E’ stata pubblicata sulla Gazzetta Ufficiale la nuova legge europea n. 167/2017, in vigore dal prossimo 12 dicembre, che – tra le novità più rilevanti – prevede l’inserimento nel Codice Privacy dell’art. 110-bis con cui si consente il riutilizzo dei dati per finalità di ricerca e scopi statistici. Cerchiamo di analizzare la neointrodotta legge, dando risalto sia agli aspetti tecnici che a quelli pratici.

Con l’inserimento dell’art. 110-bis, il Legislatore ha stabilito che per le succitate finalità, previa autorizzazione del Garante della Privacy, sarà possibile reimpiegare i dati, anche sensibili (ad esclusione di quelli genetici), a condizione che siano adottate forme preventive di minimizzazione e anonimizzazione dei dati ritenute idonee a tutela degli interessati.
L’effetto primario della nuova disciplina è quello di consentire alle aziende – previa richiesta di autorizzazione al Garante della Privacy, che avrà fino a 45 giorni per rispondere prima che la richiesta sia respinta d’ufficio – di accedere ai dati di milioni di cittadini per utilizzarli in ambito sanitario per ricerche di interesse pubblico, senza che i diretti interessati possano esercitare il diritto a dare il consenso al loro trattamento.
Il nuovo provvedimento normativo stravolge l’impostazione adottata dal Legislatore italiano.
Per comprendere la portata di tale innovazione basti evidenziare che l’attuale art. 26 Cod. Privacy stabilisce che “i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante”. Mentre l’art. 40 prevede che possano essere rilasciate anche autorizzazioni generali, con riguardo a determinate categorie di titolari e trattamenti, da pubblicare in Gazzetta Ufficiale.
Tornando all’esame della legge europea, essa appare particolarmente generica. Su tutti, due gli aspetti che destano forte perplessità: la tempistica dell’intervento normativo, alla luce della delega al Governo per un riordino della normativa italiana al fine di adeguarla al GDPR (prevista dall’art. 13 della legge di delegazione europea 25 ottobre 2017 n. 163), e il significato dell’espressione “riutilizzo”.
Il termine “riutilizzo” si presta a non univoche interpretazioni: nuovo utilizzo del dato per il medesimo fine oppure nuovo utilizzo del dato per finalità diverse da quelle oggetto del consenso informato?
Inoltre, non si comprende se il riutilizzo sia consentito solo ai titolari che già hanno trattato i dati o a chiunque, anche soggetti diversi dal Titolare, al quale questi possa cederli, ed eventualmente a quali condizioni.
Qualora per “riutilizzo” dovesse intendersi anche la cessione di dati a terzi diversi dal Titolare, e per finalità uguali o diverse da quelle per le quali i dati sono stati raccolti e trattati ci troveremmo di fronte a una norma che di fatto rimette ogni decisione in merito all’autorizzazione dell’Autorità garante, che deciderebbe limitandosi a verificare il principio di minimizzazione del dato.
Ancora più incomprensibile risulta il riferimento alle forme di anonimizzazione dei dati, le quali, se davvero tali, escluderebbero ogni intervento dell’Autorità garante e l’applicazione stessa delle norme in materia di protezione dei dati personali. Infatti, come recita il considerando 26 del GDPR “il Regolamento non si applica al trattamento di informazioni anonime, anche per finalità statistiche o di ricerca”.
Come accennato all’inizio, il nuovo art. 110-bis esclude aprioristicamente il riutilizzo dei dati genetici.
L’espressione normativa, che sembra addirittura impedire tale riutilizzo anche in caso di consenso informato dell’interessato, si pone in evidente contrasto con l’attuale normativa italiana e l’autorizzazione generale del 2016 del Garante della Privacy che, al contrario, lo consente.
I dubbi sulla validità di tale nuova disposizione si infittiscono se solo si pensa all’importanza crescente che ha la ricerca fatta a livello internazionale per le scienze mediche e biologiche, tanto più in un quadro normativo ormai dominato da un Regolamento europeo per il quale la tutela dei dati personali non può mai essere ostacolo alla libera circolazione dei dati, ferma restando la salvaguardia delle libertà fondamentali della persona.
Un’altra – paradossale – novità introdotta dalla l. 167/2017 è contenuta nei commi 4-bis e 5 dell’art. 29 in merito alla figura del responsabile del trattamento.
Sono previsti requisiti contenutistici obbligatori dell’atto di designazione a tale ruolo di soggetti pubblici e privati  (finalità perseguita, tipologia dei dati, durata del trattamento, obblighi e diritti del responsabile del trattamento, modalità di trattamento) e nuovi oneri di verifica periodica in capo ai Titolari. Trattasi di una norma evidentemente incompatibile con l’art. 28 del GDPR, a pochi mesi dalla sua applicazione.
In conclusione, il nuovo art. 110-bis Cod. Privacy denota un atteggiamento tanto permissivo nel delegare all’Autorità ogni potere in merito, quanto, per altro verso, rigidamente preclusivo nei confronti di una ricerca scientifica basata sullo scambio (e dunque il riutilizzo) di dati genetici tra diversi centri di ricerca e persino sul riutilizzo da parte di un centro di ricerca che intenda riutilizzare dati in suo possesso per nuove finalità, anche connesse alla ricerca in atto.
L’armonizzazione della normativa italiana al GDPR non sembra essere iniziata nel migliore dei modi. Confidiamo in un intervento riparatorio del Legislatore al più presto.
Avv. Alfredo De Felice