Linee-guida 03/2020 sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al COVID-19

Il Comitato europeo per la protezione dei dati

Visto l'articolo 70, paragrafo 1, lettera e), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (in prosieguo "RGPD"),

Visto l'accordo SEE, in particolare l'allegato XI e il protocollo 37, modificato dalla decisione del Comitato misto

SEE n. 154/2018 del 6 luglio 2018,

Visti l'articolo 12 e l'articolo 22 del suo regolamento,

HA ADOTTATO LE SEGUENTI LINEE-GUIDA:

1 INTRODUZIONE

1. A causa della pandemia causata dal COVID-19, attualmente sono in corso grandi sforzi di ricerca scientifica nella lotta contro il SARS-CoV-2 al fine di giungere a risultati quanto più rapidamente possibile.
2. Nel contempo, continuano a porsi questioni giuridiche riguardanti l'uso di dati relativi alla salute ai sensi dell'articolo 4, paragrafo 15, del regolamento generale sulla protezione dei dati per fini di ricerca. Le presenti linee-guida mirano a far luce sulle questioni più urgenti, quali la base giuridica del trattamento, la messa in atto di garanzie adeguate per tale trattamento e l'esercizio dei diritti dell'interessato.
3. Si ricorda che lo sviluppo di ulteriori e più dettagliati orientamenti per il trattamento dei dati relativi alla salute ai fini della ricerca scientifica fa parte del piano di lavoro annuale del comitato europeo per la protezione dei dati. Si noti, inoltre, che le presenti linee-guida non prendono in esame il trattamento dei dati personali per scopi di sorveglianza epidemiologica.

2 APPLICAZIONE DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI

4. Le norme in materia di protezione dei dati (come il Regolamento generale sulla protezione dei dati, RGPD) non ostacolano le misure adottate nella lotta contro la pandemia da COVID-19[1]. Il RGPD è un testo legislativo di ampio respiro e contiene varie disposizioni che consentono di trattare i dati personali per finalità di ricerca scientifica connesse alla pandemia da COVID-19 nel rispetto dei diritti fondamentali alla vita privata e alla protezione dei dati personali[2]. Il RGPD prevede anche una deroga specifica al divieto di trattamento di talune categorie articolari di dati personali, come i dati relativi alla salute, qualora ciò sia necessario per tali finalità di ricerca scientifica[3].
5. Nel trattamento di dati relativi alla salute per scopi scientifici connessi alla pandemia da COVID-19 devono trovare applicazione i diritti fondamentali riconosciuti nell'UE. Le norme sulla protezione dei dati non prevalgono sulla libertà di scienza sancita dall'articolo 13 della Carta dei diritti fondamentali dell'UE, né questa su quelle. Piuttosto, sono necessari una valutazione e un bilanciamento attenti di questi diritti e libertà, che deve tradursi in un risultato rispettoso dell'essenza di entrambe le componenti.

3 DEFINIZIONI

6. È importante comprendere quali operazioni di trattamento possano beneficiare del regime speciale previsto nel RGPD e oggetto degli approfondimenti qui svolti. Pertanto, occorre definire i termini "dati relativi alla salute", "trattamento a fini di ricerca scientifica" e "trattamento ulteriore" (rispetto a quest’ultima definizione, si parla anche di "utilizzo primario e secondario dei dati sanitari").

3.1 "Dati relativi alla salute"

7. Ai sensi dell'articolo 4, paragrafo 15, del RGPD, per "dati relativi alla salute" si intendono i dati personali relativi alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni circa il suo stato di salute. Come indicato nel considerando 53, i dati relativi alla salute meritano una protezione più elevata, in quanto l'uso di tali dati sensibili può avere gravi ripercussioni negative per gli interessati. Alla luce di ciò e della pertinente giurisprudenza della Corte di giustizia dell'Unione europea ("CGUE")[4], l’espressione "dati relativi alla salute" deve essere interpretata in modo estensivo.
8. I dati relativi alla salute possono essere ricavati da fonti diverse, quali per esempio:
   1. Informazioni raccolte da un fornitore di assistenza sanitaria in una cartella clinica (anamnesi e risultati di esami e trattamenti).
   2. Informazioni che diventano dati relativi alla salute sulla base di riferimenti incrociati ad altri dati tali da rivelare lo stato di salute o i rischi per la salute (ad esempio, la presunzione che una determinata persona sia esposta a un rischio più elevato di attacchi cardiaci basata su misurazioni ripetute della pressione arteriosa lungo un certo arco di tempo).
   3. Informazioni ricavate da test di autovalutazione, in cui gli interessati rispondono a domande relative alla loro salute (ad esempio, descrivendo sintomatologia).
   4. Informazioni che diventano dati relativi alla salute a seguito del loro utilizzo in un contesto specifico (ad esempio, informazioni relative a un viaggio recente o alla permanenza in una regione interessata dal COVID-19 elaborate da un professionista sanitario per effettuare una diagnosi).

