Nella seduta del 18 aprile 2024, è stato approvato il disegno di legge n. 1110 di conversione, con modificazioni, del decreto 2 marzo 2024, n. 19, recante “ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (Pnrr)” (di seguito anche “Decreto PNRR” e “Legge di Conversione”). Rilevano due principali modifiche che la Legge di Conversione apporta al Decreto e, a cascata, agli articoli 2-sexies e 110 del d.lgs. n. 196/2003, recante il c.d. Codice Privacy. Il testo barrato è stato abrogato, o sostituito, dalla legge di conversione. Il testo in grassetto è stato aggiunto dalla legge di conversione.
Articolo 2-sexies. Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante
1-bis. I dati personali relativi alla salute, privi di elementi identificativi diretti, sono trattati, nel rispetto delle finalità istituzionali di ciascuno, pseudonimizzati, sono trattati, anche mediante interconnessione, dal Ministero della salute, dall’Istituto superiore di sanità (ISS), dall’Agenzia nazionale per i servizi sanitari regionali (AGENAS), dall’Agenzia italiana del farmaco (AIFA), dall’Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (INMP), nonché, relativamente ai propri assistiti, dalle Regioni anche mediante l’interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fasciolo Sanitario Elettronico (FSE), aventi finalità compatibili con quelle sottese al trattamento, con le modalità e per le finalità fissate dalle regioni e dalle province autonome, nel rispetto delle finalità istituzionali di ciascuno, con decreto del Ministro della salute, adottato ai sensi del comma 1, previo parere del Garante per la protezione dei dati personali, nel rispetto di quanto previsto dal Regolamento, dal presente codice, dal codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e dalle linee guida dell’Agenzia per l’Italia digitale in materia di interoperabilità.
1-ter. Il Ministero della salute disciplina, con uno o più decreti adottati ai sensi del comma 1, l’interconnessione a livello nazionale dei sistemi informativi su base individuale, pseudonimizzati, ivi incluso il fascicolo sanitario elettronico (FSE), compresi quelli gestiti dai soggetti di cui al comma 1-bis o da altre pubbliche amministrazioni che a tal fine adeguano i propri sistemi informativi. I decreti di cui al primo periodo adottati, previo parere del Garante per la protezione dei dati personali, nel rispetto del Regolamento, del presente codice, del codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e delle linee guida emanate dall’Agenzia per l’Italia digitale in materia di interoperabilità, definiscono le caratteristiche e disciplinano un ambiente di trattamento sicuro all’interno del quale vengono messi a disposizione dati anonimi o pseudonimizzati, per le finalità istituzionali di ciascuno, secondo le modalità individuate al comma 1.
Articolo 110. Ricerca medica, biomedica ed epidemiologica
1. Il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territorialee deve essere sottoposto a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento. Nei casi di cui al presente comma, il Garante individua le garanzie da osservare ai sensi dell’articolo 106, comma 2, lettera d), del presente codice.
Gli impatti della modifica
Viene previsto che i dati relativi alla salute siano «pseudonimizzati», anziché «privi di elementi identificativi diretti» ed il richiamo alla interconnessione è posto, in relazione a tutti i soggetti titolati al trattamento dei dati, province autonome incluse. Ai sensi del neo-introdotto comma 1-ter spetta al Ministero della salute disciplinare, con proprio decreto, da adottarsi previo parere del Garante Privacy e nel rispetto del GDPR, del CAD e delle linee guida dell’AgID, l’interconnessione di tutti i sistemi informativi impiegati su base individuale dai richiamati soggetti pubblici.Il comma 1-bis dell’articolo 44 della Legge di Conversione reca una radicale modifica alla disciplina in materia di ricerca medica, biomedica ed epidemiologica di cui all’articolo 110 del Codice Privacy. Secondo la nuova formulazione, nell’impossibilità da parte del titolare di ottenere il consenso dell’interessato quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In questi casi i dati personali possono essere trattati per fini di ricerca scientifica in ambito medico, biomedico ed epidemiologico senza l’autorizzazione preventiva da richiedere al Garante Privacy ai sensi dell’art 36 del GDPR, ma a precise condizioni:
- che sia ottenuto il parere favorevole del competente comitato etico
- che siano osservate le garanzie dettate dal Garante per la protezione dei dati personali.
- che sia svolta e pubblicata la valutazione d’impatto privacy (Dpia).
Resta l’obbligo per i ricercatori di garantire la tutela dei diritti degli interessati a cui si riferiscono i dati e migliora il bilanciamento tra privacy e ricerca. La modifica interessa soprattutto gli studi retrospettivi per i quali è sovente difficile riuscire a informare gli interessati oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca.
Conclusioni
La modifica legislativa va di pari passo alla recente approvazione, lo scorso 15 marzo, del Regolamento sullo Spazio Europeo dei Dati Sanitari (SEDS, o european health data space EHDS), di cui all’art. 34, lett. e) che potrebbe costituire la norma europea che legittima il trattamento, per finalità di ricerca, dei dati particolari ai sensi dell’art. 9, par. 2, lett. j) del GDPR, ritenendo che la citata previsione disponga, seppur a determinate condizioni ed entro certi limiti, che i dati possano effettivamente essere utilizzati per finalità di ricerca senza il consenso preventivo (c.d. opt-in) dell’interessato, lasciando al medesimo la possibilità di opporsi ex post a tale utilizzo (c.d. sistema di opt-out).
Soluzioni correlate: