12 giugno -

Gentile direttore,
il tema dei dati, soprattutto personali, è - da qualche tempo - oggetto di intensa attenzione da parte del legislatore europeo, che ha ben compreso come l’uso degli stessi rappresenti una leva di straordinaria potenza per il progresso scientifico ma, al contempo, possa anche costituire un eventuale pericolo per i diritti e le libertà fondamentali dei cittadini.

Anche se il GDPR resta la norma fondamentale in tema, la ormai imminente definitiva approvazione dello European Health Data Space, ossia la normativa di livello europeo dedicata allo spazio dei dati nel settore sanitario, potrà agevolare la ricerca scientifica e l’uso secondario dei dati personali, arrivando addirittura a rappresentare una vera e propria base giuridica per queste attività. Inoltre, il cosiddetto “Data Act”, ossia il regolamento UE n. 2854/23, applicabile dal 12 settembre 2025, pur ponendosi nell’alveo del GDPR, si propone di intervenire nell’ambito delle tecnologie basate sui dati che hanno effetti trasformativi su tutti i settori, tra cui quello sanitario.

Le novità nella normativa italiana
Dal canto suo, il legislatore italiano, con la legge n. 56 del 2024, di conversione del D.L. 2 marzo 2024, n. 19, recante ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR), secondo una ormai consueta tecnica legislativa, ha recentemente introdotto una numerosa serie di modifiche.

Tra le novità introdotte, è rilevante segnalarne due di grande importanza per l’ambito scientifico, relative al trattamento dei dati personali in Sanità, all’interconnessione ed alla ricerca epidemiologica osservazionale.

Modifiche all’articolo 2-sexies del Codice privacy
La prima novità è relativa a due modifiche all’art. 2-sexies del Codice Privacy, ossia all’articolo disciplinante i trattamenti di categorie particolari di dati personali necessari per motivi di interesse pubblico rilevante.

La prima modifica all’articolo 2-sexies, attraverso la riformulazione del comma 1-bis, riguarda la possibilità per i principali protagonisti della sanità pubblica italiana (Ministero della Salute, Istituto Superiore di Sanità, Agenas, AIFA, INMP, Regioni e Province autonome) di trattare i dati personali – pseudonimizzati – anche mediante interconnessione, nel rispetto delle finalità istituzionali di ciascun ente, secondo le modalità che verranno individuate con successivo Decreto Ministeriale, adottato previo parere del Garante per la protezione dei dati personali. Giova ricordare come, precedentemente, tale comma fosse più denso e comprendesse anche il testo del successivo comma 1-ter, ora sdoppiato.

Un’ulteriore modifica all’articolo 2-sexies, infatti, è costituita dall’introduzione del comma 1-ter, che stabilisce che il Ministero della Salute disciplini, con uno o più decreti, l’interconnessione a livello nazionale dei sistemi informativi su base individuale, pseudonimizzati, ivi incluso il Fascicolo Sanitario Elettronico (FSE). Tra questi sistemi sono compresi quelli gestiti dai soggetti previsti al comma 1-bis (Ministero della Salute, Istituto Superiore di Sanità, Agenas, AIFA, INMP, Regioni e Province autonome) o da altre pubbliche amministrazioni (es. Agenzie Regionali, ASL), che a tal fine sono chiamate ad adeguare i propri sistemi informativi. In conseguenza di tale modifica, lo scambio di dati tra i soggetti detentori dovrebbe diventare più agevole e sicuro.

I decreti ministeriali saranno adottati, previo parere del Garante per la protezione dei dati personali, non solo nel rispetto del GDPR e del Codice Privacy, ma anche del Codice dell’Amministrazione Digitale e delle linee guida emanate dall’Agenzia per l’Italia Digitale (AgID) in materia di interoperabilità, aspetto che sta diventando sempre più importante in una società che tende alla completa digitalizzazione ed integrazione dei processi

I suddetti decreti dovranno definire le caratteristiche e disciplinare un ambiente di trattamento sicuro all’interno del quale vengano messi a disposizione dati anonimi o pseudonimizzati, per le finalità istituzionali di ciascun ente.

La modifica all’art. 2-sexies del Codice Privacy, relativa all’interconnessione riveste un carattere di speciale importanza, dato che l’uso di database amministrativi/sanitari e tecniche di record linkage costituiscono oggigiorno uno strumento fondamentale per la programmazione sanitaria e la conduzione di studi epidemiologici.

Modifica all’articolo 110 del Codice privacy
La seconda novità introdotta dal nuovo testo normativo riguarda la modifica all’ormai famigerato art. 110 del Codice Privacy, riguardante la ricerca medica, biomedica ed epidemiologica. Si tratta di un cambiamento di grande rilievo, poiché viene eliminata la consultazione preventiva al Garante della Privacy ex art. 36 GDPR nel caso in cui sia impossibile ottenere il consenso al trattamento dei dati da parte degli interessati, una situazione estremamente frequente negli studi epidemiologici retrospettivi. A tutti gli effetti, il precedente obbligo si traduceva in un appesantimento procedurale di notevole rilievo. Inoltre, la mancanza di un preciso termine entro il quale il Garante era chiamato ad emettere un parere si traduceva in una tale dilatazione dei tempi da finire spesso per vanificare la finalità stessa della ricerca.

Al contrario, d’ora in poi si potrà procedere, sempre in base ai fondamentali principi di accountability e di privacy by design, adottando misure appropriate per tutelare i diritti, le libertà e i legittimi interessi degli interessati. Il progetto di ricerca dovrà comunque essere sottoposto al parere del comitato etico competente a livello territoriale, nel rispetto delle regole deontologiche e delle Prescrizioni del Garante in materia di ricerca scientifica. A questo proposito, si segnala che il Garante, con il Provvedimento del 9 maggio 2024, ha sottoposto a consultazione pubblica le garanzie da applicare ai sensi dell’art. 110 e promosso l’aggiornamento delle relative regole deontologiche.

Le questioni ancora aperte
Le recenti modifiche al Codice privacy sono certamente un passo avanti verso la piena valorizzazione del dato personale a tutela della salute pubblica, pur nel pieno rispetto degli altri diritti del cittadino. Rimangono però da chiarire diversi aspetti fondamentali per mettere a regime l’effettiva capacità delle istituzioni pubbliche di creare valore dai dati già in loro possesso tramite la programmazione sanitaria e la ricerca.

Un primo punto riguarda l’individuazione di una valida condizione di liceità (la cosiddetta base giuridica) per l’uso secondario dei dati con finalità di ricerca e l’eventuale scambio di dati tra i soggetti detentori.

Un secondo punto riguarda la difficoltà a distinguere chiaramente la finalità di ricerca (uso secondario del dato) dalle finalità di cura (uso primario del dato per ASL, Aziende Ospedaliere, IRCCS) e di programmazione (uso secondario del dato previsto dalla legge per Regioni, ASL, Aziende Ospedaliere, Agenzie Regionali). Tale aspetto ha implicazioni rilevanti per buona parte della ricerca epidemiologica e valutativa dei servizi, che si basa sui dati raccolti dall’attività di routine. La stessa finalità di cura assume contorni non ben definiti nell’ambito della prevenzione, settore chiave per il miglioramento della qualità della vita delle persone. Questo aspetto è particolarmente importante quando i dati vengono utilizzati nell’ambito di interventi di Medicina di Iniziativa, che richiede una stratificazione della popolazione per erogare servizi in maniera più equa ed efficiente. Si tratta di un tema di grande rilevanza, in quanto detenere i dati personali di qualcuno non legittima ad utilizzarli per qualunque finalità. D’altra parte, l’attuale assenza di reali indicazioni operative rende estremamente difficile ai diversi attori (enti di riferimento nazionale, Regioni, ASL, etc) capire quale tipo di attività sia effettivamente lecita. Il rischio reale è quello di un atteggiamento difensivistico da parte dei detentori dei dati, con la conseguente rinuncia al loro uso, a discapito della salute pubblica. In questo senso, la vicenda relativa al progetto PON-GOV, che ha coinvolto il Ministero della Salute ed alcune regioni, è paradigmatica per il cortocircuito normativo innescato allorquando si è trattato di svolgere attività di stratificazione della popolazione.

Un terzo punto, non meno importante, riguarda l’interoperabilità tra pubbliche amministrazioni, su cui si sta già investendo molto in altri settori e che potrebbe essere valorizzato anche per l’ambito sanitario e a supporto della ricerca scientifica. Esiste infatti una piattaforma nazionale dati gestita da AGID che permette lo scambio di dati tra pubbliche amministrazioni in un ambiente efficiente, sicuro dal punto di vista informatico e progettato in linea con il concetto di privacy by design. Tale approccio potrebbe inoltre ridurre le differenze territoriali in ambito di interconnessione che potrebbero costituire ulteriori barriere nell’adozione di queste novità normative a livello regionale e di ASL, pur consentendo di valorizzare le peculiarità locali.

In attesa della definitiva approvazione dello European Health Data Space, che dovrebbe rappresentare un vero e proprio punto di svolta nella logica della semplificazione dei processi, si auspica che lo sforzo di integrazione delle numerose norme approvate o in corso di approvazione a livello Europeo e Nazionale sui vari ambiti che riguardano il trattamento di dati personali e sanitari per finalità di ricerca (es. AI ACT) renda il lavoro dei ricercatori e dei decisori politici più efficace e agevole.

Francesco Barone-Adesi
Associazione Italiana di Epidemiologia

Lucia Bisceglia
Associazione Italiana di Epidemiologia

Francesco Venturelli
Associazione Italiana di Epidemiologia

Giovanni Maglio
Avvocato - consulente esterno AReSS Puglia

© QS Edizioni - Riproduzione riservata