3.2 "Trattamento a fini di ricerca scientifica"

9. L’articolo 4 del RGPD non prevede una definizione esplicita di "trattamento a fini di ricerca scientifica". Come indicato nel considerando 159, "il trattamento di dati personali per finalità di ricerca scientifica dovrebbe essere interpretato in senso lato e includere ad esempio sviluppo tecnologico e dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata da privati, oltre a tenere conto dell'obiettivo dell'Unione di istituire uno spazio europeo della ricerca ai sensi dell'articolo 179, paragrafo 1, TFUE. Le finalità di ricerca scientifica dovrebbero altresì includere gli studi svolti nell'interesse pubblico nel settore della sanità pubblica".
10. Tuttavia, il Gruppo di lavoro « Articolo 29 » ha già sottolineato che il termine non può essere interpretato estensivamente travalicandone il significato comune, e in questo contesto intende per "ricerca scientifica" "un progetto di ricerca istituito conformemente alle pertinenti norme etiche e metodologiche settoriali, in conformità delle buone prassi[5]".

3.3 "Trattamento ulteriore"

11. Infine, rispetto al "trattamento di dati sanitari a fini di ricerca scientifica" occorre distinguere fra due tipologie di dati:
    1. Ricerca su dati personali (relativi alla salute) consistente nell'impiego di dati raccolti direttamente per scopi di studio scientifico ("utilizzo primario").
    2. Ricerca su dati personali (relativi alla salute) consistente nel trattamento ulteriore di dati inizialmente raccolti per altre finalità ("utilizzo secondario").
12. Esempio 1: Per condurre una sperimentazione clinica su persone con sospetta infezione da SARS-CoV-2, vengono raccolti dati relativi alla salute e si utilizza un questionario. Si tratta di un caso di "utilizzo primario" dei dati relativi alla salute come sopra definiti.
13. Esempio 2: L'interessato, in qualità di paziente, ha consultato un operatore sanitario riguardo a sintomi da SARSCoV-2. Se i dati relativi alla salute registrati dall’operatore sanitario vengono successivamente utilizzati a fini di ricerca scientifica, tale utilizzo è classificato come un trattamento ulteriore dei dati relativi alla salute (utilizzo secondario) raccolti inizialmente per un diverso scopo.
14. La distinzione tra ricerca scientifica basata sull'utilizzo primario o secondario dei dati relativi alla salute assume particolare importanza al fine di determinare la base giuridica del trattamento, gli obblighi di informazione e l’applicazione del principio della limitazione delle finalità a norma dell'articolo 5, paragrafo 1, lettera b), del RGPD, come illustrato di seguito.

4 BASE GIURIDICA DEL TRATTAMENTO

15. Tutti i trattamenti di dati personali relativi alla salute devono essere conformi ai principi in materia di trattamento di cui all'articolo 5 del RGPD e a uno dei fondamenti di liceità e alle deroghe specifiche indicati rispettivamente all'articolo 6 e all'articolo 9 del RGPD affinché sia assicurata la liceità del trattamento di tale categoria particolare di dati personali[6].16. Le basi giuridiche e le deroghe applicabili per il trattamento dei dati relativi alla salute a fini di ricerca scientifica sono previste rispettivamente all'articolo 6 e all'articolo 9. Nella sezione seguente sono esaminate le norme relative al consenso e alla legislazione nazionale pertinente. Va osservato che non esiste una gerarchia tra le basi giuridiche stabilite nel RGPD.

4.1 Consenso

17. Il consenso dell'interessato, raccolto a norma dell'articolo 6, paragrafo 1, lettera a), e dell'articolo 9, paragrafo 2, lettera a), del regolamento generale sulla protezione dei dati, può costituire la base giuridica per il trattamento dei dati relativi alla salute nel contesto del COVID-19.
18. Va tuttavia osservato che devono essere soddisfatte tutte le condizioni previste ai fini di un consenso esplicito, in articolare quelle di cui all'articolo 4, paragrafo 11, all'articolo 6, paragrafo 1, lettera a), all'articolo 7 e all'articolo 9, paragrafo 2, lettera a), del regolamento generale sulla protezione dei dati. In particolare, il consenso deve essere libero, specifico, informato e inequivocabile e deve essere prestato mediante dichiarazione o "azione positiva inequivocabile".
19. Come indicato al considerando 43, il consenso non può essere considerato libero se vi è un evidente squilibrio tra l'interessato e il titolare del trattamento. È quindi importante che un interessato non sia sottoposto a pressioni e non sia penalizzato se decide di non dare il proprio consenso. Il Comitato ha già esaminato la tematica del consenso nel contesto delle sperimentazioni cliniche[7].Ulteriori orientamenti, in particolare per quanto riguarda il requisito del consenso esplicito, sono reperibili nelle Linee guida in materia di consenso del Gruppo di lavoro «Articolo 29[8]».
20. Esempio: Viene condotta un'indagine nell'ambito di uno studio osservazionale su una determinata popolazione, riguardante la sintomatologia e l’evoluzione di una patologia. Per il trattamento di tali dati relativi alla salute, i ricercatori possono chiedere il consenso dell'interessato alle condizioni stabilite dall'articolo 7 del RGPD.
21. A giudizio del Comitato, l'esempio di cui sopra non configura un "evidente squilibrio", come indicato al considerando 43, e l'interessato dovrebbe essere in grado di dare il consenso ai ricercatori[9]. Nell'esempio, gli interessati non versano in alcun modo in una situazione di dipendenza dai ricercatori tale da influenzare in modo improprio l'esercizio della loro libera volontà; è altresì chiaro che non subiranno conseguenze negative se rifiutano di dare il loro consenso.
22. Tuttavia, i ricercatori dovrebbero essere consapevoli del fatto che, se si utilizza il consenso come base legale per il trattamento, l’interessato deve avere la possibilità di revocare tale consenso in qualsiasi momento, ai sensi dell'articolo 7, paragrafo 3, del RGPD. In caso di revoca del consenso, tutti i trattamenti che si fondavano sul consenso restano legittimi, conformemente al RGPD, ma il titolare deve cessare le attività di trattamento in questione e, in assenza di altra base giuridica che giustifichi la conservazione a fini di ulteriore trattamento, i dati dovrebbero essere cancellati[10].

4.2 Legislazioni nazionali

23. L'articolo 6, paragrafo 1, lettera e), o lettera f), del RGPD, in combinato disposto con le deroghe di cui all'articolo 9, paragrafo 2, lettera j), o lettera i), del RGPD, possono fornire una base giuridica per il trattamento dei dati personali (relativi alla salute) a fini di ricerca scientifica. Il Comitato ha già fornito chiarimenti in merito nel contesto dei trattamenti per finalità di sperimentazione clinica[11].
24. Esempio: Uno studio su larga scala relativo a una popolazione di pazienti COVID-19 che utilizzi le rispettive cartelle cliniche.
25. Come indicato in precedenza, l'UE e il legislatore nazionale di ciascuno Stato membro possono emanare norme specifiche a norma dell'articolo 9, paragrafo 2, lettera j), o dell'articolo 9, paragrafo 2, lettera i), del RGPD allo scopo di fornire una base giuridica per il trattamento dei dati relativi alla salute a fini di ricerca scientifica.

Pertanto, le condizioni e la portata di tale trattamento variano a seconda del diritto nazionale del singolo Stato membro.

26. Ai sensi dell'articolo 9, paragrafo 2, lettera i), del RGPD, il diritto in questione deve prevedere "misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale". Come prevede in modo analogo l'articolo 9, paragrafo 2, lettera j), del RGPD, le norme di diritto in questione devono « essere proporzionate allo scopo perseguito, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell' interessato".
27. Inoltre, tali norme di diritto devono essere interpretate alla luce dei principi di cui all'articolo 5 del RGPD e della giurisprudenza della Corte di giustizia. In particolare, le deroghe e le limitazioni relative alla protezione dei dati di cui all'articolo 9, paragrafo 2, lettera j), e all'articolo 89 del RGPD devono applicarsi solo nella misura strettamente necessaria[12].

5 PRINCIPI RELATIVI ALLA PROTEZIONE DEI DATI

28. Titolari e responsabili del trattamento devono rispettare i principi relativi al trattamento dei dati personali fissati nell'articolo 5 del RGPD, in particolare considerando i grandi volumi di dati personali che possono essere trattati a fini di ricerca scientifica. Nel contesto delle presenti Linee-guida i paragrafi seguenti affrontano gli aspetti più importanti dei principi in questione.

5.1 Trasparenza e informazione degli interessati

29. Il principio di trasparenza impone che i dati personali siano trattati in modo corretto e trasparente nei confronti dell'interessato. Tale principio è strettamente connesso agli obblighi di informazione ai sensi dell'articolo 13 o dell'articolo 14 del RGPD.
30. In via generale, l'interessato deve essere informato individualmente dell'esistenza del trattamento e del fatto che suoi dati personali (relativi alla salute) sono trattati a fini scientifici. Le informazioni fornite dovrebbero contenere tutti gli elementi di cui all'articolo 13 o all'articolo 14 del RGPD.
31. Occorre notare che i ricercatori trattano spesso dati relativi alla salute che non hanno ottenuto direttamente dall'interessato, ad esempio perché utilizzano dati provenienti da cartelle cliniche o relativi a pazienti di altri paesi. Pertanto, la presente sezione sarà incentrata sull'articolo 14 del RGPD, che disciplina gli obblighi in materia di informazione qualora i dati personali non siano raccolti direttamente presso l'interessato.

5.1.1 Quando deve essere informato l'interessato?

32. Qualora i dati personali non siano stati ottenuti presso l'interessato, l'articolo 14, paragrafo 3, lettera a), del RGPD prevede che il titolare lo informi "entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati".
33. Nel contesto che ci interessa, va osservato in particolare che, a norma dell'articolo 14, paragrafo 4, del RGPD, qualora "il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità".
34. In caso di trattamento ulteriore dei dati a fini scientifici, e tenendo conto della sensibilità dei dati in questione, una tutela adeguata ai sensi dell'articolo 89, paragrafo 1, consiste nel fornire all'interessato le informazioni entro un periodo di tempo ragionevole prima dell'attuazione del nuovo progetto di ricerca. Ciò consente all'interessato di venire a conoscenza del progetto di ricerca e di esercitare preventivamente i suoi diritti.

5.1.2 Esenzioni

35. Tuttavia, l'articolo 14, paragrafo 5), del RGPD prevede quattro esenzioni dall'obbligo di informazione. Nel contesto che qui ci interessa, risultano particolarmente pertinenti l'esenzione ai sensi dell'articolo 14, paragrafo 5, lettera (b) ("risulta impossibile o implicherebbe uno sforzo sproporzionato") e (c) ("l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione o dello Stato membro»), in particolare per quanto riguarda gli obblighi di informazione di cui all'articolo 14, paragrafo 4, del RGPD.

5.1.2.1 Risulta impossibile

36. Nelle Linee-guida relative al principio di trasparenza[13],13 il Gruppo di lavoro «Articolo 29» ha già sottolineato che "La situazione in cui la comunicazione delle informazioni “risulta impossibile” ai sensi dell’articolo 14, paragrafo 5, lettera b), è del tipo “bianco o nero”, perché una certa cosa è impossibile oppure non lo è: non esistono gradazioni di impossibilità. Pertanto, se intende valersi dell’eccezione, il titolare del trattamento deve dimostrare i fattori che effettivamente gli impediscono di fornire le informazioni all’interessato. Se, trascorso un certo periodo di tempo, i fattori che hanno determinato l’“impossibilità” svaniscono e la comunicazione delle informazioni all’interessato diventa possibile, il titolare del trattamento dovrebbe provvedervi immediatamente. In pratica, vi saranno pochissime situazioni in cui il titolare del trattamento potrà dimostrare l’effettiva impossibilità di fornire le informazioni all’interessato; (…)".

5.1.2.2 Sforzo sproporzionato

37. Nel definire che cosa debba intendersi per sforzo sproporzionato, il considerando 62 fa riferimento al numero di interessati, all'antichità dei dati e alla sussistenza di garanzie adeguate quali possibili indicatori. Nelle Linee-guida in materia di trasparenza di cui sopra[14], si raccomanda al titolare del trattamento di effettuare un bilanciamento al fine di valutare lo sforzo richiesto per fornire le informazioni tenendo conto dell'impatto e degli effetti sull'interessato qualora quest’ultimo non sia in possesso delle informazioni specifiche.
38. Esempio: L’esistenza di un numero considerevole di interessati per i quali non si dispone di informazioni di contatto potrebbe configurare uno sforzo sproporzionato rispetto alla prestazione delle informative.

5.1.2.3 Grave pregiudizio al conseguimento degli obiettivi

39. Per potersi avvalere di tale eccezione, i titolari del trattamento devono dimostrare che la comunicazione delle informazioni di cui all'articolo 14, paragrafo 1, di per sé rende impossibile o pregiudica gravemente il conseguimento degli obiettivi del trattamento.
40. Qualora si applichi l’eccezione di cui all'articolo 14, paragrafo 5, lettera b), del RGPD, "il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo ubbliche le informazioni".

5.1.2.4 L’ottenimento o la comunicazione dei dati sono espressamente previsti dal diritto dell'Unione o ello Stato membro

41. L'articolo 14, paragrafo 5, lettera c), del RGPD consente una deroga alle prescrizioni in materia di informazione di cui all’articolo 14, paragrafi (1), (2) e (4), nella misura in cui l'ottenimento o la comunicazione di dati personali "sono espressamente previsti dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento". Tale deroga è subordinata alla condizione che il diritto in questione preveda "misure appropriate per tutelare i legittimi interessi dell'interessato". Come indicato nelle Linee-guida sulla trasparenza di cui sopra[15], la norma di diritto in questione deve indirizzarsi direttamente al titolare del trattamento e prevedere un obbligo di ottenimento o comunicazione specificamente riferito al titolare. Per fare affidamento su tale esenzione, il Comitato ricorda che il titolare deve essere in grado di dimostrare in che modo la norma in questione gli si applichi direttamente e gli imponga di ottenere o comunicare i dati personali.

5.2 Limitazione della finalità e presunzione di compatibilità

42. Di norma, i dati sono "raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità" ai sensi dell'articolo 5, paragrafo 1, lettera b), del RGPD.
43. Tuttavia, la "presunzione di compatibilità" di cui all'articolo 5, paragrafo 1, lettera b), del RGPD stabilisce che "un ulteriore trattamento [...] per finalità [...] di ricerca scientifica [...] non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali". Questa tematica, a causa della sua natura orizzontale e complessa, sarà esaminata in maggiore dettaglio nelle linee-guida di prossima pubblicazione da parte del Comitato sul trattamento dei dati relativi alla salute a fini di ricerca scientifica.
44. L'articolo 89, paragrafo 1, del RGPD stabilisce che il trattamento dei dati a fini di ricerca "è soggetto a garanzie adeguate" tali da «garantire che siano in atto misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio di minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo".
45. I requisiti di cui all'articolo 89, paragrafo 1, del RGPD evidenziano l'importanza del principio di minimizzazione e dei principi di integrità e riservatezza nonché del principio della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita (cfr. infra[16]). Di conseguenza, tenuto conto della natura sensibile dei dati relativi alla salute e dei rischi connessi al riutilizzo di tali dati a fini di ricerca scientifica, devono essere adottate misure robuste al fine di garantire un adeguato livello di sicurezza, come richiesto dall'articolo 32, paragrafo 1, del RGPD.

5.3 Minimizzazione dei dati e conservazione limitata

46. Nell’ambito della ricerca scientifica, è possibile rispettare il principio di minimizzazione prevedendo l'obbligo di specificare i quesiti di ricerca e di valutare la tipologia e la quantità di informazioni necessarie per rispondere adeguatamente a tali quesiti. La definizione dei dati necessari dipenderà sempre dalla finalità della ricerca, anche quando quest’ultima ha natura esplorativa, e dovrebbe avvenire nel rispetto del principio della limitazione delle finalità a norma dell'articolo 5, paragrafo 1, lettera b), del RGPD. Va osservato che i dati devono essere resi anonimi quando è possibile effettuare una ricerca scientifica con dati anonimizzati.
47. Inoltre, devono essere fissati periodi di conservazione proporzionati. Come previsto dall'articolo 5, paragrafo 1, lettera e), del RGPD, "i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse [...] di ricerca scientifica [...] conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato".
48. Nel definire i periodi di conservazione, dovrebbero essere tenuti in considerazione criteri quali la durata e lo scopo ella ricerca. Occorre osservare che disposizioni nazionali possono disciplinare il periodo di conservazione.

5.4 Integrità e riservatezza

49. Come indicato in precedenza, informazioni sensibili quali i dati relativi alla salute meritano maggiore protezione in quanto il loro trattamento si associa a una maggiore probabilità di impatti negativi per gli interessati. Ciò vale in modo particolare nel contesto dell’epidemia di COVID-19, poiché il prevedibile riutilizzo dei dati relativi alla salute a fini scientifici accresce la numerosità e l’eterogeneità dei soggetti che possono trattare tali dati.
50. Va osservato che il principio di integrità e riservatezza deve essere letto in combinato disposto con i requisiti di cui all'articolo 32, paragrafo 1, e all'articolo 89, paragrafo 1, del RGPD. Le disposizioni citate devono essere rispettate integralmente. Pertanto, tenuto conto dei rischi elevati di cui sopra, occorre implementare misure tecniche e organizzative adeguate per garantire un livello sufficiente di sicurezza.
51. Tali misure dovrebbero prevedere almeno il ricorso alla pseudonimizzazione[17], alla cifratura, ad accordi di non divulgazione e rigide disposizioni in materia di autorizzazioni, restrizioni e registrazioni degli accessi ai dati. Va osservato che le disposizioni nazionali possono prevedere requisiti tecnici specifici o altre garanzie quali il rispetto delle norme in materia di segreto professionale.
52. Inoltre, dovrà essere effettuata una valutazione d'impatto sulla protezione dei dati conformemente all'articolo 35 del RGPD quando il trattamento "può comportare un rischio elevato per i diritti e le libertà delle persone fisiche" ai sensi dell'articolo 35, paragrafo 1, del RGPD. Si tiene conto,al riguardo, degli elenchi di cui all'articolo 35, paragrafi 4 e 5, del RGPD.
53. Il Comitato sottolinea l'importanza dei responsabili della protezione dei dati. Se del caso, dovrebbero essere consultati i responsabili della protezione dei dati in merito al trattamento dei dati relativi alla salute per scopi di ricerca scientifica nel contesto dell’emergenza causata dal COVID-19.
54. Infine, le misure adottate per proteggere i dati (anche durante i trasferimenti) dovrebbero essere adeguatamente ocumentate nel registro delle attività di trattamento.

6 ESERCIZIO DEI DIRITTI DELL'INTERESSATO

55. In linea di principio, situazioni quali l’attuale emergenza dovuta al COVID-19 non sospendono né limitano la possibilità degli interessati di esercitare i loro diritti ai sensi degli articoli 12-22 del RGPD. Tuttavia, l'articolo 89, paragrafo 2, del RGPD consente al legislatore nazionale di limitare (in alcuni casi) i diritti dell'interessato di cui al capo 3 del regolamento. Di conseguenza, possono aversi differenti limitazioni dei diritti degli interessati a seconda del diritto del singolo Stato membro.
56. Inoltre, alcune limitazioni dei diritti degli interessati trovano fondamento direttamente nelle disposizioni del regolamento, come le restrizioni relative all'accesso ai sensi dell'articolo 15, paragrafo 4, del RGPD e la limitazione del diritto alla cancellazione a norma dell'articolo 17, paragrafo 3, lettera d), del RGPD. Si è già detto delle esenzioni dall'obbligo di informazione a norma dell'articolo 14, paragrafo 5, del RGPD.
57. Va osservato che, alla luce della giurisprudenza della Corte di giustizia europea, ogni limitazione dei diritti degli interessati deve applicarsi solo nella misura strettamente necessaria[18].

7 TRASFERIMENTI INTERNAZIONALI DI DATI PER SCOPI DI RICERCA SCIENTIFICA

58. Nel contesto della ricerca, e in particolare nel contesto della pandemia da COVID-19, sarà probabilmente necessaria una cooperazione internazionale che potrebbe comportare trasferimenti internazionali di dati relativi alla salute per finalità di ricerca scientifica al di fuori del SEE.
59. Quando i dati personali sono trasferiti verso un paese non appartenente al SEE o verso un'organizzazione internazionale, oltre a rispettare le norme stabilite nel RGPD[19], in particolare l'articolo 5 (principi di protezione dei dati), l'articolo 6 (liceità) e l'articolo 9 (categorie particolari di dati[20]20), l'esportatore deve conformarsi anche alle previsioni del Capo V (trasferimenti di dati[21]).
60. In aggiunta al generale obbligo di trasparenza di cui alla pagina 7 delle presenti Linee-guida, l'esportatore dei dati è tenuto a informare gli interessati dell’intenzione di trasferire dati personali verso un paese terzo o un'organizzazione internazionale. Ciò comprende informazioni sull'esistenza o sull'assenza di una decisione di adeguatezza da parte della Commissione europea o sul fatto che il trasferimento sia basato su una delle garanzie adeguate di cui all'articolo 46, ovvero su una delle deroghe di cui all'articolo 49, paragrafo 1. Tale obbligo sussiste indipendentemente dal fatto che i dati personali siano stati ottenuti direttamente dall'interessato o meno.
61. In linea generale, nel valutare come gestire tali condizioni applicabili al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, è opportuno che gli esportatori di dati valutino i rischi per i diritti e le libertà degli interessati connessi a ciascun trasferimento[22], privilegiando soluzioni che garantiscano agli interessati la tutela ininterrotta dei diritti fondamentali e delle garanzie di cui godono con riguardo al trattamento dei loro dati, anche una volta che questi siano stati trasferiti. È questo il caso dei trasferimenti verso paesi che dispongono di un livello adeguato di protezione[23], oppure qualora si utilizzi una delle garanzie adeguate di cui all'articolo 46 del RGPD[24]cui si associa la disponibilità per gli interessati di diritti azionabili e mezzi di ricorso efficaci.
62. In assenza di una decisione di adeguatezza ai sensi dell'articolo 45, paragrafo 3, del RGPD o di garanzie adeguate ai sensi dell'articolo 46 di quest’ultimo, l'articolo 49 del RGPD prevede alcune situazioni specifiche in cui il trasferimento di dati personali può avvenire in via eccezionale. Le deroghe previste dall'articolo 49 del regolamento sono, pertanto, eccezioni alla regola generale e devono essere interpretate in modo restrittivo e caso per caso[25].Con riguardo all'attuale crisi dovuta al COVID-19, possono trovare applicazione le deroghe di cui all'articolo 49, paragrafo 1, lettera d) ("trasferimento necessario per importanti motivi di interesse pubblico") e lettera a) ("consenso esplicito").
63. La pandemia causata dal COVID-19 sta provocando una crisi sanitaria eccezionale e senza precedenti in termini di natura e portata. In tale contesto, il Comitato ritiene che la lotta al COVID-19 sia stata riconosciuta dall'UE e dalla maggior parte dei suoi Stati membri come un interesse pubblico rilevante[26]26, tale da richiedere un'azione urgente nel campo della ricerca scientifica (ad esempio per individuare trattamenti e/o sviluppare vaccini) e comportare anche trasferimenti di dati verso paesi terzi o organizzazioni internazionali[27].
64. Non solo le autorità pubbliche, ma anche i soggetti privati che contribuiscono al perseguimento di tale interesse pubblico (ad esempio, un istituto di ricerca universitario che collabori alla messa a punto di un vaccino nell'ambito di un partenariato internazionale) potrebbero, nell'attuale contesto di pandemia, avvalersi della deroga di cui sopra.
65. Inoltre, in determinate circostanze, in particolare quando i trasferimenti siano effettuati da soggetti privati per scopi di ricerca medica finalizzata a combattere la pandemia da COVID-19[28], tali trasferimenti di dati personali potrebbero avvenire in via alternativa sulla base del consenso esplicito degli interessati[29].
66. Nel contesto dell'attuale pandemia, ove non sia possibile basarsi su una decisione di adeguatezza ai sensi dell'articolo 45, paragrafo 3, o su garanzie adeguate ai sensi dell'articolo 46, le autorità pubbliche e i soggetti privati possono ricorrere alle deroghe applicabili di cui sopra, principalmente come misura temporanea giustificata dall'urgenza della situazione sanitaria a livello mondiale.
67. In effetti, se è vero che la natura della crisi dovuta al COVID-19 può giustificare il ricorso alle deroghe applicabili con riguardo ai trasferimenti iniziali effettuati a fini di ricerca in questo contesto, trasferimenti ripetuti di dati verso paesi terzi nel quadro di un progetto di ricerca di lungo periodo dovrebbero essere assistiti da garanzie adeguate ai sensi dell'articolo 46 del RGPD[30].
68. Infine, con riguardo a tali trasferimenti va osservato che si dovranno analizzare, caso per caso, i ruoli rispettivamente ricoperti (titolare del trattamento, responsabile del trattamento, co-titolare) e gli obblighi in capo ai singoli attori coinvolti (sponsor, sperimentatori) al fine di individuare le misure per un idoneo inquadramento delle operazioni di trasferimento.

8 SINTESI

69. Le principali indicazioni ricavabili dalle presenti Linee-guida sono così sintetizzabili:
    1. Il regolamento generale sulla protezione dei dati prevede norme speciali per il trattamento dei dati relativi alla salute a fini di ricerca scientifica, applicabili anche nel contesto della pandemia da COVID-19.
    2. Il legislatore nazionale di ciascuno Stato membro ha il potere di emanare norme specifiche ai sensi dell'articolo 9, paragrafo 2, lettere i) e j), del RGPD al fine di consentire il trattamento dei dati relativi alla salute a fini di ricerca scientifica. Il trattamento dei dati relativi alla salute a fini di ricerca scientifica deve altresì fondarsi su una delle basi giuridiche di cui all'articolo 6, paragrafo 1, del RGPD. Pertanto, le condizioni e la portata di tale trattamento variano a seconda del diritto del singolo Stato membro.
    3. Tutte le norme adottate in base all'articolo 9, paragrafo 2, lettera i) e lettera j), del RGPD devono essere interpretate alla luce dei principi dell'articolo 5 del RGPD e della giurisprudenza della Corte di giustizia. n particolare, le deroghe e le limitazioni relative alla protezione dei dati di cui all'articolo 9, paragrafo 2, lettera j), e all'articolo 89, paragrafo 2, del RGPD devono applicarsi solo nella misura strettamente necessaria.

