dell'UE per scopi di ricerca, garantendo nel contempo un livello elevato di tutela degli interessati e l’evoluzione della conoscenza scientifica, altra fondamentale salvaguardia dell’interesse dell’individuo!

Alessandra Mancino - Regulatory and Quality Compliance Manager

 

  

Photo by Dayne Topkin on Unsplash