Le modifiche della Legge di conversione del Decreto PNRR al Codice Privacy: impatto sull’uso dei dati sanitari da soggetti pubblici e per finalità di ricerca

26 Aprile 2024
Redazione DIMT

a cura dell’Avv. Elena Maggio

1. Le modifiche al Codice Privacy apportate dalla Legge di conversione del Decreto PNRR

Nella seduta dello scorso 18 aprile, la Camera ha approvato il disegno di legge n. 1110 di conversione, con modificazioni, del decreto 2 marzo 2024, n. 19, recante “ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (Pnrr)” (di seguito anche “Decreto PNRR” e “Legge di Conversione”), ponendo la fiducia. Il d.d.l. è stato approvato anche in Senato, sempre mediante il ricorso all’istituto della fiducia, il 24 aprile ed è ora attesa la pubblicazione in Gazzetta Ufficiale.

Per quanto qui di interesse rilevano due principali modifiche che la Legge di Conversione apporta al Decreto e, a cascata, agli articoli 2-sexies e 110 del d.lgs. n. 196/2003, recante il c.d. Codice Privacy.

Ecco le modifiche apportate*:

Articolo 2-sexies

Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante

[…]

1-bis. I dati personali relativi alla salute, privi di elementi identificativi diretti, sono trattati, nel rispetto delle finalità istituzionali di ciascuno, pseudonimizzati, sono trattati, anche mediante interconnessione, dal Ministero della salute, dall’Istituto superiore di sanità (ISS), dall’Agenzia nazionale per i servizi sanitari regionali (AGENAS), dall’Agenzia italiana del farmaco (AIFA), dall’Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (INMP), nonché, relativamente ai propri assistiti, dalle Regioni anche mediante l’interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fasciolo Sanitario Elettronico (FSE), aventi finalità compatibili con quelle sottese al trattamento, con le modalità e per le finalità fissate dalle regioni e dalle province autonome, nel rispetto delle finalità istituzionali di ciascuno, con decreto del Ministro della salute, adottato ai sensi del comma 1, previo parere del Garante per la protezione dei dati personali, nel rispetto di quanto previsto dal Regolamento, dal presente codice, dal codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e dalle linee guida dell’Agenzia per l’Italia digitale in materia di interoperabilità.

1-ter. Il Ministero della salute disciplina, con uno o più decreti adottati ai sensi del comma 1, l’interconnessione a livello nazionale dei sistemi informativi su base individuale, pseudonimizzati, ivi incluso il fascicolo sanitario elettronico (FSE), compresi quelli gestiti dai soggetti di cui al comma 1-bis o da altre pubbliche amministrazioni che a tal fine adeguano i propri sistemi informativi. I decreti di cui al primo periodo adottati, previo parere del Garante per la protezione dei dati personali, nel rispetto del Regolamento, del presente codice, del codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e delle linee guida emanate dall’Agenzia per l’Italia digitale in materia di interoperabilità, definiscono le caratteristiche e disciplinano un ambiente di trattamento sicuro all’interno del quale vengono messi a disposizione dati anonimi o pseudonimizzati, per le finalità istituzionali di ciascuno, secondo le modalità individuate al comma 1.

Articolo 110

Ricerca medica, biomedica ed epidemiologica

1. Il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento. Nei casi di cui al presente comma, il Garante individua le garanzie da osservare ai sensi dell’articolo 106, comma 2, lettera d), del presente codice.

2. Prime osservazioni

La modifica del comma 1-bis dell’articolo 2-sexies, ad opera del comma 1, lettera a), dell’articolo 44 della Legge di Conversione, viene disposto che i dati relativi alla salute, pseudonimizzati, sono trattati dal Ministero della salute, dall’Istituto superiore di sanità (ISS), dall’Agenzia nazionale per i servizi sanitari regionali (AGENAS), dall’Agenzia italiana del farmaco (AIFA), dall’Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (INMP), nonché, relativamente ai propri assistiti, dalle regioni e dalle province autonome, anche mediante interconnessione (attualmente disciplinata dal decreto del Ministero della salute n. 262/2016), in conformità alle finalità istituzionali di ciascuno dei predetti soggetti, secondo modalità che saranno individuato con successivo decreto del Ministro della salute ai sensi del comma 1 dello stesso articolo 2-sexies (decreto che deve indicare le operazioni eseguibili, il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato), previo parere del Garante per la protezione dei dati personali.

Rispetto all’attuale formulazione del comma 1-bis viene previsto che i dati relativi alla salute siano «pseudonimizzati», anziché «privi di elementi identificativi diretti». Inoltre, il richiamo alla interconnessione è posto, in relazione a tutti i soggetti titolati al trattamento dei dati, tra i quali sono citate anche le province autonome, senza più menzionare espressamente i «sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico (FSE), aventi finalità compatibili con quelle sottese al trattamento».

Viene, dunque, demandato ad un successivo decreto ministeriale attuativo la definizione delle sole modalità e non anche delle finalità del trattamento, evitando una ridondante specificazione legislative delle finalità istituzionali proprie di ciascun soggetto indicato. Vengono, così, soppressi i riferimenti espliciti al necessario rispetto di quanto previsto dal GDPR, dal Codice Privacy, dal CAD (d.lgs. n. 82/2005), e dalle linee guida dell’AgID in materia di interoperabilità.

Ai sensi del neo-introdotto comma 1-ter spetta al Ministero della salute disciplinare, con proprio decreto, da adottarsi previo parere del Garante Privacy e nel rispetto del GDPR, del CAD e delle linee guida dell’AgID, l’interconnessione di tutti i sistemi informativi impiegati su base individuale dai richiamati soggetti pubblici.

Di sicuro maggiore impatto è, invece, il comma 1-bis dell’articolo 44 della Legge di Conversione che, introdotto dalla Camera, reca una radicale modifica alla disciplina in materia di ricerca medica, biomedica ed epidemiologica di cui all’articolo 110 del Codice Privacy.

L’articolo 110 prevede, che per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non sia necessario acquisire il consenso dell’interessato, allorquando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea ed è condotta e resa pubblica una valutazione d’impatto. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca.

Ebbene, fino a ieri, nelle ipotesi di ricerca di cui sopra, il titolare del trattamento era tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dei partecipanti al progetto di ricerca, ad acquisire sullo stesso motivato parere favorevole del competente comitato etico a livello territoriale e a sottoporre a preventiva consultazione del Garante Privacy.

In forza della nuova formulazione del comma in parola, invece, in luogo della sottoposizione del programma di ricerca alla preventiva consultazione del succitato Garante, il titolare dovrà verificare il rispetto delle garanzie da osservare che saranno definite dal Garante medesimo con proprio provvedimento.

La modifica interessa soprattutto gli studi retrospettivi per i quali è sovente difficile riuscire a informare gli interessati oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. Ebbene, in tali casi non dovrà più essere richiesta la preventiva approvazione del Garante, essendo sufficiente che il titolare, in ottica di accountability, verifichi in concreto il rispetto delle garanzie che saranno individuate dal Garante stesso.

La modifica legislativa introdotta potrebbe essere particolarmente lungimirante alla luce della recente approvazione, lo scorso 15 marzo, del Regolamento sullo Spazio Europeo dei Dati Sanitari (SEDS, o european health data space EHDS), che all’art. 34, lett. e), rubricato “Finalità per le quali è possibile trattare i dati sanitari elettronici per l’uso secondario”, espressamente prevede che le «attività di ricerca scientifica nel settore sanitario o dell’assistenza relativa ai settori sanitario o assistenziale, che contribuisce alla sanità pubblica o alla valutazione delle tecnologie sanitarie, ovvero garantire elevati livelli di qualità e sicurezza sanitaria cura, di medicinali o di dispositivi medici, con lo scopo di avvantaggiare gli utenti finali, come pazienti, operatori sanitari e amministratori sanitari, Compreso: (i) attività di sviluppo e innovazione di prodotti o servizi; (ii) formazione, test e valutazione di algoritmi, anche in dispositivi medici, dispositivi medico-diagnostici in vitro, sistemi di intelligenza artificiale e applicazioni sanitarie digitali». I primi commentatori nazionali del succitato Regolamento hanno, infatti, ipotizzato che l’art. 34, che recepisce le osservazioni di cui al parere congiunto reso dall’European Data Protection Board e dal Garante Europeo, possa costituire la norma europea che legittima il trattamento, per finalità di ricerca, dei dati particolari ai sensi dell’art. 9, par. 2, lett. j) del GDPR, ritenendo che la citata previsione disponga, seppur a determinate condizioni ed entro certi limiti, che i dati possano effettivamente essere utilizzati per finalità di ricerca senza il consenso preventivo (c.d. opt-in) dell’interessato, lasciando al medesimo la possibilità di opporsi ex post a tale utilizzo (c.d. sistema di opt-out).

Ciò anche considerato che la formulazione dell’articolo 33, comma 5, del Regolamento EHDS prevede che «Gli Stati membri possono introdurre misure più rigorose e garanzie aggiuntive a livello nazionale [esclusivamente se] volte a salvaguardare la sensibilità e il valore dei dati di cui all’articolo 33, paragrafo 1, lettere e) [dati genetici], (fa) [dati da applicazioni mediche], (m) [dati da biobanche e database associati] ed (ea) [dati molecolari]. Gli Stati membri notificano alla Commissione tali norme e misure e notificano senza indugio alla Commissione ogni successiva modifica che le riguardi.»,

Probabilmente è ancora presto per capire l’impatto che le modifiche introdotte al Codice Privacy e delle novità che discenderanno dall’adozione del Regolamento EHDS avranno sulla ricerca. La certezza è che è viva l’esigenza di una semplificazione degli adempimenti in materia di trattamento dei dati sanitari, nell’ottica di semplificare le future iniziative in materia di ricerca da parte delle numerose eccellenze italiane impiegate sul campo.

*Note per la lettura:

il testo ~~barrato~~ è stato abrogato, o sostituito, dalla legge di conversione;
il testo in grassetto è stato aggiunto dalla legge di conversione.

Le modifiche della Legge di conversione del Decreto PNRR al Codice Privacy: impatto sull’uso dei dati sanitari da soggetti pubblici e per finalità di ricerca

Redazione DIMT

Ultimi articoli

Intervista al Prof. Antonio Cassatella. La discrezionalità amministrativa nell’età digitale: più dati, meno scelte?

Conferme e novità del ddl IA secondo la Prof.ssa Finocchiaro

Partenariato digitale UE-Giappone: cooperazione per una trasformazione digitale condivisa

Analisi e regolamentazione dei mercati dell’accesso alla rete fissa di TIM per il periodo 2024-2028: una visione coordinata

Prossimi eventi

Salute Globale e Cooperazione sanitaria internazionale

Software come dispositivi medici. Dialogo tra intelligenza artificiale e diritto

Premio Dona: partecipa al Premio di laurea 2024

Piattaforme online, dati e intelligenza artificiale tra interessi pubblici e garanzie dei privati

Condividi