 27 Il Comitato sottolinea che il regolamento generale sulla protezione dei dati, al considerando 112, menziona lo scambio internazionale di dati tra servizi competenti per la sanità pubblica quale esempio dell'applicazione di tale deroga.

28 Conformemente all'articolo 49, paragrafo 3, del RGPD, il consenso non può essere utilizzato per le attività svolte da autorità pubbliche nell'esercizio di pubblici poteri.

4. Tenuto conto dei rischi di trattamento nel contesto dell’epidemia dovuta a COVID-19, occorre porre l'accento sull'osservanza dell'articolo 5, paragrafo 1, lettera f), dell'articolo 32, paragrafo 1, e dell'articolo 89, paragrafo 1, del RGPD. Occorre stabilire se sia necessario effettuare una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35 del RGPD.
5. Si devono stabilire periodi di conservazione e tali periodi devono essere proporzionati. In questo contesto, dovrebbero essere presi in considerazione criteri quali la durata e lo scopo della ricerca. Le disposizioni nazionali possono disciplinare anche il periodo di conservazione, e di ciò occorre tenere conto.
6. In linea di principio, situazioni quali l’attuale emergenza dovuta al COVID-19 non sospendono né limitano la possibilità degli interessati di esercitare i loro diritti ai sensi degli articoli 12-22 del RGPD. Tuttavia, l'articolo 89, paragrafo 2, del RGPD consente al legislatore nazionale di limitare (in alcuni casi) i diritti dell'interessato di cui al capo 3 del regolamento. Di conseguenza, possono aversi differenti limitazioni dei diritti degli interessati a seconda del diritto del singolo Stato membro.
7. Per quanto riguarda i trasferimenti internazionali, in assenza di una decisione di adeguatezza ai sensi dell'articolo 45, paragrafo 3, del RGPD o di garanzie adeguate ai sensi dell'articolo 46 di quest’ultimo, i soggetti pubblici e privati possono avvalersi delle deroghe applicabili a norma dell'articolo 49 del RGPD.

Tuttavia, le deroghe di cui all'articolo 49 del RGPD hanno natura assolutamente eccezionale. Per il comitato europeo per la protezione dei dati

La Presidente

Andrea Jelinek

 

[1] Si veda la dichiarazione del comitato europeo per la protezione dei dati del 19.3.2020 sul trattamento dei dati personali nel contesto del focolaio di COVID-19, disponibile all' indirizzo https://edpb.europa.eu/our-worktools/our-documents/other/statement-processing-personal-data-context-covid-19-outbreak_en (versione italiana: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9295504).

[2] Vedi ad esempio l'articolo 5, paragrafo 1, lettera b) e lettera e), l'articolo 14, paragrafo 5, lettera b), e l'articolo

17, paragrafo 3, lettera d), del RGPD.

[3] Vedi ad esempio l'articolo 9, paragrafo 2, lettera j), e l'articolo 89, paragrafo 2, del RGPD.

[4] Vedi ad esempio, con riguardo alla direttiva 95/46/CE, la causa C-101/01, 6.11.2003 (Lindqvist), punto 50.

[5] Si vedano le linee-guida sul consenso a norma del regolamento (Ue) n. 2016/679 del 10.04.2018 approvate dal

Gruppo di lavoro « Articolo 29 » WP259 rev.01, pag. 27 (adottate dal Comitato europeo per la protezione dei dati). https://ec.europa.eu/newsroom/article29/item-detail.cfm?item id = 623051.

[6] Vedi, ad esempio, per quanto riguarda la direttiva 95/46/CE, la decisione della CGUE del 13.5.2014, C-131/12

(Google Spain), punto 71.

[7] Si veda il parere 3/2019 del Comitato europeo per la protezione dei dati, del 23.1.2019, relativo alle FAQ

sull'interazione tra il regolamento sulla sperimentazione clinica (CTR) e il regolamento generale sulla protezione

dei dati (RGPD), https://edpb.europa.eu/our-work-tools/our-documents/avis-art-70/opinion-32019-concerningquestions-and-answers-interplay_en.

[8] Linee-guida in materia di consenso a norma del regolamento (UE) n. 2016/679 del Gruppo di lavoro «Articolo

29» del 10.04.2018, WP259 rev.01, pag. 18 (adottate dal Comitato europeo per la protezione dei dati).

[9] Sul presupposto che l'interessato non sia stato oggetto di pressioni né debba paventare conseguenze negative

in caso non intenda prestare il proprio consenso.

[10] Vedi articolo 17, paragrafo 1, lettera b), e paragrafo 3, del RGPD. 11 Si veda il parere 3/2019 del Comitato europeo per la protezione dei dati del 23.1.2019, pag. 7.

[11] Si veda il parere 3/2019 del Comitato europeo per la protezione dei dati del 23.1.2019, pag. 7.

[12] Si veda ad esempio, relativamente alla direttiva 95/46/CE, la sentenza della Corte di giustizia europea del 14.2.2019, C-345/17 (Buivids), paragrafo 64.

[13] 3 Linee-guida sulla trasparenza a norma del regolamento (UE) n. 2016/679 del Gruppo di lavoro « Articolo 29 », WP260 rev.01, pag. 29 (adottate dal Comitato europeo per la protezione dei dati) : Https://ec.europa.eu/newsroom/article29/item-detail.cfm?item id = 622227.

[14] Linee-guida sulla trasparenza a norma del regolamento (UE) n. 2016/679 del Gruppo di lavoro « Articolo 29 », WP260 rev.01, pag. 31 (adottate dal Comitato europeo per la protezione dei dati)

[15] Linee-guida sulla trasparenza a norma del regolamento (UE) n. 2016/679 del Gruppo di lavoro « Articolo 29 », WP260 rev.01, pag. 32 (adottate dal Comitato europeo per la protezione dei dati)

[16] Si vedano anche le Linee-guida 4/2019 del Comitato (13.11.2019) sulla protezione dei dati fin dalla progettazione e per impostazione predefinita : https://edpb.europa.eu/our-work-tools/public-consultations-art704/2019/guidelines-42019-article-25-data-protection-design_en

[17] 7 Si osservi che i dati personali (relativi alla salute) pseudonimizzati sono considerati ancora "dati personali" ai sensi dell'articolo 4, paragrafo 1, del Regolamento e non devono essere confusi con "dati anonimizzati" che invece non consentono alcun collegamento con singoli interessati. Cfr., ad esempio, il considerando 28

[18] 8 Vedi, ad esempio, con riguardo alla direttiva 95/46/CE, la sentenza della Corte di giustizia europea del 14.2.2019, C-345/17 (Buivids), paragrafo 64.

[19] 9 Articolo 44, RGPD

[20] Vedi i punti da 4 a 6 delle presenti Linee-guida

[21] 1 Si vedano le Linee-guida 2/2018 del Comitato europeo per la protezione dei dati del 25.5.2018, sulle deroghe di cui all'articolo 49 del regolamento (UE) n. 2016/679, pag. 3, a proposito della verifica in due fasi : https://edpb.europa.eu/our-work-tools/our-documents/smjernice/guidelines-22018-derogations-article-49- under-regulation_en .

[22] 2 I trasferimenti internazionali di dati possono essere un fattore di rischio da considerare nell’ambito di una valutazione d'impatto sulla protezione dei dati di cui alla pagina 10 delle presenti Linee-guida

[23] L'elenco dei paesi riconosciuti adeguati dalla Commissione europea è disponibile all'indirizzo https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacydecisioni. 24

[24] 4 Quali, ad esempio, clausole tipo di protezione dei dati a norma dell'articolo 46, paragrafo 2, lettera c) o d), del RGPD ; clausole contrattuali ad hoc a norma dell'articolo 46, paragrafo 3, lettera a), del RGPD ; disposizioni amministrative ai sensi dell'articolo 46, paragrafo 3, lettera b), del RGPD.

[25] Vedi le Linee-guida 2/2018, pag. 3.

[26] L'articolo 168 del Trattato sul funzionamento dell'Unione europea riconosce un livello elevato di protezione della salute umana quale obiettivo importante che dovrebbe essere garantito nell'attuazione di tutte le politiche e attività dell'Unione. Su tale base, l'azione dell'Unione sostiene le politiche nazionali volte a migliorare la salute pubblica, anche nella lotta contro i grandi flagelli sanitari e le gravi minacce per la salute a carattere transfrontaliero, ad esempio promuovendo la ricerca sulle loro cause, la loro trasmissione e la loro prevenzione. Analogamente, i considerando 46 e 112 del RGPD menzionano il trattamento effettuato nel contesto della lotta contro le epidemie come esempio di trattamento per importanti motivi di interesse pubblico. Nel contesto della pandemia da COVID-19, l'UE ha adottato una serie di misure in un'ampia gamma di settori (ad esempio il finanziamento dei sistemi sanitari, il sostegno ai pazienti transfrontalieri e l'impiego di personale medico, l'assistenza finanziaria agli indigenti, i trasporti, i dispositivi medici, ecc.) sul presupposto che l'UE deve affrontare un'importante emergenza sanitaria pubblica che richiede una risposta urgente.

[27] 7 Il Comitato sottolinea che il regolamento generale sulla protezione dei dati, al considerando 112, menziona lo scambio internazionale di dati tra servizi competenti per la sanità pubblica quale esempio dell'applicazione di tale deroga.

[28] 8 Conformemente all'articolo 49, paragrafo 3, del RGPD, il consenso non può essere utilizzato per le attività svolte da autorità pubbliche nell'esercizio di pubblici poteri.

[29] Si vedano le Linee-guida del Comitato europeo per la protezione dei dati 2/2018, sezione 2.1.

[30] Si vedano le Linee-guida del Comitato europeo per la protezione dei dati 2/2018, pag. 5.